Console口方式登录交换机
攻击行为
Console口(也称串口)属于物理接口,攻击者接触到Console口后,交换机将暴露给攻击者,交换机的安全无法保障。即使该攻击者没有破解用户名和密码,也能够对交换机造成损害。
在使用Console口登录的情况下,可能有潜在的攻击者通过网络连接尝试破解用户名和密码,获取交换机管理权限。
安全策略
针对以上攻击行为,可以在交换机上配置如下安全策略。当交换机第一次启用时,需要通过Console口进行第一次配置:
将Console通信电缆的DB9(孔)插头插入PC机的串口,在交换机启动过程中,按下“CTRL+B”或者“CTRL+E”快捷键。
V200R019及之前版本:利用缺省密码进入BootROM或BootLoad菜单,修改BootROM或BootLoad的密码。
V200R020及之后版本:BootROM或BootLoad菜单缺省无密码。首次登录时系统提示必须设置新密码。
交换机生成配置,此时必须修改Console口的登录密码,并记录所配置的登录密码。
V200R009及之前版本Console口默认无认证方式,无默认的用户名和密码,交换机允许用户登录并提示是否配置密码。为保证Console口安全,建议用户此时将Console用户界面的认证方式修改为AAA认证,并在AAA视图下配置用户名和密码。
V200R010至V200R019版本Console口默认为AAA认证,需要在AAA视图下配置用户名和密码。建议用户使用默认的认证方式。
V200R020及之后版本Console口默认为Password认证。首次登录时系统提示必须设置密码。
配置方法
修改BootROM或BootLoad密码
有的设备支持BootROM菜单,有的设备支持BootLoad菜单,不同版本、不同形态可能有差异,请您以设备为准。
修改BootROM密码
交换机启动过程中,出现以下提示信息时,表示交换机启动了BootROM程序。当出现“Press Ctrl+Bor Ctrl+E to enter BootROM menu :”时,及时(3秒内)按下快捷键Ctrl+B,进入BootROM主菜单。输入正确的BootROM密码,显示的BootROM主菜单如下:
框式交换机:
盒式交换机:
修改BootLoad密码
交换机启动过程中,出现以下提示信息时,表示设备启动了BootLoad程序。当出现“Press CTRL+B to enter BootLoad menu :”时,及时(3秒内)按下快捷键Ctrl+B,进入BootLoad菜单。
框式交换机:
盒式交换机:
配置AAA认证
将Console用户界面的认证方式配置为AAA认证,并在AAA视图下配置用户名admin1234和密码Helloworld@6789。