Podstawy

Ograniczenie dostępu do konfiguracji urządzenia

Port konsoli urządzenia sieciowego musi być chroniony, jako zupełne minimum, poprzez zastosowanie przez użytkownika silnego hasła. Takie działanie redukuje szansę dostępu nieautoryzowanego personelu poprzez podłączenie kabla do urządzenia i uzyskanie dostępu.

Aby ustawić hasło konsoli, należy w trybie konfiguracji globalnej wykonać następujące komendy:

Switch(config)# line console 0

Switch(config-line)# password cisco

Switch(config-line)# login

W trybie konfiguracji globalnej komenda line console 0 jest używana w celu przejścia do trybu konfiguracji linii dla konsoli. Zero jest wykorzystane do reprezentacji pierwszego (i w większości przypadków jedynego) interfejsu konsoli routera.

Druga komenda password cisco definiuje hasło dla linii konsolowej.

Komenda login konfiguruje wymóg uwierzytelnienia logowania. Gdy proces login jest uruchomiony i ustanowione jest hasło, to użytkownik konsoli będzie poproszony o wprowadzenie hasła zanim uzyska dostęp do interpretera komend CLI.

Hasło VTY

Linie VTY umożliwiają dostęp do urządzenia Cisco poprzez Telnet. Domyślnie wiele przełączników Cisco wspiera do 16 linii VTY, które są ponumerowane od 0 do 15. Liczba linii VTY obsługiwanych na routerze Cisco zależy od typu routera i wersji IOS. Jednak najczęściej skonfigurowanych jest pięć linii VTY. Domyślnie linie te ponumerowane są od 0 do 4, chociaż pozostałe linie też mogą być konfigurowane. Ustawienie hasła jest niezbędne dla wszystkich linii vty. Można ustawić to samo hasło dla wszystkich połączeń. Aczkolwiek często wskazane jest ustawienie unikatowego hasła na jednej linii celem dostarczenia zapasowego dostępu administracyjnego w sytuacji, gdy pozostałe połączenia są w użyciu.

Przykład komend użytych do ustanowienia hasła dla linii VTY:

Switch(config)# line vty 0 15

Switch(config-line)# password cisco

Switch(config-line)# login

Domyślnie IOS zawiera komendę login dla linii VTY. Chroni to przed dostępem do urządzenia za pomocą usługi Telnet bez uwierzytelnienia. Jeżeli przez pomyłkę zostanie wydana komenda no login , która usuwa wymaganie uwierzytelnienia, to niepowołana osoba może połączyć się z linią poprzez sieć korzystając z komendy Telnet. Taka sytuacja byłaby bardzo niepożądana.

Rysunek przedstawia zabezpieczanie dostępu do trybu EXEC użytkownika poprzez linię konsoli oraz Telnet.