思科网络配置安全的管理访问（下）

　　其实，对于所有路由器都应配置用户和特权执行模式的密码。推荐使用本地用户名数据库作为一个备份,以防止AAA服务器被攻破。使用密码并分配特权级别是一种在网络上提供终端访问控制的简单方法。

　　控制台线路控制台的管理访问在默认情况下不需要密码,然而应该配置招console0命令和随后的login与password子命令在控制台线路请求登录验证并建立登录密码。控制台端口的线路级密码。用面虚拟终端线路默认情况下,Cisco路由器支持5个虚拟终端vty(Telnet和ssh)会话。在路由器上,wty端口号为0-4。使用linevty04命令和随后的login与password子命令可以在Telnet会话中请求登录验证并建立登录密码。辅助线路在默认情况下,Cisco路由器的辅助端口对于远程管理访问不需要密码。

　　管理员有时需要使用这个端口来远程配置和监控使用拨号modem连接的路由器。要访问辅助端口,使用lineaux0命令和随后的login与password了命令可以在连接中请求登录验证并建立登录密吗。在默认情况下,除了enablesecret密码,所有Csco路由器密码都以明文形式存储在路由器配置中。这些密码可以通过showrunning-config命令来查看。如果TFTP服务器配置文件通过不安全的内部网和Intemet传输,Sniffer也可以看到这些密码。如果入侵者能够访问路由器配置文件所存放的TTTP服务器,那么他就可以获取这些密码。提高密码的安全性,应进行如下配置:设置最短密码长度;禁用无用连接;加密配置文件中的所有密码。

　　管理员可以利用全局配置命令securitypasswordsmin-length2gh对所有路由器密码设置0~16的最短字符长度。强烈建议密码的长度至少为10个字符以上,并且避免使用网络上常用的短语如“"ab”或"CISCO”此命令执行后,将会影响在该命令执行行之后创建的用户密码(userpassword)、enablesecret密码和线路密码(linepassword)a已经存在的密码不受影响。创建新密码时,小于设定的长度将会失败并出现如下错误信息。

　　禁用无用连接默认情况下,在上一次会话之后的10分钟之内,管理接口保持活跃状态并呈现为已登录状态,之后接口超时并退出会话。如果在控制台连接活跃时,管理员离开终端设备,攻击者最多有10分钟的时间获取特权级的访间权限。强烈建议将这些时间限制在2或3分钟之内。可在线路配置模式下使用exec-timeout命令调整这些时间在线路配置模式下,可以使用noexec命令来关闭特定线路(比如辅助端口)的执行进程(execprocess)此命令仅允许外出连接。

　　小编结语：如果有连接打算向路由器发送未经请求的数据,则该命令可以允许你禁用连接的EXEC进程。加密所有密码在默认情况下,有些密码以明文方式显示,这意味着它们在isco1OS软件配置中是没有加密的。除了enablesecretpassword.之外,配置文件中的所有明文密码都可以使用servicepassword-encryption命令加密。此命今将配置文件中当前和将来的所有明文密码加密为密文。要停止加密,可使用此命令。