Ciscoルータへの接続方法をTelnetからSSHにリモートで変更する事を検討

 08, 2013 18:02
少し前に韓国でのサイバーテロが起きた後、セキュリティの見直しについて上司から指示があり、まずはルータ・SWのパスワードを変更することになり、対象機器が多かったのでバッチを作って一括変更を実施しました。


そして今度はTelnetでログインするのはどうなの?という事で、SSH化する方向で検討することになりました。


リモートでの設定変更でSSHに変えるの事について、まずはテストルータで検証開始。


ユーザ認証の設定ですが、以下のように設定すると平文がネットワーク上を流れてしまいます。

Router(config)#username sshtest password AAA ←パスワード「AAA」


そこでローカル環境でType7で暗号化したユーザ認証設定を確認。

ローカル環境
Router(config)#username sshtest password AAA
Router(config)#service password-encryption
Router#sh run
・・・
username sshtest password 7 01322725 ←Type7で暗号化

次にリモートで対象ルータにログインし、上記で確認した「username sshtest password 7 01322725」を設定すれば最初から暗号化されているから・・・と考えましたが、Type7での暗号化については、下記のサイトのように簡単に解読可能な状況のようなので、仮にパケットキャプチャされた場合は意味がありません。
http://www.ibeast.com/content/tools/CiscoPassword/index.asp


そのため、安全を期するなら手間をかけて以下のようにする必要がありそうです。

1.平文で一度SSHの認証設定
2.ログアウト
3.SSHでログイン
4.sh users で他にログインしていないことを確認
5.平文で設定したパスワードを再度変更

この場合、バッチを作って自動化するのは少し面倒そうですね。

COMMENT 2

-  2013, 05. 08 [Wed] 19:37

passwordじゃなくてsecretを利用してみてはどうでしょうか?

Edit | Reply | 

netserc  2013, 05. 10 [Fri] 20:08

Re: タイトルなし

> passwordじゃなくてsecretを利用してみてはどうでしょうか?

試してみました

Router(config)#username sshtst secret AAA
Router#sh ru
Building configuration...
!
username sshtst secret 5 $1$GWFu$Hvot85XteoAFveYOrIfTC0

usernameの設定の際にsecret使えたんですね。
頭が寝ぼていました。
情報サンクス。

Edit | Reply | 


WHAT'S NEW?