回收思科Cisco 原装全新或二手路由器、交换机、模块等  [star  2012年1月1日]        
网站首页  简介  商品展示  CISCO维修  CISCO续保  CISCO租赁  CISCO回收  最新库存及报价  客户留言
   路由器  |  交换机  |  模块  |  防火墙  |  语音网关  |  电源  |  其它配件  | 风扇  |  服务器  |  资源下载
您现在的位置: 宏信网络 >> 文章中心 >> 资讯中心 >> 技术共享 >> 正文
Google
 
IOS Login安全特性
作者:佚名    文章来源:本站原创    点击数:    更新时间:2012-12-17    

算是秦柯CCNA Security的部分笔记

都是非常有用的features,生产环境中用得上。


最短密码限制

R1(config)#security passwords min-length ?

<0-16>  Minimum length of all user/enable passwords

12.4平台新特性,之前没有

 

密码加密

R1(config)#service password-encryption

password-encryption    Encrypt system passwords

这个很早就有了,通过Cisco私有算法,很容易破解,参考:

Cisco各种登陆方法汇总

 

禁用密码恢复

(config)#no service password-recovery

禁止在ROMMON模式下重置密码,应该是在ASA下,在路由器中没有这个特性

 

使用安全密码

R1(config)#username loneblog secret l0neb10g

R1(config)#do sh run  | se user
username loneblog secret 5 $1$LYyK$LbSVDrT84f2MFysBJD1Fu0

这是通过hash算法得出的密文,破解难度大

 

EXEC超时

R1(config)#lin con 0

R1(config-line)#exec-timeout 10 0

这个不用多说。第一位分钟,第二位秒钟

 

Privilege

R1(config)#privilege exec level 1 clear line

把一个命令从高等级放到低等级,默认高级可以拥有所有低级命令

 

Role-based CLI views

首先要开启AAA

R1#enable view root
% AAA must be configured.

R1(config)#aaa new-model

R1#enable view root
Password:
*Mar  1 00:02:20.843: %PARSER-6-VIEW_SWITCH: successfully set to view ‘root’.

R1(config)#parser view loneblog
*Mar  1 00:05:27.831: %PARSER-6-VIEW_CREATED: view ‘loneblog’ successfully created.

R1(config-view)#secret lone1
R1(config-view)#commands exec include ping

R1(config-view)#do sh run | se parse
parser view loneblog
secret 5 $1$56jC$CBhsqOmuChT5dIYQjZEdr.
commands exec include ping

R1(config-view)#end

R1#enable view loneblog
Password:

R1#?
Exec commands:
  enable  Turn on privileged commands
  exit    Exit from the EXEC
  ping    Send echo messages
  show    Show running system information

基于角色的CLI

 

Protecting Router Files

R1(config)#secure ?
  boot-config  Archive the startup configuration
  boot-image   Secure the running image

R1(config)#secure boot-config restore flash:/secure.cfg

我再Version 12.4(10)没有看到这条命令,但在 Version 12.4(15)T6中就有了。

保护flash中文件包括ios和config,这个命令只能从console使用,vty就甭想了。

 

Login Enhancements

login block-for 600 attempts 3 within 60

block600秒,如果在60秒内3次登录失败

login delay 2

每次登陆错误延迟2秒

login quiet-mode access-class block.ssh.new

安静模式对于ACL block.ssh.new

login on-failure trap every 3

每3次登录失败则trap跟踪

login on-success trap

每次登陆成功都trap跟踪

ip access-list standard block.ssh.new





Cisco Catalyst 3560-E 的安全特性
关于我们  联系我们  友情链接  设为首页 加入收藏 网站公告

深圳市欧维创科技有限公司
电话:0755-29309671 13926535432 地址:广东省深圳市龙华新区
Copyright 2001 - 2012 All Rights Reserved 
粤ICP备14059454号