Подготовка к работе ИС «ЭФРОС-PIX»

Cisco Pix в ИС «ЭФРОС-PIX» реализована в виде совокупности файлов, содержащих варианты цепочек команд режима интерпретатора команд ОС Cisco Pix с указанием номера уровня привилегий команды.
Имя файла в БД совпадает с именем режима интерпретатора команд ОС Cisco Pix.

режима aaa-user БД ИС «ЭФРОС-PIX»:
1 exit
15 group-lock none
15 group-lock value WORD
15 password-storage disable
15 password-storage enable
15 vpn-access-hours none
15 vpn-access-hours value WORD
15 vpn-filter none
15 vpn-filter value WORD
15 vpn-framed-ip-address A.B.C.D A.B.C.D
15 vpn-group-policy WORD
15 vpn-idle-timeout <1-35791394>
15 vpn-idle-timeout none
15 vpn-session-timeout <1-35791394>
15 vpn-session-timeout none
15 vpn-simultaneous-logins <0-2147483647>
15 vpn-tunnel-protocol

в файлах Routers\<Имя МСЭ>\Modes и Routers\<ИмяМСЭ>\Comments. Первоначально в ИС «ЭФРОС-PIX» входит демонстрационная база, которая размещается в файлах
Routers\Demo\Modes и Routers\Demo\Comments
Содержимое файлов, в основном, совпадает, различие в форматах записей файлов — в файлах Comments хранятся цепочки команд вместе комментариями, которые формирует справочная служба Cisco Pix. Они же используются в справочной подсистеме ИС «ЭФРОС-PIX».
Для создания базы данных команд Cisco Pix для ИС «ЭФРОС-PIX» необходимо выполнить следующие действия:
1. В каталоге Routers создать файлы \<Имя МСЭ>\Modes и <Имя МСЭ>\Comments.
2. Сформировать файлы режимов команд Cisco Pix.
3. Поместить файлы в Routers\<Имя МСЭ>\Modes и <Имя МСЭ>\Comments.
Формирование файлов режимов команд Cisco Pix осуществляется с использованием сканера команд «ЭФРОС-сканер», входящего в состав комплекса.

файлы настроек и поместить их в каталог Routers\<Имя МСЭ>
Сформировать список режимов команд ОС Cisco Pix и установленных для них уровней привилегий по умолчанию — файл настроек ParserModes.ini . Для формирования файла необходимо на МСЭ выполнить команду Show rumming-config all privilege all и результаты ее поместить в файл ParserModes.ini

уровней их привилегий по умолчанию в Cisco Pix необходимо выполнить следующие шаги:
создание новой сессии в режиме анализа;
формирование отчета по результатам анализа;
корректировка (при необходимости) базы данных команд, полученной с использованием сканера команд.

анализа

После открытия сессии в основном окне будет активизирована панель уровней привилегий команд.

анализа

На панели отражаются уровни привилегий команд режимов, заданные по умолчанию в Cisco Pix (столбец УП (по умолчанию)), которые формируются из файла ParserMode.ini и уровни привилегий команд, полученные с использованием сканера команд (столбец УП (сканирование)).

красные: одноименные команды имеют разный уровень привилегий

синие: команды присутствуют в файле ParserMode.ini, но недоступны в справочной подсистеме МСЭ Cisco Pix, т.е. не обнаружены сканером команд и отсутствуют в базе данных;

зеленые: уровни привилегий одноименных команд совпадают.

сформирован отчет (команда меню Генерация отчета), в котором будут представлены результаты соответствия или несоответствия между контролируемыми составом и уровнями привилегий команд. Пример сгенерированного отчета приведен ниже. В отчет включены разделы:
список команд, уровни привилегий которых идентичны;
список команд, уровни привилегий которых различны;
список недоступных на МСЭ команд, т.е. команд, для которых по умолчанию назначены уровни привилегий, но команды отсутствуют в справочной подсистеме Cisco Pix;
список отсутствующих команд: команды присутствуют в справочной подсистеме, но для них явно нет назначения уровней привилегий.

анализа

С помощью кнопки Согласовать УП (сканирование) можно выполнить согласование составов команд, режимов и их уровней привилегий. Причины рассогласования могут быть различными: некорректная работа справочной подсистемы МСЭ Cisco Pix при отображении команд и их уровней привилегий, либо некорректное (неполное) сканирование МСЭ с помощью сканера команд. При выборе для согласования красных строк изменяется уровень привилегий в базе данных, а при выборе синих — в базу данных добавляются отсутствующие в ней команды.

доступа к командам МСЭ Cisco Pix требуется выполнить следующую последовательность шагов:
создание новой (открытие существующей) сессии в режиме редактирования;
обработка команд (перенос с одного уровня привилегий на другой) режима exec;
обработка подчиненных режимов;
создание файла конфигурации.

котором обязательно есть тип, используемый по умолчанию (Demo-Pix). Только после этого можно приступать к созданию новой сессии или использовать существующую. В зависимости от выбранного типа МСЭ список ранее созданных сессий будет различным, т.к. каждая сессия обязательно сопоставляется с определенным типом МСЭ.

Создание файла конфигурации для МСЭ Cisco Pix

Создание новой сессии в режиме редактирования

режима редактирования.
Структура панели аналогична панели режима анализа. Но теперь здесь отображаются текущий уровень привилегий команд режимов в рамках сессии и новый, тот, который им будет назначен. Первоначально для согласованных представлений во время анализа они будут
совпадать.

Создание файла конфигурации для МСЭ Cisco Pix

Создание новой сессии в режиме редактирования

УП(новый)

Создание файла конфигурации для МСЭ Cisco Pix

Создание новой сессии в режиме редактирования

конфигурации для МСЭ Cisco Pix

Создание новой сессии в режиме редактирования

конфигурации для МСЭ Cisco Pix

Создание новой сессии в режиме редактирования

будет внесение изменений в файл ParserModes.ini и сохранение в каталоге сессии, т.е. в следующем сеансе работы при открытии сессии новые
уровни привилегий станут текущими.

Создание файла конфигурации для МСЭ Cisco Pix

Создание новой сессии в режиме редактирования

exec)

По двойному щелчку левой кнопкой мыши на режиме «exec» в окне панели режимов (или в любой строке режима exec на панели уровней привилегий команд) открывается окно документов режима exec с заданными уровнями привилегий для этого режима.

exec)

По щелчку правой кнопкой мыши на любой команде в окне команд появляется контекстное меню. Используя команды этого меню можно выбирать ветвь, уровень или групповое выделение и перемещать их на другие уровни привилегий.

При выборе группового выделения открывается окно, где при нажатии кнопки «Выбрать все» будут отмечены все команды, представленные в окне. Для выбора отдельных команд необходимо нажать и удерживать кнопку «Ctrl» и левой кнопкой мыши выбрать необходимые команды. После выбора команд необходимо нажать кнопку «ОК». Выбранные команды будут помещены в буфер.

exec)

Создание нового уровня привелегий

exec)

Перенос выделенных команд на 14 уровень

exec)

После завершения изменения уровней привилегий необходимых команд требуется «отработать режим», установив галочку напротив его имени в окне обрабатываемых режимов. После этого режим становится «отработанным».

Если при изменении уровней привилегий были задействованы команды, которые переводят интерпретатор команд Cisco Pix в другой режим, после отработки режима появится окно «Неотработанные режимы». Здесь нужно установить галочки напротив тех режимов, которые требуют дальнейшей обработки.
Обработка подчиненных режимов осуществляется точно таким же образом, как и обработка режима «exec». Все «неотработанные режимы» подсвечены желтым цветом в окнедерева режимов.

авторизации позволяет ограничить список операндов всех команд до требуемого значения, в том числе и до нуля, т.е. отсутствия операндов, а также до максимума, т.е. присутствия всех возможных операндов.

Выбор уровня привилегий команд позволяет просматривать возможные уровни привилегий, а также устанавливать политику разграничения доступа к командам и основной метод авторизации команд для каждого уровня привилегий.

Установка политики разграничения доступа (разрешительная или запретительная) и выбор основного метода авторизации команд (TACACS+ или Другой) выполняются для каждого уровня привилегий команд. При выборе уровня его номер отображается в двух нижележащих заголовках

Основной метод авторизации команд определенного уровня привилегий указывает на то, будут ли команды (и их операнды) нижележащих уровней добавляться в данный результирующий файл конфигурации при его создании. То есть, если для некоторого уровня привилегий был установлен основной метод авторизации команд — «TACACS+», то в этом уровне будут гарантированно присутствовать все команды нижележащих уровней со своими наборами операндов.