На главную
  Москва 787-48-84
  С-Петербург 718-55-05
  Новосибирск 218-41-03
  Екатеринбург 378-70-50


Забыли пароль
Регистрация

Наши вендоры
3COM
Axis Communications
Allied Telesis
Belden
CISCO
DIGI International
D-link
EADS
Enterasys
Inelt
H3C
Lexmark
Linksys
Maxilan
MK
Molex PN
Netgear
Nortel (Data)
Nortel (Voice)
OKI
Rittal
SCO Group
TRENDnet
VIVOTEK
ZyXEL
 
 
  Новости   О компании   Для партнеров   Поддержка   Контакты   Поиск

Безопасный удаленный доступ к консолям оборудования. Часть 2.


Часть 1   Часть 2   Часть 3

К быстро обнаруженным неприятным особенностям можно отнести очень большое время установки SSH -соединения (хотя после соединения сессия не тормозит), а также требование выделять для обращения к каждому консольному порту уникальный IP -адрес. Хотя, для подсоединения к консоли можно было использовать и основной IP -адрес устройства. Также, показалось неудобным ограничение на длину имени пользователя – не менее пяти знаков. С настройкой остальных параметров пользователя все оказалось просто здорово: предусмотрены 4 предопределенных группы пользователей - User , Port Admin, System Admin, Root и 4 варианта их доступа к устройству – Web Interface, Port Access Menu, Direct Port Access, Custom Menu. Доступ к настройке параметров Digi CM , также, возможен тремя путями: через Web Interface, Configuration menu и интерфейс командной строки – CLI .

Надо заметить, что только Root User может использовать CLI для полного доступа к встроенной операционной системе Linux Hard Hat. System Admin может использовать CLI только для чтения, но не ввода команд. Port Admin , System Admin и Root могут производить настройку параметров консолей, как в Web Interface, так и в Configuration menu. Группа User не имеют ни каких возможностей вносить изменения в действующие настройки. В дополнение к авторизации с помощью паролей (поддерживаются локальная авторизация либо сетевая: TACACS +, RADIUS, LDAP, Kerberos ), можно настроить авторизацию по public key:

При этом авторизацию на доступ к портам и к Port menu можно настроить независимо от авторизации на доступ к устройству:

К числу недостатков, обнаруженных позднее, можно отнести отсутствие опции timezone, без которой использование NTP выглядело проблематично из-за перехода на зимнее/летнее время. Так же, к явным багам можно отнести наличие права у пользователей группы Port Admin на reboot устройства. Более того, в процессе эксплуатации была обнаружена несколько забавная ситуация: через некоторое время устройство поднимало на 80-м порту вместо Web -сервера сервер SSH . Вообще, перечень замечаний оказался достаточно длинным: невозможность установить на порту ACL с netmask менее чем на 256 адресов, нестабильное соединение с консолью сервера через меню и т. д. В конечном итоге список, возникших у нас вопросов и пожеланий, был отправлен в службу технической поддержки Digi Int. Через некоторое время был получен ответ, что они учтут наши пожелания в следующих версиях. А еще через некоторое время вышла новая версия прошивки для Digi CM, в которой наиболее неприятные проблемы уже отсутствовали.

После установки новой версии устройство стало работать стабильно, были поправлены некоторые неприятные особенности, например, выделение IP -адреса для доступа к порту стало опциональным, минимальная длина имени пользователя была сокращена до 3 знаков, кроме того, появилось множество удобных нововведений.

Дальнейшие эксперименты проводились с новой версией ПО. Теперь Web -интерфейс не предусматривает возможность установки ACL для доступа только из одной сети. В одном из писем служба поддержки сообщалось, что Digi Int. не считает необходимой реализацию возможностей создания ACL из нескольких строк в web -интерфейсе. Вместо этого они рекомендовали настроить ACL из CLI, используя обычный синтаксис ipf, на базе которого, собственно, все и построено.

Как уже было отмечено выше, на время тестирование было принято принципиальное решение не использовать CLI, чтобы установить, чего можно добиться, не проводя специального обучения сотрудников. А поскольку рабочие станции специалистов и администраторов серверной зоны находятся в разных сетях, было решено разделить доступ по управлению устройством по портам: специалисты настраивают Digi СМ через Web-интерфейс, а администраторы серверной зоны заносят данные по подключенному оборудованию через консольное меню.

Часть 1   Часть 2   Часть 3

Загрузить всю статью в формате MS-Word можно здесь.