Cisco FTD Settings of domain authorization.

Information Security

When setting up network equipment Cisco I delve into the processes switching and routing Administrators often forget to finish safety parameters. However, this built.in functionality is very useful and provides, albeit basic, but still the necessary level of security. Today in the publication we will briefly describe the built.in teams and general security management tips. And so, let’s start with remote access, namely SSH connection.!Never use an outdated Telnet protocol

The second step can ensure a certain level of security on VTY, Auxiliary and Console Lines After following the following recommendations:

Timeout (Session, Exec). the time through which the administrator will be “thrown away” after the given time of inactivity. On Console, such a timut is turned off by default. It is not safe. In most cases, 10-15 minutes. This is a completely acceptable value for this parameter.

Port Speed. The speed of the console port (t.n. Baud Rate) can be increased to the maximum supported value, the default value is 9600BPS and can be increased to 115200BPS.

Session Limit. defines how many SSHV2, Telnet (or both) sessions can be actively at the same time. By default, this parameter is 32, and can be reduced to a more practical value in terms of security 5-10.

Access-List. Access lists should be applied to VTY, AUX and Con ports to ensure security by organizing access according to conditions such as the sender or recipient, administratively authorized to manage or configure the device. It would also be a good idea to include logging in such access in the corresponding access lists using the key word LOG.

Temporary blocking after a certain number of unsuccessful attempts to authorize with a white sheet. completely turns off the possibility of authorization on the device for a given number of time after a certain number of unsuccessful attempts for a time taken. IP addresses indicated in the corresponding list of access 10. in the “white sheet” and have the right to authorize even when blocking.

Directed Broadcast пакет IP directed broadcast имеет своим destination валидный broadcast адрес. когда подобный пакет приходит на роутер, последний (если соответственно сконфигурирован и имеет в своих подключенных сетях (directly connected) сеть назначения) может перенаправлять подобные пакеты по назначению, в отличие от стандартного поведения, когда интеейс роутера оконечивает домен широковещательных сообщений.

  • Ограничьте зоны широковещательных доменов
  • Используйте функции защиты Dynamic ARP Inspection, DHCP Snooping и IP Source Guard
  • Используйте функции защиты STP (фильтры и гарды)
  • Ограничьте круг возможных участников процесса маршрутизации
  • Используйте авторизацию
  • Используйте встроенные методы безопасности протоколов, т.к. BGP TTL
  • Security Check
  • Маршрутизацию включайте только на нужных интеейсах
  • Не включайте маршрутизацию на “пользовательских” интеейсах
  • Контролируйте распространяемые маршруты
  • Логируйте статусы ” соседей ” (log-neighbor-changes)

Предотвратить злоумышленное использование малых служб для проведения различных сетевых атак, включая DoS-атаки.

Предотвратить предоставление информации о маршрутизаторе устройствам, которые напрямую подключены к этому маршрутизатору.

Указать, какие протоколы могут использоваться удаленными пользователями для установления интерактивного подключения к терминалу VTY или к портам TTY на маршрутизаторе.

Указать, какие IP-адреса могут использоваться для подключения к портам TTY или VTY. Зарезервировать один порт VTY для доступа с управляющей рабочей станции.

Сохранить регистрационную информацию в RAM-буфере маршрутизатора. В последних версиях программного обеспечения после размера буфера можно указать порог важности.

Сбросить сфальсифицированные IP-пакеты в сетях с симметричной маршрутизацией и только при использование режима CEF.

Включить регистрацию пакетов, которые совпадают с критериями, указанными в данном списке доступа. Используйте команду log-input, если таковая имеется в вашем ПО.

Включить протокол SNMP версии 1, настроить аутентификацию и ограничить доступ к определенным IP-адресам. Протокол SNMP версии 1 следует использовать только в случае, если недоступна версия 2, при этом нужно принять меры защиты от анализаторов пакетов. Включайте протокол SNMP, только если он нужен в вашей сети. Включайте доступ с правами чтение-запись, только если это действительно необходимо.

Настроить процедуру аутентификации для протокола SNMP версии 2, использующего алгоритм аутентификации MD5. Включайте протокол SNMP, только если это действительно необходимо в данной сети.

Осуществлять дальнейший контроль за HTTP-доступом, ограничив его определенными адресами узлов (если HTTP включен на маршрутизаторе).

Установить предупредительный баннер, который будет демонстрироваться пользователям, пытающимся зарегистрироваться на маршрутизаторе.

CISCO Radius на Windows 2008\2012 NPS

Настроим аутентификацию по доменным учеткам на оборудовании cisco:

На Доменконтроллере: 1. Создаем группу безопасности (например “radius”) 2. Помещаем туда нужные учетки пользователей У учеток, которые будут в группе должно быть установлено разрешение, дающее право удалённого доступа (Network Access Permission на закладке Dial-In)

На Windows 2012\2008 сервере для радиуса:

Устанавливаем роль Network Policy Server (все по дефолту) В консоли Network Policy Server: Правой кнопкой мыши по “NPS(local)”. Register Server in Active Directory

Добавление клиентов на RADIUS В консоли Network Policy Server: Radius Clients and Servers. Radius Clients. New ( указать имя(Friendly name), IP, ключ(Shared secret), vendor name. cisco ) В имени(Friendly name) делаем маску “cisco_”. пример cisco_CORBINA

Политика доступа на RADIUS Свяжем записи о клиентах и доменных групп безопасности Policies. Network Policies. New ( Указать имя, тип соединения. Unspecified ) В Specify conditions добавим условия применения политики RADIUS: 3.1 пользователь должен входить в определенную доменную группу безопасности 3.2 устройство должно иметь определённое “Friendly name” в шаге 2. Add. добавить условия Windows Group и Client Friendly Name Политика будет применяться к RADIUS клиентам, у которых свойство атрибута “Friendly name” = значение начинающееся с “cisco_”

Specify Access Permission – Access granted

Configure Authentication Methods: 5.1 удалим все методы аутентификации 5.2 включим. Unencrypted authentication (PAP, SPAP), т.к. наше устройство поддерживает только этот метод

Выйдет предупреждение, нажмем – No

Configure Constraints ничего не указываем, идем дальше

Configure Settings, раздел стандартных атрибутов (Radius Attributes Standard): 8.1 удалим два имеющихся по умолчанию атрибута 8.2 добавим новый. Add. в открывшемся окне выбора атрибутов. Service-Type. Add 8.3 Переключатель Attribute value. Others. выберем Login. ok 8.4 Ниже слева Radius Attributes Standard закладка Vendor Specific. Add 8.5 Тип атрибута. Vendor-Specific (RADIUS Standard). Add. Add 8.6 Vendor: select from list. cisco, пункт. Yes. It conforms, жмем Configure Attribute 8.7 Значения атрибута – 1, формат строковый – String, значение. shell:priv-lvl=15. ok 8.8 Ok. завершаем

Policies. Connection Request Policies. оставим по умолчанию

Конфигурируем ssh второй версии: configure terminal crypto key generate rsa modulus 1024 IP ssh version 2

Если ругнулся: % Please define a domain-name first.

Тогда (cisco_corb. заменить на имя оборудования): ip domain name cisco_CORBINA.local

Аутентификация сначала на радиусе, если недоступен. локально: aaa authentication login default group radius local Авторизация достаточно локальной: aaa authorization exec default local

Укажем сервер и ключ из шага “2. Добавление клиентов на RADIUS”: radius-server host 192.168.10.2 key gh2@t# service password-encryption

Проверка: Не разрывая установленного соединения проверяем: 1. Новое соединение с включенным NPS Radius 2. Новое соединение с выключенным NPS Radius

Логи пишутся в журнале Windows, искать по ключевому слову “cisco” или ip адресу

Либо вариант с более новыми версиями iOS

ROUTER(config)#username Your_Name priv 15 secret Your_Pass

ROUTER(config)#aaa group server radius Your_NPS_SERVER ROUTER(config-sg-radius)#server-private 192.168.10.10 auth-port 1812 acct-port 1813 key CISCO

ROUTER(config)#aaa authentication login default group Your_NPS_SERVER local ROUTER(config)#aaa authorization exec default group Your_NPS_SERVER local if-authenticated ROUTER(config)#aaa authorization console

How to add FTD into Cisco FMC

By default, Cisco Firepower Threat Defense is managed locally with Firepower Device Manager.

configure manager add [FMC IP Management IP Address] [Registration Key]

Note: If you have any feature licenses enabled on the FDM you need to disable them first otherwise these licenses remain assigned to the device in Cisco Smart Software Manager.

It is changed to FMC though the registration is still pending and you need to move to FMC and input similar configuration with same registration key.

  • Navigate to DevicesDevice Management and click on Add then Device
  • Enter needed information in the opened window:

In the Host field Enter the FTD’s Management IP, for Display Name enter a custom name for the device and final, put your Registration Key in the third field.

Cisco ISE: Введение, требования, установка. Часть 1

У каждой компании, даже самой малой есть потребность в проведении аутентификации, авторизации и учета пользователей (семейство протоколов ААА). На начальном этапе ААА вполне себе хорошо реализуется с использованием таких протоколов, как RADIUS, TACACS и DIAMETER. Однако с ростом количества пользователей и компании, растет и количество задач: максимальная видимость хостов и BYOD устройств, многофакторная аутентификация, создание многоуровневой политики доступа и многое другое.

Для таких задач отлично подходит класс решений NAC (Network Access Control). контроль сетевого доступа. В цикле статей, посвященному Cisco ISE (Identity Services Engine). NAC решению для предоставления контроля доступа пользователям к внутренней сети с учетом контекста, мы подробно рассмотрим архитектуру, инициализацию, настройку и лицензирование решения.

Кратко напомню, что Cisco ISE позволяет:

Быстро и просто создавать гостевой доступ в выделенной WLAN;

Обнаруживать BYOD устройства (например, домашние PC сотрудников, которые они принесли на работу);

Централизовать и применять политики безопасности к доменным и не доменным пользователям с помощью меток групп безопасности SGT (технология TrustSec );

Проверять компьютеры на наличие установленного определенного ПО и соблюдение стандартов (posturing);

Классифицировать и профилировать оконечные и сетевые устройства;

Предоставлять видимость оконечных устройств;

Отдавать журналы событий logon/logoff пользователей, их учетки (identity) на NGFW для формирования user-based политики;

Нативно интегрироваться с Cisco StealthWatch и вносить в карантин подозрительные хосты, участвующие в инцидентах безопасности ( подробнее );

И другие стандартные для ААА сервера фичи.

Про Cisco ISE уже писали коллеги по отрасли, поэтому в дальнейшем советую ознакомиться: практика внедрения Cisco ISE. как подготовиться к внедрению Cisco ISE.

Архитектура

В архитектуре Identity Services Engine есть 4 сущности (ноды): нода управления (Policy Administration Node), нода распределения политик (Policy Service Node), мониторинговая нода (Monitoring Node) и PxGrid нода (PxGrid Node). Сisco ISE может быть в автономной (standalone) или распределенной (distributed) инсталляции. В Standalone варианте все сущности находятся на одной виртуальной машине или физическом сервере (Secure Network Servers. SNS), когда в Distributed. ноды распределены по разным устройствам.

Policy Administration Node (PAN). обязательная нода, которая позволяет выполнять все административные операции на Cisco ISE. Она обрабатывает все системные конфигурации, связанные с ААА. В распределенной конфигурации (ноды можно устанавливать как отдельные виртуальные машины) у вас может быть максимум две PAN для отказоустойчивости. Active/Standby режим.

Policy Service Node (PSN). обязательная нода, которая обеспечивает доступ к сети, состояние, гостевой доступ, предоставление услуг клиентам и профилирование. PSN оценивает политику и применяет ее. Как правило, PSN устанавливается несколько, особенно в распределенной конфигурации, для более избыточной и распределенной работы. Конечно же, эти ноды стараются устанавливать в разных сегментах, чтобы не терять возможности обеспечения аутентифицированного и авторизованного доступа ни на секунду.

Monitoring Node (MnT). обязательная нода, которая хранит журналы событий, логи других нод и политик в сети. MnT нода предоставляет расширенные инструменты для мониторинга и устранения неполадок, собирает и сопоставляет различные данные, в также предоставляет содержательные отчеты. Cisco ISE позволяет иметь максимум две MnT ноды, тем самым формируя отказоустойчивость. Active/Standby режим. Тем не менее, логи собирают обе ноды, как активная, так и пассивная.

PxGrid Node (PXG). нода, применяющая протокол PxGrid и обеспечивающая общение между другими устройствами, которые поддерживают PxGrid.

PxGrid. протокол, который обеспечивает интеграцию продуктов ИТ- и ИБ-инфраструктуры разных вендоров: систем мониторинга, систем обнаружения и предотвращения вторжений, платформ управления политиками безопасности и множества других решений. Cisco PxGrid позволяет обмениваться контекстом в однонаправленном или двунаправленном режиме со многими платформами без необходимости использования API, тем самым позволяя использовать технологию TrustSec (SGT метки), изменять и применять ANC (Adaptive Network Control) политику, а также осуществлять профилирование. определение модели устройства, ОС, местоположение и другое.

В конфигурации высокой доступности ноды PxGrid реплицируют информацию между нодами через PAN. В случае, если PAN отключается, нода PxGrid перестает аутентифицировать, авторизовывать и проводить учет пользователей.

Ниже схематично изображена работа разных сущностей Cisco ISE в корпоративной сети.

Настройка пользователей аутентификации

13) Опционально вы можете импортировать на гостевой портал ISE сертификат или создать самоподписанный сертификат во вкладке Work Centers Guest Access Administration Certification System Certificates.

14) После во вкладке Work Centers Guest Access Identity Groups User Identity Groups Add создайте новую группу пользователей для гостевого доступа, либо же используйте созданные по умолчанию.

15) Далее во вкладке Administration Identities создайте гостевых пользователей и добавьте их в групп из прошлого пункта. Если же вы хотите использовать сторонние учетные записи, то пропустите данный шаг.

16) После переходим в настройки Work Centers Guest Access Identities Identity Source Sequence Guest Portal Sequence. это предустановленная последовательность аутентификации гостевых пользователей. И в поле Authentication Search List выберите порядок аутентификации пользователей.

17) Для уведомления гостей одноразовым паролем можно сконфигурировать SMS провайдеров или SMTP сервер для этой цели. Перейдите во вкладку Work Centers Guest Access Administration SMTP Server или SMS Gateway Providers для данных настроек. В случае с SMTP сервером требуется создать учетку для ISE и указать данные в этой вкладке.

18) Для уведомлений по SMS используйте соответствующую вкладку. В ISE есть предустановленные профили популярных SMS провайдеров, однако лучше создать свой. Данные профили используйте как пример настройки SMS Email Gateway или SMS HTTP API.

Пример настройки SMTP сервера и SMS шлюза для одноразового пароля

Настройка гостевого портала

19) Как было упомянуто в начале, есть 3 типа предустановленных гостевых портала: Hotspot, Sponsored, Self-Registered. Предлагаю выбрать третий вариант, так как он наиболее часто встречающийся. В любом случае настройки во многом идентичны. Поэтому переходим во вкладку Work Centers Guest Access Portals Components Guest Portals Self-Registered Guest Portal (default).

Cisco FTD NAT Configuration

20) Далее во вкладке Portal Page Customization выберите “View in Russian. Русский”, чтобы портал стал отображаться на русском языке. Вы можете изменять текст любой вкладки, добавить свой логотип и многое другое. Справа в углу превью гостевого портала для более удобного представления.

Пример настройки гостевого портала с саморегистрацией

21) Нажмите на фразу “Portal test URL” и скопируйте URL портала в SSID на FortiGate в шаге 4. Примерный вид URL https://10.10.30.38:8433/portal/PortalSetup.action?portal=deaaa863-1df0-4198-baf1-8d5b690d4361

Чтобы отображался ваш домен, следует подгрузить сертификат на гостевой портал, смотрите шаг 13.

22) Перейдите во вкладку Work Centers Guest Access Policy Elements Results Authorization Profiles Add для создания профиля авторизации под ранее созданный Network Device Profile.

23) Во вкладке Work Centers Guest Access Policy Sets отредактируйте политику доступа для Wi-Fi пользователей.

24) Попробуем подключиться к гостевому SSID. Меня сразу перенаправляет на страницу входа. Здесь можно зайти под учеткой guest, созданной локально на ISE, либо зарегистрироваться в качестве гостевого пользователя.

25) Если вы выбрали вариант саморегистрации, то одноразовые данные для входа можно отправить на почту, через SMS или же распечатать.

26) Во вкладке RADIUS Live Logs на Cisco ISE вы увидите соответствующие логи входа.

В данной долгой статьей мы успешно настроили гостевой доступ на Cisco ISE, где в качестве контроллера точек доступа выступает FortiGate, а в качестве точки доступа FortiAP. Получилась этакая нетривиальная интеграция, что в очередной раз доказывает широкое применение ISE.

Для тестирования Cisco ISE обращайтесь по ссылке, а также следите за обновлениями в наших каналах (Telegram, , VK, TS Solution Blog, Яндекс.Дзен).

Настройка гостевого портала

19) Как было упомянуто в начале, есть 3 типа предустановленных гостевых портала: Hotspot, Sponsored, Self-Registered. Предлагаю выбрать третий вариант, так как он наиболее часто встречающийся. В любом случае настройки во многом идентичны. Поэтому переходим во вкладку Work Centers Guest Access Portals Components Guest Portals Self-Registered Guest Portal (default).

20) Далее во вкладке Portal Page Customization выберите “View in Russian. Русский”, чтобы портал стал отображаться на русском языке. Вы можете изменять текст любой вкладки, добавить свой логотип и многое другое. Справа в углу превью гостевого портала для более удобного представления.

Пример настройки гостевого портала с саморегистрацией

21) Нажмите на фразу “Portal test URL” и скопируйте URL портала в SSID на FortiGate в шаге 4. Примерный вид URL https://10.10.30.38:8433/portal/PortalSetup.action?portal=deaaa863-1df0-4198-baf1-8d5b690d4361

Чтобы отображался ваш домен, следует подгрузить сертификат на гостевой портал, смотрите шаг 13.

22) Перейдите во вкладку Work Centers Guest Access Policy Elements Results Authorization Profiles Add для создания профиля авторизации под ранее созданный Network Device Profile.

23) Во вкладке Work Centers Guest Access Policy Sets отредактируйте политику доступа для Wi-Fi пользователей.

24) Попробуем подключиться к гостевому SSID. Меня сразу перенаправляет на страницу входа. Здесь можно зайти под учеткой guest, созданной локально на ISE, либо зарегистрироваться в качестве гостевого пользователя.

25) Если вы выбрали вариант саморегистрации, то одноразовые данные для входа можно отправить на почту, через SMS или же распечатать.

26) Во вкладке RADIUS Live Logs на Cisco ISE вы увидите соответствующие логи входа.

В данной долгой статьей мы успешно настроили гостевой доступ на Cisco ISE, где в качестве контроллера точек доступа выступает FortiGate, а в качестве точки доступа FortiAP. Получилась этакая нетривиальная интеграция, что в очередной раз доказывает широкое применение ISE.

Для тестирования Cisco ISE обращайтесь по ссылке. а также следите за обновлениями в наших каналах ( Telegram. . VK. TS Solution Blog. Яндекс.Дзен ).

Мир сходит с ума, но еще не поздно все исправить. Подпишись на канал SecLabnews и внеси свой вклад в предотвращение киберапокалипсиса!

Немного терминологии

User Identity — учетная запись пользователя, которая содержит информацию о пользователе и формирует его учетные данные для доступа к сети. Следующие параметры, как правило, указываются в User Identity: имя пользователя, адрес электронной почты, пароль, описание учетной записи, группу пользователей и роль.

User Groups — группы пользователей — это совокупность отдельных пользователей, которые имеют общий набор привилегий, которые позволяют им получать доступ к определенному набору сервисов и функций Cisco ISE.

User Identity Groups — предустановленные группы пользователей, которые уже имеют определенную информацию и роли. Следующие User Identity Groups существуют по умолчанию, в них можно добавлять пользователей и группы пользователей: Employee (сотрудник), SponsorAllAccount, SponsorGroupAccounts, SponsorOwnAccounts (спонсорские учетки для управления гостевым порталом), Guest (гость), ActivatedGuest (активированный гость).

User Role — роль пользователя — это набор разрешений, определяющих, какие задачи может выполнять пользователь и к каким сервисам может получить доступ. Зачастую роль пользователя связана с группой пользователей.

Более того, у каждого пользователя и группы пользователей есть дополнительные атрибуты, которые позволяют выделить и более конкретно определить данного пользователя (группу пользователей). Больше информации в гайде.

Создание локальных пользователей

1) В Cisco ISE есть возможность создать локальных пользователей и использовать их в политике доступа или даже дать роль администрирования продуктом. Выберите Administration → Identity Management → Identities → Users → Add.

Cisco FTD Identity Policy: Active Authentication

Добавление локального пользователя в Cisco ISE

2) В появившемся окне создайте локального пользователя, задайте ему пароль и другие понятные параметры.

Создание локального пользователя в Cisco ISE

3) Пользователей также можно импортировать. В этой же вкладке Administration → Identity Management → Identities → Users выберите опцию Import и загрузите csv или txt файлик с пользователями. Для того, чтобы получить шаблон выберите Generate a Template, далее следует его заполнить информацией о пользователях в подходящем виде.

Импорт пользователей в Cisco ISE

Отсутствие aaa new-model

В данном случае речь идет о правой части схемы (см. рис. 1).

Как уже было сказано, по умолчанию сервис aaa new-model выключен. Подключение к устройству может быть выполнено либо физически, путем подключения через консольный порт (line console 0) без ввода каких-либо учетных данных, либо через протокол TELNET (line vty). Причем в последнем случае, даже если задать IP-адрес на Cisco, получить доступ к устройству не получится ввиду отсутствия пароля (способ аутентификации “line”, см. рис. 3). Если пароль на линии vty задан, то устройство потребует от вас только ввести пароль, что существенно снижает безопасность подключения, так как для входа не требуется вводить логин; впрочем, тут все, конечно, зависит также от сложности пароля, который вы настроили.

При выполнении команды “login local” устройство, установив соединение, будет требовать ввести логин и пароль для входа.

Итак: в случае отсутствия aaa new-model максимум, которого вы можете требовать от Cisco iOS, — это использование пароля (способ аутентификации “line”) и использование логина и пароля из локальной базы данных (способ аутентификации “local”).

Конфигурация aaa new-model

Преимущество конфигурации aaa в том, что она содержит множество методов аутентификации (в отличие от предыдущего случая). Включение aaa происходит путем добавления команды aaa new-model в режиме глобальной конфигурации. Далее предстоит выбор методов аутентификации. Все методы организуются в списки, которым присваивается либо значениеdefault, либо конкретное имя списка (list-name). Таким образом, на разные типы линий (aux, vty, con. ) можно «повесить» разные методы аутентификации, разграничив доступ между пользователями.

Пример настройки aaa new-model и списков аутентификации:

Router (config) #aaaaaaaaaaa-model router (config) #aaa Authentication Login Method1 [Method2] Router (config) #line Line-Numbers (Config-Line)

Set up AAA authentication using Tacacs authentication server on R2.

R2 (Config) #USERNAME Admin Secret Adminpa55

R2 (Config) # Tacacs-Server Host 192.168.2.2 // Specify Tacacs server address

R2 (Config) # Tacacs-Server Key Tacacspa55 // This key is configured on the Tacacs server

R2 (Config) #aaa Authentication Login Default Group Tacacs Local

R2 (config) #Line console 0 // Setting parameters for the port control port

R2 (Config-Line) #login Authentication Default

R2 (config) #Line vty 0 4 // Set the maximum number of simultaneous inputs to the control system, here 0-4 only 5

R2 (Config-Line) #login Authentication Default

When testing, you must log in with Admin2 and Admin2pa55 in Tacacs

AAA authorization

The implementation method 1: has nothing to do with AAA and has a low level of security.

Set the user name and password for remote entrance. Two different users are configured here, and the levels of these two users differ.The goal is to enter the system with different user names and passwords to enter different operating modes of the router. The password should be displayed in encrypted form in Show Running-Config so that other users can not look at the screen.

R1 (config) #USERNAME CISCO Secret Cisco // Set a regular user, user level. 1 by default (User level value 0-15, maximum 15), using this user name, only after a remote entrance to the system. In the user mode and the inclusion password is not reported to the user, the user can only control and view the working condition of the router.

R1 (Config) #USERNAME NET12 Privilege 15 Secret Cisconet12 // Set a high.level user, set the user level by 15, that is, use this user and password for a remote entrance to the router for direct entering the privilege mode.

You can try different levels of users:

R1 (Config) #USERNAME User0 Privilege 0 Secret User0

R1 (Config) #USERNAME User6 Privilege 6 Secret User6

R1 (config) #USERNAME User10 Privilege 10 Secret User10

(Determine the level of powers by looking at the commands that can use different users, the method: enter the user mode and enter “?”)

The results of testing the remote entrance through Telnet. After a successful entry into the system, you can enter the Show Privileges command in the user mode to view the level of user security levels.

The method of implementation of the second, through the implementation of the AAA, high level of security

R1 (config) #USERNAME User10 Privilege 10 Secret Ciscouser10

R1 (Config) #USERNAME User6 Privilege 6 Secret Ciscouser6

R1 (config) #aaa new-model // Turn on AAA

R1 (Config) #aaa Authentication Login Default Local // Refuse the list of authentication

Auth-Proxy for Authentication Proxy Services

Config-commands for configuration Mode Commands.

Configuration for Downloading Configuctions from AAA Server

Console for Enabling Console Authorization

Exec for Starting an Exec (Shell).

Network for Network Services. (PPP, SLIP, ARAP)

Reverse-CCCESS For Reverse Access Connections

Template Enable Template Authorization

// authorize the user that is included in the system locally. When the user tries to enter the system with another user name and password on the client, the entered user name and password are sent to the router, and the router requests the user name and the password of the local database. If the user name and password are obtained if the specified user name coincides successfully, the user authentication is transmitted. After the authentication is completed, even if the user level is 15, since the AAA was turned on, the AAA has a high level of security.If you want this user with 15 levels to be included in the privileged mode, this should be achieved by authorization.

Center (Config) #aaa Authorization Exec Myauthor Local // Configure the list of authorization MyAuthor, authorized Exec, Authorization Method. local

R1 (Config) #privilege Exec Level 10 Ping // 10 Writers below level 10 cannot use ping, and users above 10 levels (inclusive) can

R1 (Config) #privilege Exec Level 10 Traceroute // 10 Writers below the level cannot use Ping

R1 (Config) #privilege Exec Level 6 Traceroute // 6 Writers below the level cannot use the ping and rewrite the previous one

Call authentication list and authorization list:

R1 (Config-Line) #login Authentication Default // can be lowered

R1 (Config-Line) #Authorization Exec MyAuthor

Use different levels of users to enter the system to check the authorization effect

Show Privilege // View the current level of user

Show User // View users included in the system