Меню
Главная
Авторизация/Регистрация
 
Главная arrow Информатика arrow СЕТИ И ТЕЛЕКОММУНИКАЦИИ
Посмотреть оригинал

Формирование паролей на сетевых элементах

Формирование набора паролей необходимо для защиты сетевых элементов (коммутаторов и маршрутизаторов) от несанкционированного доступа не авторизованных пользователей, что может привести к нарушению конфиденциальности, целостности и доступности информации.

Информация для конфигурирования сетевых элементов (маршрутизаторов и коммутаторов) может приходить от различных источников через разные линии, например:

  • — с линии консольного порта (Console);
  • — с виртуальных линий интерфейсов терминалов (Virtual Terminals —В vty 0—4) при использовании протоколов удаленного доступа Telnet илиВ SSH. Цифры 0—4 означают, что можно использовать пять сессий TelnetВ для удаленного доступа.

Вход с линий происходит в пользовательском режиме, поэтому необходимо, прежде всего, защитить доступ к сетевым элементам с консоли: ограничить физический доступ и разрешить доступ только по паролю.

Второй путь к конфигурационному файлу сетевых элементов — это удаленный доступ по виртуальным линиям (vty), который также позволяют изменять конфигурацию сетевых элементов и обеспечивать контроль проходящего по ним трафика.

Просмотр текущей конфигурации сетевого элемента возможен по команде show running-config (сокращенно sh run) из привилегированного режима, переход в который из пользовательского режима такжеВ должен быть защищен паролем.

Для обеспечения безопасности линий, через которые осуществляется вход в маршрутизатор или коммутатор, необходимо сконфигурировать пароль пользовательского режима. Например, установка пароля на линию 0 консольного порта (console 0) реализуется следующей последовательностью команд:

Защита паролем виртуальных линий vty 0—4 для организации удаленного доступа Telnet в маршрутизатор осуществляется последовательностью:

Следует обратить внимание, что после ввода команды line маршрутизатор переходит в режим детального (специального) конфигурирования, когда приглашение изменяет вид Router_A (config-line) #. Следует

также отметить, что каждая удаленная сессия (каждая линия vty) может быть защищена своим отдельным паролем.

После установки паролей система будет запрашивать их у пользователя. Например, когда будет производиться подключение к сетевому элементуВ Router_A через консольный порт, потребуется пароль ciscol. При реализации удаленного доступа, например, с маршрутизатора Router_I3 к маршрутизатору Router_A с адресом одного из его интерфейсов 192.168.10.1В по команде:

потребуется пароль cisco2.

Если не установлен пароль на виртуальные линии vty, то реализация удаленного

доступа не возможна.

Для обеспечения авторизованного входа в привилегированный режим используются два пароля: enable secret и enable password. На маршрутизаторе и (или) коммутаторе устанавливается один (или оба) из этихВ паролей. После установки пароля система запрашивает его у пользователя,В когда вводится команда enable. Формат команд установки паролей cisco3В и cisco4 для входа в привилегированный режим приведен ниже:

Пароль enable secret но умолчанию криптографируется, поэтому является более строгим. Если установлены оба пароля enable secretВ и enable password, как в приведенном примере, то система будет реагировать на пароль cisco3. Пароль enable password по умолчаниюВ не криптографируется, поэтому его, как и другие пароли, можно посмотреть (и подсмотреть), например, по команде просмотра текущей конфигурации show running-configuration, которая выполняется из привилегированного режима. Ниже приведена часть распечатки этой командыВ верификации после установки паролей:В

Из распечатки следует, что только пароль (cisco), созданный командой enable secret, по умолчанию криптографируется, остальные паролиВ представлены в открытой форме.

В ряде случаев для повышения безопасности бывает необходимо режим криптографирования паролей распространить на все виды паролей. ЭтоВ делается по команде service password-encryption в режиме глобаль-н о го ко нф и тур и ро ван и я:

Router_A # sh run

Router_A (config) # service password-encryption

При этом в текущей конфигурации будут следующие изменения:

I

service password-encryption

i

hostname Router_A

I

enable secret 5 $l$mERr$hx5rVt7rPNos4wqbXKX7mO

enable password 7 0822455D0A1654

I

line con 0

password 7 0822455D0A164545 login

line vty 0 4

password 7 0822455D0A164544 login

Из распечатки следует, что после ввода команды service password-encryption все пароли криптографированы, причем пароль enable secret имеет сложную криптограмму, а остальные пароли — сравнительно простую.

Отмена режима криптографирования паролей производится но команде по service password-encryption в режиме глобального конфигурирования:

Router_A(config)# no service password-encryption

При этом уже сформированные пароли останутся в прежнем крипто-графированном виде, а вновь вводимые — криптографироваться не будут.

 
Посмотреть оригинал
Если Вы заметили ошибку в тексте выделите слово и нажмите Shift + Enter
< Предыдущая   СОДЕРЖАНИЕ   Следующая >
 

Популярные страницы