路由器的密码保护
2018-11-09
以思科的路由器为例,一般有三种密码来保护路由器不被随意存取,分别是Console密码、进入Privilege模式密码和远程访问(Telnet、SSH)密码。
Console密码
以图1为例,网管人员为路由器设定Console密码,如此,当用户尝试使用Console线登录路由器时就需要输入正确的Console密码才能成功登录,提高路由器的安全性。
图1 网络架构
图2 未设定Console密码情况
首先示范没有设定Console密码的情况下,登录路由器的情况。
从图2可见,如果没有为路由器设定Console密码,只要使用Console登录软件就能轻易登录到路由器并随时修改路由器设定,存在严重的安全问题,网管人员应该要为路由器设定Console密码,具体的做法是在路由器上输入以下命令:
Router> en
Router# conf t
进入Console命令:
Router(config)#line console 0
设定Console密码为Console的命令:
Router(config-line)#password console
在路由器上套用Console密码的命令:
Router( config-line)#login
为路由器设定Console密码后,我们尝试再次以Console登录路由器,会发现这时需要用户输入Console密码(这里用的是Console),只有在输入正确的密码后才能成功登录路由器。
Privilege模式密码
一般情况下,我们在成功登录路由器之后,通过输入enable命令可以从User模式跳到Privilege模式,由于Privilege模式下已经具有一定的权限,甚至通过这个模式可以成功跳到更下层的模式,从而具有更高的操作性,因此,路由器有提供进入Privilege模式的密码保护,具体可以使用以下的命令来设定Privilege模式密码:
Router> en
Router# conf t
图3 网络架构
使用enable password privilege密码不会被加密,安全性较低或者使用enable secret privilege密码会被加密,安全性较高,建议使用这种方式:
R o u t e r(c o n f i g)#enable password privilege
或者
R o u t e r(c o n f i g)#enable secret privilege
设定完Privilege模式密码后,尝试进入Privilege模式会要求输入密码,成功后才能登录。
远程登录路由器密码
在实际工作中,一般情况下很少需要网管人员到机房使用Console线登录路由器,更多的是使用更便捷的远程登录方式,而远程登录如同Privilege模式密码类似,按照密码的安全性可以分为Telnet和SSH。
以图3的网络架构为例,如果想在PC1通过Telnet的方式进入路由器,需要先在路由器上设定接口IP,作为Telnet或者SSH之用,具体操作如下:
Router1> en
Router1# conf t
进入fa0/0界面:
Router1(config)# int fa0/0
在接口上设定IP:
Router1(config-if)#ip address 192.168.10.254 255.255.255.0
启动接口:
Router1(config-if)#no shutdown
设定好路由器的接口IP之后,就可以开始设定Telnet或 SSH,先以 Telnet为例,可以在路由器上作以下设定:
Router1> en
Router1# conf t
Telnet 需 要 设定 vty,1个vty可以视为一个Telnet终端机,所以vty 0 2一共有3个终端机可供用户联机进来:
Router1(config)# line vty 0 2
设定Telnet 密码为Telnet:
Router1(config-line)#password telnet
将以上设定套用在路由器上:
Router1(configline)# login
设定好Telnet所需的指定后,尝试用PC Telnet路由器,在PC1用“telnet 192.168.10.254”命令之后可以得到以下结果,如图4。
可以看到,Telnet成功之后会要求用户输入Telnet密码,输入正确之后就会跳到路由器的User模式,但是当我们要跳到Privilege模式时却弹出“% No password set.”的提示信息,这个提示信息意思是没有设定Privilege模式密码,基于安全性考虑,使用Telnet或者SSH登录路由器时,只要可以设定密码的地方通通都需要设定,否则是无法正常进入路由器的。因此,我们需要在路由器中设定Privilege模式密码:
Router1> en
Router1# conf t
使用安全性较高的密码方式:
图4 在PC1设置命令
图5 输出结果
图6 成功登录输出结果
Router1(config)#enable secret privilege
设定好Privilege模式密码之后,再尝试用PC1 Telnet到路由器,可以看到以下结果,如图5。
当输入正确的Telnet密码以及Privilege模式后,就可以开始对路由器进行操作,这是Telnet的方式。
Telnet的优点是设定简单,缺点是传输的过程没有加密,信息很容易被截取与窃改,出于安全性考虑,可以使用较为安全的SSH方式,在路由器上的设定如下:
Router1> en
Router1# conf t
设定域名:
Router1(config)#ip domain-name abc.com
设定登入账号与密码,账号是test,密码是ssh:
Router1(config)#username test secret ssh
选择RSA作为加密方式:
Router1(config)#crypto key generate rsa
设定SSH终端机:
Router1(config)# line vty 0 2
启动SSH:
Router1(config-line)#login local
设定好SSH指令之后,我们尝试用PC1 SSH到路由器,与Telnet不同的是,使用SSH时需要加上–L以及加上账号test,如此,只要我们成功输入SSH的密码以及Privilege密码之后就能成功登录路由器进行设定与操作了,如图6。