Я настраиваю маршрутизатор Cisco 2901. У меня есть пароль для входа в консольную строку, а строки vty настроены на прием только ssh-соединений с аутентификацией с открытым ключом. Вспомогательная линия отключена. Есть только два администратора, которые будут иметь доступ к маршрутизатору, и мы оба уполномочены выполнять любую настройку на маршрутизаторе.
Я не эксперт по оборудованию Cisco, но считаю, что этого достаточно для безопасного доступа к конфигурации маршрутизатора. Тем не менее, в каждом отдельном руководстве, которое я прочитал, говорится, что я должен установить секрет включения независимо от любых других пользовательских или линейных паролей.
Есть ли что-то еще в разрешающем пароле, о котором я не знаю? Есть ли другой способ получить доступ к маршрутизатору, кроме консольной, вспомогательной или VTY линий?
РЕДАКТИРОВАТЬ:
я добавил фактическую конфигурацию ниже, чтобы быть более ясным о моей ситуации. Следующее работает, с требованием разрешить пароль или username
конфигурацию помимо того, что внутри ip ssh pubkey-chain
.
aaa new-model
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
ip ssh pubkey-chain
username tech
key-hash ssh-rsa [HASH]
ip scp server enable
line vty 0 4
transport input ssh
Ответы:
Нет, технически. Но можно ли войти в режим включения без такового, зависит от того, как вы вошли в систему.
Вот версия мгновенного удовлетворения:
Вы можете войти через консоль без пароля включения, но вы застрянете в пользовательском режиме, если вы используете простой пароль входа в систему vty без установленного пароля активации.
Вот длинная версия ответчика StackExchange:
Аутентификация Cisco - своего рода беспорядок для новичка. Там много старого багажа. Позвольте мне попытаться разобраться в этом в реальном смысле.
Каждый, кто занимается бизнесом, подключается к маршрутизатору или коммутатору и переходит непосредственно в привилегированный режим. Пользовательский режим - это, в основном, передний вестибюль, который служит чуть больше цели, чем не допускать сквозняков. В больших организациях, где у вас есть обширные сети и столь же огромные трудовые ресурсы, может быть оправданным иметь кого-то, кто может постучать в парадную дверь и убедиться, что кто-то еще там. (То есть, чтобы войти в систему и выполнить самые тривиальные команды, просто чтобы убедиться, что устройство фактически отвечает, а не горит.) Но в каждой среде, в которой я когда-либо работал, уровень 1 имел по крайней мере некоторую способность сломать вещи.
Таким образом, и особенно в сценарии, подобном вашему, знание пароля включения обязательно, чтобы что-то сделать. Вы могли бы сказать, что это второй уровень безопасности - один пароль для входа в устройство, другой - для перехода к административным привилегиям - но мне это кажется немного глупым.
Как уже отмечалось, вы можете (и многие люди используют) один и тот же пароль, который мало поможет, если кто-то получил несанкционированный доступ через telnet / ssh. Возможно, проблема состоит в том, чтобы иметь статические, глобальные пароли, которыми все делятся, и это больше проблема, чем просто ввести один токен. Наконец, большинство других систем (сервисов, устройств и т. Д.) Не требуют второго уровня аутентификации и, как правило, не считаются небезопасными из-за этого.
ОК, это мое мнение по теме. Вы должны решить для себя, имеет ли это смысл в свете вашей собственной позиции безопасности. Давайте приступим к делу.
Cisco (разумно) требует, чтобы вы установили пароль удаленного доступа по умолчанию. Когда вы попадаете в режим настройки линии ...
... вы можете указать маршрутизатору пропустить аутентификацию:
... и быстро взломать, но ваш злоумышленник окажется в режиме пользователя. Так что если у вас есть разрешающий набор паролей, по крайней мере , вы несколько ограничены ущерб , который может быть сделано. (Технически, вы не можете идти дальше без пароля включения. Подробнее об этом чуть позже ...)
Естественно, никто не сделал бы это в реальной жизни. Ваше минимальное требование по умолчанию и по здравому смыслу - установить простой пароль:
Теперь вам будет предложено ввести пароль, и вы снова окажетесь в режиме пользователя. Если вы
enable
входите через консоль, вы можете просто ввести, чтобы получить доступ без необходимости вводить другой пароль. Но через telnet все по-другому, и вы, вероятно, получите это:Продолжаем ... Вы, наверное, уже знаете, что по умолчанию все настроенные пароли отображаются в виде простого текста:
Это одна из тех вещей, которая подтягивает сфинктер сознательного к безопасности. Оправданно ли это беспокойство - это снова то, что вы сами должны решить. С одной стороны, если у вас есть достаточный доступ для просмотра конфигурации, возможно, у вас есть достаточный доступ для изменения конфигурации. С другой стороны, если вам посчастливилось иметь неосторожно показал свою конфигурацию , чтобы кто - то , кто не имеет средств сами, то ... ну, теперь они действительно имеют средства.
К счастью, первая строка в приведенном выше фрагменте
no service password-encryption
является ключом к изменению этого:Теперь, когда вы смотрите на конфигурацию, вы видите это:
Это немного лучше, чем пароли в виде простого текста, потому что отображаемая строка не достаточно запоминаема, чтобы перемещаться по плечу. Тем не менее, расшифровать тривиально - и я использую этот термин здесь свободно. Вы можете буквально вставить эту строку в один из дюжины взломщиков паролей JavaScript на первой странице результатов Google и сразу же получить исходный текст.
Эти так называемые «7» пароли обычно считаются «запутанными», а не «зашифрованными», чтобы подчеркнуть тот факт, что он чуть лучше, чем ничего.
Однако, как оказалось, все эти
password
команды устарели. (Или, если это не так, они должны быть.) Вот почему у вас есть следующие два варианта:Секретная версия хэшируется с помощью одностороннего алгоритма, что означает, что единственный способ вернуть исходный текст - это перебор, то есть, пробовать каждую возможную входную строку, пока вы не сгенерируете известный хеш.
Когда вы вводите пароль в приглашении, он проходит по тому же алгоритму хеширования и поэтому должен в конечном итоге генерировать тот же хеш, который затем сравнивается с тем, который указан в файле конфигурации. Если они совпадают, ваш пароль принят. Таким образом, простой текст не известен маршрутизатору, за исключением краткого момента, когда вы создаете или вводите пароль. Примечание: всегда есть вероятность, что какой-то другой вход может генерировать такой же хеш, но статистически это очень низкая (читай: незначительная) вероятность.
Если вы должны были использовать описанную выше конфигурацию самостоятельно, маршрутизатор позволит обе
enable password
иenable secret
линии существовать, но секрет победы от пароля. Это один из тех Cisco-измов, который не имеет особого смысла, но это так. Кроме того, нетsecret
эквивалентной команды из режима конфигурации линии, поэтому вы застряли там с запутанными паролями.Хорошо, теперь у нас есть пароль, который нельзя (легко) восстановить из файла конфигурации, но есть еще одна проблема. Он передается в виде простого текста, когда вы входите в систему через telnet. Не хорошо. Мы хотим SSH.
SSH, разработанный с учетом более надежной безопасности, требует немного дополнительной работы - и образа IOS с определенным набором функций. Одно большое отличие состоит в том, что простой пароль уже недостаточно хорош. Вы должны перейти к пользовательской аутентификации. И пока вы это делаете, настройте пару ключей шифрования:
Теперь ты готовишь с газом! Обратите внимание, что эта команда использует
secret
пароли. (Да, вы можете, но не должны использоватьpassword
).privilege 15
Часть позволяет обойти пользовательский режим полностью. Когда вы входите в систему, вы переходите прямо в привилегированный режим:В этом случае нет необходимости использовать пароль (или секретный ключ).
Если вы еще не думал, «вау ... какая clusterfudge , что было», иметь в виду , что есть целый другой многословно пост еще скрывается за командой
aaa new-model
, где вы можете погрузиться в такие вещи , как внешние серверы аутентификации (RADIUS , TACACS +, LDAP и т. Д.), Списки аутентификации (которые определяют используемые источники и в каком порядке), уровни авторизации и учет активности пользователей.Сохраните все это на время, когда вам захочется на время отключиться от маршрутизатора.
Надеюсь, это поможет!
источник
enable
и это работает. Кроме того, наличие имени пользователя с привилегией 15 все еще требует, чтобы я напечатал enable. Это из-за новой модели?Да, вам нужно что-то установить. Именно так работает IOS. Вы можете сделать это так же, как ваш пароль для входа, если хотите.
Для нескольких пользователей я рекомендую вам установить аутентификацию AAA, которая позволит вам перейти непосредственно в режим включения без необходимости вводить другой пароль. Это также позволит вам отслеживать активность отдельных администраторов. (Но вам все равно нужно установить секретный пароль для включения.)
источник
aaa authorization exec default local
для автоматического входа в привилегированный exec.Добавить к существующей информации здесь.
enable
Первый вариант для установки
enable
пароляenable password
.Как видите, пароль хранится в виде простого текста. Это плохо .
Второе есть
enable secret
.Это лучше . По крайней мере, теперь у нас есть хэш пароля. Однако при этом используется только соленый MD5, поэтому его, вероятно, довольно легко взломать с помощью большого списка слов и openssl.
Третий вариант (и цель этого ответа)
enable algorithm-type
позволяет нам использовать PBKDF2 или SCRYPT.Это определенно лучше .
Филипп Д'Ат написал хорошее резюме о том, почему выбрать тип 9. Томас Порнин и Илмари Каронен предоставляют более подробную информацию.
источник
Это в основном дополнительный уровень безопасности. Если у вас нет версии IOS, которая поддерживает служебное шифрование паролей, то шифрование только разрешенных паролей происходит, пока пароли консоли и VTY находятся в незашифрованном виде. Если бы кто-то смог получить копию вашей конфигурации (скажем, из резервной копии или с автоматического компьютера, на котором был подключен telnet), зашифрованный пароль включения затруднил бы получение контроля над вашим маршрутизатором, даже если он мог подключиться через telnet.
Даже с зашифрованными паролями VTY и консольными паролями у вас все равно должен быть другой пароль включения, чтобы обеспечить безопасность и обеспечить дополнительный барьер.
источник
Завершите работу 1 из 2 пользователей-администраторов. В Cisco очень осторожны любые, любые возможные точки входа в хак через соединение. С двумя админами. При подключении cisco будет считать, что злоумышленник также подключен, и будет блокировать дальнейшее продвижение без надлежащего входа в систему. После того, как элемент управления восстановлен, вы сможете добавить администраторов.
источник