User

Введение

Пользователь (User) — это субъект, взаимодействующий с сетевыми устройствами или системами, имеющий уникальные учетные данные для аутентификации и авторизации.

Типы пользователей в сетевой инфраструктуре

Понимание разных типов пользователей критично для правильного проектирования и управления сетевой безопасностью. Ниже представлены основные категории пользователей:

Локальные пользователи

Создаются непосредственно на сетевом устройстве (например, маршрутизаторе или коммутаторе).
Информация об имени пользователя и пароле хранится в конфигурации устройства.
Подходящий вариант для небольших сетей или как резерв при недоступности сервера аутентификации.
Примеры:
- admin: полный доступ
- guest: минимальные права, только просмотр

Плюсы:

Простота настройки
Автономность

Минусы:

Трудоемкость при управлении большим числом устройств
Отсутствие централизованного контроля

Удаленные пользователи

Аутентификация и авторизация производятся через внешние серверы (RADIUS, TACACS+, LDAP, Active Directory).
Пользовательские данные централизованы и хранятся на выделенном сервере.

Плюсы:

Централизованное управление
Логирование и аудит
Упрощение администрирования (например, можно отключить пользователя один раз на сервере, и он теряет доступ везде)

Минусы:

Зависимость от доступности внешнего сервера

Привилегированные пользователи (Administrators)

Имеют полный доступ к устройствам и инфраструктуре.
Могут:
- Настраивать устройства
- Управлять другими пользователями
- Обновлять прошивки, выполнять перезагрузку
Используются роли:
- Network Administrator
- Security Administrator

Риски:

Требуют дополнительной защиты: двухфакторная аутентификация, строгие пароли, аудит действий

Ограниченные пользователи (Operators, Viewers)

Доступен ограниченный набор команд или только права на просмотр.
Примеры:
- Техподдержка — просмотр логов и статуса портов
- Мониторинг — использование showкоманд без доступа к конфигурации

Уровни доступа могут быть настроены индивидуально:

Уровень 1 — базовые команды (ping, show version)
Уровень 5 — доступ к диагностике, без возможности изменять конфигурацию

Сервисные и технические пользователи

Учетные записи, используемые автоматизированными процессами или внешними системами (например, для резервного копирования или мониторинга).
Обычно имеют ограниченные права и используются по расписанию.

Примеры:

backup_user
snmp_monitor

Пользователи и уровни доступа на оборудовании Cisco

Общее представление

Сетевое оборудование Cisco использует ролевую модель доступа, основанную на уровнях привилегий. Это позволяет гибко контролировать, какие команды могут выполняться пользователем в зависимости от его уровня доступа.

Уровни привилегий Cisco

Cisco IOS предлагает 16 уровней привилегий: от 0 до 15.

Уровень 0 — минимальный доступ. Доступны команды: enable, disable, exit, logout, help.
Уровень 1 — пользовательский режим (User EXEC). Позволяет выполнять ограниченные команды мониторинга, например show или ping. Настройки изменять нельзя.
Уровни 2–14 — настраиваемые уровни. Администратор может выбрать, какие команды разрешены на этих уровнях.
Уровень 15 — привилегированный режим (Privileged EXEC). Полный доступ ко всем командам, включая конфигурацию.

Практические рекомендации

Используйте уровень 15 только для доверенных администраторов
Для мониторинга создавайте пользователей с уровнем 1–5
Документируйте права на каждом уровне
Используйте secret, а не password, для хранения паролей — это безопаснее

Аутентификация, авторизация и акаутинг (AAA)

Модель AAA (Authentication, Authorization, Accounting) — это основа управления доступом в корпоративных сетях.

Аутентификация (Authentication)

Аутентификация — процесс подтверждения личности пользователя. Основная задача — проверить, действительно ли тот, кто пытается получить доступ, является тем, за кого себя выдает.

Методы аутентификации:

Локальная аутентификация:
- Пара логин/пароль хранится в конфигурации устройства (например, username admin password 0 cisco).
Внешняя аутентификация:
- RADIUS — централизованная аутентификация, подходит для крупных организаций, передает учетные данные в зашифрованном виде, но команды авторизации и учет не отделяются.
- TACACS+ — разработан Cisco, шифрует весь пакет, включая авторизацию; используется для более гибкого управления доступом.
- LDAP/Active Directory — интеграция с корпоративными службами каталогов. LDAP используется чаще для сервисов, AD — в Windows-средах.

Формы аутентификации:

Простая (по логину/паролю)
Многофакторная (например, пароль + токен)

Авторизация (Authorization)

Авторизация — определяет, что разрешено делать пользователю после успешной аутентификации. Это может быть:

Доступ к определенным командам или уровням конфигурации
Ограничение доступа по времени
Применение ACL (Access Control List)

Примеры:

В Cisco IOS можно настроить уровни привилегий и привязать команды:

Router(config)# privilege exec level 7 show running-config
Router(config)# username operator privilege 7 password op123

В AAA:

Router(config)# aaa authorization exec default group radius local

Учет (Accounting)

Учет (Accounting) — ведение журналов активности пользователей:

Кто входил в систему
Когда и откуда
Какие команды были выполнены

Типы учета:

Start-Stop — логируется начало и завершение сессии
Command accounting — логируются отдельные команды

Зачем нужен акаутинг:

Аудит
Обнаружение подозрительной активности
Соответствие политике безопасности и стандартам (например, ISO/IEC 27001)

Пример настройки учета:

Router(config)# aaa accounting exec default start-stop group radius
Router(config)# aaa accounting commands 15 default start-stop group radius

Практика: настройка пользователей в Cisco Packet Tracer

Цель:

Показать, как настраивать локальных пользователей и уровни доступа на сетевом оборудовании Cisco с помощью команд CLI в Packet Tracer.

Настройка локального пользователя

Пример: Создание пользователя admin с паролем cisco123 и правами уровня 15 (полный доступ).

Router> enable
Router# configure terminal
Router(config)# username admin privilege 15 secret cisco123

username admin — имя пользователя
privilege 15 — максимальный уровень прав (администратор)
secret — зашифрованный пароль (в отличие от password, который хранится в открытом виде)

Настройка доступа по Telnet/SSH с использованием пользователей

Router(config)# line vty 0 4
Router(config-line)# login local
Router(config-line)# transport input telnet ssh

line vty 0 4 — настройки виртуальных линий доступа (удалённое подключение)
login local — использовать локальные учетные записи
transport input telnet ssh — разрешить доступ по Telnet и SSH

Настройка уровня привилегий и команд

Создание пользователя operator с уровнем доступа 7:

Router(config)# username operator privilege 7 secret op123

Назначим определенные команды уровню 7:

Router(config)# privilege exec level 7 show running-config
Router(config)# privilege exec level 7 show ip interface brief

Теперь operator сможет выполнять только эти команды.

Ограничение доступа на уровень привилегий

По умолчанию:

Router(config)# enable secret cisco

Для уровней ниже 15:

Router(config)# enable password level 7 pass7

Запрет или ограничение доступа к командам

Чтобы запретить определённые команды для пользователей с привилегированным уровнем доступа (например, 7), просто не добавляйте их в доступный набор. По умолчанию пользователь не сможет использовать команды, не включённые на его уровне.

Удаление команды из уровня:

Если вы хотите убрать ранее добавленную команду:

Router(config)# no privilege exec level 7 show running-config

Назначение команды более высокому уровню: Чтобы сохранить конфиденциальные команды только для администраторов:

Router(config)# privilege exec level 15 configure terminal

Проверка уровня текущей команды: Можно использовать справочные материалы Cisco или протестировать от имени пользователя с нужным уровнем.

Проверка текущего уровня привилегий

Router# show privilege

Совет: Для наглядности можно подключиться к маршрутизатору через два окна Telnet:

С пользователем admin — полный доступ
С пользователем operator — ограниченный доступ

AAA с использованием RADIUS

Что такое RADIUS?

RADIUS (Remote Authentication Dial-In User Service) — это сетевой протокол, обеспечивающий централизованную аутентификацию, авторизацию и учет (AAA) пользователей, подключающихся к сети.

Аутентификация: проверка подлинности пользователя (например, логин/пароль)
Авторизация: определение прав пользователя
Учет (Accounting): запись информации о действиях пользователя

Сценарий

Сетевое устройство (например, маршрутизатор) передает учетные данные пользователя на RADIUS-сервер. Сервер проверяет их и возвращает разрешение или запрет доступа.

Настройка AAA и RADIUS на Cisco

Шаг 1: Включение AAA

Router(config)# aaa new-model

Шаг 2: Указание сервера RADIUS

Router(config)# radius-server host 192.168.1.100 key radiuskey123

192.168.1.100 — IP-адрес RADIUS-сервера
key — секретный ключ, который должен совпадать с ключом на сервере

Шаг 3: Создание AAA-группы

Router(config)# aaa group server radius MYRADIUS
Router(config-sg-radius)# server 192.168.1.100

Шаг 4: Настройка метода аутентификации

Router(config)# aaa authentication login default group radius local

Сначала используется RADIUS, затем — локальные учетные записи, если RADIUS недоступен

Шаг 5: Применение к линиям VTY

Router(config)# line vty 0 4
Router(config-line)# login authentication default

Теперь при подключении к маршрутизатору (например, по Telnet или SSH) пользователь должен будет пройти проверку на RADIUS-сервере.

Настройка RADIUS-сервера в Packet Tracer

В Packet Tracer можно использовать встроенный сервер:

Перетащите устройство Server на поле
Включите его, откройте вкладку Config
В разделе RADIUS включите сервер и создайте пользователей:
- Имя: testuser
- Пароль: testpass
- Ключ: radiuskey123

Теперь маршрутизатор сможет отправлять данные на этот сервер.

Мониторинг и аудит

Зачем нужен аудит пользователей?

Аудит позволяет отслеживать, кто, когда и что делал на сетевом оборудовании. Это важно для:

расследования инцидентов;
соответствия требованиям безопасности;
выявления несанкционированной активности.

Инструменты мониторинга

Syslog — отправка логов с маршрутизатора или коммутатора на централизованный сервер логирования.
SNMP — мониторинг активности устройств и пользователей в реальном времени.
AAA accounting — ведение журналов активности пользователей при использовании RADIUS/TACACS+.

Настройка Syslog на Cisco:

Router(config)# logging 192.168.1.200
Router(config)# logging trap informational

Настройка AAA Accounting:

Router(config)# aaa accounting exec default start-stop group radius

Безопасность пользовательских аккаунтов

Принципы безопасного управления пользователями:

Принцип наименьших привилегий
Регулярная смена паролей
Использование команд secret, а не password
Ограничение доступа по IP или интерфейсам

Пример ограничения доступа по IP:

Router(config)# access-list 10 permit 192.168.1.0 0.0.0.255
Router(config)# line vty 0 4
Router(config-line)# access-class 10 in

Блокировка доступа после неудачных попыток

Router(config)# login block-for 30 attempts 3 within 60

Управление сессиями пользователей

Настройка времени ожидания

Автоматический выход из сессии после бездействия:

Router(config-line)# exec-timeout 5 0

(5 минут, 0 секунд)

Ограничение одновременных сессий

Можно ограничить количество подключений:

Router(config)# line vty 0 2

(разрешено максимум 3 одновременных подключения)

Прерывание активной сессии вручную:

Router# clear line vty 2

Итог: Мониторинг, безопасное хранение данных и управление пользовательскими сессиями — важные составляющие политики управления пользователями в корпоративной сети. Правильная настройка и аудит позволяют обеспечить контроль, безопасность и соответствие требованиям.

Проверка

Подключитесь к маршрутизатору через Telnet
Введите имя пользователя и пароль, настроенные на RADIUS
Убедитесь, что вы получили доступ в соответствии с правами пользователя

Итог: Использование RADIUS позволяет централизованно управлять пользователями и их доступом, что критически важно для корпоративной инфраструктуры.