Если вы установите другие пароли на коммутаторе, они будут сохранены в файле конфигурации в виде

Обновлено: 21.11.2024

В этом упражнении вы будете выполнять базовые задачи по настройке коммутатора. Вы защитите доступ к интерфейсу командной строки (CLI) и консольным портам, используя зашифрованные и незашифрованные пароли. Вы также узнаете, как настроить сообщения для пользователей, входящих в коммутатор. Эти баннеры сообщений также используются для предупреждения неавторизованных пользователей о том, что доступ запрещен.

Примечание. В Packet Tracer коммутатор Catalyst 2960 по умолчанию использует IOS версии 12.2. При необходимости версию IOS можно обновить с файлового сервера в топологии Packet Tracer. Затем коммутатор можно настроить для загрузки с IOS версии 15.0, если эта версия требуется.

Часть 1. Проверка конфигурации коммутатора по умолчанию

Шаг 1. Войдите в привилегированный режим EXEC.

Вы можете получить доступ ко всем командам переключения из привилегированного режима EXEC. Однако, поскольку многие из привилегированных команд настраивают рабочие параметры, привилегированный доступ должен быть защищен паролем, чтобы предотвратить несанкционированное использование.

Набор привилегированных команд EXEC включает в себя команды, доступные в пользовательском режиме EXEC, множество дополнительных команд и команду configure, с помощью которой можно получить доступ к режимам конфигурации.

а. Щелкните S1, а затем вкладку CLI. Нажмите Enter.

б. Войдите в привилегированный режим EXEC, введя команду enable:

Открыть окно конфигурации для S1

Обратите внимание, что приглашение изменилось, чтобы отразить привилегированный режим EXEC.

Шаг 2. Изучите текущую конфигурацию коммутатора.

Введите команду show running-config.

Ответьте на следующие вопросы:

Сколько интерфейсов Fast Ethernet у коммутатора?

24

Сколько интерфейсов Gigabit Ethernet у коммутатора?

2

Какой диапазон значений показан для линий vty?

0–15

Какая команда будет отображать текущее содержимое энергонезависимой оперативной памяти (NVRAM)?

Показать конфигурацию запуска

Почему коммутатор отвечает сообщением «startup-config is not present?»

Это сообщение отображается, поскольку файл конфигурации не был сохранен в NVRAM. В настоящее время он находится только в оперативной памяти.

Часть 2. Создание базовой конфигурации коммутатора

Шаг 1. Назначьте имя переключателю.

Чтобы настроить параметры коммутатора, вам может потребоваться переключаться между различными режимами конфигурации. Обратите внимание, как меняется подсказка при перемещении по переключателю.

Шаг 2. Защитите доступ к линии консоли.

Чтобы защитить доступ к линии консоли, войдите в режим config-line и установите пароль консоли на letmein.

Вопрос:

Почему требуется команда входа в систему?

Для того, чтобы процесс проверки пароля работал, требуются команды входа и пароля

Шаг 3. Убедитесь, что доступ к консоли защищен.

Выйдите из привилегированного режима, чтобы убедиться, что пароль консольного порта действует.

Подтверждение доступа пользователя
Пароль:
S1>

Примечание. Если коммутатор не запрашивал пароль, значит, вы не настроили параметр входа в систему на шаге 2.

Шаг 4. Защитите доступ в привилегированном режиме.

Установите пароль включения c1$c0. Этот пароль защищает доступ к привилегированному режиму.

Примечание. 0 в c1$c0 — это ноль, а не заглавная буква O. Этот пароль не будет считаться правильным, пока вы не зашифруете его на шаге 8.

Шаг 5. Убедитесь, что доступ в привилегированном режиме защищен.

а. Введите команду выхода еще раз, чтобы выйти из коммутатора.

б. Нажмите, и теперь вас попросят ввести пароль:

Подтверждение доступа пользователя
Пароль:

<р>в. Первый пароль — это пароль консоли, который вы настроили для линии con 0. Введите этот пароль, чтобы вернуться в режим пользователя EXECmode.

д. Введите команду для доступа к привилегированному режиму.

<р>т.е. Введите второй пароль, который вы настроили для защиты привилегированного режима EXEC.

ж. Проверьте свою конфигурацию, изучив содержимое файла рабочей конфигурации:

Обратите внимание, что консольный и активирующий пароли представлены в виде обычного текста. Это может представлять угрозу безопасности, если кто-то заглянет вам через плечо или получит доступ к файлам конфигурации, хранящимся в резервной копии.

Шаг 6. Настройте зашифрованный пароль для защиты доступа к привилегированному режиму.

Пароль enable следует заменить новым зашифрованным секретным паролем с помощью команды enable secret. Задайте для пароля enable secret значение itsasecret.

Примечание. Секретный пароль активации имеет приоритет над паролем активации. Если оба настроены на коммутаторе, вы должны ввести секретный пароль для входа в привилегированный режим EXEC.

Шаг 7. Убедитесь, что пароль enable secret добавлен в файл конфигурации.

Введите команду show running-config еще раз, чтобы убедиться, что новый пароль enable secret настроен.

Примечание. Вы можете использовать аббревиатуру show running-config как

Вопросы:

Что отображается для включения секретного пароля?

$1$mERr$ILwq/b7kc.7X/ejA4Aosn0

Почему пароль enable secret отображается не так, как мы настроили?

Разрешающий секрет отображается в зашифрованном виде, а разрешающий пароль — в виде обычного текста.

Шаг 8. Зашифруйте пароль включения и пароль консоли.

Как вы заметили на шаге 7, enable secretpassword был зашифрован, но пароли enable и console по-прежнему были в виде обычного текста. Теперь мы зашифруем эти простые текстовые пароли с помощью команды сервисного пароля-шифрования.

Вопрос:

Если вы настроите на коммутаторе дополнительные пароли, они будут отображаться в файле конфигурации в виде обычного текста или в зашифрованном виде? Объясните.

Команда service password-encryption шифрует все текущие и будущие пароли.

Часть 3. Настройка баннера MOTD

Шаг 1. Настройте баннер сообщения дня (MOTD).

Набор команд Cisco IOS включает функцию, позволяющую настраивать сообщения, которые видит любой пользователь, выполняющий вход на коммутатор. Эти сообщения называются сообщениями дня или баннерами MOTD. Заключите текст баннера в кавычки или используйте разделитель, отличный от любого символа, появляющегося в строке MOTD.

Вопросы:

Когда будет отображаться этот баннер?

Сообщение будет отображаться при доступе к коммутатору через консольный порт.

Почему на каждом коммутаторе должен быть баннер MOTD?

На каждом коммутаторе должен быть баннер, предупреждающий неавторизованных пользователей о том, что доступ запрещен. Баннеры также можно использовать для отправки сообщений сетевому персоналу/техническим специалистам (например, о предстоящем отключении системы или о том, к кому обратиться для получения доступа).

Часть 4. Сохранение и проверка файлов конфигурации в NVRAM

Шаг 1. Проверьте правильность конфигурации с помощью команды show run.

Сохраните файл конфигурации. Вы завершили базовую настройку коммутатора. Теперь создайте резервную копию текущего файла конфигурации в NVRAM, чтобы гарантировать, что внесенные изменения не будут потеряны при перезагрузке системы или отключении питания.

Вопросы:

Какова самая короткая версия команды copy running-config startup-config?

полицейские

Проверьте файл конфигурации запуска.

Какая команда отобразит содержимое NVRAM?

показать конфигурацию запуска

Все ли внесенные изменения записаны в файл?

Да, это то же самое, что и рабочая конфигурация.

Часть 5. Настройка S2

Вы завершили настройку на S1. Теперь вы настроите S2. Если вы не можете вспомнить команды, обратитесь за помощью к частям с 1 по 4.

Настройте S2 со следующими параметрами:

Открыть окно конфигурации для S2

а. Имя устройства: S2

б. Защитите доступ к консоли с помощью пароля letmein.

<р>в. Настройте разрешающий пароль c1$c0 и разрешающий секретный пароль itsasecret.

д. Настройте соответствующее сообщение для тех, кто входит в коммутатор.

<р>т.е. Шифруйте все простые текстовые пароли.

ж. Убедитесь, что конфигурация правильная.

г. Сохраните файл конфигурации, чтобы не потерять его при выключении коммутатора.

Вы можете сохранить и просмотреть следующие параметры безопасности в файле текущей конфигурации, связанном с текущим образом программного обеспечения, введя команду include-credentials (ранее эта информация хранилась только во внутренней флэш-памяти):

Локальные пароли менеджера и оператора и (необязательно) имена пользователей, которые контролируют доступ к сеансу управления на коммутаторе через интерфейс командной строки, интерфейс меню или WebAgent.

Учетные данные безопасности SNMP, используемые станциями управления сетью для доступа к коммутатору, включая пароли аутентификации и конфиденциальности.

Пароли доступа к портам и имена пользователей, используемые в качестве учетных данных аутентификации 802.1X для доступа к коммутатору.

Ключи шифрования TACACS+, используемые для шифрования пакетов и безопасных сеансов аутентификации с помощью ключей серверов TACACS+.

Общие секретные ключи (шифрования) RADIUS, используемые для шифрования пакетов и безопасных сеансов аутентификации с серверами RADIUS.

Открытые ключи Secure Shell (SSH), используемые для аутентификации клиентов SSH, пытающихся подключиться к коммутатору.

Преимущества сохранения учетных данных безопасности

После внесения изменений в параметры безопасности в текущей конфигурации вы можете поэкспериментировать с новой конфигурацией и, при необходимости, просмотреть новые параметры безопасности во время сеанса. После проверки конфигурации вы можете сохранить ее навсегда, записав настройки в файл конфигурации запуска.

Постоянно сохраняя учетные данные безопасности коммутатора в файле конфигурации, вы можете загрузить файл на сервер TFTP или хост Xmodem, а затем загрузить файл на коммутаторы HP, на которых вы хотите использовать те же параметры безопасности, без необходимости вручную настроить параметры (кроме пользовательских параметров SNMPv3) на каждом коммутаторе.

Сохраняя различные параметры безопасности в разных файлах, вы можете тестировать различные конфигурации безопасности при первой загрузке новой версии программного обеспечения, поддерживающей несколько файлов конфигурации, путем изменения файла конфигурации, используемого при перезагрузке коммутатора.

Для получения дополнительной информации о том, как экспериментировать, загружать, скачивать и использовать файлы конфигурации с различными версиями программного обеспечения, см.:

"Переключение памяти и конфигурация" в Руководстве по управлению и настройке.

Включение хранения и отображения учетных данных безопасности

Чтобы включить параметры безопасности, введите команду include-credentials.

Синтаксис:

[no] include-credentials [radius-tacacs-only|store-in-config]

Включает включение и отображение текущих настроенных имен пользователей и паролей менеджера и оператора, общих секретных ключей RADIUS, учетных данных безопасности аутентификатора SNMP и 802.1X (доступ к порту), а также открытых ключей клиента SSH в текущей конфигурации. (В более ранних версиях программного обеспечения эти параметры конфигурации безопасности хранятся только во внутренней флэш-памяти и не позволяют включать и просматривать их в файле текущей конфигурации.)

Просмотр текущих настроенных параметров безопасности в текущей конфигурации , введите одну из следующих команд:

  • show running-config : отображает параметры конфигурации в текущем файле running-config.

  • терминал записи: отображает параметры конфигурации в текущем файле рабочей конфигурации.

Дополнительную информацию см. в разделе «Память и конфигурация коммутатора» в Руководстве по основным операциям.

Чтобы просмотреть текущий статус учетных данных включения на коммутаторе, введите show include -реквизиты для входа . См. Отображение состояния include-credentials.

Форма команды [no] отключает только отображение и копирование этих параметров безопасности из работающей конфигурации, при этом параметры безопасности остаются активными в работающей конфигурации.

По умолчанию: Учетные данные безопасности, описанные в разделе Параметры безопасности, которые можно сохранить, не сохраняются в текущей конфигурации.

  • [no]include-credentials

  • [no]include-credentials radius-tacacs-only

хранить-в-конфигурации:

Сохраняет пароли и авторизованные ключи SSH в файлах конфигурации. Это происходит автоматически, когда включена функция include-credentials.

[no]include-credentials store-in-config

>

Команда [no]include-credentials store-in-config отключает includecredentials и удаляет учетные данные, хранящиеся в файлах конфигурации. Коммутатор возвращается к хранению только одного набора паролей и ключей SSH, независимо от того, какой файл конфигурации загружен.

Настройки безопасности, которые можно сохранить

Локальные пароли и имена пользователей администратора и оператора

Учетные данные безопасности SNMP, включая имена сообществ SNMPv1 и имена пользователей SNMPv3, параметры аутентификации и конфиденциальности

Пароли и имена пользователей для доступа к портам 802.1X

Ключи шифрования TACACS+

Общие секретные ключи (шифрования) RADIUS

Открытые ключи станций управления с поддержкой SSH, которые используются коммутатором для аутентификации клиентов SSH, пытающихся подключиться к коммутатору

Выполнение include-credentials или include-credentials store-in-config

Когда include-credentials или include-credentials store-in-config выполняется в первый раз (например, на новом коммутаторе) или когда вы успешно выполнили команду no include-credentials store-in-config, пароли и ключи SSH в данный момент не хранятся в файле конфигурации (не активированы). В следующем примере показано отображаемое предупреждающее сообщение.

Предостережение

Это предупреждающее сообщение также может появиться, если вы успешно выполнили команду [no] include-credentials store-in-config.

Параметр без сохранения учетных данных в конфигурации

Команда [no]include-credentials отключает include-credentials. Учетные данные продолжают храниться в активной и неактивной конфигурациях, но не отображаются в файле конфигурации.

Когда [no]include-credentials используется с параметром store-in-config, include-credentials отключается, а учетные данные, хранящиеся в файлах конфигурации, удаляются. Коммутатор возвращается в состояние по умолчанию и сохраняет только один набор паролей оператора/менеджера и ключей SSH.

Если вы решите выполнить команду [no]include-credentials store-in-config, вам также будет предложено установить новые пароли коммутатора.

Вам задают вопрос о сохранении текущих авторизованных ключей SSH на коммутаторе. Если вы введете «y», текущие активные авторизованные файлы ключей будут переименованы в имена, заданные до включения учетных данных, например:

При первом входе в коммутатор через консоль необходимо использовать имя пользователя и пароль по умолчанию: cisco. Затем вам будет предложено ввести и настроить новый пароль для учетной записи Cisco. Сложность пароля включена по умолчанию. Если выбранный вами пароль недостаточно сложен, вам будет предложено создать другой пароль.

Поскольку пароли используются для аутентификации пользователей, получающих доступ к устройству, простые пароли представляют собой потенциальную угрозу безопасности. Поэтому требования к сложности пароля применяются по умолчанию и могут быть настроены по мере необходимости.

В этой статье приведены инструкции по определению основных параметров пароля, линейного пароля, включения пароля, восстановления служебного пароля, правил сложности паролей для учетных записей пользователей и параметров срока действия паролей на коммутаторе с помощью интерфейса командной строки (CLI).< /p>

Примечание. У вас также есть возможность настроить параметры надежности и сложности пароля с помощью веб-утилиты коммутатора. нажмите здесь для получения инструкций.

Применимые устройства | Версия программного обеспечения

  • Серия Sx300 | 1.4.7.06 (Скачать последнюю версию)
  • Серия Sx350 | 2.2.8.04 (Скачать последнюю версию)
  • Серия SG350X | 2.2.8.04 (Скачать последнюю версию)
  • Серия Sx500 | 1.4.7.06 (Скачать последнюю версию)
  • Серия Sx550X | 2.2.8.04 (Скачать последнюю версию)

Настройка параметров пароля через интерфейс командной строки

Настройка основных параметров пароля

Шаг 1. Войдите в консоль коммутатора. Имя пользователя и пароль по умолчанию: cisco.

Примечание. Доступные команды или параметры могут различаться в зависимости от конкретной модели вашего устройства. В этом примере используется коммутатор SG350X.

Шаг 2. Вам будет предложено настроить новый пароль для лучшей защиты вашей сети. Нажмите Y, чтобы ответить Да, или N, если Нет, на клавиатуре.

Примечание. В этом примере нажата клавиша Y.

Шаг 3. Введите старый пароль и нажмите Enter на клавиатуре.

Шаг 4. Введите и подтвердите новый пароль соответствующим образом, затем нажмите Enter на клавиатуре.

Шаг 5. Войдите в привилегированный режим EXEC с помощью команды enable. В режиме Privileged EXEC коммутатора сохраните настроенные параметры в файле начальной конфигурации, введя следующее:

Шаг 6. (Необязательно) Нажмите Y, если да, или N, если нет на клавиатуре, когда появится приглашение Перезаписать файл [startup-config]...

Теперь вы должны были настроить основные параметры пароля на коммутаторе с помощью интерфейса командной строки.

Настройка параметров пароля линии

Шаг 1. Войдите в консоль коммутатора. Имя пользователя и пароль по умолчанию: cisco. Если вы настроили новое имя пользователя или пароль, введите вместо них эти учетные данные.

Шаг 2. В режиме Privileged EXEC коммутатора войдите в режим Global Configuration, введя следующее:

Шаг 3. Чтобы настроить пароль для такой линии, как консоль, Telnet, Secure Shell (SSH) и т. д., войдите в режим настройки линии пароля, введя следующее:

Примечание. В этом примере используется линия Telnet.

Шаг 4. Введите команду пароля для линии, введя следующее:

  • password — указывает пароль для линии. Длина варьируется от 0 до 159 символов.
  • encrypted — (необязательно) указывает, что пароль зашифрован и скопирован из другой конфигурации устройства.

Примечание. В этом примере для линии Telnet указан пароль Cisco123$.

Шаг 5. (Необязательно) Чтобы вернуть пароль линии к паролю по умолчанию, введите следующее:

Шаг 6. Введите команду end, чтобы вернуться в режим Privileged EXEC коммутатора.

Шаг 7. (Необязательно) В режиме Privileged EXEC коммутатора сохраните настроенные параметры в файле начальной конфигурации, введя следующее:

Шаг 8. (Необязательно) Нажмите Y, если да, или N, если нет на клавиатуре, как только появится приглашение Перезаписать файл [startup-config]….

Теперь вы должны были настроить параметры линейного пароля на коммутаторе через интерфейс командной строки.

Настроить параметры включения пароля

Когда вы настраиваете новый пароль включения, он автоматически шифруется и сохраняется в текущем файле конфигурации. Независимо от того, как был введен пароль, он появится в работающем файле конфигурации с зашифрованным ключевым словом вместе с зашифрованным паролем.

Выполните следующие действия, чтобы настроить параметры включения пароля на коммутаторе через интерфейс командной строки:

Шаг 1. Войдите в консоль коммутатора. Имя пользователя и пароль по умолчанию: cisco. Если вы настроили новое имя пользователя или пароль, введите вместо них эти учетные данные.

Шаг 2. В режиме Privileged EXEC коммутатора войдите в режим Global Configuration, введя следующее:

Шаг 3. Чтобы настроить локальный пароль для определенных уровней доступа пользователей на коммутаторе, введите следующее:

  • level уровень привилегий — указывает уровень, для которого применяется пароль. Уровень варьируется от 1 до 15. Если он не указан, для уровня устанавливается значение по умолчанию 15. Пользовательские уровни следующие:

- Доступ к интерфейсу командной строки только для чтения (1) — пользователь не может получить доступ к графическому интерфейсу и может получить доступ только к командам интерфейса командной строки, которые не изменяют конфигурацию устройства.

- Чтение/ограниченный доступ для записи через интерфейс командной строки (7) — пользователь не может получить доступ к графическому интерфейсу и может получить доступ только к некоторым командам интерфейса командной строки, которые изменяют конфигурацию устройства. Дополнительные сведения см. в Справочном руководстве по интерфейсу командной строки.

- Доступ к управлению чтением/записью (15) — пользователь может получить доступ к графическому интерфейсу и настроить устройство.

Примечание. В этом примере пароль Cisco123$ установлен для учетной записи пользователя 7-го уровня.

  • unencrypted-password — пароль для текущего имени пользователя. Длина варьируется от 0 до 159 символов.

Примечание. В этом примере используется пароль Cisco123$.

  • encryptedcrypted-password — указывает, что пароль зашифрован. Вы можете использовать эту команду для ввода пароля, который уже зашифрован из другого файла конфигурации другого устройства. Это позволит вам настроить два коммутатора с одним и тем же паролем.

Примечание. В этом примере используется зашифрованный пароль 6f43205030a2f3a1e243873007370fab. Это зашифрованная версия Cisco123$.

Примечание. В приведенном выше примере пароль доступа Cisco123$ установлен для доступа уровня 7.

Шаг 4. (Необязательно) Чтобы вернуть пароль пользователя к паролю по умолчанию, введите следующее:

Шаг 5. Введите команду выхода, чтобы вернуться в режим Privileged EXEC коммутатора.

Шаг 6. (Необязательно) В режиме Privileged EXEC коммутатора сохраните настроенные параметры в файле начальной конфигурации, введя следующее:

Шаг 7. (Необязательно) Нажмите Y, если да, или N, если нет на клавиатуре, как только появится приглашение Перезаписать файл [startup-config]...

Теперь вы должны настроить параметры включения пароля на своем коммутаторе через интерфейс командной строки.

Настройка параметров восстановления пароля службы

Механизм восстановления сервисного пароля предоставляет вам физический доступ к консольному порту устройства при соблюдении следующих условий:

  • Если восстановление пароля включено, вы можете получить доступ к меню загрузки и вызвать восстановление пароля в меню загрузки. Все файлы конфигурации и пользовательские файлы сохраняются.
  • Если восстановление пароля отключено, вы можете получить доступ к меню загрузки и запустить восстановление пароля в меню загрузки. Файлы конфигурации и пользовательские файлы удаляются.
  • Если устройство настроено на защиту своих конфиденциальных данных с помощью определяемой пользователем парольной фразы для защиты конфиденциальных данных, вы не можете запустить восстановление пароля из меню загрузки, даже если восстановление пароля включено.

Восстановление служебного пароля включено по умолчанию. Выполните следующие действия, чтобы настроить параметры восстановления служебного пароля на коммутаторе через интерфейс командной строки:

Шаг 1. Войдите в консоль коммутатора. Имя пользователя и пароль по умолчанию: cisco. Если вы настроили новое имя пользователя или пароль, введите вместо них эти учетные данные.

Шаг 2. В режиме Privileged EXEC коммутатора войдите в режим Global Configuration, введя следующее:

Шаг 3. (Необязательно) Чтобы включить настройку восстановления пароля на коммутаторе, введите следующее:

Шаг 4. (Необязательно) Чтобы отключить настройку восстановления пароля на коммутаторе, введите следующее:

Шаг 5. (Необязательно) Нажмите Y, если да, или N, если нет, когда появится приглашение ниже.

Примечание. В этом примере нажата клавиша Y.

Шаг 6. Введите команду выхода, чтобы вернуться в режим Privileged EXEC коммутатора.

Шаг 7. (Необязательно) В режиме Privileged EXEC коммутатора сохраните настроенные параметры в файле начальной конфигурации, введя следующее:

Шаг 8. (Необязательно) Нажмите Y, если да, или N, если нет на клавиатуре, как только появится приглашение Перезаписать файл [startup-config]….

Теперь вы должны были настроить параметры восстановления пароля на своем коммутаторе через интерфейс командной строки.

Настройка параметров сложности пароля

Настройки сложности паролей переключателя включают правила сложности для паролей. Если эта функция включена, новые пароли должны соответствовать следующим настройкам по умолчанию:

  • Имейте не менее восьми символов.
  • Содержат символы по крайней мере из четырех классов символов, таких как прописные буквы, строчные буквы, цифры и специальные символы, доступные на стандартной клавиатуре.
  • Отличается от текущего пароля.
  • Не содержат символов, которые повторяются более трех раз подряд.
  • Не повторяйте и не меняйте имя пользователя или его вариант, полученный путем изменения регистра символов.
  • Не повторяйте и не меняйте название производителя или его вариант, полученный путем изменения регистра символов.

Вы можете управлять указанными выше атрибутами сложности пароля с помощью определенных команд. Если ранее вы настроили другие параметры сложности, используются эти параметры.

Эта функция включена по умолчанию. Выполните следующие действия, чтобы настроить параметры сложности пароля на коммутаторе через интерфейс командной строки:

Шаг 1. Войдите в консоль коммутатора. Имя пользователя и пароль по умолчанию: cisco. Если вы настроили новое имя пользователя или пароль, введите вместо них эти учетные данные.

Шаг 2. В режиме Privileged EXEC коммутатора войдите в режим Global Configuration, введя следующее:

Шаг 3. (Необязательно) Чтобы включить параметры сложности пароля на коммутаторе, введите следующее:

Шаг 4. (Необязательно) Чтобы отключить настройки сложности пароля на коммутаторе, введите следующее:

Шаг 5. (Необязательно) Чтобы настроить минимальные требования к паролю, введите следующее:

  • min-length number — устанавливает минимальную длину пароля. Диапазон от 0 до 64 символов. Значение по умолчанию – 8.
  • min-classes number — устанавливает минимальные классы символов, такие как прописные буквы, строчные буквы, цифры и специальные символы, доступные на стандартной клавиатуре. Диапазон от 0 до 4 класса. Значение по умолчанию – 3.
  • not-current — указывает, что новый пароль не может совпадать с текущим паролем.
  • no-repeat number — указывает максимальное количество символов в новом пароле, которое можно повторять последовательно.Ноль указывает, что нет ограничений на повторяющиеся символы. Диапазон от 0 до 16 символов. Значение по умолчанию – 3.
  • not-username — указывает, что пароль не может повторять или инвертировать имя пользователя или любой вариант, полученный путем изменения регистра символов.
  • not-manufacturer-name – указывает, что пароль не может повторять или менять на противоположное имя производителя или любой другой вариант, полученный путем изменения регистра символов.

Примечание. Эти команды не стирают другие настройки. Настройка параметров сложности паролей работает только как переключатель.

Примечание. В этом примере сложность пароля составляет не менее 9 символов, имя пользователя не может повторяться или инвертироваться, и он не может совпадать с текущим паролем.

Шаг 6. Введите команду выхода, чтобы вернуться в режим Privileged EXEC коммутатора.

Шаг 7. (Необязательно) В режиме Privileged EXEC коммутатора сохраните настроенные параметры в файле начальной конфигурации, введя следующее:

Шаг 8. (Необязательно) Нажмите Y, если да, или N, если нет на клавиатуре, как только появится приглашение Перезаписать файл [startup-config]….

Теперь вы должны настроить параметры сложности пароля на своем коммутаторе через интерфейс командной строки.

Чтобы отобразить параметры конфигурации паролей в интерфейсе командной строки коммутатора, перейдите к разделу Показать параметры конфигурации паролей.

Настройка параметров устаревания пароля

Устаревание актуально только для пользователей локальной базы данных с уровнем привилегий 15 и для настроенных разрешенных паролей с уровнем привилегий 15. Конфигурация по умолчанию — 180 дней.

Выполните следующие действия, чтобы настроить параметры срока действия пароля на коммутаторе с помощью интерфейса командной строки:

Шаг 1. Войдите в консоль коммутатора. Имя пользователя и пароль по умолчанию: cisco. Если вы настроили новое имя пользователя или пароль, введите вместо них эти учетные данные.

Шаг 2. В режиме Privileged EXEC коммутатора войдите в режим Global Configuration, введя следующее:

Шаг 3. Чтобы указать параметр срока действия пароля на коммутаторе, введите следующее:

  • дней — указывает количество дней до принудительной смены пароля. Вы можете использовать 0, чтобы отключить старение. Диапазон составляет от 0 до 365 дней.

Примечание. В этом примере срок действия пароля установлен на 60 дней.

Шаг 4. (Необязательно) Чтобы отключить устаревание пароля на коммутаторе, введите следующее:

Шаг 5. (Необязательно) Чтобы восстановить срок действия пароля по умолчанию, введите следующее:

Шаг 6. Введите команду выхода, чтобы вернуться в режим Privileged EXEC коммутатора.

Шаг 7. (Необязательно) В режиме Privileged EXEC коммутатора сохраните настроенные параметры в файле начальной конфигурации, введя следующее:

Шаг 8. (Необязательно) Нажмите Y, если да, или N, если нет на клавиатуре, как только появится приглашение Перезаписать файл [startup-config]….

Теперь вы должны были настроить параметры срока действия пароля на коммутаторе с помощью интерфейса командной строки.

Чтобы отобразить параметры конфигурации паролей в интерфейсе командной строки коммутатора, перейдите к разделу Показать параметры конфигурации паролей.

Показать настройки конфигурации паролей

Устаревание актуально только для пользователей локальной базы данных с уровнем привилегий 15 и для настроенных разрешенных паролей с уровнем привилегий 15. Конфигурация по умолчанию — 180 дней.

Шаг 1. В режиме Privileged EXEC коммутатора введите следующее:

Получите полный доступ к Защите маршрутизаторов Cisco и более чем 60 000 другим играм с бесплатной 10-дневной пробной версией O'Reilly.

Есть также прямые онлайн-мероприятия, интерактивный контент, материалы для подготовки к сертификации и многое другое.

Глава 4. Пароли и уровни привилегий

Пароли — это основа методов контроля доступа маршрутизаторов Cisco. Глава 3 посвящена базовому управлению доступом и использованию паролей локально и с серверов управления доступом.В этой главе рассказывается о том, как маршрутизаторы Cisco хранят пароли, насколько важно, чтобы выбранные пароли были надежными, и как убедиться, что ваши маршрутизаторы используют наиболее безопасные методы хранения и обработки паролей. Затем обсуждаются уровни привилегий и способы их реализации.

Шифрование паролей

Маршрутизаторы Cisco имеют три метода представления паролей в файле конфигурации. От самого слабого до самого сильного, они включают открытый текст, шифрование Виженера и алгоритм хеширования MD5. Открытые пароли представлены в удобочитаемом формате. Оба метода шифрования Vigenere и MD5 скрывают пароли, но каждый из них имеет свои сильные и слабые стороны.

Виженер против MD5

Основное различие между Vigenere и MD5 заключается в том, что Vigenere является обратимым, а MD5 — нет. Обратимость облегчает злоумышленнику взлом шифрования и получение паролей. Необратимость означает, что злоумышленник должен использовать гораздо более медленные атаки подбора методом грубой силы, пытаясь получить пароли.

В идеале все пароли маршрутизаторов должны использовать надежное шифрование MD5, но некоторые протоколы, такие как CHAP и PAP, работают так, что маршрутизаторы должны иметь возможность декодировать исходный пароль для выполнения аутентификации. Необходимость декодировать определенные пароли означает, что маршрутизаторы Cisco будут продолжать использовать обратимое шифрование для некоторых паролей — по крайней мере до тех пор, пока такие протоколы аутентификации не будут переписаны или заменены.

Пароли открытым текстом

Глава 3 устанавливает пароли с помощью линейных паролей, паролей локальных пользователей и команды enable secret. Показ обеспечивает следующее:

Выделенные части конфигурации — это пароли. Обратите внимание, что все пароли, кроме пароля enable secret, указаны в виде открытого текста. Этот открытый текст представляет значительную угрозу безопасности. Любой, кто может просмотреть копию файла конфигурации — через плечо или с резервного сервера — может увидеть пароли маршрутизатора. Нам нужен способ убедиться, что все пароли в файле конфигурации маршрутизатора зашифрованы.

сервисное шифрование паролей

Первый метод шифрования, который предоставляет Cisco, — это команда service password-encryption. Эта команда скрывает все открытые пароли в конфигурации с помощью шифра Виженера. Вы включаете эту функцию в режиме глобальной конфигурации.

Теперь команда show run больше не отображает пароль в удобочитаемом формате.

Единственный пароль, на который не влияет команда service password-encryption, — это пароль enable secret. Он всегда использует схему шифрования MD5.

Хотя команда service password-encryption полезна и должна быть включена на всех маршрутизаторах, помните, что эта команда использует легко обратимый шифр. Некоторые коммерческие программы и свободно доступные сценарии Perl мгновенно расшифровывают любые пароли, зашифрованные этим шифром. Это означает, что команда service password-encryption защищает только от случайных наблюдателей — тех, кто заглядывает вам через плечо, — а не от тех, кто получает копию файла конфигурации и запускает декодер для зашифрованных паролей. Наконец, шифрование служебного пароля не защищает все секретные значения, такие как строки сообщества SNMP и ключи RADIUS или TACACS.

Включить безопасность

Разрешающий или привилегированный пароль имеет дополнительный уровень шифрования, который следует использовать всегда. Пароль привилегированного уровня всегда должен использовать схему шифрования MD5.

В ранних конфигурациях IOS привилегированный пароль устанавливался с помощью команды enable password и представлялся в файле конфигурации открытым текстом:

Для дополнительной безопасности Cisco добавила команду service password-encryption, чтобы скрыть все пароли в открытом виде:

Однако, как объяснялось ранее, здесь используется слабый шифр Виженера. Из-за важности пароля привилегированного уровня и того факта, что он не должен быть обратимым, Cisco добавила команду enable secret, которая использует надежное шифрование MD5:

Теперь отображается показ:

Этот тип шифрования нельзя отменить. Единственный способ атаковать его — использовать методы грубой силы.

Всегда следует использовать команду enable secret вместо enable password. Команда enable password предназначена только для обратной совместимости. Если установлены оба, например:

пароль enable secret имеет приоритет, а команда enable password игнорируется.

Предупреждение

Многие организации начинают использовать небезопасную команду enable password, а затем переходят на использование команды enable secret. Однако часто они используют одни и те же пароли для команд enable password и enable secret.Использование одних и тех же паролей противоречит цели более надежного шифрования, обеспечиваемого командой enable secret. Злоумышленники могут просто расшифровать слабое шифрование с помощью команды enable password, чтобы получить пароль маршрутизатора. Чтобы избежать этой уязвимости, обязательно используйте разные пароли для каждой команды или, что еще лучше, вообще не используйте команду enable password.

Надежные пароли

Помимо использования шифрования, чтобы пароли не отображались в удобочитаемой форме, для надежной защиты паролей необходимо использовать надежные пароли. Есть два требования к надежным паролям. Во-первых, их сложно угадать или взломать. Во-вторых, их легко запомнить. Если пароль основан на слове, найденном в словаре — имени, месте и т. д., — пароль ненадежен. Если пароль представляет собой полную случайную строку букв и цифр, пароль надежный, но в конечном итоге пользователи записывают пароль, потому что не могут его запомнить. Чтобы продемонстрировать, как легко взломать слабые пароли, следующие пароли были зашифрованы с помощью надежного шифрования MD5:

Использовалась программа для взлома паролей, чтобы узнать, сколько времени потребуется, чтобы угадать каждый пароль.

На компьютере Sun Ultra 5 с 512 МБ ОЗУ и процессором с частотой 333 МГц для взлома первого пароля hello потребовалось менее пяти секунд. Это столько же времени потребуется, чтобы угадать большинство слов на английском языке (или слово на любом другом языке, если злоумышленник включил словари иностранных языков). Через четыре часа взломщик паролей угадал и следующие три пароля. Любой пароль, основанный на слове — английском или иностранном — уязвим для атак методом грубой силы.

Последний пароль выглядит случайным и все еще не взломан, когда через три дня программа для взлома паролей перестала работать. Проблема в том, чтобы запомнить такой пароль. Советы по выбору подходящего пароля см. в следующей боковой панели «Выбор и запоминание надежных паролей».

Лучший способ создать пароль, который легко запомнить, но сложно взломать, – это использовать парольные фразы. Маршрутизаторы Cisco поддерживают пароли длиной до 25 символов. Поэтому создайте предложение и используйте его вместо простого пароля. Если вы не можете использовать предложение, выбирайте запоминающиеся, но надежные пароли из шести-восьми символов.

При тестировании примеров паролей hello , Enter0 , 9spot , 8twelve8 и ilcic4l< /em> , единственный пароль, который не был взломан, был ilcic4l . Проблема в том, как запомнить такой пароль. Секрет в том, что этот пароль выглядит случайным, но это не так. Для создания этого пароля было создано легко запоминающееся предложение. В данном случае предложение было таким: «Мне нравится шоколадное мороженое на обед». Затем первая буква каждого слова использовалась для создания основы пароля: ilcicfl. Затем вместо слова for была поставлена ​​цифра 4. Это обеспечивает ilcic4l— пароль, который легко запомнить, но трудно взломать.

Эту технику можно модифицировать как угодно. Возьмите вторую букву каждого слова вместо первой. Измените каждый e на 3 , каждый a на @ или каждый t на + . Добавьте цифры в начало или конец пароля — все, что вы можете придумать.

Наконец, еще одним ключом к созданию надежных паролей является использование разных паролей в каждой системе. Таким образом, если кто-то угадает или украдет один из ваших паролей, он не сможет использовать этот пароль для доступа ко всем системам, в которых у вас есть учетная запись. Теперь существует проблема запоминания разных паролей для каждой системы, к которой вы получаете доступ. Есть решение и для этого. Вы можете изменить предыдущий метод, чтобы помочь вам запомнить разные пароли для каждой системы. Например, возьмите ранее использованный пароль ilcic4l и измените его для каждой системы, к которой вы обращаетесь. Сначала придумайте формулу. Простым вариантом было бы взять первую букву имени системы, к которой вы подключаетесь, и заменить первую букву пароля этой буквой. Затем сделайте то же самое для последней буквы. При подключении к системе с именем Router1 пароль для этой системы будет Rlcic41. При подключении к Firewall-One пароль Flcic4e . Эти простые примеры дают множество надежных паролей, которые легко запомнить, но трудно взломать. Вы можете проявить творческий подход к составлению предложений и формул. На самом деле, чем изобретательнее вы подходите к делу, тем надежнее будут ваши пароли.

Поддержание безопасности файлов конфигурации

За исключением пароля enable secret, все пароли, хранящиеся на маршрутизаторах Cisco, слабо зашифрованы. Если бы кто-то получил копию файла конфигурации маршрутизатора, ему потребовалось бы всего несколько секунд, чтобы запустить его через программу для декодирования всех слабо зашифрованных паролей. Первая защита заключается в обеспечении безопасности файлов конфигурации.

У вас всегда должна быть резервная копия файла конфигурации каждого маршрутизатора. Вероятно, у вас должно быть несколько резервных копий. Однако каждая из этих резервных копий должна храниться в безопасном месте. Это означает, что они не хранятся на общедоступном сервере или на рабочем столе каждого сетевого администратора. Кроме того, резервные копии всех маршрутизаторов обычно хранятся в одной системе. Если эта система небезопасна и злоумышленник может получить доступ, он сорвал джекпот — полная конфигурация всей вашей сети, все настройки списков доступа, слабые пароли, строки сообщества SNMP и так далее. Чтобы избежать этой проблемы, где бы ни хранились резервные файлы конфигурации, лучше всего хранить их в зашифрованном виде. Таким образом, даже если злоумышленник получит доступ к файлам резервных копий, они бесполезны.

Однако шифрование в небезопасной системе создает ложное ощущение безопасности. Если злоумышленники могут проникнуть в небезопасную систему, они могут настроить кейлоггер и перехватить все, что вводится в этой системе. Сюда входят пароли для расшифровки файлов конфигурации. В этом случае злоумышленнику просто нужно дождаться, пока администратор введет пароль, и ваше шифрование будет взломано.

Еще один вариант — убедиться, что файлы конфигурации резервного копирования не содержат паролей. Для этого необходимо вручную удалить пароль из конфигураций резервного копирования или создать сценарии, автоматически удаляющие эту информацию.

Предупреждение

Администраторы должны быть очень осторожны, чтобы не получить доступ к маршрутизаторам из небезопасных или ненадежных систем. Шифрование или SSH бесполезны, если злоумышленник взломал систему, с которой вы работаете, и может использовать кейлоггер для записи всего, что вы вводите.

Наконец, не храните файлы конфигурации на TFTP-сервере. TFTP не обеспечивает аутентификацию, поэтому вам следует как можно быстрее переместить файлы из каталога загрузки TFTP, чтобы ограничить их уязвимость.

Уровни привилегий

По умолчанию маршрутизаторы Cisco имеют три уровня привилегий: нулевой, пользовательский и привилегированный. Доступ нулевого уровня допускает только пять команд: выход из системы, включение, отключение, помощь и выход. Пользовательский уровень (уровень 1) обеспечивает очень ограниченный доступ к маршрутизатору только для чтения, а привилегированный уровень (уровень 15) обеспечивает полный контроль над маршрутизатором. Эта настройка «все или ничего» может работать в небольших сетях с одним или двумя маршрутизаторами и одним администратором, но более крупные сети требуют дополнительной гибкости. Для обеспечения такой гибкости маршрутизаторы Cisco можно настроить на использование 16 различных уровней привилегий от 0 до 15.

Изменение уровней привилегий

Отображение вашего текущего уровня привилегий выполняется с помощью команды show Privilege, а изменение уровней привилегий может быть выполнено с помощью команд enable и disable . Без каких-либо аргументов enable попытается перейти на уровень 15, а disable — на уровень 1. Обе команды принимают один аргумент, указывающий уровень, на который вы хотите перейти. Команда enable используется для получения большего доступа при переходе на более высокий уровень:

Команда disable используется для отказа от доступа путем перехода на более низкие уровни:

Обратите внимание, что для получения большего доступа требуется пароль; при понижении уровня доступа пароль не требуется. Маршрутизатор требует повторной аутентификации каждый раз, когда вы пытаетесь получить дополнительные привилегии, но для отказа от привилегий ничего не требуется.

Уровни привилегий по умолчанию

Нижний и наименее привилегированный уровень — это уровень 0. Это единственный другой уровень, кроме 1 и 15, который настроен по умолчанию на маршрутизаторах Cisco. На этом уровне есть только пять команд, которые позволяют вам выйти из системы или попытаться войти на более высокий уровень:

Следующий уровень – 1 – уровень пользователя по умолчанию. Этот уровень предоставляет пользователю гораздо больше команд, которые позволяют ему отображать информацию о маршрутизаторе, подключаться к другим системам через telnet и тестировать сетевое подключение с помощью ping и traceroute. Уровень 2, который не включен по умолчанию, добавляет несколько дополнительных команд show и clear, но не дает пользователю возможности перенастроить маршрутизатор. Наконец, уровень 15 предоставляет полный доступ ко всем командам маршрутизатора.

Пароли уровня привилегий

Чтобы использовать команду enable для доступа к уровню привилегий, для этого уровня должен быть установлен пароль. Если вы попытаетесь войти на уровень без пароля, вы получите сообщение об ошибке Пароль не установлен. Установить пароли уровня привилегий можно с помощью команды enable secret level. В следующем примере включается и задается пароль для уровня привилегий 5:

Теперь мы можем перейти на уровень 5 с помощью команды enable 5.

Предупреждение

Подобно тому, как пароли по умолчанию можно установить с помощью команды enable secret или enable password, пароли для других уровней привилегий можно установить с помощью enable password level или включить секретный уровень.Однако команда включить уровень пароля предназначена для обратной совместимости и не должна использоваться.

Уровни привилегий линии

Линии (CON, AUX, VTY) по умолчанию имеют привилегии уровня 1. Это можно изменить с помощью команды уровень привилегий под каждой строкой. Чтобы изменить уровень привилегий по умолчанию для порта AUX, введите следующее:

Или, чтобы изменить уровень привилегий по умолчанию для всего доступа к VTY на уровень 12:

Уровни привилегий для имени пользователя

Наконец, имя пользователя может иметь связанный с ним уровень привилегий. Это полезно, когда вы хотите, чтобы определенные пользователи по умолчанию имели более высокие привилегии. Команда привилегия имени пользователя используется для установки уровня привилегий для пользователя:

Изменение уровней командных привилегий

По умолчанию все команды маршрутизатора относятся к уровням 1 или 15. Создание дополнительных уровней привилегий не очень полезно, если только не изменен уровень привилегий по умолчанию для некоторых команд маршрутизатора. После изменения уровня привилегий по умолчанию для команды только те, у кого есть доступ к этому уровню или выше, могут запускать эту команду. Эти изменения вносятся с помощью команды привилегия. В следующем примере уровень по умолчанию для команды telnet изменяется на уровень 2:

Теперь никто с доступом на уровне пользователя (уровень 1) не может выполнить команду telnet. Требуется доступ уровня 2.

Пример привилегированного режима

Вот пример того, как организация может использовать уровни привилегий для доступа к маршрутизатору, не сообщая всем пароль уровня 15.

Предположим, что в организации есть несколько высокооплачиваемых сетевых администраторов, несколько младших сетевых администраторов и компьютерный операционный центр для устранения неполадок. Эта организация хочет, чтобы высокооплачиваемые сетевые администраторы были единственными, кто имел полный (уровень 15) доступ к маршрутизаторам, но также хочет, чтобы младшие администраторы имели более ограниченный доступ к маршрутизатору, что позволит им помочь с отладкой и устранением неполадок. Наконец, компьютерный операционный центр должен иметь возможность запускать команду clear line, чтобы при необходимости можно было сбросить коммутируемое модемное соединение для администраторов; однако у них не должно быть возможности подключаться через telnet от маршрутизатора к другим системам.

Высокооплачиваемые администраторы будут иметь полный доступ 15-го уровня. Для младших администраторов будет создан уровень 10, чтобы предоставить им доступ к командам debug и telnet. Наконец, для операционного центра будет создан уровень 2, чтобы дать им доступ к команде clear line, но не к команде telnet:

Рекомендуемые изменения уровня привилегий

Руководство АНБ по безопасности маршрутизаторов Cisco рекомендует переместить следующие команды с уровня привилегий по умолчанию 1 на уровень привилегий 15: connect, telnet, rlogin. , показать списки IP-доступа, показать списки доступа и показать ведение журнала. Изменение этих уровней ограничивает полезность маршрутизатора для злоумышленника, который скомпрометирует учетную запись на уровне пользователя.

Чтобы изменить уровень привилегий этих команд, выполните следующие действия:

Последняя привилегия exec level 1 show ip возвращает командам show и show ip уровень 1, включая все остальные команды уровня 1 по умолчанию. продолжать функционировать.

Контрольный список паролей

В этом контрольном списке собрана важная информация о безопасности, представленная в этой главе. Полный контрольный список безопасности приведен в Приложении A.

Включите шифрование служебных паролей на всех маршрутизаторах.

Установите пароль привилегированного уровня (уровень 15) с помощью команды enable secret, а не с помощью команды enable password.

Убедитесь, что все пароли являются надежными и не содержат английских или иностранных слов.

Убедитесь, что на каждом маршрутизаторе разные пароли включения и пользователя.

Храните резервные копии файлов конфигурации в зашифрованном виде на защищенном сервере.

Доступ к маршрутизаторам возможен только из защищенных или доверенных систем.

В крупных организациях с многочисленным персоналом, имеющим доступ к маршрутизатору, используйте дополнительные уровни привилегий, чтобы ограничить доступ к ненужным командам.

Перенастроить параметры connect, telnet, rlogin, показать списки IP-доступа, показать доступ -lists и команды show logging для уровня привилегий 15.

Получите повышение безопасности маршрутизаторов Cisco прямо сейчас с онлайн-обучением O’Reilly.

Члены O’Reilly проходят онлайн-обучение в режиме реального времени, а также получают книги, видео и цифровой контент от более чем 200 издателей.

Читайте также: