sobota, 7 listopada 2015

ICDN 1 - Zabezpieczenie dostępu do switch'a 2960 cz.9

W poprzednim wpisie pokazałem w jaki sposób zabezpieczyć bezpośredni dostęp do switch'a po podłączeniu się do niego poprzez kabel konsolowy.
Teraz zabezpieczymy dostęp do urządzenia poprzez program Putty oraz usługę telnet.






1. Putty:

Mały prosty program do podłączenia się do zdalnej maszyny min. poprzez Telnet oraz SSH.





Przy próbie podłączenia do urządzenia pokazuje się komunikat:

Password required, but none set

Przechodzimy w tryb uprzywilejowany po wydaniu polecenia show running-config, przechodzimy na koniec wyniku do poniższego widoku:

!
line con 0
!
line vty 0 4
login
line vty 5 15
login
!
!

end

Brak hasła określa parametr login, który nie znajduje się pod line con 0. Żeby wyłączyć tę opcję musimy zalogować się do trybu konfiguracji linii wirtualnych.
Switch 2960 umożliwia jednocześnie pracę 16 użytkowników podłączonych przez linie wirtualne.

S2960# configure terminal
S2960(config)# line vty 0 1
S2960(config-line)# no login
S2960(config-line)#

Od tej pory będziemy mogli podłączyć się poprzez telnet bez hasła. Telnet jednak nie należy do najbezpieczniejszych, więc włączymy konieczność wpisania hasła oraz ustawimy je w celu bezpiecznego podłączenia do urządzenia.
Dlatego włączmy wymaganie podania hasła i samo hasło skonfigurujemy.
Zaczynamy od wejścia w tryb uprzywilejowany oraz do trybu konfiguracji globalnej, aby włączyć ponownie wymóg logowania.

S2960>enable
S2960#configure terminal
S2960(config)# line vty 0 1
S2960(config-line)#password TajneHaslo_vty
S2960(config-line)# login

Gdy teraz spróbujemy się zalogować zostaniemy poproszeni o hasło.

User Access Verification
Password:
S2960>

Zabezpieczyć należy również wejście do konsoli.

S2960>enable
S2960#configure terminal
S2960(config)# line con 0 
S2960(config-line)#password TajneHaslo_con
S2960(config-line)#login

Niestety powyższe hasło widzimy napisane jawnie po wydaniu w trybie uprzywilejowanym hasła show running-config.

Naprawimy to przechodząc w trybie konfiguracji globalnej.

 S2960>enable
 S2960#configure terminal
 S2960(config)#service password-encryption

Wracamy do trybu uprzywilejowanego. Wydajemy polecenie show running-config.
W wyniku tego na końcu zobaczymy zaszyfrowane nasze hasła.

!
line con 0
password 7 08154D44071C2D160107033B29242A
login
!
line vty 0 1
password 7 08154D44071C2D160107033B3C3F3D
login
line vty 2 4
login
line vty 5 15
login
!
!

end

WAŻNE
Pomimo zaszyfrowania hasła bardzo prosto możemy je odszyfrować.
Wchodzimy na stronę Cisco Decryptor. Wpisujemy tam nasz hash hasła, po chwili otrzymujemy nasze hasło.








Brak komentarzy:

Prześlij komentarz