3-laboratoriya ishi
Mavzu: Tarmoq qurilmalari xavfsizligini tahlil qilish
Ishdan maqsad: Cisco kommutatorlarida va marshrutizatorlarida parolni olib tashlash (сброс) bo`yicha amaliy ko`nikmalar olish
Qisqacha nazariy ma`lumotlar
Qurilma sozlamalariga kirish uchun kerak bo`ladigan parolning yo`qotilishi yoki unutilish holatlari tez-tez uchrab turadi. Ushbu laboratoriya ishida Cisco kommutatorlari va marshrutizatorlarida parollarni olib tashlash (Сброс) jarayoni ko`rib chiqiladi.
Quyida keltiriladigan usullar qurilmaga to`g`ridan-to`g`ri konsol kabel orqali ulanishni ko`zda tutadi. Shuning uchun ham qurilma joylashgan xonaga faqat kirish huquqiga ega foydalanuvchilar kirishi, xavfsizlik nuqtai nazaridan e`tiborga olinishi kerak. Ushbu metodikalarning mohiyati quyidagicha: paroli unutilgan yoki yo`qolgan konfiguratsion faylsiz qurilmaning sozlamalariga imtiyozli rejimda (Privileged EXEC) kirish va konfiguratsion faylni almashtirish orqali barcha parollarni o`zgartirish.
Cisco marshrutizatorlarida parolni tashlab yuborish
Cisco marshrutizatorlarida parolni tashlab yuborish uchun qurilmaga fizik kira olish kerak, ya`ni konsol kabel orqali ulanish imkoniyati bo`lishi kerak. Marshrutizatorda konfiguratsion registr mavjud bo`lib, ushbu registr marshrutizatorning ishga tushishini boshqaradi va uning qiymatlari energiya talab qiluvchi xotirada saqlanadi.
Configuration register – bu marshrutizatorning ishga tushishi ketma- ketligiga javob beruvchi NVRAM da joylashgan 16 bitli registr. Ya`ni marshrutizatorga operatsion tizimni va sozlanish fayllarini qaysi tartibda va
qayerdan olishini ko`rsatib beradi. Uning odatiy qiymati – 2102. Qiymatning uchinchi raqami sozlanish fayliga, to`rtinchi raqami esa operatsion tizimga javob beradi. Parollar unitilishi yoki yo`qolishi holatlarida uchinchi raqamni ―4‖ raqamga o`zgartirish kerak bo`ladi.
Ko`pchilik marshrutizatorlarda konfiguratsion registrning qiymati – 0x2102 bo`ladi.
Agar Cisco marshrutizatoriga kirish huquqi bor bo`lsa, unda konfiguratsion registrning qiymatini quyidagicha tekshirsa bo`ladi:
Oxirgi qator konfiguratsion registr qiymatini o`z ichiga olgan bo`ladi. Endi unutilgan parolni o`zgartirish jarayoni bosqichma-bosqich ko`rib chiqiladi.
Birinchi navbatda marshrutizatorga konsol kabel (3.1-rasm.) orqali ulanish lozim (Rollover deb ham nomlanadi).
3.1-rasm. Konsol kabelining ko`rinishi.
Konsol orqali ulaniladi va keyingi jarayonlarning barchasi konsol port orqali amalga oshiriladi (3.2-rasm).
3.2-rasm. Kompyuterning kommutator qurilmasiga Console kabeli yordamida
ulanishi
Xizmat ko`rsatish maqsadlarida ishlatiladigan – ROMMON rejimida marshrutizator elektr energiyasi manbasidan o`chiriladi va qayta ishga tushiriladi (3.3-rasm).
3.3-rasm. Cisco Packet tracer muhitida Router qurilmasining elektr ta‘minotini o`chirib/yoqish tugmasi
Marshrutizatorni ROMMON rejimida qayta ishga tushurish uchun odatiy boshlang`ich IOS ishga tushish jarayoni to`xtatiladi, buni amalga oshirish terminalga bog`liq. Masalan, hyperterminalda – ―Ctrl-Break‖, teratermda – ―Alt- B‖, Cisco Packet Tracer emulyatorida – ―Ctrl-Break‖ va h.k.
Qurilmaga ulanib, u qayta ishga tushiriladi va IOS ishga tushirilishida Ctrl+Break tugmalari qo`shilib bosiladi:
Shu tarzda, ROMMON (ROM monitor) rejimiga kiriladi. Bu yerda konfiguratsiya registri confreg 0x2142 buyrug`i bilan o`zgartiriladi, natiyjada marshrutizator Flash xotiraga yozilgan konfiguratsion faylni ishga tushirilishida ishlatmaydi. Bundan keyin reset buyrug`ini kiritish orqali marshrutizator qayta ishga tushiriladi.
rommon 1 > confreg 0x2142
rommon 2 > reset
Endi marshrutizator konfiguratsion faylsiz ishga tushadi va eski
konfiguratsion faylni tiklash maqsadida quyidagi imtiyozli rejimda copy startup- config running-config buyrug`i orqali amalga oshiriladi.
Router>enable
Router#copy startup-config running-config Destination filename [running-config]?
700 bytes copied in 0.416 secs (1682 bytes/sec) Router1#
%SYS-5-CONFIG_I: Configured from console by console
Bundan keyin paroli unutilgan eski konfiguratsiya qo`yiladi, lekin bu yerda imtiyozli rejimda turganligi uchun eski parolni yangisiga o`zgartirsa bo`ladi.
Router1#conf t
Router1(config)#enable password NewPassword Router1(config)#enable secret NewPassword Router1(config)#line vty 0 4
Router1(config-line)#password NewPassword Router1(config-line)#login
Router1(config-line)#exit Router1(config)#line console 0 Router1(config-line)#password NewPassword Router1(config-line)#login
Parollar o`zgartirildi, endi konfiguratsion registrning eski qiymatini qayta joyiga qo`yish kerak, buning uchun config-register 0x2102 buyrug`i kiritiladi
Router1(config)# config-register 0x2102
Bundan keyin yangi konfiguratsiya saqlanadi va marshrutizator qayta ishga
tushiriladi
Router1#copy running-config startup-config Router1#reload
Marshrutizator qayta ishga tushirilgach, yangi parollar bilan saqlangan
konfiguratsion faylni o`ziga oladi. Yana, no service password-recovery buyrug`ini ishlatish orqali parol tashlab yuborilishi imkoniyatini o`chirib qo`ysa bo`ladi, buning uchun yuqorida ta`kidlanganidek qurilmaga fizik kirish imkoniyati kerak.
Do'stlaringiz bilan baham: |