Hayır, yapmazsınız - teknik olarak. Ancak, biri olmadan etkinleştirme moduna girip giremeyeceğiniz, nasıl giriş yaptığınıza bağlıdır.
İşte anlık tatmin versiyonu:
Etkinleştirme parolası olmadan konsoldan girebilirsiniz, ancak etkinleştirme parolası ayarlanmadan basit bir vty oturum açma parolası kullanırsanız kullanıcı modunda kalırsınız.
İşte uzun soluklu StackExchange cevaplayıcı sürümü:
Cisco kimlik doğrulaması, yeni başlayanlar için bir tür karışıklıktır. Orada bir sürü eski bagaj var. Bunu gerçek anlamda düşünmeye çalışayım.
Herhangi bir iş yönlendiricisine giriş yapan veya hemen hemen geçiş yapan herkes doğrudan ayrıcalıklı (etkin) moda geçer. Kullanıcı modu temelde bir ön lobidir ve taslağı dışarıda tutmaktan biraz daha fazla amaca hizmet eder. Geniş ağlara ve eşit derecede büyük emek havuzlarına sahip olduğunuz büyük organizasyonlarda, ön kapıyı çalabilecek ve hala orada olduğundan emin olabilen birisine sahip olmak haklı olabilir. (Yani, yalnızca cihazın aslında yanıt verdiğini ve yanmadığını görmek için en önemsiz komutları oturum açmak ve çalıştırmak için.) Ancak şimdiye kadar çalıştığım her ortamda, katman 1 en azından bazı yeteneklere sahipti. bir şeyleri kırmak.
Bu nedenle ve özellikle sizinki gibi bir senaryoda, herhangi bir şey yapmak için etkinleştirme şifresini bilmek zorunludur. Bunun ikinci bir güvenlik seviyesi olduğunu söyleyebilirsin - cihaza girmek için bir şifre, yönetici ayrıcalığına yükselmek için başka bir şifre - ama bu bana biraz aptalca geliyor.
Daha önce de belirtildiği gibi, aynı şifreyi kullanabilirsiniz (ve birçok kişi kullanır), bu da birisinin telnet / ssh aracılığıyla yetkisiz erişim elde etmesi durumunda pek yardımcı olmaz. Herkes tarafından paylaşılan statik, küresel parolalara sahip olmak, girmek için tek bir jetona sahip olmaktan ziyade tartışmalı bir konudur. Son olarak, diğer sistemlerin çoğu (hizmetler, cihazlar, vb.) İkinci bir kimlik doğrulama katmanı gerektirmez ve bu nedenle genellikle güvensiz kabul edilmez.
Tamam, konu hakkındaki düşüncem bu. Kendi güvenlik duruşunuz ışığında mantıklı olup olmadığına kendiniz karar vermelisiniz. İşe başlayalım.
Cisco (akıllıca) varsayılan olarak bir uzaktan erişim şifresi belirlemenizi gerektirir. Hat yapılandırma moduna girdiğinizde ...
router> enable
router# configure terminal
router(config)# line vty 0 15
router(config-line)#
... yönlendiriciye kimlik doğrulamasını atlamasını söyleyebilirsiniz:
router(config-line)# no login
... ve hemen saldırıya uğradı, ancak saldırganınız kullanıcı modunda olacak. Dolayısıyla, bir etkinleştirme parolası ayarladıysanız, en azından yapılabilecek hasarı bir miktar sınırlandırmış olursunuz . (Teknik olarak, etkinleştirme şifresi olmadan daha fazla ilerleyemezsiniz .
Doğal olarak, hiç kimse bunu gerçek hayatta yapmazdı. Minimum gereksiniminiz varsayılan olarak ve sağduyulu olarak basit bir parola belirlemektir:
router(config-line)# login
router(config-line)# password cisco
Şimdi sizden bir şifre girmeniz istenecek ve tekrar kullanıcı moduna geçeceksiniz. Konsoldan geliyorsanız, enable
başka bir parola girmek zorunda kalmadan erişim almak için yazabilirsiniz . Ancak telnet yoluyla işler farklıdır, bunun yerine muhtemelen bunu alacaksınız:
$ telnet 10.1.1.1
Trying 10.1.1.1...
Connected to 10.1.1.1.
Escape character is '^]'.
User Access Verification
Password: *****
router> enable
% No password set
router>
Devam ediyor ... Muhtemelen, varsayılan olarak yapılandırılmış tüm şifrelerinizin düz metin olarak görüntülendiğini zaten biliyorsunuzdur:
router# show run | inc password
no service password-encryption
password cisco
Bu, güvenlik bilincinin sfinkterini sıkılaştıran şeylerden biridir. Bunun haklı kaygı olup olmadığı yine kendin için karar vermen gereken bir şey. Bir yandan, yapılandırmayı görmek için yeterli erişiminiz varsa , muhtemelen yapılandırmayı değiştirmek için yeterli erişiminiz vardır . Eğer için ne varsa Öte yandan, dikkatsizce kendileri, o zaman ... iyi, şimdi onlar araçlara sahip olmayan birine Konfigürasyonunuzu ortaya do araçlara sahip.
Neyse ki, yukarıdaki pasajdaki ilk satır, no service password-encryption
bunu değiştirmenin anahtarıdır:
router(config)# service password-encryption
router(config)# line vty 0 15
router(config-line)# password cisco
Şimdi, yapılandırmaya baktığınızda şunu görüyorsunuz:
router(config-line)# do show run | begin line vty
line vty 0 4
password 7 01100F175804
login
line vty 5 15
password 7 01100F175804
login
!
!
end
Görüntülenen dize omuz sörfü için yeterince unutulmaz olmadığından bu, düz metin parolalarından biraz daha iyidir. Bununla birlikte, şifresini çözmek önemsizdir - ve bu terimi burada gevşek bir şekilde kullanıyorum. Yukarıdaki bu dizeyi kelimenin tam anlamıyla ilk Google sonuçlar sayfasındaki bir düzine JavaScript şifre kırıcısından birine yapıştırabilir ve orijinal metni hemen geri alabilirsiniz.
Bu sözde "7" parolaları, "hiçbir şeyden çok daha iyi olmadığı gerçeğini vurgulamak için" şifreli "yerine" gizlenmiş "olarak kabul edilir.
Ancak ortaya çıktığı gibi, tüm bu password
komutlar kullanımdan kaldırılmıştır. (Ya da değillerse, olmalılar.) Bu yüzden aşağıdaki iki seçeneğiniz var:
router(config)# enable password PlainText
router(config)# enable secret Encrypted
router(config)# do show run | inc enable
enable secret 5 $1$sIwN$Vl980eEefD4mCyH7NLAHcl
enable password PlainText
Gizli sürüm tek yönlü bir algoritma ile birleştirilir, yani orijinal metni geri almanın tek yolu kaba kuvvettir - yani bilinen hashı üretene kadar olası tüm giriş dizelerini denemek.
Komut istemine parolayı girdiğinizde, aynı karma algoritmadan geçer ve bu nedenle aynı karma değerini oluşturur ve bu da daha sonra yapılandırma dosyasındaki parolayla karşılaştırılır. Eşleşirlerse şifreniz kabul edilir. Bu şekilde, düz metin, şifreyi oluşturduğunuz veya girdiğiniz kısa an dışında yönlendirici tarafından bilinmez. Not: Her zaman diğer bazı girdilerin aynı karmayı üretme şansı vardır, ancak istatistiksel olarak çok düşük (okuma: ihmal edilebilir) olasılık.
Yukarıdaki yapılandırmayı kendiniz kullanacaksanız, yönlendirici hem enable password
ve hem de enable secret
satırların var olmasına izin verecektir , ancak parola isteminden gizli kazanır. Bu pek mantıklı olmayan Cisco-izm'lerden biri, ama öyle. Ayrıca, secret
hat yapılandırma modundan eşdeğer bir komut yoktur , bu nedenle orada gizlenmiş parolalarla sıkışıp kalırsınız.
Tamam, şimdi yapılandırma dosyasından (kolayca) kurtarılamayan bir parolaya sahibiz - ancak yine de bir sorun var. Telnet üzerinden oturum açtığınızda düz metin olarak iletiliyor. İyi değil. SSH istiyoruz.
Daha güçlü güvenlik düşünülerek tasarlanan SSH, biraz fazladan çalışma ve belirli bir özellik kümesine sahip bir IOS görüntüsü gerektirir. Büyük bir fark, basit bir parolanın artık yeterince iyi olmamasıdır. Kullanıcı tabanlı kimlik doğrulamasından mezun olmanız gerekir. Ve siz bu sırada bir şifreleme anahtarı çifti oluşturun:
router(config)# username admin privilege 15 secret EncryptedPassword
router(config)# line vty 0 15
router(config-line)# transport input ssh
router(config-line)# no password
router(config-line)# login local
router(config-line)# exit
router(config)# ip ssh version 2
router(config)# crypto key generate rsa modulus 1024
Şimdi gazla pişiriyorsun! Bu komutun secret
parola kullandığına dikkat edin . (Evet, kullanabilirsiniz, ancak kullanmamalısınız password
). Bu privilege 15
bölüm kullanıcı modunu tamamen atlamanızı sağlar. Giriş yaptığınızda doğrudan ayrıcalıklı moda geçersiniz:
$ ssh admin@10.1.1.1
Password: *****
router#
Bu senaryoda, bir etkinleştirme parolası (veya sırrı) kullanmaya gerek yoktur.
Henüz "vay ... ne bir dağınıklık " olduğunu düşünmüyorsanız, hala komutun arkasında gizlenen aaa new-model
, harici kimlik doğrulama sunucuları (RADIUS) gibi şeylere girebileceğiniz başka bir uzun soluklu yazı olduğunu unutmayın. , TACACS +, LDAP vb.), Kimlik doğrulama listeleri (kullanılacak kaynakları ve hangi sırayla tanımlayacaklarını), yetkilendirme düzeylerini ve kullanıcı etkinliği muhasebesini içerir.
Tüm bunları bir süre için yönlendiricinizden kilitlendiğinizde saklayın.
Umarım yardımcı olur!