Виды паролей Cisco

Для защиты устройств cisco от несанкционированного доступа используется несколько видов паролей. В курсе CCNA рассматривается настройка паролей на консоль, паролей на подключение по telnet и ssh, а так же пароль для доступа в привилегированный режим работы устройства. Пароли настраиваются одинаковым образом для маршрутизаторов и коммутаторов.

Пароль на консоль

При подключении к устройству через консольный провод необходимо ввести пароль. По умолчанию пароль на консоль отсутствует. Надо понимать, что физическая безопасность устройства наиболее важный аспект защиты, так как имея физический доступ к консольному порту, даже не зная пароля его можно сбросить. Подробнее об этом в статье «Сброс пароля на маршрутизаторе Cisco». Пароль на консоль задаётся следующим образом:

Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#line console 0
Router(config-line)#password MyPassword
Router(config-line)#login
Router(config-line)#exit
Router(config)#exit
Router#

Необходимо зайти в режим глобальной конфигурации, зайти в подрежим настройки консоли (line console 0), где 0 – это порядковый номер консоли. Обычно на всех устройствах консольный порт один и он имеет номер 0. В этом подрежиме задаётся пароль с помощью команды password, затем необходимо ввести слово login, чтобы разрешить вход под указанным паролем. После этого при подключении по консоли будет выводиться следующее приглашение:

Press RETURN to get started.
User Access Verification
Password:

Где требуется ввести указанный пароль. При вводе символы пароля не отображаются.

Пароль на Telnet и SSH

Доступ по протоколам telnet или ssh может быть осуществлён только после того как на устройстве настроен какой-то ip-адрес, а так же заданы пароли. В этом важное отличие от доступа по консоли. Если пароли не заданы, то по консоли можно зайти без пароля, а по Telnet или SSH зайти нельзя – будет выдано сообщение, что пока нет пароля, удалённый вход запрещён.

Задаются пароли следующим образом:

Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#line vty 0 4
Router(config-line)#password MyPassword
Router(config-line)#login
Router(config-line)#exit
Router(config)#exit
Router#

Процедура аналогична настройке пароля на консоль, только действия выполняются не в режиме конфигурирования консоли (con 0), а в режиме настройки виртуальных терминалов (vty 0 4), где цифры «0» и «4» следует трактовать как «Перейти в подрежим конфигурирования всех виртуальных терминалов с нулевого по четвёртый». Обычно для telnet-а используются именно эти 5 виртуальных терминалов. Если один терминал занят подключением, то человек подключится к следующему свободному. Этот же пароль будет работать и для доступа по SSH, если сам SSH настроен.

Пароль на привилегированный режим

Этот важный пароль используется для перехода из пользовательского режима в привилегированный. Подробнее о режимах можно прочесть в соответствующей статье. При входе на устройство, независимо от того, делаем мы это через VTY или через консоль, мы попадаем в пользовательский режим. Далее можно осуществить переход в привилегированный. Если задан пароль на привилегированный режим, то его потребуется ввести, если не задан – то всё зависит от того способа, по которому мы подключились к устройству. При подключении по консоли и отсутствующем пароле на enable, переход в привилегированный режим произойдёт без ввода пароля, если же доступ осуществляется через Telnet или SSH, то без пароля на enable, нас в этот режим не пустят если пароль не задан. По этой причине начальная настройка маршрутизатора всегда производится через консоль и должна включать в себя задание всех необходимых паролей.

Пароль на enable можно задать двумя разными командами обе из которых вводятся в режиме глобальной конфигурации:

Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#enable password MyEnablePassword
Router(config)#exit
Router#

или

Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#enable secret SecretPassword
Router(config)#exit
Router#

Обе команды вводить не надо. Либо enable password, либо enable secret. Разница между ними заключается в том, что вторая команда сохраняет пароль в зашифрованном виде и его нельзя восстановить глядя на файл конфигурации. Если же применять enable password, то пароль храниться в конфиге в открытом виде. Таким образом, лучше всегда использовать enable secret, а enable password – скорее сохранена с целью обратной совместимости между версиями IOS. Если вы вдруг примените обе команды одновременно, то будет работать тот пароль, который задан с помощью enable secret.

Чтобы было понятно, о чём идёт речь, давайте просмотрим конфигурацию устройства с помощью команды show running-config:

Router#show running-config
Building configuration...
Current configuration : 592 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Router
!
!
!
enable secret 5 $1$mERr$KnP4XAeHLfyk/RPXMCetr0
enable password MyEnablePassword
…

Как видно из вывода, пароль, заданный enable password виден открытым текстом, а с помощью enable secret – не виден.

Служба шифрования паролей

В любом случае, пароли, заданный для доступа по telnet или через консоль видны открытым текстом, ниже приведён кусок вывода команды show running-config:

Router#show running-config
…
line vty 0 4
 password MyPassword
 login
…

Для того, чтобы скрыть и эти пароли надо включить службу шифрования паролей:

Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#service password-encryption
Router(config)#exit
Router#
%SYS-5-CONFIG_I: Configured from console by console
Router#show running-config
Building configuration...
…
enable secret 5 $1$mERr$KnP4XAeHLfyk/RPXMCetr0
enable password 7 080C556B0718071B173B0D17393C2B3A37
…
line vty 0 4
 password 7 080C557E080A16001D1908
 login
…

Как видно, после применения команды service password-encryption, все пароли в конфигурационном файле, включая enable password, пароль на консоль и пароль на telnet, начинают храниться в зашифрованном виде. Эту команду рекомендуется всегда включать в базовую настройку устройств cisco.

Комментарии

- Подробнее об этом в статьей «Сброс пароля на маршрутизаторе Cisco».
Там наверное должно быть в статье? :)

Аватар пользователя bacek
Всё так :)

Добавить комментарий