Виды паролей Cisco
Для защиты устройств cisco от несанкционированного доступа используется несколько видов паролей. В курсе CCNA рассматривается настройка паролей на консоль, паролей на подключение по telnet и ssh, а так же пароль для доступа в привилегированный режим работы устройства. Пароли настраиваются одинаковым образом для маршрутизаторов и коммутаторов.
Пароль на консоль
При подключении к устройству через консольный провод необходимо ввести пароль. По умолчанию пароль на консоль отсутствует. Надо понимать, что физическая безопасность устройства наиболее важный аспект защиты, так как имея физический доступ к консольному порту, даже не зная пароля его можно сбросить. Подробнее об этом в статье «Сброс пароля на маршрутизаторе Cisco». Пароль на консоль задаётся следующим образом:
Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#line console 0 Router(config-line)#password MyPassword Router(config-line)#login Router(config-line)#exit Router(config)#exit Router#
Необходимо зайти в режим глобальной конфигурации, зайти в подрежим настройки консоли (line console 0), где 0 – это порядковый номер консоли. Обычно на всех устройствах консольный порт один и он имеет номер 0. В этом подрежиме задаётся пароль с помощью команды password, затем необходимо ввести слово login, чтобы разрешить вход под указанным паролем. После этого при подключении по консоли будет выводиться следующее приглашение:
Press RETURN to get started. User Access Verification Password:
Где требуется ввести указанный пароль. При вводе символы пароля не отображаются.
Пароль на Telnet и SSH
Доступ по протоколам telnet или ssh может быть осуществлён только после того как на устройстве настроен какой-то ip-адрес, а так же заданы пароли. В этом важное отличие от доступа по консоли. Если пароли не заданы, то по консоли можно зайти без пароля, а по Telnet или SSH зайти нельзя – будет выдано сообщение, что пока нет пароля, удалённый вход запрещён.
Задаются пароли следующим образом:
Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#line vty 0 4 Router(config-line)#password MyPassword Router(config-line)#login Router(config-line)#exit Router(config)#exit Router#
Процедура аналогична настройке пароля на консоль, только действия выполняются не в режиме конфигурирования консоли (con 0), а в режиме настройки виртуальных терминалов (vty 0 4), где цифры «0» и «4» следует трактовать как «Перейти в подрежим конфигурирования всех виртуальных терминалов с нулевого по четвёртый». Обычно для telnet-а используются именно эти 5 виртуальных терминалов. Если один терминал занят подключением, то человек подключится к следующему свободному. Этот же пароль будет работать и для доступа по SSH, если сам SSH настроен.
Пароль на привилегированный режим
Этот важный пароль используется для перехода из пользовательского режима в привилегированный. Подробнее о режимах можно прочесть в соответствующей статье. При входе на устройство, независимо от того, делаем мы это через VTY или через консоль, мы попадаем в пользовательский режим. Далее можно осуществить переход в привилегированный. Если задан пароль на привилегированный режим, то его потребуется ввести, если не задан – то всё зависит от того способа, по которому мы подключились к устройству. При подключении по консоли и отсутствующем пароле на enable, переход в привилегированный режим произойдёт без ввода пароля, если же доступ осуществляется через Telnet или SSH, то без пароля на enable, нас в этот режим не пустят если пароль не задан. По этой причине начальная настройка маршрутизатора всегда производится через консоль и должна включать в себя задание всех необходимых паролей.
Пароль на enable можно задать двумя разными командами обе из которых вводятся в режиме глобальной конфигурации:
Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#enable password MyEnablePassword Router(config)#exit Router#
или
Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#enable secret SecretPassword Router(config)#exit Router#
Обе команды вводить не надо. Либо enable password, либо enable secret. Разница между ними заключается в том, что вторая команда сохраняет пароль в зашифрованном виде и его нельзя восстановить глядя на файл конфигурации. Если же применять enable password, то пароль храниться в конфиге в открытом виде. Таким образом, лучше всегда использовать enable secret, а enable password – скорее сохранена с целью обратной совместимости между версиями IOS. Если вы вдруг примените обе команды одновременно, то будет работать тот пароль, который задан с помощью enable secret.
Чтобы было понятно, о чём идёт речь, давайте просмотрим конфигурацию устройства с помощью команды show running-config:
Router#show running-config Building configuration... Current configuration : 592 bytes ! version 12.4 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! hostname Router ! ! ! enable secret 5 $1$mERr$KnP4XAeHLfyk/RPXMCetr0 enable password MyEnablePassword …
Как видно из вывода, пароль, заданный enable password виден открытым текстом, а с помощью enable secret – не виден.
Служба шифрования паролей
В любом случае, пароли, заданный для доступа по telnet или через консоль видны открытым текстом, ниже приведён кусок вывода команды show running-config:
Router#show running-config … line vty 0 4 password MyPassword login …
Для того, чтобы скрыть и эти пароли надо включить службу шифрования паролей:
Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#service password-encryption Router(config)#exit Router# %SYS-5-CONFIG_I: Configured from console by console Router#show running-config Building configuration... … enable secret 5 $1$mERr$KnP4XAeHLfyk/RPXMCetr0 enable password 7 080C556B0718071B173B0D17393C2B3A37 … line vty 0 4 password 7 080C557E080A16001D1908 login …
Как видно, после применения команды service password-encryption, все пароли в конфигурационном файле, включая enable password, пароль на консоль и пароль на telnet, начинают храниться в зашифрованном виде. Эту команду рекомендуется всегда включать в базовую настройку устройств cisco.
Комментарии
palkapal (не проверено)
пт, 03/02/2018 - 13:23
Постоянная ссылка (Permalink)
- Подробнее об этом в статьей «Сброс пароля на маршрутизаторе Cisco».
Там наверное должно быть в статье? :)
bacek
пн, 03/26/2018 - 10:32
Постоянная ссылка (Permalink)
Добавить комментарий