配置ios-login----安全

OS log n安全

一、  IO安全特性

Statf  f i r al l

Intrsion  reet  on systemVp rout  ng  d f wadingawar  (vr -awae)f i rewa  Vi r  u  p   vte nerworks

二、  ISR的增强特性,它能够支持以下特点 Integatd vpn ac lera ion

De icated v ice harwae

  nced inte ation m  lesU  por 同时, IS还支持的其他扩展模块an connecti  ity netoko le (广域网模块)Ci c HIC-(无线模块

Ci co IDS network u   硬件 模块)

Cis   on  nt ng neg ( web cache )Ana y i  mod  网络分析模块

三、

路由器登陆管理方式

Cons le直接通过终端连接(常用

us通过电话网络,拨到modem,然后反向telne 到outer进行远程网管少用

Vy通过虚拟终端tel t远程网管

四、  Cisc对密码的建议密码最短长度为10个字符

复杂性要求

密码不能在字典中找打周期性更新密码

五、 三种密码类型以及相关配置命令Enable secret (MD5 hash不可逆加密技术

Ena  e password 向前兼容,可能版本太旧了无法支持D5加密技术ty password    lnt r ssh onn    on)s  rvic assword-ncryption 思科私有算法,实现nable  ssword的乱码加密,但是不安全,很容易破解的,它只是防止别人在旁边偷看到密码而已

No evice password-reoer 做密码恢复的时候配置全部丢失,无法找到原先的所有配置,所以这个命令建议大家不要使用本地用户名数据库配置---u ene xxx passord/ecr t xx

最短密码长度限制---s cur ity ps o si-legth 6 至少

配置个密码字符设置登陆超时时间-exect eout 2 3 表示

2分30秒不动就自动跳出来 六、pr i  i leg命令介绍cisco 级别介绍---总共有0~15级(16个级别) ,分为三个部分;第一部分为0级包含5个命令) 、第二部分为级包含4多个命令) 、

第三部分为215级(包含N个命令)

 r ivi l ge命令作用和特点---把命令从一个级别抠出来送到另外一个级别pr ivi  ege配置实例-举个例子

1  clear  in 1 (清除线路1 把别人踢出去,结果显示你敲的命令无效,要知道,清线的命令是1 级的,现在你得把这个命令抠出来放到1级的位置,那么

你在级的位置也就是用户模式下就可以使命令生效了)

2 pr ivi  ee xec  e  l 1  le  l in 意思是把  ear ine这个15级别的命令抠出来放到1级的位置,那么你在1级的位置就使得命令

生效 以实现清线)七、

Ro ebas d I  iew (基于角色的CLI命令 它类似于pr  vi l 

e,但是该技术能够更加细度的控制用户所打的命令,起配置步骤如下

1  aa new-mod  (全局配置模式下激活AA

)eabl  ecr   配置加密密码命令,只有加密才有权利进入root ie) 3 e      iew (进入oot vi w模式) 4配置 iew “tet”  (cnf ig)  se v  ew te t (命名) R(conf ig iew)#e re  xxx(加密  R conf ig-view)#command  eec inc  ude al l cop 允许所有co   (cof ig-view cmmands eec icludetra

  rou e 允许所有trac ro e

R cof ig-vie)#commns exe  n l ue p  g 允许所有p ig配置后你可以在特权模式下打 查看你所配置的有没有生效八、   roct rou   n fi les (保护路由文件,当配置文件被人远程登录恶意删除的时候,可以通过路由文件保护几个命令就实现恢复原状态,包含io和配置)

步骤启动proec out  g  i  es

1) rou   r conf ig)#secure bot-iage (加密隐藏保护IOS) 2) ro  r cnf ig secur  ootconf ig (加密备份配置) 通过以上的两个命

令就可以安心了,注意的一点是这些命令要通过cnsole口才可以配置当你遭受恶意删除OS和配置的时候,一下步骤实现恢复: 1  romon 1 >boo f  sh:xxxxxx xx x.bin 启动) 2 secu e boo-co  igret e f  ash:/seure.cfg 将备份的配置opy到f l sh中)

3 routercpy   ash:/secure cf runnig-cn  ig 将f la h

的配置o 出来)

到这里就实现了灾难恢复了九、

isco OS gin Enhanceent

它能够有效抵御  lnt/  h/http协议对OS router的D攻击(猜测

密码

此特性能够实现以下功能 

制造一个登陆的延迟

配置: o in d  ay  输入密码错误就会卡住2秒,2秒后才可以重新

输入

og 进程的挂起,就是说一定时间内输入密码错误次数达到限制, roter在一定的设置时间内就无法被登陆了,当然除了管理员(AC实现管理员可以登陆)配置 log n block-fo 00  tempt  3 itin 60 (0秒内输入密码有次错误,那么在60秒内Lg n就会被挂起,无法网管了)



任何成功或者失败的登陆都可以发送Login给系统管理员配置:#lo in n-sces  trap 成功登陆就会发送信息给系统管理员   # o inonfai lure  ra eery (三次登陆失败就会发送信息给系统管理员 

通过访问控制列表实现系统管理员可以随时ogin配置:logi qiet-mod accessclass block. s  h. new #ip cces - i t s  nd

 rd bloc ssh. ew

#p rm  x.x.x.x 允许x.x.x x登陆进入