junho 21, 2005

[Segurança] Senhas de acesso a roteadores Cisco

Por default, há dois níveis de controle de autorização de acesso em roteadores CISCO, cada um com autenticação distinta:

  • Level 1: corresponde ao acesso ready-only ("user mode")
  • Level 15: acesso privilegiado, ou read/write ("privileged mode")


É necessário ter acesso primeiro como "user mode" para, a seguir, obter acesso privilegiado (o famoso comando enable).

Para configurar a senha de acesso ao equipamento (user mode), deve-se:

  • Entrar no modo de configuração (comando config terminal - ou, por exemplo, conf t para os mais íntimos)
  • Especificar se vai definir a senha para acesso via console (comando line console 0) ou pelas portas AUX ou VTY (o comando ficaria, por exemplo, line AUX 0)
  • Habilitar o login com o comando logins
  • Definir a senha com o comando password


O acesso privilegiado pode ser definido aptravés de dois comandos: o "enable password" ou o "enable secret".

Por questões de segurança, é altamente recomendável que a senha de acesso privilegiado seja gravada com o comando "enable secret", pois desta forma ela será exibida encriptada, ao se visualizar a configuração do equipamento.

O comando "enable secret" tem precedência sobre o "enable passord". Desta forma, se ambos estiverem presentes, o sistema irá somente considerar a senha definida no comando "enable secret".

Todas as senhas definidas no equipamento são armazenadas em "clear text", exceto quando utilizado o comando "enable secret".

Uma forma de evitar que suas senhas sejam vistas por qualquer pessoa que tenha acesso a uma cópia da configuração de seu roteador CISCO, é utilizar o comando "service password-encryption". Isto fará com que todas as senhas apareçam encriptadas (utlizando a velha cifra de Vigenére) no comando "show run".

Ah, outra boa opção é utilizar um servidor de autenticação externo (ex: TACACS) para definir quais usuários/senhas terão acesso ao equipamento. E, claro, configurar o acesso remoto para ser feito via SSH, e não Telnet.

Fonte: Extraído do livro "Hardening Cisco Routers" (O'Reilly)

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.