16
Cisco Catalyst Konsolenport besser absichern
Hallo zusammen,
brauche mein eure Hilfe.
Es geht um Cisco Catalyst 2960x Switche.
Ich habe jetzt dem SSH Zugang per SSH-RSA Key abgesichert. Vorher war es ein Passwort
Jetzt möchte ich noch den Konsolenport auch so absichern wenn das möglich wäre.
Nach etwas Googeln habe ich nichts passendes gefunden.
Klar, der Konsolenport ist die letzte Möglichkeit einen Passwort zurückzusetzen oder sonst wie auch den Switch zu kommen.
Aber es muss doch die Möglichkeit geben den Konsolenport besser abzusichern als mit einem Passwort.
Am liebsten wäre auch hier per SSH-RSA Key.
Hat hier noch jemand eine Idee?
Die Switche sind nicht fest in meinem Rack eingebaut auch, ein Zentrales Management gibt es nicht. Sie sind bei uns in der Firma mobil unterwegs.
Danke, schon mal für die Hilfe.
Gruß
brauche mein eure Hilfe.
Es geht um Cisco Catalyst 2960x Switche.
Ich habe jetzt dem SSH Zugang per SSH-RSA Key abgesichert. Vorher war es ein Passwort
Jetzt möchte ich noch den Konsolenport auch so absichern wenn das möglich wäre.
Nach etwas Googeln habe ich nichts passendes gefunden.
Klar, der Konsolenport ist die letzte Möglichkeit einen Passwort zurückzusetzen oder sonst wie auch den Switch zu kommen.
Aber es muss doch die Möglichkeit geben den Konsolenport besser abzusichern als mit einem Passwort.
Am liebsten wäre auch hier per SSH-RSA Key.
Hat hier noch jemand eine Idee?
Die Switche sind nicht fest in meinem Rack eingebaut auch, ein Zentrales Management gibt es nicht. Sie sind bei uns in der Firma mobil unterwegs.
Danke, schon mal für die Hilfe.
Gruß
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 490584
Url: https://administrator.de/contentid/490584
Ausgedruckt am: 15.11.2024 um 21:11 Uhr
16 Kommentare
Neuester Kommentar
Du meinst den seriellen Port? Na viel Spaß...
Wie wäre es mit einem RJ45 Key?
Wie wäre es mit einem RJ45 Key?
Servus. Schliess das Ding ein, dann kommt keiner mehr dran.
Gruß
Gruß
Hallo,
@NordicMike
Sorry, meinte diese hier.
@Henere
Mit Einschließen wir es schwieg wenn die Switche Mobil unterwegs sind.
Gruß
@NordicMike
Sorry, meinte diese hier.
@Henere
Mit Einschließen wir es schwieg wenn die Switche Mobil unterwegs sind.
Gruß
Ja, für den grünen einen RJ45 Lock.
Und für den orangenfarbenen:
Lässt sich der USB nicht in der Firmware abschalten? Evl ein Tropfen Sekundenkleber
Und für den orangenfarbenen:
Lässt sich der USB nicht in der Firmware abschalten? Evl ein Tropfen Sekundenkleber
Heißkleber geht besser...Und beim Entfernen ist der Port definitiv hinüber.
Wovor willst du den Konsolenport genau schützen? Dass einer an die Konfiguration kommt oder einfach weils geht? Wenn du die Konfiguration schützen willst, einfach no service password-recovery. Wenn dann einer der Meinung ist, über die bekannte Methode das Passwort umgehen zu wollen, wird die Konfiguration vernichtet.
Alternativ den Switch in ein Flightcase packen, so dass man an den Switch selbst nicht drankommt und nur die gewünschten Anschlüsse über eine Anschlussblende herausführen.
Oder die Anschlüsse herauslöten.
Oder einen Switch nehmen, der keine Konsolenports hat.
Alternativ den Switch in ein Flightcase packen, so dass man an den Switch selbst nicht drankommt und nur die gewünschten Anschlüsse über eine Anschlussblende herausführen.
Oder die Anschlüsse herauslöten.
Oder einen Switch nehmen, der keine Konsolenports hat.
Jetzt möchte ich noch den Konsolenport auch so absichern wenn das möglich wäre.
Ja, das ist natürlich möglich !Hier steht alles dazu was du wissen musst:
https://www.cisco.com/c/en/us/support/docs/ip/access-lists/13608-21.html
Du kannst den Console Port mit ins AAA nehmen und absichern. Tacacs oder Radius sind auch möglich. Über das Confreg Register kannst du die Option deaktivieren dort das Passwort zu resetten. (Break Option disabled)
Da muss man aber genau wissen was man tut ! Ein so abgesicherter Switch ist dann ein Fall für RMA solltest du da Passwort vergessen haben.
Hier sollte man also wissen auf welchem Grad man sich bewegt.
Vielen Dank für die durchaus kreativen Lösungsvorschläge.
Es geht darum die Switche vorm unerlaubten Zugriff (Konfig) zu schützen aber, auch wenn nötig ein Zugang zu haben um was zu ändern.
Da die Switche ja Mobil sind und nie an einem festem Ort eingebaut sind wird es mit deinem Radius Server oder ähnlich schwierig.
Bis jetzt ist bin ich bei dem Punkt das ich ein sehr schwieriges Passwort nehme und den Befehl:"no service password-recovery" setzen werde.
Zur Not muss man den kompletten Switch resetten.
Es geht darum die Switche vorm unerlaubten Zugriff (Konfig) zu schützen aber, auch wenn nötig ein Zugang zu haben um was zu ändern.
Da die Switche ja Mobil sind und nie an einem festem Ort eingebaut sind wird es mit deinem Radius Server oder ähnlich schwierig.
Bis jetzt ist bin ich bei dem Punkt das ich ein sehr schwieriges Passwort nehme und den Befehl:"no service password-recovery" setzen werde.
Zur Not muss man den kompletten Switch resetten.
Zitat von @nullModem:
Bis jetzt ist bin ich bei dem Punkt das ich ein sehr schwieriges Passwort nehme und den Befehl:"no service password-recovery" setzen werde.
Zur Not muss man den kompletten Switch resetten.
Bis jetzt ist bin ich bei dem Punkt das ich ein sehr schwieriges Passwort nehme und den Befehl:"no service password-recovery" setzen werde.
Zur Not muss man den kompletten Switch resetten.
Hi,
bedenke aber, dass du dann nicht Resetten kannst, sondern musst den Switch dann zu Cisco schicken...
Gruß
Da die Switche ja Mobil sind und nie an einem festem Ort eingebaut sind wird es mit deinem Radius Server oder ähnlich schwierig.
Radius auf nem RasPi aufgesetzt und mitgenommen.
Schon hat der Admin bei Bedarf Zugriff.
Hallo killtec,
Soweit ich gelesen habe kann ich beim einstecken des Kaltgerätekabels die Mode Taste drücken und gedückt halten während ich mit der Console verbunden bin und dort dann einen kompletten Reset ausführen.
Grüße
Soweit ich gelesen habe kann ich beim einstecken des Kaltgerätekabels die Mode Taste drücken und gedückt halten während ich mit der Console verbunden bin und dort dann einen kompletten Reset ausführen.
Grüße
Hi,
bedenke aber, dass du dann nicht Resetten kannst, sondern musst den Switch dann zu Cisco schicken...
Gruß
bedenke aber, dass du dann nicht Resetten kannst, sondern musst den Switch dann zu Cisco schicken...
Gruß
Ich kenne es so, dass man den Break dann an anderer Stelle senden muss, bekommt dann einen Hinweis, dass man die komplette Konfig verliert, wenn man weiter macht und dann muss man komplett neu konfigurieren.
Das man dann den Switch neu konfigurieren muss ist nicht das probelem.
Dann setze es so um wie beschrieben ! 
Neukonfig ist ja lediglich einmal Cut and Paste der Konfig Datei und in 3 Minuten erledigt...
Neukonfig ist ja lediglich einmal Cut and Paste der Konfig Datei und in 3 Minuten erledigt...
Alles klar.
Eine frage noch. Müsste nicht der Befehl in der runnig-conifg auftauchen?
Eine frage noch. Müsste nicht der Befehl in der runnig-conifg auftauchen?
Nur wenn er nicht Default ist. Ansonsten immer in der IOS Command Reference nachsehen, dort ist das Verhalten des Kommandos explizit beschrieben.
