CCNA Security第一天
1.1 掌握配置Cisco 密码及密码安全策略
CCNA(config)#enable password wolfccies
sh run
enable password wolfccies
注:该密码是已明文的形式显示的。
CCNA(config)#enable secret wolf
enable secret 5 $1$OHfh$EMw2Xc/u4jI92QmvTtZF6.
注:该密码是经过128位HASH的,单向不可逆的。
CCNA(config)#service password-encryption
注:不对密码加密,只是防止别人能够密码,type为7,是可逆的。该命令也会对线下密码保护。
enable password 7 0822455D0A16
CCNA(config)#lin vty 0 4
CCNA(config-line)#password wolfccies
注:配置telnet密码,VTY下默认login,也就是必须有密码,才可以登陆。
CCNA(config)#lin con 0
CCNA(config-line)#password cisco
CCNA(config-line)#login
CCNA(config)#lin aux 0
CCNA(config-line)#password ccie
CCNA(config-line)#login
注:默认AUX、Console口下是no login,也是就不需要密码,就可以登陆。
CCNA(config)#security passwords min-length 11
注:限制密码长度>=11位。对已配置密码,不起作用。
1.2 Setting a Login Inactivity Timer
CCNA(config)#lin vty 0 15
CCNA(config-line)#exec-timeout 2 30
CCNA(config)#lin con 0
CCNA(config-line)#exec-timeout 2 30
CCNA(config)#lin aux 0
CCNA(config-line)#exec-timeout 2 30
注:prevent an unattended router from becoming a security weakness, a 10-minute inactivity timer is enabled by default。
1.3 Configure local user database
CCNA(config)#username user1 password user1
CCNA(config)#username user2 secret user2
CCNA(config)#username user3 privilege 6 password user3
CCNA(config)#username user4 privilege 15 secret user4
1.4 Configure privilege
CCNA#enable 5
CCNA#sh privi
Current privilege level is 5
CCNA#conf t
^
% Invalid input detected at ^ marker.
CCNA(config)#privilege exec level 5 configure terminal
CCNA#ena 5
CCNA#conf t
注:privilege特点,把命令从一个级别抠出来,放到另外一个级别。
1.5 Configure Role-Based CLI access
CCNA#
*Mar 1 00:51:04.899: %PARSER-6-VIEW_SWITCH: successfully set to view root.
CCNA(config)#parser view wolf
CCNA(config-view)#secret cisco
*Mar 1 00:51:40.843: %PARSER-6-VIEW_CREATED: view wolf successfully created.
CCNA(config-view)#commands exec include ping
CCNA(config-view)#commands exec include all show
CCNA(config-view)#commands exec include configure terminal
CCNA(config-view)#commands configure include router
测试
CCNA#enable view wolf
Password:
CCNA#
*Mar 1 01:02:12.319: %PARSER-6-VIEW_SWITCH: successfully set to view wolf
CCNA#?
Exec commands:
configure Enter configuration mode
enable Turn on privileged commands
exit Exit from the EXEC
ping Send echo messages
show Show running system information
CCNA(config)#?
Configure commands:
do To run exec commands in config mode
exit Exit from configure mode
router Enable a routing process
注:VIEW命令配置时必须要启用AAA,必须要配置一个enable密码,必须进入root模式。
类似于privilege命令,但比它能够更细致、更粒度的控制用户能够使用什么样的命令。
我们可以结合本地AAA与外部AAA服务器来控制用户,AAA认证仅仅只能为每一个VIEW,关联一个用户。
如果要结合外部AAA服务器,需要通过新的"cli-view-name"属性。
1.6 Configure Cisco IOS Resilient
CCNA#sh secure bootset
%IOS image and configuration resilience is not active
注:没有启用前。
CCNA#sh flash:
2 34433156 flash:c1841-adventerprisek9-mz.124-15.T5.bin
CCNA(config)#secure boot-image
注:对image加密保存,如果想no掉该命令,必须通过console。
CCNA(config)#secure boot-config
注:run-config加密保存,如果想no掉该命令,必须通过console口。
CCNA#sh secure bootset
IOS resilience router id FHK111411J4
IOS image resilience version 12.4 activated at 14:03:36 UTC Fri Jan 29 2010
Secure archive flash:c1841-adventerprisek9-mz.124-15.T5.bin type is image (elf) []
file size is 35941180 bytes, run size is 36106864 bytes
Runnable image, entry point 0x8000F000, run from ram
IOS configuration resilience version 12.4 activated at 14:02:45 UTC Fri Jan 29 2010
Secure archive flash:.runcfg-20100129-140245.ar type is config
configuration archive size 2528 bytes
注:1.这个特性安全的保存IOS,并且不会暂用多余的存储空间。
2.这个特性能够自动监测IOS和配置版本之间不匹配。
3.只需要本地存储器来安全的存储文件,不需要外部TFTP服务器。
4.这个特性只能够通过console会话来关闭与恢复。
1.7 Configure Login Block
CCNA(config)#login on-success every 3
CCNA(config)#login on-failure every 2
注:默认尝试与失败登陆一次,产生一个log。
CCNA(config)#login block-for 20 attempts 2 within 10
注:10s内尝试登陆2次,block20s。
CCNA(config)#login quiet-mode access-class 110
CCNA(config)#login delay 10
CCNA(config)#access-list 110 permit tcp host 202.100.1.1 any
注:为检测DOS字典login攻击,router能够对反复错误login attampts进行抵御,禁止后续连接的请求(login blocking),这个 block 能够被配置一个事件周期,叫做"quiet period",合法的连接尝试依然能够被允许,通过配置ACL,放行已知的管理员源IP地址。
- 上一篇:CCNA Security第三天
- 下一篇:电子商务、信息安全问题应当如何处理
- 文章
- 推荐
- 热门新闻