SEC之01:路由器常用的安全Feature
Secret Password
如果同时有secret和普通的password,普通的pass没有效果,唯一的效果就是向后兼容,不过意义不大,所以一般都用secret password,不过注意在应用Chap时,它只支持明文密码,所以不适合secret,其他没发现有问题。
Service Password-Encryption
如果用,那么就是简单加密密码,可以很容易破解,相当于没有加密,起到的作用仅仅是让人一眼记不下密码。
另外在设置username password时,会有个0或7的概念:是否加密,这个加密跟pass-encryption是一样的,只不过它的作用是在明文密码存在的情况下,通过“username xxx pass 7 yyy”来手动指定xxx用户加密后的密码是yyy。
No Service Pass-recover
正常情况下,通过恢复密码,可以保留原来的配置。
这个feture就是为了防止有人在现场破解密码,如果用恢复密码的方法,所有配置都会被清空,所以这个feture要慎用。
Security Pass Min-length
密码不能低于x位,之前设的就可以忽略这条命令,新设置的密码必须遵循,否则配不上去。
至于更高级的限制,例如密码须包含字母和数字,这个思科的设备就实验不了,不过微软的安全策略可以实验。
Privilege
在思科的设备上,所有命令一共分为16级(0-15),level 15是最高级别,包括所有的命令;level 0包含5个命令;level 1包含的命令大于40个;level 2-14是同样的级别,可以看成都是level 1的权限。
“privilege”的功能就是把命令从一个级别抠出来放到其他级别里去。
例如:”show run”不会在用户模式下输入,可以通过”privilege exec LEvel 0 show run”来实现在>号状态下应用“show run”。
Role-Based CLI views
类似privilege,功能要比privilege强大的多,如果与AAA联动,效果更佳。
(config)#aaa new-mo
(config)#enable secret xxx
#enable view root
pass:
root view 比privilege 15多了一个创建其他类型的view,创建view以后,对每个view进行命令设定,例如:command exec include xxx,单独用这个没什么太大意义,当时可以跟AAA联动,把登录的用户授权给特定的view,这样就可以有效的限制不同用户拥有不同命令的需求。
Protecting Router Files
secure boot-image
secure boot-config
rommon 1>boot flash:xxxxx.bin
secure boot-config restore flash:/secure.cfg
#copy flash:/secure.cfg running-config
如果路由器遭到破解,外人登到router上,把flash里的ios和nvram的配置删掉,这样会严重影响到业务,这个Feature在这种情况下可以隐藏加密IOS,而且只能通过console才能no掉这个命令,这个隐藏的IOS在rommon里才能被看到。
Cisco IOS Login Enchancements
防止恶意DOS攻击式的猜密码,当非法用户多次登录失败达到一定次数后,再次登陆会有延迟。跟Android手机那个图案锁差不多,超过几次后,需要能段时间才能进行下次登录,多次登录失败后,锁住帐户。
login block-for 3600 attempts 2 within 30
!—一个用户30s内连续输错2次密码,挂死login程序,所有用户在1小时内都不能登录
login delay 5
!—每次输入错误后,延迟5s
login qiet-mode access-class A
!—符合ACL的用户,不在block范围内,可以把管理地址加到ACL中
login on-failure trap every 3
!—每3次登录失败,发送信息
login on-success trap
ip access-list stand A
per x.x.x.x