nullmodem
Goto Top

Cisco Catalyst Konsolenport besser absichern

Hallo zusammen,

brauche mein eure Hilfe.
Es geht um Cisco Catalyst 2960x Switche.
Ich habe jetzt dem SSH Zugang per SSH-RSA Key abgesichert. Vorher war es ein Passwort
Jetzt möchte ich noch den Konsolenport auch so absichern wenn das möglich wäre.

Nach etwas Googeln habe ich nichts passendes gefunden.

Klar, der Konsolenport ist die letzte Möglichkeit einen Passwort zurückzusetzen oder sonst wie auch den Switch zu kommen.
Aber es muss doch die Möglichkeit geben den Konsolenport besser abzusichern als mit einem Passwort.
Am liebsten wäre auch hier per SSH-RSA Key.
Hat hier noch jemand eine Idee?
Die Switche sind nicht fest in meinem Rack eingebaut auch, ein Zentrales Management gibt es nicht. Sie sind bei uns in der Firma mobil unterwegs.

Danke, schon mal für die Hilfe.

Gruß

Content-ID: 490584

Url: https://administrator.de/contentid/490584

Ausgedruckt am: 17.12.2024 um 02:12 Uhr

NordicMike
NordicMike 01.09.2019 um 00:19:52 Uhr
Goto Top
Du meinst den seriellen Port? Na viel Spaß...

Wie wäre es mit einem RJ45 Key?
Henere
Henere 01.09.2019 um 00:20:57 Uhr
Goto Top
Servus. Schliess das Ding ein, dann kommt keiner mehr dran.

Gruß
nullModem
nullModem 01.09.2019 aktualisiert um 00:29:58 Uhr
Goto Top
Hallo,

@NordicMike

Sorry, meinte diese hier.

1

@Henere

Mit Einschließen wir es schwieg wenn die Switche Mobil unterwegs sind.

Gruß
NordicMike
NordicMike 01.09.2019 um 00:44:33 Uhr
Goto Top
Ja, für den grünen einen RJ45 Lock.

Und für den orangenfarbenen:

Lässt sich der USB nicht in der Firmware abschalten? Evl ein Tropfen Sekundenkleber face-smile
Looser27
Looser27 01.09.2019 um 10:28:53 Uhr
Goto Top
Heißkleber geht besser...Und beim Entfernen ist der Port definitiv hinüber.
tikayevent
Lösung tikayevent 01.09.2019 um 13:17:14 Uhr
Goto Top
Wovor willst du den Konsolenport genau schützen? Dass einer an die Konfiguration kommt oder einfach weils geht? Wenn du die Konfiguration schützen willst, einfach no service password-recovery. Wenn dann einer der Meinung ist, über die bekannte Methode das Passwort umgehen zu wollen, wird die Konfiguration vernichtet.

Alternativ den Switch in ein Flightcase packen, so dass man an den Switch selbst nicht drankommt und nur die gewünschten Anschlüsse über eine Anschlussblende herausführen.

Oder die Anschlüsse herauslöten.

Oder einen Switch nehmen, der keine Konsolenports hat.
aqui
Lösung aqui 01.09.2019 aktualisiert um 14:03:51 Uhr
Goto Top
Jetzt möchte ich noch den Konsolenport auch so absichern wenn das möglich wäre.
Ja, das ist natürlich möglich !
Hier steht alles dazu was du wissen musst:
https://www.cisco.com/c/en/us/support/docs/ip/access-lists/13608-21.html
Du kannst den Console Port mit ins AAA nehmen und absichern. Tacacs oder Radius sind auch möglich. Über das Confreg Register kannst du die Option deaktivieren dort das Passwort zu resetten. (Break Option disabled)
Da muss man aber genau wissen was man tut ! Ein so abgesicherter Switch ist dann ein Fall für RMA solltest du da Passwort vergessen haben.
Hier sollte man also wissen auf welchem Grad man sich bewegt.
nullModem
nullModem 01.09.2019 aktualisiert um 23:08:07 Uhr
Goto Top
Vielen Dank für die durchaus kreativen Lösungsvorschläge.

Es geht darum die Switche vorm unerlaubten Zugriff (Konfig) zu schützen aber, auch wenn nötig ein Zugang zu haben um was zu ändern.
Da die Switche ja Mobil sind und nie an einem festem Ort eingebaut sind wird es mit deinem Radius Server oder ähnlich schwierig.

Bis jetzt ist bin ich bei dem Punkt das ich ein sehr schwieriges Passwort nehme und den Befehl:"no service password-recovery" setzen werde.
Zur Not muss man den kompletten Switch resetten.
killtec
killtec 02.09.2019 um 09:39:54 Uhr
Goto Top
Zitat von @nullModem:
Bis jetzt ist bin ich bei dem Punkt das ich ein sehr schwieriges Passwort nehme und den Befehl:"no service password-recovery" setzen werde.
Zur Not muss man den kompletten Switch resetten.

Hi,
bedenke aber, dass du dann nicht Resetten kannst, sondern musst den Switch dann zu Cisco schicken...

Gruß
Looser27
Looser27 02.09.2019 um 09:57:13 Uhr
Goto Top
Da die Switche ja Mobil sind und nie an einem festem Ort eingebaut sind wird es mit deinem Radius Server oder ähnlich schwierig.

Radius auf nem RasPi aufgesetzt und mitgenommen.
Schon hat der Admin bei Bedarf Zugriff.
nullModem
nullModem 02.09.2019 um 10:01:31 Uhr
Goto Top
Hallo killtec,

Soweit ich gelesen habe kann ich beim einstecken des Kaltgerätekabels die Mode Taste drücken und gedückt halten während ich mit der Console verbunden bin und dort dann einen kompletten Reset ausführen.

Grüße
tikayevent
tikayevent 02.09.2019 aktualisiert um 11:19:46 Uhr
Goto Top
Hi,
bedenke aber, dass du dann nicht Resetten kannst, sondern musst den Switch dann zu Cisco schicken...

Gruß

Ich kenne es so, dass man den Break dann an anderer Stelle senden muss, bekommt dann einen Hinweis, dass man die komplette Konfig verliert, wenn man weiter macht und dann muss man komplett neu konfigurieren.
nullModem
nullModem 02.09.2019 um 12:44:25 Uhr
Goto Top
Das man dann den Switch neu konfigurieren muss ist nicht das probelem.
aqui
aqui 02.09.2019 um 13:57:27 Uhr
Goto Top
Dann setze es so um wie beschrieben ! face-wink
Neukonfig ist ja lediglich einmal Cut and Paste der Konfig Datei und in 3 Minuten erledigt...
nullModem
nullModem 03.09.2019 um 07:04:32 Uhr
Goto Top
Alles klar.

Eine frage noch. Müsste nicht der Befehl in der runnig-conifg auftauchen?
aqui
aqui 03.09.2019 aktualisiert um 10:05:48 Uhr
Goto Top
Nur wenn er nicht Default ist. Ansonsten immer in der IOS Command Reference nachsehen, dort ist das Verhalten des Kommandos explizit beschrieben.