Dobrą praktyką jest ograniczanie fizycznego dostępu do urządzeń sieciowych poprzez zamykanie ich w szafach. Jednak podstawową ochroną przed nieautoryzowanym dostępem są ustawione hasła do urządzeń. Każde urządzenie, nawet routery domowe, powinno mieć lokalnie skonfigurowane hasło w celu ograniczenia dostępu do niego. Później pokażemy, jak wzmocnić bezpieczeństwo przez wprowadzenia kont użytkowników i powiązanych z nimi haseł. Teraz zaprezentujemy podstawowe zabezpieczenia przy użyciu samego hasła.
We wcześniejszych rozważaniach wspominaliśmy, że IOS korzysta z hierarchicznych trybów w celu podniesienia poziomu bezpieczeństwa urządzenia. Jako część wykonania tych zabezpieczeń IOS może akceptować kilka haseł dostępu do urządzenia (co ma związek z różnymi uprawnieniami).
Hasła wprowadzone tutaj są następujące:
- Enable password - ogranicza dostęp do uprzywilejowanego trybu EXEC
- Enable secret - zaszyfrowane, ogranicza dostęp do uprzywilejowanego trybu EXEC
- Console password - ogranicza dostęp do łącza konsolowego
- VTY password - ogranicza dostęp poprzez Telnet
Dobrą praktyką jest stosowanie różnych haseł do każdego z tych poziomów dostępu. Mimo, że logowanie z wieloma różnymi hasłami jest kłopotliwe. Jednak takie działanie jest niezbędne do właściwego zabezpieczenia infrastruktury sieciowej przed nieautoryzowanym dostępem.
Dodatkowo, należy użyć silnych haseł, które nie będą łatwe do odgadnięcia. Korzystanie ze słabych lub łatwych do odgadnięcia haseł wciąż jest problemem bezpieczeństwa w wielu aspektach świata biznesu.
Podczas wyboru haseł należy wziąć pod uwagę poniższe zalecenia:
- Korzystaj z haseł o długości większej niż 8 znaków
- Korzystaj z kombinacji dużych i małych liter, liczb, znaków specjalnych i/lub sekwencji cyfr w hasłach.
- Unikaj stosowania tych samych haseł do wszystkich urządzeń.
- Unikaj korzystania z popularnych słów, np. password lub administrator, ponieważ są łatwe do odgadnięcia.
Uwaga: W większości laboratoriów w tym kursie, będziemy używać prostych haseł, takich jak cisco lub class. Hasła te są uznawane za słabe i łatwe do odgadnięcia. Należy ich unikać w środowiskach produkcyjnych. Haseł tych używamy dla ułatwienia tylko w salach szkoleniowych albo do zilustrowania przykładów konfiguracji.