- Level 1: corresponde ao acesso ready-only ("user mode")
- Level 15: acesso privilegiado, ou read/write ("privileged mode")
É necessário ter acesso primeiro como "user mode" para, a seguir, obter acesso privilegiado (o famoso comando enable).
Para configurar a senha de acesso ao equipamento (user mode), deve-se:
- Entrar no modo de configuração (comando config terminal - ou, por exemplo, conf t para os mais íntimos)
- Especificar se vai definir a senha para acesso via console (comando line console 0) ou pelas portas AUX ou VTY (o comando ficaria, por exemplo, line AUX 0)
- Habilitar o login com o comando logins
- Definir a senha com o comando password
O acesso privilegiado pode ser definido aptravés de dois comandos: o "enable password" ou o "enable secret".
Por questões de segurança, é altamente recomendável que a senha de acesso privilegiado seja gravada com o comando "enable secret", pois desta forma ela será exibida encriptada, ao se visualizar a configuração do equipamento.
O comando "enable secret" tem precedência sobre o "enable passord". Desta forma, se ambos estiverem presentes, o sistema irá somente considerar a senha definida no comando "enable secret".
Todas as senhas definidas no equipamento são armazenadas em "clear text", exceto quando utilizado o comando "enable secret".
Uma forma de evitar que suas senhas sejam vistas por qualquer pessoa que tenha acesso a uma cópia da configuração de seu roteador CISCO, é utilizar o comando "service password-encryption". Isto fará com que todas as senhas apareçam encriptadas (utlizando a velha cifra de Vigenére) no comando "show run".
Ah, outra boa opção é utilizar um servidor de autenticação externo (ex: TACACS) para definir quais usuários/senhas terão acesso ao equipamento. E, claro, configurar o acesso remoto para ser feito via SSH, e não Telnet.
Fonte: Extraído do livro "Hardening Cisco Routers" (O'Reilly)
Nenhum comentário:
Postar um comentário