(Classe 5a) - Sistemi e Reti

Le password complesse sono tanto più utili quanto più sono segrete. Esistono diversi passaggi che possono essere eseguiti per garantire che le password rimangano segrete su un router e switch Cisco, inclusi questi:

• Crittografare tutte le password in chiaro
• Impostare di una lunghezza minima accettabile della password
• Scoraggiare gli attacchi brute-force che indovinano la password
• Disattivare l'accesso in modalità EXEC privilegiato inattivo dopo un periodo di tempo specificato.

Come mostrato nella configurazione di esempio nella figura, il comando di configurazione globale service password-encryption impedisce a persone non autorizzate di visualizzare le password in testo normale nel file di configurazione. Questo comando crittografa tutte le password in chiaro. Si noti nell'esempio, che la password "cisco" è stata crittografata come "03095A0F034F".

Per garantire che tutte le password configurate abbiano una lunghezza minima specificata, utilizzare il comando security passwords min-length length in modalità di configurazione globale. Nella figura, qualsiasi nuova password configurata dovrebbe avere una lunghezza minima di otto caratteri.

Gli autori delle minacce possono utilizzare un software di cracking delle password per condurre un attacco a forza bruta su un dispositivo di rete. Questo attacco tenta continuamente di indovinare le password valide fino a quando non trova quella giusta. Utilizzare il comando di configurazione globale login block-for # attempts # within # per scoraggiare questo tipo di attacco. Nella figura, ad esempio, il comando login block-for 120 attempts 3 within 60 bloccherà i tentativi di accesso a vty per 120 secondi se ci sono tre tentativi di accesso non riusciti entro 60 secondi.

Gli amministratori di rete possono distrarsi e lasciare accidentalmente aperta una sessione in modalità EXEC privilegiata su un terminale. Ciò potrebbe consentire a un attore di minaccia interno di modificare o cancellare la configurazione del dispositivo.

Per impostazione predefinita, i router Cisco disconnetteranno una sessione EXEC dopo 10 minuti di inattività. Tuttavia, è possibile ridurre questa impostazione utilizzando il comando di configurazione exec-timeout minutes seconds. Questo comando può essere applicato su console in linea, linee ausiliarie e vty. Nella figura, stiamo dicendo al dispositivo Cisco di disconnettere automaticamente un utente inattivo su una linea vty dopo che l'utente è rimasto inattivo per 5 minuti e 30 secondi.

R1(config)# service password-encryption 
R1(config)# security passwords min-length 8 
R1(config)# login block-for 120 attempts 3 within 60
R1(config)# line vty 0 4 
R1(config-line)# password cisco 
R1(config-line)# exec-timeout 5 30 
R1(config-line)# transport input ssh 
R1(config-line)# end 
R1# 
R1# show running-config | section line vty
line vty 0 4
 password 7 094F471A1A0A
 exec-timeout 5 30
 login
 transport input ssh
R1#