1. Trang chủ
  2. » Thể loại khác

Cisco Device Hardening (phần 3)Vấn đề password pot

3 264 0
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Cisco Device Hardening (phần 3)Vấn đề password pot
Trường học Trường Đại Học Công Nghệ Thông Tin
Chuyên ngành Công Nghệ Thông Tin
Thể loại bài viết
Thành phố Hồ Chí Minh
Định dạng
Số trang 3
Dung lượng 44 KB

Các công cụ chuyển đổi và chỉnh sửa cho tài liệu này

Nội dung

Để thực hiện việc này, lệnh login trong chế độ line sẽ báo cho router hiện ra một dấu nhắc yêu cầu nhập mật khẩu, và lệnh password sẽ định nghĩa chính mật khẩu đó.. Lệnh login và lệnh pa

Trang 1

Bảo vệ truy cập đến dấu nhắc lệnh CLI của các router và switch là một trong những bước đầu tiên trong bảo mật một hệ thống mạng dùng router và switch Cisco bao gồm một vài

cơ chế phù hợp để bảo vệ cho các thiết bị trong môi trường lab, cũng như là có rất nhiều đặc điểm giúp bảo vệ các thiết bị trong môi trường thật Thêm vào đó, các đặc điểm xác thực có thể được dùng để kiểm tra các ngườI dùng quay số dùng PPP

Bảo vệ truy cập CLI bằng mật khẩu đơn giản.

Hình dưới đây cho thấy một vài chi tiết làm thế nào các người dùng có thể truy cập được dấu nhắc lệnh ở chế độ user mode của một router, sau đó chuyển sang enable mode (priviledge mode) dùng lệnh enable

Hình trên mô tả ba phương thức cơ bản để có thể truy cập được user mode trên một router Cách thức trên cũng áp dụng cho các switch của Cisco chạy IOS, ngoạI trừ một chi tiết là các Cisco Switch không có cổng auxilary Cisco IOS có thể được cấu hình để

sử dụng cơ chế bảo vệ bằng mật khẩu một cách đơn giản Để thực hiện việc này, lệnh login trong chế độ line sẽ báo cho router hiện ra một dấu nhắc yêu cầu nhập mật khẩu, và lệnh password sẽ định nghĩa chính mật khẩu đó Chế độ mà các lệnh này được cấu hình cũng sẽ ngầm định những phương thức truy cập nào sẽ đòi password

Lệnh login và lệnh password ở dấu nhắc line con 0 sẽ báo router hiển thị ra dấu nhắc mật khẩu, lệnh password sẽ định nghĩa mật khẩu được dùng để kết nối vào cổng console

line con 0

login

password fred

!

line vty 0 15

login

Trang 2

password barney

Các lệnh này được lưu trong cấu hình ở dạng cleartext nhưng nó có thể được mã hóa lúc hiển thị bằng câu lệnh service password-encryption ở chế độ toàn cục

Lệnh service password-encryption sẽ làm cho tất cả các mật khẩu đang tồn tại trong cấu hình sẽ được mã hóa Số “7” trong lệnh password có nghĩa là giá trị theo sau chính là mật khẩu đã được mã hóa do câu lệnh service password-encryption

line con 0

password 7 05080F1C2243

login

line vty 0 4

password 7 00071A150754

login

Chú ý rằng khi lệnh service password-encryption được thêm vào cấu hình, tất cả các mật khẩu dạng clear-text trong cấu hình đều được hiển thị sang dạng mã hóa Mật khẩu lưu trong file startup config sẽ không thay đổI cho đến khi lệnh copy running-config

startupconfig được dùng để lưu lạI cấu hình Ngoài ra, sau khi tắt cơ chế mã hóa mật khẩu này(bằng lệnh no service password-encryption), các mật khẩu sẽ không được tự động giải mã, thay vào đó, Cisco IOS chờ một mật khẩu bị thay đổI trước khi hiển thị nó

ở dạng không mã hóa

Chú ý rằng thuật toán mã hóa được dùng bởi lệnh service password-encryption thì rất yếu Các công cụ có sẵn trên mạng có thể giải mã dễ dàng Thuật toán mã hóa là hữu ích

để ngăn ngừa những người tò mò cố gắng truy vập vào router và switch Cách thức này không ngăn ngừa hacker truy cập vào

Cách bảo vệ tốt hơn cho các mật khẩu enable và mật khẩu người dùng

mật khẩu được sử dụng bởI câu lệnh enable có thể được định nghĩa bởI một trong hai câu lệnh Enable password pw hoặc câu lệnh enable secret pw Nếu cả hai câu lệnh đều được cấu hình, lệnh enable exec chỉ chấp nhận mật khẩu được định nghĩa bởI câu lệnh enable secret

Mật khẩu trong câu lệnh enable password cũng tuân theo cùng một luật như các login password, nghĩa là chỉ bị mã hóa chỉ nếu lệnh service password-encryption được cấu hình Tuy nhiên, lệnh enable secret không bị ảnh hưởng bởi lệnh service

password-encryption Thay vào đó, nó luôn luôn được lưu trữ như là dạng MD5, dẫn đến khó bị bẻ khóa hơn Ví dụ dưới đây mô tả cách Cisco IOS thể hiện sự khác nhau tế nhị này trong cách thức mật khẩu được lưu trữ

Lệnh enable password liệt kê giá trị 7 trong kết quả lệnh để chỉ ra một giá trị đã được mã hóa bởI câu lệnh service password-encryption Lệnh enable secret liệt kê giá trị 5, chỉ ra một giá trị hash dạng MD5

Trang 3

service password-encryption

!

enable secret 5 $1$GvDM$ux/PhTwSscDNOyNIyr5Be/

enable password 7 070C285F4D064B

Lệnh username name password password có một đặc điểm tương tự như lệnh enable secret Lệnh service password-encryption mã hóa tất cả các mật khẩu được liệt kê trong câu lệnh username name password password; tuy nhiên, lệnh username name secret password dùng cùng thuật toán hash MD5 như lệnh enable secret để bảo vệ mật khầu tốt hơn Và cũng giống như lệnh enable secret, số 5 được liệt kê trong câu lệnh cũng được lưu trữ trong cấu hình Ví dụ như username barney secret 5 $

$oMnb$EGf1zE5QPip4UW7TTqQTR

Ngày đăng: 25/07/2014, 08:20

Xem thêm

HÌNH ẢNH LIÊN QUAN

Hình dưới đây cho thấy một vài chi tiết làm thế nào các người dùng có thể truy cập được dấu nhắc lệnh ở chế độ user mode của một router, sau đó chuyển sang enable mode (priviledge mode) dùng lệnh enable - Cisco Device Hardening (phần 3)Vấn đề password pot
Hình d ưới đây cho thấy một vài chi tiết làm thế nào các người dùng có thể truy cập được dấu nhắc lệnh ở chế độ user mode của một router, sau đó chuyển sang enable mode (priviledge mode) dùng lệnh enable (Trang 1)

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w