网络的安全管理涉及到许多方面,但纵观许多安全事件,可以得到一个基本的结论,危害都是由于忽视了基本的安全措施而造成的。本文将讨论维护思科路由器口令安全的重要性,解释思科路由器IOS的三种模式,并向读者展示如何配置五大口令保护网络安全。
借助口令保障路由器安全的原因
首先,作为思科设备的管理员,我们必须认识到,路由器并不存在什么自动化的口令防御。管理员必须认真对待思科设备的口令设置问题。
思科设备运行的灵魂是IOS,它有不同的模式。这些模式是分等级设置的,这意味着访问的越深入,所要求的特权就越多,为每一相应层次设置的口令就越多。
思科IOS的三大模式
用户模式
在用户模式中,显示的是路由器的基本接口信息。有人认为这种模式根本就没有用,因为这种模式中无法作出配置改变,用户也无法查看任何重要的信息。
特权模式
管理员可以在这种模式中查看和改变配置。笔者以为,在这个级别上,拥有一套口令集是绝对重要的。要从用户模式切换到特权模式,管理员需要键入enabel命令,并按下回车键:
Router> enable Router# |
全局配置模式
从特权模式下,我们现在可以访问全局配置模式。这里,我们可以作出改变影响整个路由器的运行,这些改变当然包括配置上的改变。作为管理员,我们需要更进一步,深入到路由器的命令中,对其配置作出合理的改变。
下面给出的是一个访问这种模式的例子:
Router# configure terminal Router(config)# |
正确配置五大口令
首先,要知道思科的IOS拥有五大口令,分别是控制台口令、AUX口令、VTY口令、Enable password口令、Enable secret口令。下面分别分析之。
控制台口令
如果用户没有在路由器的控制台上设置口令,其他用户就可以访问用户模式,并且,如果没有设置其它模式的口令,别人也就可以轻松进入其它模式。控制台端口是用户最初开始设置新路由器的地方。在路由器的控制台端口上设置口令极为重要,因为这样可以防止其它人连接到路由器并访问用户模式。
因为每一个路由器仅有一个控制台端口,所以你可以在全局配置中使用line console 0命令,然后再使用login和password命令来完成设置。这里password命令用于设置恰当的口令,如下所示:
Router# config t Router(config)# line console 0 Router(config-line)# password SecR3t!pass Router(config-line)# login |
注意:最好设置复杂的口令避免被其他人猜测出来。
Aux(辅助端口)口令
这也是路由器上的一个物理访问端口,不过并非所有的路由器都有这个端口。因为Aux端口是控制台端口的一个备份端口,所以为它配置一个口令也是同样重要的。
Router# config t
Router(config)# line aux 0
Router(config-line)#password SecR3t!pass
Router(config-line)# login
(VTY)远程登录口令
虚拟终端连接并非是一个物理连接,而是一个虚拟连接。可以用它来telnet或ssh进入路由器。当然,你需要在路由器上设置一个活动的LAN或WAN接口以便于telnet工作。因为不同的路由器和交换机拥有不同的VTY端口号,所以你应当在配置这些端口之前查看有哪些端口。为此,可以在特权模式中键入line ?命令。下面给出一个配置VTY连接的例子:
Router# config t Router(config)# line vty 0 4 Router(config-line)# password SecR3t!pass Router(config-line)# login |
Enable password-启用口令
enable password命令可以防止某人完全获取对路由器的访问权。Enable命令实际上可以用于在路由器的不同安全级别上切换(共有0-15等16个安全级别)。不过,它最常用于从用户模式(级别1)切换到特权模式(级别15)。事实上,如果你处于用户模式,而用户键入了enable命令,此命令将假定你进入特权模式。
如果要设置一个口令用于控制用户从用户模式转向特权模式,就要进入全局配置模式并使用enable password命令,如下所示:
Router# config t
Router(config)# enable password SecR3t!enable
Router(config)# exit
Enable password-启用口令
enable password命令可以防止某人完全获取对路由器的访问权。Enable命令实际上可以用于在路由器的不同安全级别上切换(共有0-15等16个安全级别)。不过,它最常用于从用户模式(级别1)切换到特权模式(级别15)。事实上,如果你处于用户模式,而用户键入了enable命令,此命令将假定你进入特权模式。
如果要设置一个口令用于控制用户从用户模式转向特权模式,就要进入全局配置模式并使用enable password命令,如下所示:
Enable password命令不好的一面是它容易被其他人猜测出来,这也正是我们需要使用enabel secret的原因。
Enable secret-启用加密
启用加密口令(enable secret password)与enable password 的功能是相同的。但通过使用“enable secret”,口令就以一种更加强健的加密形式被存储下来:
Router(config)# enable secret SecR3t!enable
在很多情况下,许多网络瘫痪是由于缺乏口令安全造成的。因此,作为管理员一定要保障正确设置其交换机和路由器的口令。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
相关推荐
-
思科通过收购Duo来增强云安全性
思科宣布以23.5亿美元收购Duo Security公司,此次收购将为该网络公司的云安全产品组合增添了两步身份 […]
-
Accenture公司的Tammy Moskites探讨CISO职位变化
首席信息安全官(CISO)职位仍在不断发展和成熟,对于这些变化,或许没有人比Tammy Moskites更有话 […]
-
企业没有从过往网络安全事件中吸取教训
根据Pluralsight作家同时也是安全专家Troy Hunt表示,反复发生的网络安全事件表明企业仍然在基础 […]
-
微软公司提供IE浏览器零日“双杀”漏洞补丁
微软公司2018年五月份的周二补丁日提供了IE浏览器零日漏洞补丁修复,该漏洞上个月已经被外部攻击者利用。(译注 […]