Ограничение Доступа к Устройству IOS - Конфигурирование Паролей
Физическое ограничение доступа к сетевым устройствам путем размещения их в отдельных помещениях в заблокированных стойках является хорошей практикой; однако, пароли являются основной защитой против несанкционированного доступа к сетевым устройствам. Каждое устройство должно иметь локально сконфигурированный пароль, чтобы ограничить доступ. Позже будет описано, как усилить безопасность путем требования идентификатора пользователя наряду с паролем. Пока, будут представлены основные меры предосторожности с использованием только паролей.
Как обсуждалось ранее, IOS использует иерархические режимы для обеспечения безопасности устройства. Как часть этой безопасности, IOS может использовать несколько видов паролей, которые предоставляют различные права доступа устройству.
Пароли, которые будут описаны далее:
-
Пароль консоли - ограничивает доступ к устройству при использовании консольного соединения
-
Пароль enable - ограничивает доступ к привилегированному режиму EXEC
-
Секретный пароль enable - зашифрованный пароль, который ограничивает доступ к привилегированному режиму EXEC
-
Пароль VTY - ограничивает доступ к устройству при использовании Telnet
Хорошей практикой является использование различных паролей аутентификации для каждого из этих уровней доступа. Хотя вход в систему с несколькими различными паролями неудобен, это - необходимая предосторожность, чтобы должным образом защитить сетевую инфраструктуру от несанкционированного доступа.
Кроме того, следует использовать сильные пароли, которые трудно угадать. Использование слабых или легко угадываемых паролей продолжает быть проблемой безопасности во многих аспектах делового мира.
Рассмотрите следующие ключевые пункты при выборе паролей:
-
Используйте пароли, которые более 8 символов в длину.
-
Используйте комбинацию прописных и строчных и/или числовых последовательностей в паролях.
-
Избегайте использования одного и того же пароля для всех устройств.
-
Избегайте использования распространенных слов, таких как password или administrator, потому что их легко угадать.
Как показано на рисунке, после запроса пароль, устройство не отображает пароль при его вводе. Другими словами символы пароля не будут появляться при вводе пароля. Это делается в целях безопасности - многие пароли собираются любопытными глазами.
Консольный Пароль
У консольного порта устройства Cisco IOS есть специальные привилегии. Консольный порт сетевых устройств должен быть защищен, как минимум, требуя, чтобы пользователь ввел сильный пароль. Это уменьшает шанс, что неправомочный персонал, физически включающий кабель в устройство, получит доступ к устройству.
Следующие команды используются в глобальном режиме конфигурации, чтобы установить пароль для консоли:
Switch(config)#line console 0
Switch(config-line)#password пароль
Switch(config-line)#login
Из глобального режима конфигурации используется команда line console 0, чтобы войти в режим конфигурации линии консоли. Нуль используется, чтобы указать первый (и в большинстве случаев единственный) консольный интерфейс для маршрутизатора.
Вторая команда, password пароль, определяет пароль на линии.
Команда login конфигурирует маршрутизатор, чтобы тот требовал аутентификации после входа в систему. Когда вход в систему включен и пароль установлен, будет возникать подсказка, чтобы ввести пароль.
Как только эти три команды выполнены, подсказка для ввода пароля будет появляться каждый раз, когда пользователь пытается получить доступ к консольному порту.
Далее: Кадрирование - Роль Трейлера (Метки конца)