思科网络配置安全的管理访问（上）

作者:蜗牛更新于： 2018-03-27 18:15:32

　　其实，对于攻击者来说，我们可以利用各种不同方法发现管理密码。他们可以利用用户的个人信息猜测密码,或嗅探包含明文配置文件的TFTP数据包。攻击者也使用类似LophtCrack和Cain&Abel的工具进行蛮力攻为保护你的路由器和交换机,在选择强壮密码时应遵循一些常见的原则。这些原则可以减少通过击或猜测密码。智能猜测和破解工具获取密码的机会。

　　使用大于10个字符的密码,越长越好。使密码复杂一些,包括大写字母、小写字母、数字、符号和空格密码要避免重复使用字典中的词汇、字母或数字序列、用户名、相关的宠物名及自身信息如生日、ID号、祖先名或其他易于确认的信息。有意拼错密码。例如,Smith=Smyth=5mYth或Security经常改变密码。如果一个密码是在不知不觉中受损,攻击者使用密码的机会之窗是有限的。

　　不要将密码写下来并放在桌上或显示器上这些很明显的位置。在Cisco路由器和很多其他系统中,密码前的空格被忽略,但第一个字母后的空格有效。因此立强社密码的一个方法是在密码中使用空格及很多单词构成的短语,这称为密码短语。密码短语通常比一个单词更容易记亿,且由于更长也更难猜到。管理员必须保证整个网络都使用强密码。完成这一任务的方法是用黑客使用的破解工具和力攻击工具来校验密码的强社性。所有路由器都应配置用户和特权执行模式的密码。推荐使用本地用户名数据库作为一个备份,以防止AAA服务器被攻破。

　　使用密码并分配特权级别是一种在网络上提供终端访问控制的简单方法,必须为特权执行模式访问和独立线路(比如控制台和辅助线路)建立密码。nableSecret密码访问全同配置命令限制对特权执行模式的路由器内部的MessageDigest5(MD5)散列算法为密码加密。如果enablesecretpassword密码丢失或enablesecretpassword命令使用忘记,只能使用C8Co路由器密码恢复功能进行恢复。

　　小编结语：其实，在Csco路由器上很多访问端口都需要密码,包括控制台端口、辅助端口和虚拟终端连接。大型网络中密码的管理应该使用中央TACACS+或RADIUS验证服务器进行维护,如CiscoSecureAccessControlServer(ACS)。那么在下一节的教程，我们将会继续讲解一下。