Какой тип доступа защищен на маршрутизаторе или коммутаторе Cisco с помощью команды enable secret
Обновлено: 21.11.2024
«Поторопитесь и разверните снаряжение. У нас есть крайний срок. Просто сделай это. Мы вернемся позже, чтобы запереть его». Звучит знакомо? Вот уже много лет сетевые инженеры делают именно это. За исключением того, что кто-то редко возвращается, чтобы «запереть его». Существует бесчисленное множество способов улучшить сетевую безопасность, но сегодня мы сосредоточимся на легко висящих фруктах, предоставив вам десять простых способов.
10 простых способов повысить безопасность сети
<р>1. Запри эти двериВсегда запирайте комнаты с чувствительным сетевым оборудованием. Если неавторизованный человек может войти в ваши коммуникационные шкафы, он/она может нанести серьезный ущерб. Человек со злым умыслом может сбросить административные пароли, получить полные привилегии, создать лазейки и многое другое. Даже кто-то без злого умысла может создать серьезные проблемы. Что произойдет, если уборщик Джимми решит подмести и случайно отключит один или два распределительных выключателя? Угу.
2. Обновление, обновление, обновление
Обновляйте программное обеспечение сетевого устройства . Cisco выпускает обновленное программное обеспечение примерно каждые три-шесть месяцев. Некоторые могут жить по поговорке «если это не сломано, не чини это», но это не применимо здесь. Обновленное программное обеспечение не только исправляет ошибки или добавляет новые функции, оно также устраняет известные уязвимости в системе безопасности. Старайтесь обновлять программное обеспечение маршрутизатора, коммутатора и брандмауэра не реже раз в год.
3. Зашифруйте свои пароли
Все знают, что пароли — это ключи к королевству. Некоторые устройства Cisco, особенно маршрутизаторы и коммутаторы на базе IOS, по умолчанию не шифруют все типы паролей. Любые глаза могут увидеть эту информацию и использовать ее в злонамеренных целях. Включите шифрование пароля, введя команду «service password-encryption» в режиме глобальной конфигурации [i] .
<р>4. Используйте SSHРаньше telnet использовался как стандарт для настройки устройств в сети. К сожалению, telnet передает все в виде обычного текста, так что прочитать его может любой. Сюда входят имена пользователей, пароли, конфигурации и все остальное, отправляемое через окно telnet.
Использование telnet облегчает злоумышленникам получение конфиденциальной информации. Удивительно, но многие организации до сих пор используют telnet для удаленной настройки своих коммутаторов, маршрутизаторов и даже брандмауэров. Secure Shell (SSH) шифрует эти данные по сети. По возможности лучше отключить telnet и включить SSH.
На маршрутизаторе или коммутаторе Cisco на базе IOS эти быстрые команды помогут вам добраться туда, куда вам нужно:
Для подключения SSH к вашему устройству необходимо использовать программное обеспечение SSH, такое как PuTTY, SecureCRT или TeraTerm.
Telnet плохо подходит для управления сетевыми устройствами, но для некоторых задач он все же хорош. Подключитесь к towel.blinkenlights.nl, чтобы посмотреть ASCII-версию «Звездных войн»!
<р>5. Ограничить доступ к устройствуВаша организация не хочет, чтобы разгневанный сотрудник, студент или посетитель пытался пройти аутентификацию на вашем сетевом оборудовании. Доступ к этим устройствам должен иметь только соответствующий ИТ-персонал. Для маршрутизаторов и коммутаторов Cisco это можно заблокировать, создав список управления доступом (ACL) и применив его к линиям VTY. ACL должен содержать только IP-адреса разрешенных устройств, всем остальным IP-адресам будет немедленно отказано в доступе.
Ниже приведен пример того, как это сделать для устройств на базе IOS [ii]:
<р>6. Используйте SNMP с умомВот несколько советов о том, как разумно использовать SNMP:
- По возможности используйте SNMPv3. SNMPv3 позволяет выполнять как аутентификацию, так и шифрование (конфиденциальность), что является огромным улучшением по сравнению с предыдущими версиями.
- Используйте список управления доступом SNMP (ACL). Это ограничивает IP-адреса, которые могут получить доступ к устройству через SNMP.
- Если SNMPv2c должен использоваться, не используйте простые (или стандартные) строки чтения и записи. Измените строки, чтобы они соответствовали требованиям вашей организации к паролям.
На сетевых устройствах в фоновом режиме работает множество служб. Многие нужны, но не все. Эти ненужные службы могут тратить дополнительные ресурсы, но, что более важно, могут увеличить поверхность атаки устройства. Ниже приведен список служб на базе IOS, которые следует отключить, если в этом нет крайней необходимости [iii]:
<р>8. ВЛС 1.В зависимости от вашей среды это может не подпадать под простую категорию. Несмотря на то, что существуют различные решения для снижения рисков и проблем, связанных с использованием VLAN 1, обычно проще вообще не использовать ее.
Вот несколько причин не использовать его:
- По умолчанию все порты коммутатора Cisco назначаются VLAN
Это может представлять угрозу безопасности, если неиспользуемые порты коммутатора не будут закрыты или заменены на другую сеть VLAN.
- VLAN 1 является собственной VLAN по умолчанию на магистралях
Если собственная VLAN не будет изменена на неиспользуемую VLAN, это еще одна угроза безопасности, которая может быть использована в атаке VLAN Hopping[iv] .
- VLAN 1 используется для управления трафиком
Различные протоколы, включая VTP, CDP и PAgP, используют эту VLAN, которая проходит через магистраль, даже если она сокращена. Использование VLAN 1 для конечных точек может быть неоптимальным.
Журналы устройств могут быть чрезвычайно полезными, особенно в случае нарушения безопасности или поломки. Многие организации имеют плохие методы ведения журналов, которые могут даже не реализовываться. Например, временные метки могут быть неверными, журналы существуют только на локальном устройстве или журналы вообще отключены.
Вот список рекомендаций по ведению журнала:
- Убедитесь, что для ведения журнала настроен правильный уровень ведения журнала
На маршрутизаторах, коммутаторах и брандмауэрах Cisco — обычно это уровень 6 (информационный) - И время, и временные метки должны быть точными
Устройство должно использовать действующий сервер NTP, а часовой пояс должен быть правильным - Используйте внешний сервер журналов
Программное обеспечение для системных журналов с открытым исходным кодом (или по минимальной цене) широко доступно - Вход в буфер устройства
Вход в буфер устройства может упростить устранение неполадок
Команды серверов отлично справляются с резервным копированием. К сожалению, это не всегда так на сетевой стороне дома. Маршрутизаторы, коммутаторы и брандмауэры тоже нуждаются в резервном копировании. Конфигурации могут быть перестроены без резервного копирования; однако это будет гораздо более болезненно и займет много времени, что приведет к увеличению времени простоя.
Для небольших организаций подойдет простое копирование и вставка файлов конфигурации. Более крупные организации могут захотеть использовать автоматизированные инструменты, которые делают это на регулярной основе.
По-настоящему безопасная сетевая среда состоит из множества уровней. Приведенные выше рекомендации относятся лишь к небольшой части. Если эта статья пробудит в вас интерес к дополнительной информации о сетевой безопасности, не стесняйтесь обращаться к нашей команде безопасности. Мы будем рады провести полную оценку и предоставить интуитивно понятные и информативные результаты.
- +880 1613-275275 (Лалмация)
- +880 1613-275276 (Курилы)
- +880 1613-275275 (Лалмация)
- +880 1613-275276 (Курилы)
1. Какое утверждение о работающем файле конфигурации на устройстве Cisco IOS верно?
- А. Он сразу же влияет на работу устройства при изменении.
- Б. Он автоматически сохраняется при перезагрузке маршрутизатора.
- С. Его следует удалить с помощью команды erase running-config.
Как только команды конфигурации вводятся в маршрутизатор, они немедленно изменяют устройство. Текущие файлы конфигурации нельзя ни удалить, ни сохранить автоматически.
2. Какие два утверждения верны в отношении пользовательского режима EXEC? (Выберите два.)
- А. Подсказка устройства для этого режима заканчивается символом ">".
- Б. Доступ к режиму глобальной конфигурации можно получить, введя команду enable.
- Д. Можно просматривать только некоторые аспекты конфигурации маршрутизатора.
- Д. Можно настроить интерфейсы и протоколы маршрутизации.
Пользовательский режим EXEC ограничивает доступ к некоторым командам отображения и отладки. Это первый уровень пользовательского интерфейса, который встречается при настройке маршрутизатора и предназначен для изучения некоторых функций устройства. Приглашение User EXEC обозначается символом ">" символ.
3. Какой тип доступа защищен на маршрутизаторе или коммутаторе Cisco с помощью команды enable secret?
Команда enable secret защищает доступ к привилегированному режиму EXEC маршрутизатора или коммутатора Cisco.
4. Что такое SVI по умолчанию на коммутаторе Cisco?
Коммутаторы уровня 2 используют виртуальные интерфейсы коммутатора (SVI) для предоставления средств удаленного доступа по IP. SVI по умолчанию на коммутаторе Cisco — VLAN1.
5. Когда имя хоста настраивается через интерфейс командной строки Cisco, какие три соглашения об именовании являются частью рекомендаций? (Выберите три.)
- А. Длина имени хоста не должна превышать 64 символа.
- Б. Имя хоста не должно содержать пробелов
- С. Имя хоста должно заканчиваться специальным символом
- Д. Имя хоста должно начинаться с буквы
- Э. Имя хоста должно быть написано строчными буквами
Имя хоста может состоять из символов верхнего или нижнего регистра и должно заканчиваться буквой или цифрой, а не специальным символом. Имя хоста должно начинаться с буквы, и для имени хоста не допускается пробел.
6. Какова функция оболочки в ОС?
- Б.Он предоставляет услуги защиты от вторжений для устройства.
- Д. Он является интерфейсом между пользователями и ядром.
Большинство операционных систем содержат оболочку и ядро. Ядро взаимодействует с аппаратным обеспечением, а оболочка взаимодействует между ядром и пользователями.
7. Маршрутизатор с действующей операционной системой содержит файл конфигурации, хранящийся в NVRAM. В файле конфигурации есть разрешающий секретный пароль, но нет пароля консоли. Какой режим будет отображаться при загрузке маршрутизатора?
Если устройство Cisco IOS имеет действующую IOS и действительный файл конфигурации, оно загрузится в пользовательском режиме EXEC. Для входа в привилегированный режим EXEC потребуется пароль.
8. Администратор только что изменил IP-адрес интерфейса на устройстве IOS. Что еще нужно сделать, чтобы применить эти изменения к устройству?
- А. Скопируйте информацию из файла начальной конфигурации в текущую конфигурацию.
- Б. Ничего не должно быть сделано. Изменения в конфигурации на устройстве IOS вступают в силу, как только команда введена правильно и нажата клавиша Enter.
- С. Скопируйте текущую конфигурацию в файл начальной конфигурации.
- Д. Перезагрузите устройство и введите yes, когда будет предложено сохранить конфигурацию.
Изменения в конфигурации маршрутизатора и коммутатора вступают в силу сразу после ввода команды. По этой причине очень важно, чтобы изменения в устройствах реального производства всегда тщательно планировались перед их внедрением. Если вводятся команды, которые делают устройство нестабильным или недоступным, возможно, потребуется перезагрузить устройство, что приведет к простою сети.
Чтобы установить локальный пароль для управления доступом к различным уровням привилегий, используйте команду enable password в режиме глобальной конфигурации. Чтобы отменить требование пароля, используйте форму no этой команды.
включить пароль [ уровень уровень ]
не включать пароль [уровень уровень]
Описание синтаксиса
(Необязательно) Уровень, для которого применяется пароль. Вы можете указать до 16 уровней привилегий, используя числа от 0 до 15. Уровень 1 — это обычные привилегии пользователя в режиме EXEC. Если этот аргумент не указан в команде или форме команды no, уровень привилегий по умолчанию равен 15 (традиционные привилегии включения).
Пользователи вводят пароль для входа в режим включения.
(Необязательно) Собственный алгоритм Cisco, используемый для шифрования пароля. В настоящее время доступен только тип шифрования 5. Если указать тип шифрования, следующим аргументом должен быть зашифрованный пароль (пароль, уже зашифрованный маршрутизатором Cisco).
Введенный зашифрованный пароль, скопированный из конфигурации другого маршрутизатора.
Команда по умолчанию
Пароль не определен. По умолчанию используется уровень 15.
Режимы команд
История команд
Эта команда была введена.
Эта команда была интегрирована в Cisco IOS версии 12.(33)SRA.
Эта команда поддерживается в поезде Cisco IOS версии 12.2SX. Поддержка в конкретном выпуске 12.2SX этого поезда зависит от набора функций, платформы и аппаратного обеспечения платформы.
Правила использования
Если ни команда enable password, ни команда enable secret не настроены и если для консоли настроен пароль линии, пароль линии консоли будет использоваться в качестве пароля включения для всех VTY (Telnet и Secure Shell [SSH] ) сеансы.
Используйте эту команду с параметром level, чтобы задать пароль для определенного уровня привилегий. После того, как вы укажете уровень и пароль, дайте пароль пользователям, которым необходимо получить доступ к этому уровню. Используйте команду настройки уровня привилегий, чтобы указать команды, доступные на различных уровнях.
Обычно вы не будете вводить тип шифрования. Обычно вы вводите тип шифрования, только если вы копируете и вставляете в эту команду пароль, который уже был зашифрован маршрутизатором Cisco.
Если вы укажете тип шифрования, а затем введете пароль открытым текстом, вы не сможете повторно войти в режим включения. Вы не можете восстановить утерянный пароль, который был зашифрован любым способом.
Если установлена команда service password-encryption, зашифрованная форма пароля, который вы создаете с помощью команды enable password, отображается при вводе команды more nvram:startup-config.
Вы можете включить или отключить шифрование паролей с помощью команды service password-encryption.
Пароль включения определяется следующим образом:
- Должен содержать от 1 до 25 прописных и строчных буквенно-цифровых символов.
- Возможны начальные пробелы, но они игнорируются. Однако распознаются промежуточные и конечные пробелы.
- Может содержать символ вопросительного знака (?), если при создании пароля вы ставите перед вопросительным знаком комбинацию клавиш Crtl-v; например, чтобы создать пароль abc?123, выполните следующие действия:
- Введите abc .
- Введите Crtl-v .
- Введите ?123 .
Когда система предложит вам ввести пароль включения, вам не нужно ставить перед вопросительным знаком сочетание клавиш Ctrl-v; вы можете просто ввести abc?123 в поле ввода пароля.
Примеры
В следующем примере используется пароль «pswd2» для уровня привилегий 2:
В следующем примере зашифрованный пароль «$1$i5Rkls3LoyxzS8t9», скопированный из файла конфигурации маршрутизатора, устанавливается для уровня привилегий 2 с использованием типа шифрования 7:
Связанные команды
Выходит из привилегированного режима EXEC и возвращается в пользовательский режим EXEC.
Входит в привилегированный режим EXEC.
Указывает дополнительный уровень безопасности по сравнению с командой enable password.
Настраивает новый уровень привилегий для пользователей и связывает команды с этим уровнем привилегий.
Отображает ваш текущий уровень привилегий.
включить секрет
Чтобы задать дополнительный уровень безопасности поверх команды enable password, используйте команду enable secret в режиме глобальной конфигурации. Чтобы отключить функцию включения секрета, используйте форму no этой команды.
no enable secret [ уровень уровень ] [зашифрованный пароль типа шифрования ]
Описание синтаксиса
(Необязательно) Указывает уровень, для которого применяется пароль. Вы можете указать до 15 уровней привилегий, используя цифры от 1 до 15. Уровень 1 — это обычные привилегии пользователя в режиме EXEC. Если аргумент уровня не указан в команде или в форме команды no, уровень привилегий по умолчанию равен 15 (традиционные привилегии включения).
(Необязательно) Указывает незашифрованный текстовый пароль. Пароль преобразуется в секрет алгоритма безопасного хеширования (SHA) 256 и сохраняется в маршрутизаторе.
Пароль для входа пользователей в режим включения. Этот пароль должен отличаться от пароля, созданного с помощью команды enable password.
Проприетарный алгоритм Cisco, используемый для шифрования пароля. Для этой команды доступны типы шифрования 4 и 5.
- 4 — указывает зашифрованную секретную строку SHA-256. Секретная строка SHA256 копируется из конфигурации маршрутизатора.
- 5 — задает зашифрованный секрет алгоритма дайджеста сообщения 5 (MD5).
Зашифрованный пароль, скопированный из конфигурации другого маршрутизатора.
Команда по умолчанию
Пароль не определен. Уровень по умолчанию — 15.
Режимы команд
Глобальная конфигурация (config)История команд
Эта команда была введена.
Эта команда была интегрирована в Cisco IOS версии 12.2(33)SRA.
Эта команда поддерживается в поезде Cisco IOS версии 12.2SX. Поддержка в конкретном выпуске 12.2SX этого поезда зависит от набора функций, платформы и аппаратного обеспечения платформы.
Эта команда была интегрирована в Cisco IOS версии 15.0(1)S. Добавлена поддержка типа шифрования 4.
Cisco IOS XE версии 3.1S
Эта команда была интегрирована в Cisco IOS XE версии 3.1S. Добавлена поддержка типа шифрования 4.
Эта команда была изменена. Добавлена поддержка типа шифрования 4.
Cisco IOS версии 3.3.0SG
Эта команда была изменена. Поддержка типа шифрования 5 удалена.
Эта команда была интегрирована в Cisco IOS версии 15.1(1)SY.
Cisco IOS XE версии 3.2SE
Эта команда была изменена. Изменено предупреждающее сообщение об отключении поддержки типа шифрования 5.
Правила использования
Если ни команда enable password, ни команда enable secret не настроены и если для консоли настроен пароль линии, пароль линии консоли будет служить паролем включения для всех vty (Telnet и Secure Shell [SSH]) сеансы.
Используйте команду enable secret, чтобы обеспечить дополнительный уровень безопасности по сравнению с паролем enable. Команда enable secret обеспечивает лучшую безопасность, сохраняя пароль enable secret с помощью необратимой криптографической функции. Дополнительный уровень шифрования безопасности полезен в средах, где пароль передается по сети или хранится на TFTP-сервере.
Обычно вы вводите тип шифрования только тогда, когда вставляете зашифрованный пароль, скопированный из файла конфигурации маршрутизатора, в эту команду.
Если вы укажете тип шифрования, а затем введете текстовый пароль, вы не сможете повторно войти в режим включения. Вы не можете восстановить утерянный пароль, который был зашифрован любым способом.
Если вы используете один и тот же пароль для команд enable password и enable secret, вы получите сообщение об ошибке с предупреждением о том, что это не рекомендуется, но пароль будет принят. Однако, используя тот же пароль, вы подрываете дополнительную безопасность, которую обеспечивает команда enable secret.
После того как вы установили пароль с помощью команды enable secret, пароль, установленный с помощью команды enable password, работает только в том случае, если enable secret отключен или используется более старая версия программного обеспечения Cisco IOS, например, при запуске более старого образа rxboot. . Кроме того, вы не можете восстановить утерянный пароль, который был зашифрован любым способом.
Если установлена команда сервисного пароля-шифрования, зашифрованная форма создаваемого вами пароля отображается при вводе команды more nvram:startup-config.
Вы можете включить или отключить шифрование паролей с помощью команды service password-encryption.
Пароль включения определяется следующим образом:
- Должен содержать от 1 до 25 буквенно-цифровых символов, как в верхнем, так и в нижнем регистре.
- Возможны начальные пробелы, но они игнорируются. Однако распознаются промежуточные и конечные пробелы.
- Может содержать символ вопросительного знака (?), если при создании пароля вы ставите перед вопросительным знаком комбинацию клавиш Crtl-v; например, чтобы создать пароль abc?123, выполните следующие действия:
- Введите abc .
- Введите Crtl-v .
- Введите ?123 .
Когда система предложит вам ввести пароль включения, вам не нужно ставить перед вопросительным знаком сочетание клавиш Ctrl-v; вы можете ввести abc?123 в запросе пароля.
Во время перехода с версии 3.3.0SG на версию 3.2.0SG, если настроен активирующий пароль с шифрованием SHA256, то пароль с шифрованием SHA256 будет потерян без предупреждения, а секретный пароль придется настраивать заново.
Примеры
В следующем примере показано, как указать пароль с помощью команды enable secret:
После указания пароля с помощью команды enable secret пользователи должны ввести этот пароль, чтобы получить доступ. Любые пароли, установленные с помощью команды enable password, больше не будут работать.
В следующем примере показано, как включить зашифрованный пароль «$1$FaD0$Xyti5Rkls3LoyxzS8», который был скопирован из файла конфигурации маршрутизатора, для уровня привилегий 2 с использованием типа шифрования 4:
Следующий пример представляет собой образец предупреждающего сообщения, которое отображается, когда пользователь вводит команду enable secret 5 зашифрованного пароля:
В этом уроке мы рассмотрим, как защитить пользовательский режим и привилегированный (включить) режим. По умолчанию аутентификация не требуется. Если вы подключите консольный кабель Cisco к коммутатору или маршрутизатору, произойдет следующее:
Как только вы нажмете кнопку ввода, мы сразу перейдем в пользовательский режим. Там нет пароля или чего-то еще. То же самое относится и к режиму включения:
У нас сразу же есть полный доступ. Это то, что вы, возможно, захотите изменить, и я объясню это в этом уроке.
Безопасность пользовательского режима
Начнем с пользовательского режима.
Простой пароль
Самый простой способ защитить пользовательский режим — добавить пароль. Вот как это сделать:
Во-первых, нам нужно войти в настройки консоли. Здесь мы должны добавить две команды:
Мы настраиваем пароль (cisco) и используем команду входа в систему, чтобы указать Cisco IOS запросить этот пароль. В следующий раз, когда вы откроете консоль, произойдет следующее:
CLI запросит у вас пароль. По крайней мере, у нас есть какая-то форма аутентификации, но мы можем сделать лучше…
Имя пользователя и пароль
Вместо одного пароля также можно использовать имена пользователей и пароли. Это лучший вариант, если у вас есть несколько человек, которым нужен доступ к вашему маршрутизатору или коммутатору. Вот как это сделать:
В настройках консоли мы используем команду login local, чтобы указать коммутатору обратиться к локальной базе данных имен пользователей и паролей для аутентификации. В глобальной конфигурации создаем имя пользователя «admin» с паролем «cisco».
В следующий раз, когда вы откроете консоль, вы увидите следующее:
Коммутатор запрашивает наше имя пользователя и пароль.
Включить безопасность режима
Как насчет режима включения/привилегированного режима? Мы также можем добавить туда пароль. Вам нужно сделать это из режима конфигурации:
Теперь мы можем установить пароль для включения режима:
Проверим, работает ли наш пароль «cisco». Давайте выйдем из режима включения:
И вернемся обратно:
Теперь коммутатор запрашивает пароль.
Шифрование паролей
В приведенных выше примерах мы использовали пароли, но есть одна проблема… все они отображаются в нашей конфигурации в виде открытого текста. Посмотрите ниже:
Все это чистый текст. Если кто-то украдет один из ваших коммутаторов или маршрутизаторов, у него будут ваши пароли. Если вы когда-нибудь сделаете резервную копию своей конфигурации и забудете удалить пароли, та же проблема.
В Cisco IOS есть команда, позволяющая шифровать все пароли открытым текстом в вашей конфигурации. Вот как:
Команда service password-encryption шифрует каждый пароль в виде обычного текста. Здесь вы можете увидеть результат:
Сейчас у вас может возникнуть ощущение, что все зашифровано, но на самом деле это очень плохой (сломанный) алгоритм шифрования. Существуют веб-сайты, которые позволяют расшифровывать эти зашифрованные строки на лету. Если вы хотите попробовать это, вот один из таких веб-сайтов.
Нам нужно что-то более сильное…
Секрет
Cisco IOS поддерживает нечто, называемое секретом, в качестве альтернативы паролю. Давайте попробуем это для режима включения:
Выше вы видите, что этот переключатель поддерживает хэши MD5, PBKDF2 и SCRYPT. Старые устройства IOS поддерживают только аутентификацию MD5.
Давайте попробуем:
Нашим секретом будет «Cisco». Давайте посмотрим, что мы находим в конфигурации:
Теперь вы найдете хэш MD5 в конфигурации. «5», которую вы видите за «enable secret», — это алгоритм, который мы используем, 5 означает MD5.
В настоящее время MD5 не считается безопасным. Подбирать простые пароли очень легко. Например, попробуйте этот веб-сайт для хеша MD5, который был создан для моего секретного «cisco». Восстановление займет всего несколько секунд.
Давайте попробуем один из других алгоритмов, которые в настоящее время считаются безопасными. Вот как вы можете выбрать алгоритм для режима включения:
Давайте попробуем алгоритм хеширования PBKDF2 (SHA256):
Когда мы посмотрим на нашу конфигурацию, мы увидим новый хеш:
Цифра "8" после слова "enable secret" относится к алгоритму хеширования PBKDF2, который мы использовали.
В приведенном выше примере я изменил алгоритм хеширования для режима включения, но мы также можем сделать это для имен пользователей. Вот пример:
Мое имя пользователя теперь также использует SHA256 в качестве пароля «cisco». Вот как это выглядит:
Убедитесь, что вы используете надежные пароли. Независимо от того, какой алгоритм хеширования вы используете, слабые пароли, такие как «cisco», легко восстанавливаются.
Внешние серверы аутентификации
Настройка имен пользователей и секретов на устройствах Cisco IOS является хорошей практикой, но у нас есть одна проблема — масштабируемость. Если у вас есть сеть с несколькими устройствами, вам придется настроить свои имена пользователей/секреты на всех устройствах. Если вы меняете свой пароль, вы должны сделать это на всех устройствах.
В больших сетях мы обычно используем серверы аутентификации, называемые серверами RADIUS или TACACS+. На этих серверах мы настраиваем наши имена пользователей. Когда кто-то пытается получить доступ к консоли или включить режим на одном из ваших коммутаторов или маршрутизаторов, он проверяет учетные данные на сервере аутентификации.
Это позволяет централизованно проводить аутентификацию. Об этом мы поговорим на других уроках.
Заключение
Теперь вы узнали, как защитить пользователя и включить режим ваших устройств Cisco IOS. Убедитесь, что вы используете «secret» вместо простых текстовых паролей и, если возможно, используйте более надежный алгоритм хеширования, чем MD5 по умолчанию.
Читайте также: