Подготовка к работе ИС «ЭФРОС-PIX»

Содержание

Слайд 2

Подготовка к работе ИС «ЭФРОС-PIX»

Формирование базы данных команд Cisco Pix

База данных команд

Подготовка к работе ИС «ЭФРОС-PIX» Формирование базы данных команд Cisco Pix База
Cisco Pix в ИС «ЭФРОС-PIX» реализована в виде совокупности файлов, содержащих варианты цепочек команд режима интерпретатора команд ОС Cisco Pix с указанием номера уровня привилегий команды.
Имя файла в БД совпадает с именем режима интерпретатора команд ОС Cisco Pix.

Слайд 3

Подготовка к работе ИС «ЭФРОС-PIX»

Формирование базы данных команд Cisco Pix

Пример записей файла

Подготовка к работе ИС «ЭФРОС-PIX» Формирование базы данных команд Cisco Pix Пример
режима aaa-user БД ИС «ЭФРОС-PIX»:
1 exit
15 group-lock none
15 group-lock value WORD
15 password-storage disable
15 password-storage enable
15 vpn-access-hours none
15 vpn-access-hours value WORD
15 vpn-filter none
15 vpn-filter value WORD
15 vpn-framed-ip-address A.B.C.D A.B.C.D
15 vpn-group-policy WORD
15 vpn-idle-timeout <1-35791394>
15 vpn-idle-timeout none
15 vpn-session-timeout <1-35791394>
15 vpn-session-timeout none
15 vpn-simultaneous-logins <0-2147483647>
15 vpn-tunnel-protocol

Слайд 4

Подготовка к работе ИС «ЭФРОС-PIX»

Формирование базы данных команд Cisco Pix

База данных хранится

Подготовка к работе ИС «ЭФРОС-PIX» Формирование базы данных команд Cisco Pix База
в файлах Routers\<Имя МСЭ>\Modes и Routers\<ИмяМСЭ>\Comments. Первоначально в ИС «ЭФРОС-PIX» входит демонстрационная база, которая размещается в файлах
Routers\Demo\Modes и Routers\Demo\Comments
Содержимое файлов, в основном, совпадает, различие в форматах записей файлов — в файлах Comments хранятся цепочки команд вместе комментариями, которые формирует справочная служба Cisco Pix. Они же используются в справочной подсистеме ИС «ЭФРОС-PIX».
Для создания базы данных команд Cisco Pix для ИС «ЭФРОС-PIX» необходимо выполнить следующие действия:
1. В каталоге Routers создать файлы \<Имя МСЭ>\Modes и <Имя МСЭ>\Comments.
2. Сформировать файлы режимов команд Cisco Pix.
3. Поместить файлы в Routers\<Имя МСЭ>\Modes и <Имя МСЭ>\Comments.
Формирование файлов режимов команд Cisco Pix осуществляется с использованием сканера команд «ЭФРОС-сканер», входящего в состав комплекса.

Слайд 5

Подготовка к работе ИС «ЭФРОС-PIX»

Формирование файлов настроек

Перед запуском ИС «ЭФРОС-PIX» необходимо сформировать

Подготовка к работе ИС «ЭФРОС-PIX» Формирование файлов настроек Перед запуском ИС «ЭФРОС-PIX»
файлы настроек и поместить их в каталог Routers\<Имя МСЭ>
Сформировать список режимов команд ОС Cisco Pix и установленных для них уровней привилегий по умолчанию — файл настроек ParserModes.ini . Для формирования файла необходимо на МСЭ выполнить команду Show rumming-config all privilege all и результаты ее поместить в файл ParserModes.ini

Слайд 6

Анализ состава и уровней привилегий команд Cisco Pix

При анализе состава команд и

Анализ состава и уровней привилегий команд Cisco Pix При анализе состава команд
уровней их привилегий по умолчанию в Cisco Pix необходимо выполнить следующие шаги:
создание новой сессии в режиме анализа;
формирование отчета по результатам анализа;
корректировка (при необходимости) базы данных команд, полученной с использованием сканера команд.

Слайд 7

Анализ состава и уровней привилегий команд Cisco Pix

Создание новой сессии в режиме

Анализ состава и уровней привилегий команд Cisco Pix Создание новой сессии в
анализа

После открытия сессии в основном окне будет активизирована панель уровней привилегий команд.

Слайд 8

Анализ состава и уровней привилегий команд Cisco Pix

Создание новой сессии в режиме

Анализ состава и уровней привилегий команд Cisco Pix Создание новой сессии в
анализа

На панели отражаются уровни привилегий команд режимов, заданные по умолчанию в Cisco Pix (столбец УП (по умолчанию)), которые формируются из файла ParserMode.ini и уровни привилегий команд, полученные с использованием сканера команд (столбец УП (сканирование)).

красные: одноименные команды имеют разный уровень привилегий

синие: команды присутствуют в файле ParserMode.ini, но недоступны в справочной подсистеме МСЭ Cisco Pix, т.е. не обнаружены сканером команд и отсутствуют в базе данных;

зеленые: уровни привилегий одноименных команд совпадают.

Слайд 9

Анализ состава и уровней привилегий команд Cisco Pix

Создание отчета

Перед согласованием может быть

Анализ состава и уровней привилегий команд Cisco Pix Создание отчета Перед согласованием
сформирован отчет (команда меню Генерация отчета), в котором будут представлены результаты соответствия или несоответствия между контролируемыми составом и уровнями привилегий команд. Пример сгенерированного отчета приведен ниже. В отчет включены разделы:
список команд, уровни привилегий которых идентичны;
список команд, уровни привилегий которых различны;
список недоступных на МСЭ команд, т.е. команд, для которых по умолчанию назначены уровни привилегий, но команды отсутствуют в справочной подсистеме Cisco Pix;
список отсутствующих команд: команды присутствуют в справочной подсистеме, но для них явно нет назначения уровней привилегий.

Слайд 10

Анализ состава и уровней привилегий команд Cisco Pix

Создание новой сессии в режиме

Анализ состава и уровней привилегий команд Cisco Pix Создание новой сессии в
анализа

С помощью кнопки Согласовать УП (сканирование) можно выполнить согласование составов команд, режимов и их уровней привилегий. Причины рассогласования могут быть различными: некорректная работа справочной подсистемы МСЭ Cisco Pix при отображении команд и их уровней привилегий, либо некорректное (неполное) сканирование МСЭ с помощью сканера команд. При выборе для согласования красных строк изменяется уровень привилегий в базе данных, а при выборе синих — в базу данных добавляются отсутствующие в ней команды.

Слайд 11

Создание файла конфигурации для МСЭ Cisco Pix

При создании файла конфигурации для разграничения

Создание файла конфигурации для МСЭ Cisco Pix При создании файла конфигурации для
доступа к командам МСЭ Cisco Pix требуется выполнить следующую последовательность шагов:
создание новой (открытие существующей) сессии в режиме редактирования;
обработка команд (перенос с одного уровня привилегий на другой) режима exec;
обработка подчиненных режимов;
создание файла конфигурации.

Слайд 12

Для создания новой сессии необходимо выбрать тип используемого МСЭ из списка, в

Для создания новой сессии необходимо выбрать тип используемого МСЭ из списка, в
котором обязательно есть тип, используемый по умолчанию (Demo-Pix). Только после этого можно приступать к созданию новой сессии или использовать существующую. В зависимости от выбранного типа МСЭ список ранее созданных сессий будет различным, т.к. каждая сессия обязательно сопоставляется с определенным типом МСЭ.

Создание файла конфигурации для МСЭ Cisco Pix

Создание новой сессии в режиме редактирования

Слайд 13

После открытия сессии в основном окне будет активизирована панель уровней привилегий команд

После открытия сессии в основном окне будет активизирована панель уровней привилегий команд
режима редактирования.
Структура панели аналогична панели режима анализа. Но теперь здесь отображаются текущий уровень привилегий команд режимов в рамках сессии и новый, тот, который им будет назначен. Первоначально для согласованных представлений во время анализа они будут
совпадать.

Создание файла конфигурации для МСЭ Cisco Pix

Создание новой сессии в режиме редактирования

Слайд 14

Изменять уровни привилегий команд можно либо непосредственно на данной панели в столбце

Изменять уровни привилегий команд можно либо непосредственно на данной панели в столбце
УП(новый)

Создание файла конфигурации для МСЭ Cisco Pix

Создание новой сессии в режиме редактирования

Слайд 15

либо в окне документа графического представления структуры команд. Данные панели синхронизированы.

Создание файла

либо в окне документа графического представления структуры команд. Данные панели синхронизированы. Создание
конфигурации для МСЭ Cisco Pix

Создание новой сессии в режиме редактирования

Слайд 16

либо в окне документа графического представления структуры команд. Данные панели синхронизированы.

Создание файла

либо в окне документа графического представления структуры команд. Данные панели синхронизированы. Создание
конфигурации для МСЭ Cisco Pix

Создание новой сессии в режиме редактирования

Слайд 17

После завершения редактирования уровней привилегий необходимо нажать кнопку Согласовать текущий УП, результатом

После завершения редактирования уровней привилегий необходимо нажать кнопку Согласовать текущий УП, результатом
будет внесение изменений в файл ParserModes.ini и сохранение в каталоге сессии, т.е. в следующем сеансе работы при открытии сессии новые
уровни привилегий станут текущими.

Создание файла конфигурации для МСЭ Cisco Pix

Создание новой сессии в режиме редактирования

Слайд 18

Создание файла конфигурации для МСЭ Cisco Pix

Обработка команд режима (на примере режима

Создание файла конфигурации для МСЭ Cisco Pix Обработка команд режима (на примере
exec)

По двойному щелчку левой кнопкой мыши на режиме «exec» в окне панели режимов (или в любой строке режима exec на панели уровней привилегий команд) открывается окно документов режима exec с заданными уровнями привилегий для этого режима.

Слайд 19

Создание файла конфигурации для МСЭ Cisco Pix

Обработка команд режима (на примере режима

Создание файла конфигурации для МСЭ Cisco Pix Обработка команд режима (на примере
exec)

По щелчку правой кнопкой мыши на любой команде в окне команд появляется контекстное меню. Используя команды этого меню можно выбирать ветвь, уровень или групповое выделение и перемещать их на другие уровни привилегий.

При выборе группового выделения открывается окно, где при нажатии кнопки «Выбрать все» будут отмечены все команды, представленные в окне. Для выбора отдельных команд необходимо нажать и удерживать кнопку «Ctrl» и левой кнопкой мыши выбрать необходимые команды. После выбора команд необходимо нажать кнопку «ОК». Выбранные команды будут помещены в буфер.

Слайд 20

Создание файла конфигурации для МСЭ Cisco Pix

Обработка команд режима (на примере режима

Создание файла конфигурации для МСЭ Cisco Pix Обработка команд режима (на примере
exec)

Создание нового уровня привелегий

Слайд 21

Создание файла конфигурации для МСЭ Cisco Pix

Обработка команд режима (на примере режима

Создание файла конфигурации для МСЭ Cisco Pix Обработка команд режима (на примере
exec)

Перенос выделенных команд на 14 уровень

Слайд 22

Создание файла конфигурации для МСЭ Cisco Pix

Обработка команд режима (на примере режима

Создание файла конфигурации для МСЭ Cisco Pix Обработка команд режима (на примере
exec)

После завершения изменения уровней привилегий необходимых команд требуется «отработать режим», установив галочку напротив его имени в окне обрабатываемых режимов. После этого режим становится «отработанным».

Если при изменении уровней привилегий были задействованы команды, которые переводят интерпретатор команд Cisco Pix в другой режим, после отработки режима появится окно «Неотработанные режимы». Здесь нужно установить галочки напротив тех режимов, которые требуют дальнейшей обработки.
Обработка подчиненных режимов осуществляется точно таким же образом, как и обработка режима «exec». Все «неотработанные режимы» подсвечены желтым цветом в окнедерева режимов.

Слайд 23

Создание файла конфигурации для МСЭ Cisco Pix

Создание файла конфигурации

Создание файла конфигурации для МСЭ Cisco Pix Создание файла конфигурации

Слайд 24

Создание файла конфигурации для сервера TACACS+

Вызов модуля генерации

Установка количества операндов команды при

Создание файла конфигурации для сервера TACACS+ Вызов модуля генерации Установка количества операндов
авторизации позволяет ограничить список операндов всех команд до требуемого значения, в том числе и до нуля, т.е. отсутствия операндов, а также до максимума, т.е. присутствия всех возможных операндов.

Выбор уровня привилегий команд позволяет просматривать возможные уровни привилегий, а также устанавливать политику разграничения доступа к командам и основной метод авторизации команд для каждого уровня привилегий.

Установка политики разграничения доступа (разрешительная или запретительная) и выбор основного метода авторизации команд (TACACS+ или Другой) выполняются для каждого уровня привилегий команд. При выборе уровня его номер отображается в двух нижележащих заголовках

Основной метод авторизации команд определенного уровня привилегий указывает на то, будут ли команды (и их операнды) нижележащих уровней добавляться в данный результирующий файл конфигурации при его создании. То есть, если для некоторого уровня привилегий был установлен основной метод авторизации команд — «TACACS+», то в этом уровне будут гарантированно присутствовать все команды нижележащих уровней со своими наборами операндов.

Имя файла: Подготовка-к-работе-ИС-«ЭФРОС-PIX».pptx
Количество просмотров: 111
Количество скачиваний: 0