আমার কি সিসকো ডিভাইসে সক্ষম গোপনীয়তা স্থাপন করা দরকার?

আমি সিসকো 2901 রাউটার স্থাপন করছি। কনসোল লাইনে আমার লগইন পাসওয়ার্ড রয়েছে এবং vty লাইনগুলি কেবলমাত্র পাবলিক কী প্রমাণীকরণের সাথে ssh সংযোগ গ্রহণ করতে কনফিগার করা হয়েছে। সহায়ক লাইন বন্ধ আছে। মাত্র দুটি প্রশাসক রয়েছেন যারা রাউটারটি অ্যাক্সেস করবেন এবং আমরা উভয়ই রাউটারে কোনও কনফিগারেশন সম্পাদনের জন্য অনুমোদিত।

আমি সিসকো গিয়ারের বিশেষজ্ঞ নই, তবে রাউটার কনফিগারেশনে অ্যাক্সেস সুরক্ষিত করার জন্য আমি এটি পর্যাপ্ত বিবেচনা করি। যাইহোক, আমি যে স্ট্যান্ডার্ডগুলি পড়েছি তার প্রতিটি নির্দেশিকা আমার অন্য কোনও ব্যবহারকারীর বা লাইন পাসওয়ার্ড নির্বিশেষে একটি সক্ষম গোপন সেট করা উচিত।

সক্ষম পাসওয়ার্ডের আরও কি এমন কিছু আছে যা আমি অবগত নই? কনসোল, সহায়ক বা ভিটি লাইনের চেয়ে রাউটারটি অ্যাক্সেস করার অন্য কোনও উপায় আছে কি?

সম্পাদনা: আমি আমার পরিস্থিতি সম্পর্কে আরও সুস্পষ্ট হতে নীচে প্রকৃত কনফিগারেশন যুক্ত করেছি। একটি সক্ষম পাসওয়ার্ড, বা এর মধ্যে থাকা একটি usernameকনফিগারেশন প্রয়োজন সহ নিম্নলিখিতটি কাজ করে ip ssh pubkey-chain।

aaa new-model

ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
ip ssh pubkey-chain
 username tech
  key-hash ssh-rsa [HASH]
ip scp server enable

line vty 0 4
 transport input ssh

না, আপনি না - প্রযুক্তিগতভাবে। তবে আপনি কীভাবে লগ ইন করবেন তার উপর নির্ভর করে আপনি সক্ষম মোডটি প্রবেশ করতে পারবেন কিনা তা নির্ভর করে।

তাত্ক্ষণিক সন্তুষ্টি সংস্করণ এখানে:

আপনি কোনও সক্ষম পাসওয়ার্ড ছাড়াই কনসোলের মাধ্যমে প্রবেশ করতে পারেন তবে আপনি যদি কোনও সক্ষম পাসওয়ার্ড সেট ছাড়াই একটি সাধারণ ভিটি লগইন পাসওয়ার্ড ব্যবহার করেন তবে আপনি ব্যবহারকারী মোডে আটকে যাবেন।

এখানে দীর্ঘায়িত স্ট্যাক এক্সচেঞ্জ উত্তরদাতার সংস্করণ:

সিসকো প্রমাণীকরণ একটি শিক্ষানবিসের জন্য এক ধরণের গোলযোগ। সেখানে প্রচুর উত্তরাধিকারী ব্যাগ রয়েছে। আসল-বিশ্ববোধে এটিকে ভেঙে ফেলার চেষ্টা করি।

রাউটারে যে কোনও ব্যবসায়ের লগইন বা বেশ কিছুতে স্যুইচ করা প্রত্যেকে সরাসরি সুবিধাযুক্ত (সক্ষম) মোডে চলে যায়। ব্যবহারকারী মোডটি মূলত একটি সামনের লবি, এবং খসড়াটি বাইরে রাখার চেয়ে কিছুটা বেশি উদ্দেশ্য করে। বড় সংস্থাগুলিতে যেখানে আপনার বিশাল নেটওয়ার্ক এবং সমানভাবে বিশাল শ্রমের পুল রয়েছে, সামনের দরজায় কড়া নাড়তে পারে এবং নিশ্চিত যে কেউ এখনও রয়েছেন তা নিশ্চিত হওয়া যুক্তিযুক্ত হতে পারে। (এই লগ ইন করুন এবং মাত্র দেখতে ডিভাইস সবচেয়ে তুচ্ছ কমান্ড সঞ্চালন করুন, আসলে, সাড়া হয়, এবং অগ্নি নয়।) কিন্তু প্রত্যেক পরিবেশে আমি কখনো এ, স্তর 1 ছিল অন্তত কাজ করেছি কিছু করার ক্ষমতা জিনিস ভাঙ্গা

যেমনটি এবং বিশেষত আপনার মতো একটি দৃশ্যে, সক্ষম পাসওয়ার্ডটি জানার জন্য কিছু করা বাধ্যতামূলক। আপনি বলতে পারেন এটি দ্বিতীয় স্তরের সুরক্ষা - ডিভাইসে প্রবেশের জন্য একটি পাসওয়ার্ড, প্রশাসনিক সুযোগ-সুবিধার দিকে এগিয়ে যাওয়ার জন্য আরেকটি - তবে এটি আমার কাছে কিছুটা নির্বোধ বলে মনে হয়।

ইতিমধ্যে উল্লিখিত হিসাবে, আপনি একই পাসওয়ার্ডটি ব্যবহার করতে পারেন (এবং অনেক লোকই করতে পারেন), যদি কেউ টেলনেট / এসএসএসের মাধ্যমে অননুমোদিত অ্যাক্সেস অর্জন করে তবে খুব বেশি সহায়তা করে না। অবিচলিত, গ্লোবাল পাসওয়ার্ডগুলি প্রত্যেকের দ্বারা ভাগ করা যুক্তিযুক্তভাবে কেবল একটি টোকেন প্রবেশ করানোর চেয়ে বেশি সমস্যা। অবশেষে, বেশিরভাগ অন্যান্য সিস্টেমে (পরিষেবা, সরঞ্জামাদি, ইত্যাদি) প্রমাণীকরণের দ্বিতীয় স্তরের প্রয়োজন হয় না এবং এর কারণে সাধারণত এটি নিরাপদ হিসাবে বিবেচিত হয় না।

ঠিক আছে, এই বিষয়ে আমার মতামত। আপনার নিজের সিদ্ধান্ত নিতে হবে এটি আপনার নিজের সুরক্ষার অবস্থানের আলোকে অর্থবোধ করে কিনা। ব্যবসায় নামা যাক.

সিসকো (বুদ্ধিমানের) আপনার ডিফল্টরূপে একটি দূরবর্তী অ্যাক্সেস পাসওয়ার্ড সেট করতে হবে। আপনি যখন লাইন কনফিগারেশন মোডে পাবেন ...

router> enable
router# configure terminal
router(config)# line vty 0 15
router(config-line)#

... আপনি রাউটারকে প্রমাণীকরণ এড়িয়ে যেতে বলতে পারেন:

router(config-line)# no login

... এবং তাত্ক্ষণিকভাবে হ্যাক হয়ে যায় তবে আপনার আক্রমণকারীটি ব্যবহারকারী মোডে শেষ হবে। সুতরাং আপনার যদি একটি সক্ষম পাসওয়ার্ড সেট থাকে তবে কমপক্ষে আপনার দ্বারা ক্ষতি হতে পারে কিছুটা সীমিত করে রেখেছেন। (প্রযুক্তিগতভাবে, আপনি সক্ষম পাসওয়ার্ড ছাড়া আর কোনও দিকে যেতে পারবেন না a এক মুহুর্তে এটি আরও ...)

স্বাভাবিকভাবেই, বাস্তব জীবনে কেউ এটি করবে না। আপনার ন্যূনতম প্রয়োজনীয়তা, ডিফল্ট এবং সাধারণ জ্ঞানের দ্বারা, একটি সাধারণ পাসওয়ার্ড সেট করা:

router(config-line)# login
router(config-line)# password cisco

এখন, আপনাকে একটি পাসওয়ার্ড জিজ্ঞাসা করা হবে, এবং আপনি আবার ব্যবহারকারী মোডে শেষ হবেন। আপনি যদি কনসোলের মাধ্যমে আসেন তবে enableঅন্য পাসওয়ার্ড প্রবেশ না করেই অ্যাক্সেস পেতে কেবল টাইপ করতে পারেন। টেলনেটের মাধ্যমে জিনিসগুলি পৃথক, যেখানে আপনি সম্ভবত এটির পরিবর্তে এটি পাবেন:

$ telnet 10.1.1.1
Trying 10.1.1.1...
Connected to 10.1.1.1.
Escape character is '^]'.


User Access Verification

Password: *****
router> enable
% No password set
router> 

চলমান ... আপনি সম্ভবত ইতিমধ্যে জানেন যে ডিফল্টরূপে, আপনার সমস্ত কনফিগার করা পাসওয়ার্ড সরল পাঠ্য হিসাবে প্রদর্শিত হবে:

router# show run | inc password
no service password-encryption
 password cisco

এটি সেই জিনিসগুলির মধ্যে একটি যা সুরক্ষা-সচেতনতার স্পিঙ্কটারকে আরও শক্ত করে। এটি ন্যায়সঙ্গত উদ্বেগ কিনা তা আবার আপনার নিজের জন্য সিদ্ধান্ত নিতে হবে। একদিকে আপনার যদি কনফিগারেশনটি দেখার যথেষ্ট অ্যাক্সেস থাকে তবে আপনার সম্ভবত কনফিগারেশনটি পরিবর্তন করার পর্যাপ্ত অ্যাক্সেস রয়েছে। অন্যদিকে, যদি আপনি আছে এরকম অসতর্কতাবশত কেউ মানে নিজেদের, তারপর ... ভাল, এখন তারা নেই আপনার কনফিগারেশন প্রকাশ না উপায় আছে।

ভাগ্যক্রমে, উপরের স্নিপেটের প্রথম লাইনটি no service password-encryption, এটি পরিবর্তনের মূল চাবিকাঠি:

router(config)# service password-encryption
router(config)# line vty 0 15
router(config-line)# password cisco

এখন, আপনি যখন কনফিগারেশনটি দেখেন, আপনি এটি দেখতে পান:

router(config-line)# do show run | begin line vty
line vty 0 4
 password 7 01100F175804
 login
line vty 5 15
 password 7 01100F175804
 login
!
!
end

এটি সরল-পাঠ্য পাসওয়ার্ডগুলির তুলনায় প্রান্তিকরূপে ভাল, কারণ প্রদর্শিত স্ট্রিংটি কাঁধে-সার্ফ করার পক্ষে যথেষ্ট স্মরণীয় নয়। তবে এটি ডিক্রিপ্ট করা তুচ্ছ - এবং আমি এখানে শব্দটি আলগাভাবে ব্যবহার করি। আপনি প্রথমটি গুগলের ফলাফলের পৃষ্ঠায় কয়েক ডজন জাভাস্ক্রিপ্ট পাসওয়ার্ড ক্র্যাকারের একটিতে আক্ষরিক অর্থে সেই স্ট্রিংটি পেস্ট করতে পারেন এবং আসল পাঠ্যটি সঙ্গে সঙ্গে ফিরে আসতে পারেন।

এই তথাকথিত "7" পাসওয়ার্ডগুলিকে সাধারণত "এনক্রিপ্ট করা" না হয়ে "অবিচ্ছিন্ন" হিসাবে বিবেচনা করা হয় যা এটিকে কিছুই বলার চেয়ে সবে ভাল is

এটি সক্রিয় হিসাবে, তবে, এই সমস্ত passwordকমান্ড হ্রাস করা হয়েছে। (বা যদি তারা না হয় তবে তাদের হওয়া উচিত)) এজন্য আপনার কাছে নিম্নলিখিত দুটি বিকল্প রয়েছে:

router(config)# enable password PlainText
router(config)# enable secret Encrypted
router(config)# do show run | inc enable
enable secret 5 $1$sIwN$Vl980eEefD4mCyH7NLAHcl
enable password PlainText

গোপন সংস্করণটি একমুখী অ্যালগরিদম দিয়ে হ্যাশ করা হয়েছে, যার অর্থ আসল পাঠ্য ফিরে পাওয়ার একমাত্র উপায় হ'ল ব্রুটি-ফোর্স - এটি, যতক্ষণ না আপনি পরিচিত হ্যাশ তৈরি না হওয়া পর্যন্ত প্রতিটি সম্ভাব্য ইনপুট স্ট্রিং চেষ্টা করে।

প্রম্পটে আপনি পাসওয়ার্ডটি প্রবেশ করার সময় এটি একই হ্যাশিং অ্যালগরিদমের মধ্য দিয়ে যায় এবং সুতরাং একই হ্যাশটি তৈরি করা উচিত, যা কনফিগারেশন ফাইলের সাথে তুলনা করা হয়। যদি সেগুলি মিলে যায় তবে আপনার পাসওয়ার্ড গ্রহণ করা হবে। এইভাবে, আপনি যখন পাসওয়ার্ডটি তৈরি করছেন বা প্রবেশ করছেন তখন সংক্ষিপ্ত মুহুর্ত ব্যতীত প্লেইন পাঠ্যটি রাউটারটির সাথে পরিচিত নয়। দ্রষ্টব্য: অন্য কিছু ইনপুট একই হ্যাশ তৈরি করতে পারে এমন সম্ভাবনা সবসময়ই থাকে তবে পরিসংখ্যানগত দিক থেকে এটি খুব কম (পড়ুন: নগন্য) সম্ভাবনা।

আপনি যদি উপরের কনফিগারেশনটি নিজে ব্যবহার করেন, রাউটারটি উভয় enable passwordএবং enable secretলাইন উভয়ই থাকতে দেয় তবে গোপনীয়তা পাসওয়ার্ড থেকে জিততে পারে from এটি সেই সিসকো-আইসমগুলির মধ্যে একটি যা খুব বেশি বোঝায় না, তবে এটি এটি the তদতিরিক্ত, secretলাইন কনফিগারেশন মোড থেকে সমতুল্য কমান্ড নেই , সুতরাং আপনি সেখানে অবরুদ্ধ পাসওয়ার্ডের সাথে আটকে আছেন।

ঠিক আছে, সুতরাং এখন আমাদের কাছে একটি পাসওয়ার্ড রয়েছে যা কনফিগার ফাইল থেকে পুনরুদ্ধার করা যায় না (সহজেই) - তবে এখনও একটি সমস্যা আছে। আপনি টেলনেটের মাধ্যমে লগ ইন করার সময় এটি সরল পাঠ্যে প্রেরণ করা হচ্ছে। ভাল না. আমরা এসএসএইচ চাই।

আরও শক্তিশালী সুরক্ষার কথা মাথায় রেখে এসএসএইচটির জন্য কিছুটা অতিরিক্ত কাজ প্রয়োজন - এবং একটি নির্দিষ্ট বৈশিষ্ট্য সেট সহ একটি আইওএস চিত্র। একটি বড় পার্থক্য হ'ল একটি সাধারণ পাসওয়ার্ড আর যথেষ্ট ভাল হয় না। আপনাকে ব্যবহারকারী-ভিত্তিক প্রমাণীকরণে স্নাতক করতে হবে। এবং আপনি যখন এটির সাথে থাকবেন তখন একটি এনক্রিপশন কী জুটি সেট আপ করুন:

router(config)# username admin privilege 15 secret EncryptedPassword
router(config)# line vty 0 15
router(config-line)# transport input ssh
router(config-line)# no password
router(config-line)# login local
router(config-line)# exit
router(config)# ip ssh version 2
router(config)# crypto key generate rsa modulus 1024

এখন আপনি গ্যাস দিয়ে রান্না করছেন! লক্ষ্য করুন এই কমান্ডটি secretপাসওয়ার্ড ব্যবহার করে । (হ্যাঁ, আপনি ব্যবহার করতে পারেন, তবে তা করা উচিত নয় password)। privilege 15অংশ বাইপাস ব্যবহারকারী মোড সম্পূর্ণভাবে আপনি করতে পারবেন। আপনি যখন লগ ইন করেন, আপনি সরাসরি সুবিধাযুক্ত মোডে যান:

$ ssh admin@10.1.1.1
Password: *****

router#

এই পরিস্থিতিতে, একটি সক্ষম পাসওয়ার্ড (বা গোপনীয়) ব্যবহার করার দরকার নেই scenario

আপনি যদি এখনো চিন্তা করছি না করেন তাহলে, "বাহ ... কি একটি clusterfudge যে ছিল" মনে ভালুক সেখানে একটি সম্পূর্ণ অন্য দীর্ঘশ্বাসযুক্ত পোস্টে এখনও কম্যান্ড পিছনে লুকোনোর এর aaa new-model, যেখানে আপনি বাহ্যিক প্রমাণীকরণ সার্ভার ভালো জিনিস ডুব দিবেন পেতে (ব্যাসার্ধ , ট্যাকস +, এলডিএপি, ইত্যাদি), প্রমাণীকরণের তালিকা (যা ব্যবহারের উত্সগুলি সংজ্ঞায়িত করে এবং কোন ক্রমে), অনুমোদনের স্তর এবং ব্যবহারকারীর ক্রিয়াকলাপের অ্যাকাউন্টিং।

আপনি যখন কিছুক্ষণের জন্য নিজের রাউটার থেকে লক হয়ে যাবেন বলে মনে করেন তখন এমন সমস্ত কিছু সংরক্ষণ করুন।

আশা করি এইটি কাজ করবে!

হ্যাঁ, আপনার এটি কিছুতে সেট করা দরকার। আইওএস ঠিক এইভাবে কাজ করে। আপনি চাইলে এটি আপনার লগইন পাসওয়ার্ডের মতো করতে পারেন।

একাধিক ব্যবহারকারীর জন্য, আমি আপনাকে এএএ প্রমাণীকরণ সেট আপ করার পরামর্শ দিচ্ছি, যা আপনাকে অন্য পাসওয়ার্ড না দিয়েই সরাসরি সক্ষম মোডে যেতে দেয়। এটি আপনাকে স্বতন্ত্র প্রশাসকদের ক্রিয়াকলাপ ট্র্যাক করার অনুমতি দেবে। (তবে আপনাকে এখনও কিছুতে গোপন পাসওয়ার্ড সক্ষম করতে হবে))

aaa new model
aaa authentication login default local
aaa authorization enable default local

username chen-li password foo privilege 15
username safar password bar privilege 15

এখানে বিদ্যমান তথ্য যুক্ত করতে।

enable

enableপাসওয়ার্ড সেট করার জন্য প্রথম বিকল্পটি enable password।

Switch(config)#enable password passfoo
Switch#show running-config | include enable
enable password passfoo

আপনি দেখতে পাচ্ছেন যে, পাসওয়ার্ডটি সরল পাঠ্যে সংরক্ষিত আছে। এটা খারাপ ।

দ্বিতীয়টি হচ্ছে enable secret।

Switch(config)#enable secret ?
  0      Specifies an UNENCRYPTED password will follow
  5      Specifies a MD5 HASHED secret will follow
  8      Specifies a PBKDF2 HASHED secret will follow
  9      Specifies a SCRYPT HASHED secret will follow
  LINE   The UNENCRYPTED (cleartext) 'enable' secret
  level  Set exec level password
Switch(config)#enable secret passfoo
Switch#show running-config | include enable
enable secret 5 $1$cSF4$uydOsfi3J2vGT.77tuYWh1

এটি আরও ভাল । কমপক্ষে এখন আমাদের কাছে পাসওয়ার্ডের একটি হ্যাশ রয়েছে। তবে এটি এখনও কেবল সল্টেড এমডি 5 ব্যবহার করে তাই এটি সম্ভবত একটি বড় শব্দের তালিকা এবং ওপেনসেল দিয়ে ক্র্যাক করা সহজ।

তৃতীয় বিকল্প (এবং এই উত্তরটির উদ্দেশ্য) enable algorithm-typeযা আমাদের পিবিকেডিএফ 2 বা এসসিআরওয়াইপিটি ব্যবহার করতে দেয়।

Switch(config)#enable algorithm-type ?
  md5     Encode the password using the MD5 algorithm
  scrypt  Encode the password using the SCRYPT hashing algorithm
  sha256  Encode the password using the PBKDF2 hashing algorithm
Switch(config)#enable algorithm-type scrypt secret ?
  LINE   The UNENCRYPTED (cleartext) 'enable' secret
  level  Set exec level password
Switch(config)#enable algorithm-type scrypt secret passfoo
Switch#show running-config | include enable
enable secret 9 $9$dXjOMeJPYKOFbl$0D4.ItXi8yrjp.A9dt7Ew6tTgr3LYmMlzD672d.LjFk

এটি অবশ্যই সেরা ।

ফিলিপ ডি'আথ কেন টাইপ 9 বেছে নেওয়ার জন্য একটি দুর্দান্ত সংক্ষিপ্ত বিবরণ লিখেছেন টমাস পর্নিন এবং ইলমারি করোনেন গভীরতার তথ্য প্রদান করে provide

এটি মূলত সুরক্ষার একটি অতিরিক্ত স্তর। যদি আপনার কাছে আইওএসের কোনও সংস্করণ না থাকে যা পরিষেবা পাসওয়ার্ড-এনক্রিপশন সমর্থন করে, তবে কনসোল এবং ভিটিওয়াই পাসওয়ার্ডগুলি সরলরেখার সময় কেবলমাত্র পাসওয়ার্ডগুলি এনক্রিপ্ট করা সক্ষম হবে। যদি কেউ আপনার কনফিগারেশনের একটি অনুলিপি পেতে সক্ষম হন (ব্যাকআপ, বা একটি টেলনেটযুক্ত কম্পিউটার থেকে বলুন), এনক্রিপ্ট করা সক্ষম পাসওয়ার্ড আপনার রাউটারটির নিয়ন্ত্রণ পেতে আরও কঠিন করে তুলবে, এমনকি তারা টেলনেট করতে পারে।

এমনকি এনক্রিপ্ট করা ভিটিওয়াই এবং কনসোল পাসওয়ার্ড সহ, আপনার কাছে এখনও নিরাপদ পাশে থাকতে একটি আলাদা সক্ষম পাসওয়ার্ড থাকা উচিত এবং অতিরিক্ত বাধা সরবরাহ করতে হবে।

অ্যাডমিন ব্যবহারকারীদের মধ্যে 1 জনকে বন্ধ করুন is সিস্কো সংযোগের মাধ্যমে যে কোনও, যে কোনও, সম্ভাব্য হ্যাক এন্ট্রি পয়েন্টগুলির যে কোনও, কোনওরকম নজরদারি। দুজন অ্যাডমিন সহ। সংযুক্ত সিস্কো বিশ্বাস করবে যে একটি অনুপ্রবেশকারীও সংযুক্ত রয়েছে এবং যথাযথ লগইন ছাড়াই আরও অগ্রগতি অবরুদ্ধ করে on একচেটিয়া নিয়ন্ত্রণ পুনরায় প্রকাশিত হয়, আপনি অ্যাডমিনের যোগ করতে সক্ষম হবেন