Нет, технически. Но можно ли войти в режим включения без такового, зависит от того, как вы вошли в систему.
Вот версия мгновенного удовлетворения:
Вы можете войти через консоль без пароля включения, но вы застрянете в пользовательском режиме, если вы используете простой пароль входа в систему vty без установленного пароля активации.
Вот длинная версия ответчика StackExchange:
Аутентификация Cisco - своего рода беспорядок для новичка. Там много старого багажа. Позвольте мне попытаться разобраться в этом в реальном смысле.
Каждый, кто занимается бизнесом, подключается к маршрутизатору или коммутатору и переходит непосредственно в привилегированный режим. Пользовательский режим - это, в основном, передний вестибюль, который служит чуть больше цели, чем не допускать сквозняков. В больших организациях, где у вас есть обширные сети и столь же огромные трудовые ресурсы, может быть оправданным иметь кого-то, кто может постучать в парадную дверь и убедиться, что кто-то еще там. (То есть, чтобы войти в систему и выполнить самые тривиальные команды, просто чтобы убедиться, что устройство фактически отвечает, а не горит.) Но в каждой среде, в которой я когда-либо работал, уровень 1 имел по крайней мере некоторую способность сломать вещи.
Таким образом, и особенно в сценарии, подобном вашему, знание пароля включения обязательно, чтобы что-то сделать. Вы могли бы сказать, что это второй уровень безопасности - один пароль для входа в устройство, другой - для перехода к административным привилегиям - но мне это кажется немного глупым.
Как уже отмечалось, вы можете (и многие люди используют) один и тот же пароль, который мало поможет, если кто-то получил несанкционированный доступ через telnet / ssh. Возможно, проблема состоит в том, чтобы иметь статические, глобальные пароли, которыми все делятся, и это больше проблема, чем просто ввести один токен. Наконец, большинство других систем (сервисов, устройств и т. Д.) Не требуют второго уровня аутентификации и, как правило, не считаются небезопасными из-за этого.
ОК, это мое мнение по теме. Вы должны решить для себя, имеет ли это смысл в свете вашей собственной позиции безопасности. Давайте приступим к делу.
Cisco (разумно) требует, чтобы вы установили пароль удаленного доступа по умолчанию. Когда вы попадаете в режим настройки линии ...
router> enable
router# configure terminal
router(config)# line vty 0 15
router(config-line)#
... вы можете указать маршрутизатору пропустить аутентификацию:
router(config-line)# no login
... и быстро взломать, но ваш злоумышленник окажется в режиме пользователя. Так что если у вас есть разрешающий набор паролей, по крайней мере , вы несколько ограничены ущерб , который может быть сделано. (Технически, вы не можете идти дальше без пароля включения. Подробнее об этом чуть позже ...)
Естественно, никто не сделал бы это в реальной жизни. Ваше минимальное требование по умолчанию и по здравому смыслу - установить простой пароль:
router(config-line)# login
router(config-line)# password cisco
Теперь вам будет предложено ввести пароль, и вы снова окажетесь в режиме пользователя. Если вы enable
входите через консоль, вы можете просто ввести, чтобы получить доступ без необходимости вводить другой пароль. Но через telnet все по-другому, и вы, вероятно, получите это:
$ telnet 10.1.1.1
Trying 10.1.1.1...
Connected to 10.1.1.1.
Escape character is '^]'.
User Access Verification
Password: *****
router> enable
% No password set
router>
Продолжаем ... Вы, наверное, уже знаете, что по умолчанию все настроенные пароли отображаются в виде простого текста:
router# show run | inc password
no service password-encryption
password cisco
Это одна из тех вещей, которая подтягивает сфинктер сознательного к безопасности. Оправданно ли это беспокойство - это снова то, что вы сами должны решить. С одной стороны, если у вас есть достаточный доступ для просмотра конфигурации, возможно, у вас есть достаточный доступ для изменения конфигурации. С другой стороны, если вам посчастливилось иметь неосторожно показал свою конфигурацию , чтобы кто - то , кто не имеет средств сами, то ... ну, теперь они действительно имеют средства.
К счастью, первая строка в приведенном выше фрагменте no service password-encryption
является ключом к изменению этого:
router(config)# service password-encryption
router(config)# line vty 0 15
router(config-line)# password cisco
Теперь, когда вы смотрите на конфигурацию, вы видите это:
router(config-line)# do show run | begin line vty
line vty 0 4
password 7 01100F175804
login
line vty 5 15
password 7 01100F175804
login
!
!
end
Это немного лучше, чем пароли в виде простого текста, потому что отображаемая строка не достаточно запоминаема, чтобы перемещаться по плечу. Тем не менее, расшифровать тривиально - и я использую этот термин здесь свободно. Вы можете буквально вставить эту строку в один из дюжины взломщиков паролей JavaScript на первой странице результатов Google и сразу же получить исходный текст.
Эти так называемые «7» пароли обычно считаются «запутанными», а не «зашифрованными», чтобы подчеркнуть тот факт, что он чуть лучше, чем ничего.
Однако, как оказалось, все эти password
команды устарели. (Или, если это не так, они должны быть.) Вот почему у вас есть следующие два варианта:
router(config)# enable password PlainText
router(config)# enable secret Encrypted
router(config)# do show run | inc enable
enable secret 5 $1$sIwN$Vl980eEefD4mCyH7NLAHcl
enable password PlainText
Секретная версия хэшируется с помощью одностороннего алгоритма, что означает, что единственный способ вернуть исходный текст - это перебор, то есть, пробовать каждую возможную входную строку, пока вы не сгенерируете известный хеш.
Когда вы вводите пароль в приглашении, он проходит по тому же алгоритму хеширования и поэтому должен в конечном итоге генерировать тот же хеш, который затем сравнивается с тем, который указан в файле конфигурации. Если они совпадают, ваш пароль принят. Таким образом, простой текст не известен маршрутизатору, за исключением краткого момента, когда вы создаете или вводите пароль. Примечание: всегда есть вероятность, что какой-то другой вход может генерировать такой же хеш, но статистически это очень низкая (читай: незначительная) вероятность.
Если вы должны были использовать описанную выше конфигурацию самостоятельно, маршрутизатор позволит обе enable password
и enable secret
линии существовать, но секрет победы от пароля. Это один из тех Cisco-измов, который не имеет особого смысла, но это так. Кроме того, нет secret
эквивалентной команды из режима конфигурации линии, поэтому вы застряли там с запутанными паролями.
Хорошо, теперь у нас есть пароль, который нельзя (легко) восстановить из файла конфигурации, но есть еще одна проблема. Он передается в виде простого текста, когда вы входите в систему через telnet. Не хорошо. Мы хотим SSH.
SSH, разработанный с учетом более надежной безопасности, требует немного дополнительной работы - и образа IOS с определенным набором функций. Одно большое отличие состоит в том, что простой пароль уже недостаточно хорош. Вы должны перейти к пользовательской аутентификации. И пока вы это делаете, настройте пару ключей шифрования:
router(config)# username admin privilege 15 secret EncryptedPassword
router(config)# line vty 0 15
router(config-line)# transport input ssh
router(config-line)# no password
router(config-line)# login local
router(config-line)# exit
router(config)# ip ssh version 2
router(config)# crypto key generate rsa modulus 1024
Теперь ты готовишь с газом! Обратите внимание, что эта команда использует secret
пароли. (Да, вы можете, но не должны использовать password
). privilege 15
Часть позволяет обойти пользовательский режим полностью. Когда вы входите в систему, вы переходите прямо в привилегированный режим:
$ ssh admin@10.1.1.1
Password: *****
router#
В этом случае нет необходимости использовать пароль (или секретный ключ).
Если вы еще не думал, «вау ... какая clusterfudge , что было», иметь в виду , что есть целый другой многословно пост еще скрывается за командой aaa new-model
, где вы можете погрузиться в такие вещи , как внешние серверы аутентификации (RADIUS , TACACS +, LDAP и т. Д.), Списки аутентификации (которые определяют используемые источники и в каком порядке), уровни авторизации и учет активности пользователей.
Сохраните все это на время, когда вам захочется на время отключиться от маршрутизатора.
Надеюсь, это поможет!