远程登录之中的安全特性

远程登录之中的安全特性

本篇介绍思科中远程登录中的安全特性，可以有效的保护IOS文件和configuration文件的安全，防止恶意删除。
也可以有效的防止通过暴力破解获取设备的用户及密码，从而保护设备的安全。

防止telnet上之后的恶意删除

现在的管理设备，一般都是远程登录来管理设备的，不可能随时随地的拿一条console线直接去机房连接设备，即不安全，也不方便。那么，从安全的方面考虑，远程登录就成了一个可以关注的问题。这里介绍一下telnet上之后的特性。
我们telnet上一台机器，假设是权限足够的条件下，如果想恶意的删除IOS文件以及配置文件的话，只需执行删除IOS文件：
Router#delete flash: //删除Flash内的文件
Delete filename []?c2800nm-advipservicesk9-mz.124-15.T1.bin //指定删除什么文件. （文件名字可以通过show flash: 来查找）
Delete flash:/c2800nm-advipservicesk9-mz.124-15.T1.bin? [confirm] //确认删除.
注意：删除文件后，记得重启设备，不然没有效果。
R1#erase startup-config //删除启机配置文件
iOS文件被删除之后，就无法正常启动设备了，我们只能通过特殊手段去恢复了。（具体恢复方法参照https://blog.csdn.net/Stephen_jj/article/details/104481143）
当然，这里讲如何防止被删除。具体命令如下：
R1(config)#secure boot-image //加密隐藏保护IOS
R1(config)#secure boot-config //加密备份配置

以下面实例为例，配置好IP地址和远程登录设置。配置R1(config)#secure boot-image //加密隐藏保护IOS。

PCtelnet路由器R1，成功登录。

这时候再来查看是否可以删除设备，可以看到，删除失败。

再来查看flash：文件，可以看到IOS文件已经被隐藏掉了。

当然，可能到这里有人会问了，那我只要在全局模式下将配置隐藏的给NO掉就好了。所以这个配置只支持本地配置，不支持远程登录来配置，所以当你远程登录想NO掉配置的话，会直接报错。（注意有些PT的版本是支持远程配置隐藏的，真实机是不支持的。）

对于配置文件的备份配置。

当然也可以自己命名：secure boot-config restore flash:/secure.cfg(这里PT测试不支持，所以不展示出来)
倘若被恶意删除，可以通过copy flash:/secure.cfg running-config 来恢复。

有效的抵御远程登录用户和密码被暴力破解

对于用户和密码来说，理论上没有绝对安全的，无论是什么难度的密码，都有可能被破解的可能性，区别只是时间问题。我们做安全的更多方面的是延长其破解的时间和打乱其破解的顺序，要知道暴力破解都是按照一定的顺序进行了，所以我们要养成定时修改密码的习惯，这样有可能对方将一直破解你的密码。那么这里就将从延长期破解时间的方向来讲。
配置命令：
login block-for 600 attempts 3 within 60 //设置若60秒内登录失败3次，则关闭远程登录通道600秒。
login delay 2 //设置每次登录延时2秒
login quiet-mode access–class csdn //设置csdn这个策略的远程登录
ip access-list standard csdn
permit host 192.168…1.1

这里配置10秒内错三次则延时30秒做测试，可以看到，失败三次之后，再次去telnet就无法登录上去了。而30秒之后又能重新telnet了。
login block-for 30 attempts 3 within 10

而配置下面的命令之后，只要在策略允许范围内，将无视上面设置的安静时间，华为的叫法是静默时间。
login quiet-mode access–class csdn //设置csdn这个策略的远程登录
ip access-list standard csdn
permit host 192.168…1.1

最后

从安全的方面来考虑，涉及的可能是很细微很小的方面，上面涉及的两个特性也比较的简单，好了，感谢观看。