nocip.ssh@mail.ru
Главная  >  Безопасность компьютерных сетей

Расширенная защита пароля для коммутатора Cisco c2960

Создана 29.07.2023
Отредактирована 25.10.2023
Самые надежные пароли полезны ровно до тех пор, пока они никому не известны. Существует ряд действий, которые можно выполнить, чтобы обеспечить сохранность пароля в тайне на маршрутизаторах и коммутаторах включающих следующее:
  • Зашифруйте все открытые пароли;
  • Предотвращение атак с использованием пароля грубой силы;
  • Отключение доступа к неактивному привилегированному режиму EXEC через определенное время.
Использование команды глобальной конфигурации service password-encryption предотвращает несанкционированный доступ для просмотра паролей в виде обычного текста в файле конфигурации. Команда шифрует все открытые пароли.
Злоумышленники могут использовать программное обеспечение для взлома паролей для атаки грубой силы на сетевое устройство. Эта атака постоянно пытается угадать действительные пароли до тех пор, пока они не сработают. Используйте команду login block-for # attempts # within # глобальной конфигурации для предотвращения такого типа атак.
Команда login block-for 120 attempts 3 within 60 будет блокировать попытки входа в систему в течение 120 секунд, если в течение 60 секунд произойдет три неудачных попытки входа.
Сетевые администраторы могут отвлекаться и случайно оставить привилегированный сеанс EXEC открытым на терминале. Это может позволить внутреннему злоумышленнику изменить или стереть конфигурацию устройства.
По умолчанию коммутатор Cisco выйдет из сеанса EXEC после 10 минут бездействия. Однако, этот параметр можно уменьшить с помощью команды конфигурации exec-timeout minutes seconds line. Эту команду можно применить консольные, вспомогательные и vty линии.
Мы говорим устройству Cisco автоматически отключать неактивного пользователя на линии vty после того, как пользователь простаивал в течение 1 минуты 0 секунд. После этого сессия по средством SSH разрывается.
Проверим, зашифрованы ли пароли, для режима enable и локальный пароль.

Switch#show running-config | include enable
enable password myPublicPassword

Switch#show running-config | include username
username Maxim password 0 myPublicPassword

Видим, что пароли открытые, где myPublicPassword - это пароль. Давайте зашифруем их.

Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#service password-encryption

Проверим снова

Switch#show running-config | include enable
enable password 7 1043102910151E020F342B38373F3C2726

Switch#show running-config | include username
username Maxim password 7 094157390C071B1B083C05393833272131

Настроим сетевое устройство от взлома паролей против атаки грубой силы.

Switch(config)#login block-for 120 attempts 3 within 60

Чтобы установить интервал времени простоя сеанса, в течение которого система ожидает ввода данных пользователем в терминале, введите следующую команду для vty линий

Switch(config)#line vty 0 15
Switch(config-line)#exec-timeout 1 0
Switch(config-line)#end
Switch#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]

Проверим настройки

Switch#show running-config | section line vty
line vty 0 4
 exec-timeout 1 0
 login local
 transport input ssh
line vty 5 15
 exec-timeout 1 0
 login local
 transport input ssh

В этом примере используется 1 минута. Через 1 минуту ваше подключение через SSH оборвется, увеличьте для себя оптимальное время.