Какое соединение обеспечивает безопасный сеанс cli с шифрованием для коммутатора cisco
Обновлено: 21.11.2024
В этом уроке мы рассмотрим, как защитить пользовательский режим и привилегированный (включить) режим. По умолчанию аутентификация не требуется. Если вы подключите консольный кабель Cisco к коммутатору или маршрутизатору, произойдет следующее:
Как только вы нажмете кнопку ввода, мы сразу перейдем в пользовательский режим. Там нет пароля или чего-то еще. То же самое относится и к режиму включения:
У нас сразу же есть полный доступ. Это то, что вы, возможно, захотите изменить, и я объясню это в этом уроке.
Безопасность пользовательского режима
Начнем с пользовательского режима.
Простой пароль
Самый простой способ защитить пользовательский режим — добавить пароль. Вот как это сделать:
Во-первых, нам нужно войти в настройки консоли. Здесь мы должны добавить две команды:
Мы настраиваем пароль (cisco) и используем команду входа в систему, чтобы указать Cisco IOS запросить этот пароль. В следующий раз, когда вы откроете консоль, произойдет следующее:
CLI запросит у вас пароль. По крайней мере, у нас есть какая-то форма аутентификации, но мы можем сделать лучше…
Имя пользователя и пароль
Вместо одного пароля также можно использовать имена пользователей и пароли. Это лучший вариант, если у вас есть несколько человек, которым нужен доступ к вашему маршрутизатору или коммутатору. Вот как это сделать:
В настройках консоли мы используем команду login local, чтобы указать коммутатору обратиться к локальной базе данных имен пользователей и паролей для аутентификации. В глобальной конфигурации создаем имя пользователя «admin» с паролем «cisco».
В следующий раз, когда вы откроете консоль, вы увидите следующее:
Коммутатор запрашивает наше имя пользователя и пароль.
Включить безопасность режима
Как насчет режима включения/привилегированного режима? Мы также можем добавить туда пароль. Вам нужно сделать это из режима конфигурации:
Теперь мы можем установить пароль для включения режима:
Проверим, работает ли наш пароль «cisco». Давайте выйдем из режима включения:
И вернемся обратно:
Теперь коммутатор запрашивает пароль.
Шифрование паролей
В приведенных выше примерах мы использовали пароли, но есть одна проблема… все они отображаются в нашей конфигурации в виде открытого текста. Посмотрите ниже:
Все это чистый текст. Если кто-то украдет один из ваших коммутаторов или маршрутизаторов, у него будут ваши пароли. Если вы когда-нибудь сделаете резервную копию своей конфигурации и забудете удалить пароли, та же проблема.
В Cisco IOS есть команда, позволяющая шифровать все пароли открытым текстом в вашей конфигурации. Вот как:
Команда service password-encryption шифрует каждый пароль в виде обычного текста. Здесь вы можете увидеть результат:
Сейчас у вас может возникнуть ощущение, что все зашифровано, но на самом деле это очень плохой (сломанный) алгоритм шифрования. Существуют веб-сайты, которые позволяют расшифровывать эти зашифрованные строки на лету. Если вы хотите попробовать это, вот один из таких веб-сайтов.
Нам нужно что-то более сильное…
Секрет
Cisco IOS поддерживает нечто, называемое секретом, в качестве альтернативы паролю. Давайте попробуем это для режима включения:
Выше вы видите, что этот переключатель поддерживает хэши MD5, PBKDF2 и SCRYPT. Старые устройства IOS поддерживают только аутентификацию MD5.
Давайте попробуем:
Нашим секретом будет «Cisco». Давайте посмотрим, что мы находим в конфигурации:
Теперь вы найдете хэш MD5 в конфигурации. «5», которую вы видите за «enable secret», — это алгоритм, который мы используем, 5 означает MD5.
В настоящее время MD5 не считается безопасным. Подбирать простые пароли очень легко. Например, попробуйте этот веб-сайт для хеша MD5, который был создан для моего секретного «cisco». Восстановление займет всего несколько секунд.
Давайте попробуем один из других алгоритмов, которые в настоящее время считаются безопасными. Вот как вы можете выбрать алгоритм для режима включения:
Давайте попробуем алгоритм хеширования PBKDF2 (SHA256):
Когда мы посмотрим на нашу конфигурацию, мы увидим новый хеш:
Цифра "8" после слова "enable secret" относится к алгоритму хеширования PBKDF2, который мы использовали.
В приведенном выше примере я изменил алгоритм хеширования для режима включения, но мы также можем сделать это для имен пользователей. Вот пример:
Мое имя пользователя теперь также использует SHA256 в качестве пароля «cisco». Вот как это выглядит:
Убедитесь, что вы используете надежные пароли. Независимо от того, какой алгоритм хеширования вы используете, слабые пароли, такие как «cisco», легко восстанавливаются.
Внешние серверы аутентификации
Настройка имен пользователей и секретов на устройствах Cisco IOS является хорошей практикой, но у нас есть одна проблема — масштабируемость. Если у вас есть сеть с несколькими устройствами, вам придется настроить свои имена пользователей/секреты на всех устройствах. Если вы меняете свой пароль, вы должны сделать это на всех устройствах.
В больших сетях мы обычно используем серверы аутентификации, называемые серверами RADIUS или TACACS+.На этих серверах мы настраиваем наши имена пользователей. Когда кто-то пытается получить доступ к консоли или включить режим на одном из ваших коммутаторов или маршрутизаторов, он проверяет учетные данные на сервере аутентификации.
Это позволяет централизованно проводить аутентификацию. Об этом мы поговорим на других уроках.
Заключение
Теперь вы узнали, как защитить пользователя и включить режим ваших устройств Cisco IOS. Убедитесь, что вы используете «secret» вместо простых текстовых паролей и, если возможно, используйте более надежный алгоритм хеширования, чем MD5 по умолчанию.
Настройка описаний интерфейса полезна для администратора и персонала службы поддержки. Это полезная команда, потому что вы можете использовать ее, например, для отслеживания номеров каналов или VLAN. Если конфигурации хранятся в автономном режиме, к этой информации можно получить доступ для создания баз данных каналов или для помощи в создании карт портов и сетевых диаграмм. Стандартизация формата обеспечивает согласованный формат, в котором можно создать сценарий для объединения информации в базу данных, электронную таблицу или сетевой чертеж.
Cisco CCNA Действуйте
В версиях IOS 12.3 и выше вы можете использовать команды show из режима конфигурации, поставив перед соответствующей командой show префикс «do».
Настройка пароля Cisco CCNA Console/Aux
Чтобы установить пароль консоли, используйте команду «line console 0».
То же самое для дополнительного порта.
Необходимо включить команду «login», иначе маршрутизатор не будет запрашивать пароль.
Будьте осторожны, если линейные пароли совпадают с enable secret. Имейте в виду, что они будут отображаться открытым текстом в конфигурации маршрутизатора, если только команда «service password-encryption» не используется в режиме глобальной конфигурации.
Другие команды линии консоли Cisco CCNA
Время ожидания выполнения в минутах
Команда[seconds] устанавливает интервал, в течение которого интерпретатор команд EXEC ожидает обнаружения пользовательского ввода перед автоматическим выходом из системы текущего пользователя. Указание exec-timeout 0 0 приведет к тому, что интерпретатор команд EXEC не будет выходить из системы текущего пользователя, независимо от длины между входами. С другой стороны, указание exec-timeout 15 0 приведет к тому, что интерпретатор команд EXEC автоматически отключит текущего пользователя, если в течение 15 минут не будет обнаружено ни одного пользователя.
Команда синхронного ведения журнала – очень классная команда, и она должна быть командой по умолчанию, но это не так. По сути, это предотвращает появление надоедливых консольных сообщений и прерывание ввода, который вы пытаетесь ввести. После появления раздражающего сообщения консоли текущая команда, которую вы вводили, перерисовывается на экране, чтобы вы могли видеть команду без изменений. Иными словами, при включении незапрошенные выходные данные программного обеспечения Cisco IOS отображаются на консоли или распечатываются после отображения или печати запрошенных выходных данных программного обеспечения Cisco IOS.
Пароль Cisco CCNA Telnet/SSH VTY
Чтобы установить пароль пользовательского режима для доступа Telnet или ssh к маршрутизатору, используйте команду «line vty». Маршрутизаторы, на которых не установлена корпоративная версия Cisco IOS, по умолчанию используют пять линий VTY — от 0 до 4.
Но если у вас версия Enterprise, у вас будет значительно больше возможностей. Лучший способ узнать, сколько у вас строк, — использовать этот вопросительный знак:
Номер последней строки
Вы можете использовать опцию «без входа», чтобы вы могли подключиться к маршрутизатору через telnet или ssh и не запрашивать пароль (не рекомендуется!).
Telnet — это наиболее распространенный метод удаленного доступа, но он небезопасен. Весь трафик отправляется открытым текстом.
SSH – это безопасный метод удаленного доступа.
На линиях VTY можно использовать класс доступа для дальнейшего ограничения доступа.
**Примечание ** Если пароль не установлен и TACACS или RADIUS не настроены, вы получите сообщение «Пароль не установлен» при попытке подключиться к маршрутизатору через telnet и выйдете из системы.
Cisco CCNA Telnet и доступ по SSH
SSH-сервер
Функция SSH-сервера позволяет клиенту SSH устанавливать безопасное зашифрованное соединение с маршрутизатором Cisco. Это соединение обеспечивает функциональность, аналогичную входящему соединению Telnet. До SSH безопасность ограничивалась безопасностью Telnet. SSH позволяет использовать надежное шифрование с проверкой подлинности программного обеспечения Cisco IOS. Сервер SSH в ПО Cisco IOS будет работать с общедоступными и коммерчески доступными клиентами SSH.
Интегрированный клиент SSH
Встроенный клиент SSH — это приложение, работающее по протоколу SSH и обеспечивающее аутентификацию и шифрование устройства. Клиент SSH позволяет маршрутизатору Cisco устанавливать безопасное зашифрованное соединение с другим маршрутизатором Cisco или любым другим устройством, на котором работает сервер SSH. Это соединение обеспечивает функциональные возможности, аналогичные исходящим соединениям Telnet, за исключением того, что соединение шифруется. Благодаря аутентификации и шифрованию клиент SSH обеспечивает безопасную связь по незащищенной сети.
Клиент SSH в ПО Cisco IOS работает с общедоступными и коммерчески доступными серверами SSH. Клиент SSH поддерживает шифры стандарта шифрования данных (DES), Triple DES (3DES) и аутентификацию по паролю. Аутентификация пользователя выполняется аналогично сеансу Telnet с маршрутизатором. Для SSH поддерживаются следующие механизмы аутентификации пользователей: RADIUS, TACACS+ и использование локально сохраненных имен пользователей и паролей.
Cisco CCNA Secure Shell
Вы должны запомнить команду:
транспортный ввод ssh
Это включает SSH по линиям VTY.
Cisco CCNA проверяет SSH
Команда show ip ssh используется для проверки того, что сервер SSH включен, а также для просмотра версии и данных конфигурации для вашего соединения SSH. Пример вывода:
SSH включен — версия 1.5
Время ожидания аутентификации: 120 сек.; Попыток аутентификации: 3
Команда show ssh используется для проверки состояния подключений к вашему SSH-серверу. Пример вывода:
Версия подключения Имя пользователя состояния шифрования
0 1.5 Сеанс 3DES запущен в гостевом режиме
Cisco CCNA Enable Passwords
При установке пароля «Включить» вам будет предложено ввести пароль при вводе команды «включить» из режима глобальной конфигурации.
Пароль Enable Secret по умолчанию зашифрован и заменяет собой пароль enable. В качестве наилучшей практики рекомендуется использовать Enable Secret, поскольку он зашифрован в конфигурации с использованием хэша MD5. Другие средства шифрования пароля (уровень 7) можно легко взломать с помощью условно-бесплатных программ. Это особенно важно, если был получен доступ к файлам конфигурации и не была введена команда шифрования служебного пароля, которая используется для шифрования обычных паролей через уровень 7, поэтому они не видны в виде открытого текста. Поэтому рекомендуется использовать Включить секретный пароль.
Cisco CCNA шифрует ваши пароли
Помните, что вы можете увидеть все пароли, кроме Enable Secret, при выполнении show running-config на маршрутизаторе, если сервисный пароль-шифрование не был выдан.
Чтобы зашифровать пароли вручную, используйте команду глобальной конфигурации service password-encryption.
Настройки
Сеть — это одна из наиболее важных частей компьютерных технологий, которая включает и позволяет обмениваться информацией между несколькими порталами и компьютерами. Выпускной экзамен CNNA 1 v5. 0 — это всеобъемлющий и подробный набор викторин, призванный помочь вам проверить и углубить свои знания по предмету. Всего наилучшего!
Консольное подключение
Подключение AUX
Соединение Telnet
Соединение SSH
Чтобы обеспечить высокоскоростное подключение ко всем конечным устройствам
Чтобы убедиться, что все типы пакетов данных будут обрабатываться одинаково
Для достижения отказоустойчивости и высокой доступности устройств инфраструктуры сети передачи данных
Чтобы снизить затраты на развертывание и обслуживание коммуникационной инфраструктуры
Обратитесь к экспонату. Какая область, скорее всего, будет экстранетом для показанной сети компании?
Администратор использует комбинацию клавиш Ctrl-Shift-6 на коммутаторе после выполнения команды ping. Какова цель использования этих нажатий клавиш?
Чтобы перезапустить процесс проверки связи
Чтобы прервать процесс проверки связи
Для выхода в другой режим конфигурации
Чтобы позволить пользователю выполнить команду
Обратитесь к экспонату. Администратор хочет изменить имя нового коммутатора с помощью команды hostname, как показано ниже. Какая подсказка будет отображаться после выполнения команды?
Обратитесь к экспонату. Сетевой администратор настраивает управление доступом для коммутатора SW1. Если администратор использует консольное подключение для подключения к коммутатору, какой пароль требуется для доступа в пользовательский режим EXEC?
После внесения изменений в конфигурацию сетевой администратор запускает команду copy running-config startup-config на коммутаторе Cisco. Каков результат выполнения этой команды?
Новая конфигурация будет сохранена во флэш-памяти.
Новая конфигурация будет загружена при перезапуске коммутатора.
Текущий файл IOS будет заменен новым сконфигурированным файлом.
Изменения конфигурации будут удалены, а исходная конфигурация будет восстановлена.
На каком интерфейсе коммутатора администратор должен настроить IP-адрес, чтобы коммутатором можно было управлять удаленно?
Стек TCP/IP на сетевом узле
Подключение между двумя соседними устройствами Cisco
Соединение между ПК и шлюзом по умолчанию
Подключение между двумя ПК в одной сети
Физическое подключение конкретного ПК к сети
Какой протокол используется для обнаружения физического адреса по известному логическому адресу и какой тип сообщения он использует?
Хост обращается к серверу Telnet в удаленной сети. Какие три функции выполняют промежуточные сетевые устройства во время этого разговора? (Выберите три.)
Регенерация сигналов данных
Действовать как клиент или сервер
Предоставление канала, по которому передаются сообщения
Применение настроек безопасности для управления потоком данных
Уведомление других устройств при возникновении ошибок
Использование в качестве источника или получателя сообщений
Три сотрудника банка используют корпоративную сеть. Первый сотрудник использует веб-браузер для просмотра веб-страницы компании, чтобы прочитать некоторые объявления. Второй сотрудник обращается к корпоративной базе данных для выполнения некоторых финансовых операций. Третий сотрудник участвует в важной аудиоконференции в прямом эфире с другими корпоративными менеджерами в филиалах. Если QoS будет реализовано в этой сети, каковы будут приоритеты различных типов данных (от самого высокого до самого низкого)?
Аудиоконференция, финансовые транзакции, веб-страница
Финансовые транзакции, веб-страница, аудиоконференция
Аудиоконференция, веб-страница, финансовые операции
Финансовые операции, аудиоконференция, веб-страница
Хост не может взаимодействовать с другими хостами в локальной сети.
Коммутатор не будет пересылать пакеты, инициированные хостом.
Хост должен будет использовать ARP, чтобы определить правильный адрес шлюза по умолчанию.
Хост не может взаимодействовать с хостами в других сетях.
Эхо-запрос с хоста на 127.0.0.1 не будет успешным.
Студент ищет интернет-провайдера, который обеспечивает высокоскоростную цифровую передачу по обычным телефонным линиям. Какой тип подключения к провайдеру следует использовать?
Для обратной совместимости большинство компаний по-прежнему поставляют устаревшие, слабые шифры SSH и SSL. Сиско не исключение. Для безопасности вашей сети и для прохождения теста на проникновение вам необходимо отключить слабые шифры, отключить SSH v1 и отключить TLS версии 1.0 и 1.1.
Firefox, Chrome и Microsoft обязались отказаться от поддержки TLS1.1. Firefox фактически сделал это в мае 2020 года, но так много правительственных сайтов США перестали работать (во время истерии Covid19), что они откатились. Microsoft назначила июль 2020 г., чтобы удалить TLS 1.0/1.1 из IE, Edge Legacy и Edge Chromium.
В этом блоге рассказывается о программном обеспечении Cisco IOS. В будущем я планирую вести еще один блог о IOS-XE и Nexus.
Меня очень беспокоят производители сетевых устройств (думаю, все они), включающие SSH v1 по умолчанию. Большинство пользователей Windows подключаются к Putty, который поддерживает SSH v2. Вы должны установить Putty по умолчанию на SSH V2:
Если вы войдете в это устройство только один или два раза, вы можете использовать следующее без изменения файла конфигурации SSH:
Вы можете использовать переключатель "-G", и SSH покажет вам шифры, которые предлагает SSH:
На сайте OpenSSH есть страница, посвященная устаревшим шифрам
устаревшие шифры openssh
Удаление слабых алгоритмов SSH
"Версия 1.99" означает, что он поддерживает SSH v1 и v2. Мы хотим отключить v1 и удалить шифры cbc и 3Des. Это алгоритмы "Cipher Block Chain", которые вызовут сбой во время теста на проникновение.
В режиме глобальной конфигурации введите следующее:
Вы также должны выполнить следующие действия для защиты SSH
hmac-sha1 HMAC-SHA1 (длина дайджеста = длина ключа = 160 бит)
hmac-sha1-96 HMAC-SHA1-96 (длина дайджеста = 96 бит, длина ключа = 160 бит)
Если вы посмотрите на Аутентификацию в выходных данных, вы заметите, что Открытый ключ является опцией. Я написал блог, в котором показано, как использовать ключи SSH вместо паролей —
Аутентификация на устройствах Cisco с использованием ключей SSH
Слабые шифры SSL
Чтобы узнать, кто подключен к коммутатору через TLS:
Просмотр доступных текущих наборов шифров
Обратите внимание, что поддерживаются rc4 и Null!
Чтобы проверить, что предлагает коммутатор, я запустил скрипт nmap ssl-cert и ciphers.
Отчет о сканировании Nmap для 10.241.3.40
Хост работает, получен эхо-ответ ttl 254 (задержка 0,10 с).
Отсканировано 18.06.2020 в 15:28:06 по тихоокеанскому времени в течение 3 сек.
NSE: скрипт постсканирования.
NSE: запуск сканирования уровня выполнения 1 (из 1).
Запуск NSE в 15:28
Завершение NSE в 15:28, прошло 0,00 с
Чтение файлов данных из: /usr/local/bin/../share/nmap
Nmap выполнен: 1 IP-адрес (1 хост включен) просканирован за 2,71 секунды
Отправлено необработанных пакетов: 9 (372B) | Rcvd: 6 (232B)
NSE: скрипт постсканирования.
NSE: запуск сканирования уровня выполнения 1 (из 1).
Запуск NSE в 15:50
Завершение NSE в 15:50, прошло 0,00 с
Чтение файлов данных из: /usr/local/bin/../share/nmap
Nmap выполнен: 1 IP-адрес (1 хост включен) просканирован за 2,99 секунды
Отправлено необработанных пакетов: 5 (196B) | Rcvd: 2 (72B)
Результаты
Вы можете видеть, что он по-прежнему использует SHA1 в качестве подписи сертификата. Вы можете использовать Ciphersuite Info для сравнения различных шифров.
А как насчет SSH?
Давайте посмотрим, что нового для SSH в 15.7.2E2.
hmac-sha1 HMAC-SHA1 (длина дайджеста = длина ключа = 160 бит)
hmac-sha1-96 HMAC-SHA1-96 (длина дайджеста = 96 бит, длина ключа = 160 бит)
>hmac-sha2-256 HMAC-SHA2-256 (длина дайджеста = 256 бит, длина ключа = 256
бит)
hmac-sha2-512 HMAC-SHA2-512 (длина дайджеста = 512 бит, ключ длина = 512
бит)
Теперь мы можем исключить из нашего коммутатора древние шифры HMAC-SHA1 и CBC!
Сначала мы добавим sha2 HMAC
Затем удалите hmacs sha1
А теперь шифрование
Результаты
Усовершенствования заголовка безопасности
Приложения Nginx заботятся о заголовках своего ответа. Поскольку веб-интерфейс является одним из приложений NginX, он добавляет заголовки безопасности.
- X-XSS-защита: 1; режим=блокировать
- Параметры X-Frame: SAMEORIGIN
- X-Content-Type-Options: nosniff
Проделайте то же самое со своими серверами Linux
Скорее всего, ваша организация использует несколько серверов Linux. По умолчанию CentOS/Ubuntu будет иметь несколько слабых шифров. Это очень легко исправить, но вам потребуются привилегии root.
Если сервер внутренний, вы можете использовать скрипт ssh-enum nmap:
Это вернет список криптовалют, предлагаемых вашим сервером.
Обновите файл конфигурации sshd
Файл конфигурации sshd находится в /etc/ssh. Нам нужно открыть его и добавить нужные нам наборы. Сначала сделаем резервную копию.
Нажмите ctrl+x, введите Y, чтобы сохранить файл, и введите для завершения.
Вы можете использовать
для проверки изменений. Если в конфигурационном файле нет ошибок, ничего отображаться не будет. Если есть ошибки, вы получите сообщение с номером строки, где произошла ошибка.
Вы можете использовать
для создания дампа текущей конфигурации ssh.
Теперь нам просто нужно перезапустить демон ssh;
Проверьте свою работу
Обновите страницу sshcheck или перезапустите nmap. Вы должны увидеть только наборы шифров, которые вы ввели. Вот nmap против моего сервера:
У меня есть скрипт Python, который представляет меню с несколькими скриптами безопасности nmap. Если вы мало использовали nmap, на него стоит обратить внимание.
Читайте также: