Защита доступа по консольному порту.
В начальный момент времени (по умолчанию) доступ к маршрутизатору по консольному порту открыт, и мы сразу попадаем в пользовательский режим. Для обеспечения защиты доступа по консольному порту в подрежиме конфигурации этого порта устанавливается пароль.
Защита доступа по порту AUX.
Через порт удаленного доступа (AUX) обеспечивается модемное подключение, но при необходимости его можно использовать вместо консольного порта. По умолчанию, доступ к маршрутизатору по порту AUX открыт. Для обеспечения защиты доступа по этому порту в подрежиме конфигурации порта (aux 0) устанавливается пароль.
Защита доступа по Telnet.
К маршрутизатору можно подключится для его конфигурирования удаленно, через один из его интерфейсов по линиям виртуального терминала (virtual terminal – vty) с установкой соединения по Telnet или SSH. Одновременно может быть организовано пять соединений (от 0 до 4). Можно установить один пароль на все соединения, а можно на каждое соединение установить свой пароль.
Установка пароля на доступ в привилегированный режим.
По умолчанию, пароль на доступ в привилегированный режим не установлен. Для установки пароля необходимо в режиме глобальной конфигурации выполнить команду enable secret. При этом пароль будет храниться в конфигурации в зашифрованном виде по MD 5.
|
Консоль
R1(config)#line con 0
R1(config-line)#password usercon
R1(config-line)#login
AUX
R1(config)#line aux 0
R1(config-line)#password useraux
R1(config-line)#login
Telnet
Один пароль на все линии
R1(config)#line vty 0 4
R1(config-line)#password uservty
R 1(config - line)# login
Отдельный пароль на линию
R1(config)#line vty 0
R1(config-line)#password uservty0
R1(config-line)#login
Запрос пароля на доступ в пользовательский режим.
User Access Verification
Password:
R1>
Пароль на доступ в привилегированный режим
R1(config)#enable secret admin12345
Рис 3-1-5
|
Усиление парольной защиты
Парольная защита может быть усилена с помощью ограничения минимальной длины паролей, шифрования паролей и установки параметров линии.
Ограничение минимальной длины паролей.
Начиная с версии Cisco IOS 12.3(1) можно устанавливать ограничение на минимальное количество символов в паролях в диапазоне от 0 до 16. Для этого в режиме глобальной конфигурации выполняется команда security passwords min - length length. Значение, указанное в этой команде, распространяется на все пароли, устанавливаемые на маршрутизаторе. На текущие пароли эта команда не влияет.
Шифрование паролей.
По умолчанию, все пароли, устанавливаемые на маршрутизаторе, кроме enable secret, хранятся в незашифрованном виде. Эти пароли можно зашифровать с помощью команды режима глобальной конфигурации service password - encryption. Эта команда может быть использована только для защиты от просмотра паролей, так как алгоритм шифрования простой и легко воспроизводится.
Для отмены шифрования паролей эта команда используется с префиксом no. Ранее введенные пароли останутся в зашифрованном виде, а новые будут храниться в открытом виде.
Установка параметров линии.
Если в течении некоторого времени соединение, установленное по консоли или telnet остается без контроля, то этим может воспользоваться злоумышленник и изменить настройки оборудования. Можно уменьшить вероятность этого с помощью ограничения времени неактивного открытого состояния линии. По умолчанию это время составляет 10 мин. В подрежиме конфигурации соответствующей линии надо выполнить команду exec - timeout mm ss с указанием минут и секунд времени простоя.
| Ограничение минимальной длины паролей
R1(config)# security passwords min-length 11.
R1(config)#enable secret admin12
Password too short - must be at least 11 characters. Password configuration failed.
R1(config)#
Шифрование паролей
R1(config)#service password-encryption
R1(config)#^Z
R1#sh run
…
enable secret 5 $1$mERr$qnVcFVUraySLnKS3XOpTd.
line con 0
password 7 08345F4B1B1A0A19
login
line vty 0
password 7 08345F4B1B0F110E42
login
line vty 1 4
no login
line vty 5
password 7 08345F4B1B0F110E
login
Установка параметров линии
R 1(config)# line con 0
R1(config-line)#exec-timeout 5 10
R1#sh run
…
line con 0
exec-timeout 5 10
password 7 08345F4B1B1A0A19
login
…
рис 3-1-6.
|