محمد نصیری
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

تفاوت User Exec و Privileged Exec در چیست؟ سطوح دسترسی IOS سیسکو

آیا میدانستید که سیسکو برای دسترسی به دستورات مربوط به تجهیزات خود از قبیل روتر و سویچ و غیره 16 سطح دسترسی مختلف برای اجرای دستورات دارد؟ بسیاری از مدیران شبکه که با تجهیزات سیسکو کار میکنند به این سطوح دسترسی اهمیت نمیدهند و یا حتی از وجود چنین سطوح دسترسی در این تجهیزات بی اطلاع هستند . در تجهیزات سیسکو با داشتن سطج دسترسی بالاتر میتوانید قدرت مانور بیشتری با دستورات داشته و تنظیمات پیشرفته تر و با دسترسی بالاتری را انجام دهید. ولی اکثر کاربرانی که با تجهیزات سیسکو کار میکنند فقط 2 با 2 سطج دسترسی آشنایی دارند :

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
  • حالت USER EXEC که سطج دسترسی سطح 1 است
  • حالت PRIVILEGED EXEC که سطح دسترسی سطح 15 است

وقتی شما به یک روتر با تنظیمات پیش فرض login میکنید در حالت USER EXEC یا سطح دسترسی 1 قرار خواهید گرفت.در این حالت شما به برخی از اطلاعات وضعیت روتر مانند interface ها و routing table دسترسی خواهید داشت ولی نمی توانید هیچ تغییری در تنظیمات روتر انجام داده یا حتی فایل اجرایی تنظیمات ( running configuration file را مشاهده کنید. به همین دلیل اکثر کاربران روترها به محض ورود به روتر با استفاده از دستور enable از حالت USER EXEC خارج می شود. این دستور پس از اجرا شما را در سطح دسترسی 15 یا PRIVILEGED EXEC قرار خواهد داد. وقتی وارد این سطح از دسترسی شوید همانند این است که در UNIX به سطح دسترسی root و در ویندوز به سطح دسترسی Administrator دست یافته اید یا با کلامی دیگر شما در حال حاضر می توانید هر کاری با روتر انجام دهید و مدیر آن خواهید بود.

برای شبکه های کوچک و متوسط تقریبا تمامی کاربران روترها دسترسی مدیریتی در سطح 15 یا PRIVILEGED EXEC‌ را دارند ، بحث سطوح دسترسی زمانی مطرح خواهد شد که سازمان یا شرکت رشد کرده و گسترش پیدا میکند که در آن زمان بحث سطوح دسترسی اهمیت خواهد یافت.مثلا زمانی پیش خواهد آمد که شما مدیر با دسترسی کامل به روتر هستید و میخواهید شخصی به عنوان Help-desk در کنار شما فعالیت داشته باشد و این شخص سطح دسترسی به روتر را به اندازه ای داشته باشد که صرفا تنظیمات روتر را مشاهده کرده و بتواند بعضی از interface‌ها را reset کند.

در اینجا خواهد بود که این شخص نیاز به دسترسی به روتر در سطحی بین 1 و 15 خواهد داشت ، همیشه مسئله least privilege را رعایت کنید ، یعنی هر کس به اندازه ای می بایست به منایع دسترسی داشته باشد که قرار است دسترسی داشته باشد ، نه کمتر و نه بیشتر ، برای مثال اگر کسی قرار است در روتر فقط route اضافه کند و route‌ های خود را ویرایش کنید نباید بتواند سایر route ها را حذف کند.

برای اعملی سطوح دسترسی برای IOS روتر ها روش های بسیاری وجود دارد که همه آنها در یک مقاله کوچک قرار نمیگیرد ، بنابراین صرفا چند دستور مقدماتی برای اعمال سطوح دسترسی را به شما آموزش خواهم داد :

    • دستور show privilege : این دستور سطح دسترسی حال حاضر کاربر را نشان می دهد به شکل زیر :
itprouter# show privilegeCurrent privilege level is 3
    • دستور enable : برای ورود به سطح دسترسی 15 یا PRIVILEGED EXEC استفاده میشود به شکل زیر :
itprouter# show privilege Current privilege level is 3
itprouter# enable
itprouter> show privilegeCurrent privilege level is 15
    • دستور user :ضمن اینکه این دستور برای انجام تنظیمات کاربر استفاده می شود همزمان می توان برای IOS سطح دسترسی کاربر را نیز تعریف کرد :
itprouter(config)# username test password test privilege 3
    • دستور privilege : این دستور می تواند تعیین کند که یک دستور خاص با سطح دسترسی مشخصی اجرا شود به شکل زیر‌:
itprouter(config)# enable secret level 5 level5pass
    • دستور enable secret : این دستور بصورت پیش فرض برای دسترسی به سطح 15 استفاده می شود ولی میتوان با همین دستور سطوح دسترسی سایر سطوح را نیز تعیین کرد.به مثال زیر توجه کنید ، فرض کنید می خواهید کاربر پشتیبانی با نام support ایجاد کنید که بتواند به روتر وارد شده و log های روتر و همچنین فایل تنظیمات بوت روتر ( stratup configuration) را مشاهده کند مانند تمام کارهایی که یک کاربر در سطح دسترسی 1 میتواند انجام دهد ، این کار تقریبا شبیه دستوراتی خواهد بود که در زیر مشاهده می کنید :
itprouter(config)# user support privilege 3 password support
itprouter(config)# privilege exec level 3 show startup-config
  • این نکته رو در نظر داشته باشید که دستور enablesercret تا زمانی که شما بخواهید کاربر وارد شده در سطح1 دسترسی به دستورات سطح 3 دسترسی دسترسی پیدا کند پس از ورود نیاز نخواهد بود . در مثال بالا کاربر تعریف شده با نام support خود در سطح 3 دسترسی قرار دارد پس نیازی به استفاده از enablesecret نخواهد بود.نکته بعد در این است که در تنظیمات بالا پیش فرض در نظر گرفته شده است که برای دسترسی به روتر شما رمز عبور و نام کاربری بر روی line ها تعیین شده است .

برای یادگیری درست این موضوع شما باید با مفاهیم آموزش شبکه ای که در دوره آموزش نتورک پلاس به شما آموزش داده می شود به خوبی آشنا باشید و در عین حال در دوره آموزش CCNA سیسکو این موارد به خوبی به شما آموزش داده می شود.


محمد نصیری
محمد نصیری

بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

محمد نصیری هستم ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 50 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم و مقیم کشور ترکیه هستم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.

نظرات