|
3-LABORATORIYA ISHI
TARMOQ QURILMALARI XAVFSIZLIGINI TAHLIL QILISH
Ishdan maqsad: Cisco kommutatorlarida va marshrutizatorlarida parolni olib tashlash (сброс) bo`yicha amaliy ko`nikmalar olish
QISQACHA NAZARIY MA`LUMOTLAR
Qurilma sozlamalariga kirish uchun kerak bo`ladigan parolning yo`qotilishi yoki unutilish holatlari tez-tez uchrab turadi. Ushbu laboratoriya ishida Cisco kommutatorlari va marshrutizatorlarida parollarni olib tashlash ( Сброс) jarayoni ko`rib chiqiladi.
Quyida keltiriladigan usullar qurilmaga to`g`ridan-to`g`ri konsol kabel orqali ulanishni ko`zda tutadi. Shuning uchun ham qurilma joylashgan xonaga faqat kirish huquqiga ega foydalanuvchilar kirishi, xavfsizlik nuqtai nazaridan e`tiborga olinishi kerak. Ushbu metodikalarning mohiyati quyidagicha: paroli unutilgan yoki yo`qolgan konfiguratsion faylsiz qurilmaning sozlamalariga imtiyozli rejimda (Privileged EXEC) kirish va konfiguratsion faylni almashtirish orqali barcha parollarni o`zgartirish.
Cisco marshrutizatorlarida parolni tashlab yuborish
Cisco marshrutizatorlarida parolni tashlab yuborish uchun qurilmaga fizik
kira olish kerak, ya`ni konsol kabel orqali ulanish imkoniyati bo`lishi kerak. Marshrutizatorda konfiguratsion registr mavjud bo`lib, ushbu registr marshrutizatorning ishga tushishini boshqaradi va uning qiymatlari energiya talab qiluvchi xotirada saqlanadi.
Configuration register – bu marshrutizatorning ishga tushishi ketma- ketligiga javob beruvchi NVRAM da joylashgan 16 bitli registr. Ya`ni marshrutizatorga operatsion tizimni va sozlanish fayllarini qaysi tartibda va qayerdan olishini ko`rsatib beradi. Uning odatiy qiymati – 2102. Qiymatning uchinchi raqami sozlanish fayliga, to`rtinchi raqami esa operatsion tizimga javob
beradi. Parollar unitilishi yoki yo`qolishi holatlarida uchinchi raqamni “4” raqamga o`zgartirish kerak bo`ladi.
Ko`pchilik marshrutizatorlarda konfiguratsion registrning qiymati – 0x2102 bo`ladi.
Agar Cisco marshrutizatoriga kirish huquqi bor bo`lsa, unda konfiguratsion registrning qiymatini quyidagicha tekshirsa bo`ladi:
R1#show version
|
Cisco IOS Software, 2800 Software (C2800NM-ADVIPSERVICESK9-M),
|
Version 12.4(15)T1, RELEASE SOFTWARE (fc2)
|
M860 processor: part number 0, mask 49
|
2 FastEthernet/IEEE 802.3 interface(s)
|
239K bytes of NVRAM.
|
62720K bytes of processor board System flash (Read/Write)
|
Configuration register is 0x2102
|
Oxirgi qator konfiguratsion registr qiymatini o`z ichiga olgan bo`ladi. Endi unutilgan parolni o`zgartirish jarayoni bosqichma-bosqich ko`rib chiqiladi.
Birinchi navbatda marshrutizatorga konsol kabel (3.1-rasm.) orqali ulanish lozim ( Rollover deb ham nomlanadi).
3.1-rasm. Konsol kabelining ko`rinishi.
Konsol orqali ulaniladi va keyingi jarayonlarning barchasi konsol port orqali amalga oshiriladi (3.2-rasm).
3.2-rasm. Kompyuterning kommutator qurilmasiga Console kabeli yordamida
ulanishi
Xizmat ko`rsatish maqsadlarida ishlatiladigan – ROMMON rejimida marshrutizator elektr energiyasi manbasidan o`chiriladi va qayta ishga tushiriladi (3.3-rasm).
3.3-rasm. Cisco Packet tracer muhitida Router qurilmasining elektr
ta’minotini o`chirib/yoqish tugmasi
Marshrutizatorni ROMMON rejimida qayta ishga tushurish uchun odatiy
boshlang`ich IOS ishga tushish jarayoni to`xtatiladi, buni amalga oshirish
terminalga bog`liq. Masalan, hyperterminalda – “Ctrl-Break”, teratermda – “Alt- B”, Cisco Packet Tracer emulyatorida – “Ctrl-Break” va h.k.
Qurilmaga ulanib, u qayta ishga tushiriladi va IOS ishga tushirilishida Ctrl+Break tugmalari qo`shilib bosiladi:
System Bootstrap, Version 12.1(3r)T2, RELEASE SOFTWARE (fc1)
|
Copyright (c) 2000 by cisco Systems, Inc.
|
Initializing memory for ECC
|
.c2811 processor with 524288 Kbytes of main memory
|
Main memory is configured to 64 bit mode with ECC enabled
|
Readonly ROMMON initialized
|
Self decompressing the image :
|
##############
|
monitor: command "boot" aborted due to user interrupt
|
rommon 1 >
|
Shu tarzda, ROMMON (ROM monitor) rejimiga kiriladi. Bu yerda konfiguratsiya registri confreg 0x2142 buyrug`i bilan o`zgartiriladi, natiyjada marshrutizator Flash xotiraga yozilgan konfiguratsion faylni ishga tushirilishida ishlatmaydi. Bundan keyin reset buyrug`ini kiritish orqali marshrutizator qayta ishga tushiriladi.
rommon 1 > confreg 0x2142
|
rommon 2 > reset
|
Endi marshrutizator konfiguratsion faylsiz ishga tushadi va eski konfiguratsion faylni tiklash maqsadida quyidagi imtiyozli rejimda copy startup- config running-config buyrug`i orqali amalga oshiriladi.
Router>enable
|
Router#copy startup-config running-config
|
Destination filename [running-config]?
|
700 bytes copied in 0.416 secs (1682 bytes/sec)
|
Bundan keyin paroli unutilgan eski konfiguratsiya qo`yiladi, lekin bu yerda imtiyozli rejimda turganligi uchun eski parolni yangisiga o`zgartirsa bo`ladi.
Router1#conf t
|
Router1(config)#enable password NewPassword
|
Router1(config)#enable secret NewPassword
|
Router1(config)#line vty 0 4
|
Router1(config-line)#password NewPassword
|
Router1(config-line)#login
|
Router1(config-line)#exit
|
Router1(config)#line console 0
|
Router1(config-line)#password NewPassword
|
Router1(config-line)#login
|
Parollar o`zgartirildi, endi konfiguratsion registrning eski qiymatini qayta joyiga qo`yish kerak, buning uchun config-register 0x2102 buyrug`i kiritiladi Router1(config)# config-register 0x2102
Bundan keyin yangi konfiguratsiya saqlanadi va marshrutizator qayta ishga tushiriladi
Router1#copy running-config startup-config
|
Router1#reload
|
Marshrutizator qayta ishga tushirilgach, yangi parollar bilan saqlangan konfiguratsion faylni o`ziga oladi. Yana, no service password-recovery buyrug`ini ishlatish orqali parol tashlab yuborilishi imkoniyatini o`chirib qo`ysa bo`ladi, buning uchun yuqorida ta`kidlanganidek qurilmaga fizik kirish imkoniyati kerak.
Do'stlaringiz bilan baham: | 
