1.1.5 Сброс пароля
Последний параграф из секции “Физический доступ” касается возможности сброса пароля на устройстве. Казалось бы, вход в консоль устройства запаролен и можно не волноваться даже если злоумышленник получил физический доступ к оборудованию. Однако это ложное чувство безопасности. Все еще остается одна лазейка. Подключившись к устройству по консоли довольно просто установить новый пароль, даже не зная текущего. Вообще говоря, данная тема выходит за рамки книги, но мы обязаны рассмотреть сам процесс сброса, чтобы понять, насколько это просто сделать. Для примера рассмотрим алгоритм сброса пароля на коммутаторе:
1) Подключаемся по консоли к устройству (Мы рассмотрим пример с коммутатором. Для маршрутизатора процесс немного отличается, но идея та же.).
2) Вытаскиваем шнур питания коммутатора.
3) На лицевой панели коммутатора зажимаем кнопку mode.
4) Вставляем шнур питания не отпуская кнопку mode.
5) Не отпускаем кнопку mode до тех пор, пока индикатор над портом 1, не будет гореть, как минимум 2 секунды.
6) Вводим в консоли устройства команду flash_init.
7) Затем команду load_helper.
8) Переименуем текущую конфигурацию командой rename flash:config.text flash:config.old. Таким образом, при загрузке коммутатор не увидит файл с конфигурацией и запустится с заводскими настройками.
9) Загружаемся командой boot.
10) Входим в привилегированный режим командой enable. Вход будет без пароля.
11) Вернем название файла конфигурации: rename flash:config.old flash:config.text.
12) Теперь копируем первоначальную конфигурацию в текущую: copy startup-config running-config.
13) Мы оказались в привилегированном режим с первоначальными конфигурациями. Для смены пароля необходимо войти в режим глобальной конфигурации: conf t.
14) Теперь мы можем делать с конфигурацией все, что угодно. Сменить пароль на enable, создать своего пользователя, настроить удаленное подключение и т.д.
15) Сохраняем конфигурацию: copy running-config startup-config.
Как видим, получить полный контроль над коммутатором или маршрутизатором не составляет особого труда. При этом администратор сети может ничего не узнать, т.к. мы сохранили первоначальную конфигурацию и это не скажется на работе сети (за исключением времени, когда происходила перезагрузка коммутатора).
Чтобы избежать данной ситуации есть два варианта:
1) Ограничить физический доступ, как было сказано ранее. Сетевое оборудование должно быть либо в серверном помещении либо в специальном телекоммуникационном ящике с замком. К сожалению это не всегда возможно, особенно для коммутаторов уровня доступа, когда подключаются обычные пользователи.
2) Запретить возможность сброса пароля. Делается это на программном уровне используя команду no service password-recovery. Данная команда поддерживается в относительно новых прошивках. После ее применения уже не получится сбросить пароль с помощью описанной выше процедуры. Злоумышленник все еще сможет сбросить устройство в заводские настройки, но он не сможет получить доступ к текущей конфигурации. Однако подумайте несколько раз, прежде чем использовать эту функцию. Возможна ситуация, когда вы сами захотите сбросить пароль на устройстве (по причине его утери), но сделать это вы уже не сможете. Лично я рекомендую использовать данную функцию только на коммутаторах уровня доступа, находящихся вне серверной комнаты.
Запретите сброс пароля (no service password-recovery) на коммутаторах уровня доступа к которым возможен физический доступ.
"5) Не отпускаем кнопку mode до тех пор, пока индикатор над портом 1, не будет гореть, как минимум 2 секунды."
ОтветитьУдалитьВ разных коммутаторах циски по-разному. В целом полезная статья, особенно для новичков.
У статьи не было цели дать инструкцию по сбросу пароля. Скорее рассказать, что это очень легко сделать и что с этим нужно бороться)
УдалитьЭто понятно, поэтому и написал, что статья полезная) Спасибо, жду продолжения)
Удалить