Lösenordsåterställning

Under arbete . . . . .

Återställa ett routerlösenord
Om en router har äventyrats eller behöver återställas från ett felkonfigurerat lösenord måste en administratör använda procedurer för lösenordsåterställning, som de som visas i bilden. Av säkerhetsskäl kräver lösenordsåterställning att administratören har fysisk åtkomst till routern via en konsolkabel. Beroende på enheten varierar den detaljerade proceduren för lösenordsåterställning.
Den primära bootset-bilden
Återställ en primär bootset från ett säkert arkiv efter att routern har manipulerats, som visas i bilden:
Steg 1. Ladda om routern med kommandot reload. Om det behövs, utfärda brytsekvensen för att gå in i ROMmon-läge.
Steg 2. Från ROMmon-läge, ange dir-kommandot för att lista innehållet på enheten som innehåller den säkra bootset-filen.
Steg 3. Starta routern med den säkra bootset-avbildningen med hjälp av boot-kommandot följt av flashminnesplatsen (t.ex. flash0), ett kolon och filnamnet i steg 2.
Steg 4. Gå in i globalt konfigurationsläge och återställ den säkra konfigurationen till ett valfritt filnamn med hjälp av kommandot secure boot-config restore följt av flashminnesplatsen (t.ex. flash0), ett kolon och ett valfritt filnamn. I figuren används filnamnet rescue-cfg.
Steg 5. Avsluta globalt konfigurationsläge och utfärda kopieringskommandot för att kopiera den räddade konfigurationsfilen till den pågående konfigurationen.
Konfigurera säker kopiering
Cisco IOS Resilient-funktionen tillhandahåller en metod för att säkra IOS-bilden och konfigurationsfilerna lokalt på enheten. Använd SCP-funktionen (Secure Copy Protocol) för att fjärrkopiera dessa filer. SCP tillhandahåller en säker och autentiserad metod för att kopiera routerkonfiguration eller routerbildfiler till en avlägsen plats. SCP förlitar sig på SSH och kräver att AAA-autentisering och auktorisering konfigureras så att routern kan avgöra om användaren har rätt behörighetsnivå.
Obs: AAA-konfiguration kommer att behandlas mer i detalj i ett senare kapitel.
Konfigurera routern för SCP på serversidan med lokal AAA:
Steg 1. Konfigurera SSH, om det inte redan är konfigurerat.
Steg 2. För lokal autentisering, konfigurera minst en användare med behörighetsnivå 15.
Steg 3. Aktivera AAA med kommandot aaa new-model global configuration mode.
Steg 4. Använd det lokala standardkommandot för aaa authentication login för att ange att den lokala databasen ska användas för autentisering.
Steg 5. Använd det lokala standardkommandot aaa authorization exec för att konfigurera kommandoauktorisering. I det här exemplet kommer alla lokala användare att ha tillgång till EXEC-kommandon.
Steg 6. Aktivera SCP-serversidans funktionalitet med kommandot ip scp server enable.
R1 är nu en SCP-server och kommer att använda SSH-anslutningar för att acceptera säkra kopieringsöverföringar från autentiserade och auktoriserade användare. Överföringar kan komma från vilken SCP-klient som helst oavsett om den klienten är en annan router, switch eller arbetsstation.
Figur 2 visar en SCP-överföring från router till router. På R2 använder du kommandot kopiera. Ange först källfilens plats (flash0:R2backup.cfg) och sedan destinationen (scp:). Svara på serien av uppmaningar för att upprätta en anslutning till SCP-servern på R1. På R1 kan du ange kommandot debug ip scp för att se överföringen fortsätta. Det vanligaste autentiseringsproblemet är en felaktig kombination av användarnamn/lösenord. Det finns också ett autentiseringsfel om kombinationen av användarnamn/lösenord inte konfigurerades med nyckelordet privilegium 15 på SCP-servern.
R2 SCP Överför till R1
Återställa ett routerlösenord
Om en router har äventyrats eller behöver återställas från ett felkonfigurerat lösenord måste en administratör använda procedurer för lösenordsåterställning, som de som visas i bilden. Av säkerhetsskäl kräver lösenordsåterställning att administratören har fysisk åtkomst till routern via en konsolkabel. Beroende på enheten varierar den detaljerade proceduren för lösenordsåterställning.
Återställning av lösenord
Om någon fick fysisk åtkomst till en router kan de potentiellt få kontroll över den enheten genom proceduren för lösenordsåterställning. Denna procedur, om den utförs på rätt sätt, lämnar routerkonfigurationen intakt. Om angriparen inte gör några större förändringar är denna typ av attack svår att upptäcka. En angripare kan använda denna attackmetod för att upptäcka routerns konfiguration och annan relevant information om nätverket, såsom trafikflöden och åtkomstkontrollbegränsningar.
En administratör kan mildra detta potentiella säkerhetsbrott genom att använda kommandot no service password-recovery global configuration mode. Detta kommando är ett dolt Cisco IOS-kommando och har inga argument eller nyckelord. Om en router är konfigurerad med kommandot no service password-recovery, är all åtkomst till ROMmon-läge inaktiverad.
När kommandot för återställning av lösenord för ingen tjänst anges, visas ett varningsmeddelande som måste bekräftas innan funktionen aktiveras, som visas i figur 1.
När det är konfigurerat visar kommandot show running-config en no service-lösenordsåterställningssats, som visas i figur 2.
Som visas i figur 3, när routern startas, visar den initiala startsekvensen ett meddelande som säger att FUNKTIONEN FÖR ÅTERSTÄLLNING AV LÖSENORD ÄR INAKTIVERAD.
För att återställa en enhet efter att kommandot no service password-recovery har angetts, initiera paussekvensen inom fem sekunder efter att bilden har dekomprimerats under uppstarten. Du uppmanas att bekräfta paustangentens åtgärd. När åtgärden har bekräftats är startkonfigurationen klar raderas, lösenordsåterställningsproceduren är aktiverad och routern startar med fabriksinställningarna. Om du inte bekräftar avbrottsåtgärden startar routern normalt med kommandot no service password-recovery aktiverat.
VARNING: Om routerns flashminne inte innehåller en giltig Cisco IOS-bild på grund av korruption eller radering, kan kommandot ROMmon xmodem inte användas för att ladda en ny flash-bild. För att reparera routern måste en administratör skaffa en ny Cisco IOS-bild på en flash SIMM eller på ett PCMCIA-kort. Men om en administratör har tillgång till ROMmon kan de återställa en IOS-fil till flashminnet med hjälp av en TFTP-server. Se Cisco.com för mer information om backup-flashbilder.
Out-of-Band och In-Band Access
Som en allmän regel, av säkerhetsskäl, är OOB-hantering lämplig för stora företagsnätverk. Det är dock inte alltid önskvärt. Beslutet att använda OOB-hantering beror på vilken typ av hanteringsapplikationer som körs och de protokoll som övervakas. Tänk till exempel på en situation där två kärnswitchar hanteras och övervakas med hjälp av ett OOB-nätverk. Om en kritisk länk mellan dessa två kärnswitchar misslyckas i produktionsnätverket, kanske applikationen som övervakar dessa enheter aldrig avgör att länken har misslyckats och aldrig varna administratören. Detta beror på att OOB-nätverket gör att alla enheter verkar vara anslutna till ett enda OOB-hanteringsnätverk. OOB-hanteringsnätverket förblir opåverkat av den nedlagda länken. Med hanteringsapplikationer som dessa är det att föredra att köra hanteringsapplikationen inom bandet på ett säkert sätt. Riktlinjer för OOB-hantering visas i figur 1.
In-band management rekommenderas i mindre nätverk som ett sätt att uppnå en mer kostnadseffektiv säkerhetsdistribution. I sådana arkitekturer flyter ledningstrafik i alla fall inom bandet. Det görs så säkert som möjligt med hjälp av säkra hanteringsprotokoll, till exempel med SSH istället för Telnet. Ett annat alternativ är att skapa säkra tunnlar, med hjälp av protokoll som IPsec, för hanteringstrafik. Om hanteringsåtkomst inte är nödvändig hela tiden, kan tillfälliga hål placeras i en brandvägg medan hanteringsfunktioner utförs. Denna teknik bör användas med försiktighet och alla hål bör stängas omedelbart när hanteringsfunktionerna är klara. Riktlinjer för hantering inom bandet visas i figur 2.
Slutligen, om du använder fjärrhanteringsverktyg med hantering inom band, var försiktig med de underliggande säkerhetsbristerna i själva hanteringsverktyget. Till exempel används SNMP-hanterare ofta för att underlätta felsökning och konfigurationsuppgifter i ett nätverk. SNMP bör dock behandlas med största försiktighet eftersom det underliggande protokollet har sin egen uppsättning säkerhetsbrister.
Riktlinjer för OOB-hantering:
• Ge den högsta säkerhetsnivån
• Minska risken att skicka osäkra hanteringsprotokoll över produktionsnätverket.
Riktlinjer för hantering inom band:
• Tillämpa endast på enheter som behöver hanteras eller övervakas
• Använd IPsec, SSH eller SSL när det är möjligt
• Bestäm om förvaltningskanalen måste vara öppen hela tiden