Enable Password e Enable Secret Password
Para fornecer segurança adicional, use o comando enable password ou o comando enable secret. Ambos os comandos podem ser usados para se estabelecer autenticação antes de acessar o modo EXEC privilegiado (enable).
Use sempre o comando enable secret, e não o antigo comando enable password, se possível. O comando enable secret fornece mais segurança porque a senha é criptografada. O comando enable password pode ser usado somente se o comando enable secret ainda não tiver sido configurado.
O comando enable password seria usado se o dispositivo usar uma cópia antiga do software do Cisco IOS que não reconhece o comando enable secret.
Router(config)#enable password senha
Router(config)#enable secret senha
Nota: Se nenhuma senha para enable password ou enable secret for estabelecida, o IOS impede acesso ao EXEC privilegiado a partir de uma sessão Telnet.
Sem uma enable password estabelecida, uma sessão Telnet apareceria dessa forma:
switch>enable
% No password set
switch>
Senha VTY
As linhas vty permitem acesso a um roteador via Telnet. Por padrão, muitos dispositivos da Cisco suportam cinco linhas VTY que são numeradas de 0 a 4. Uma senha precisa ser estabelecida para todas as linhas vty disponíveis. A mesma senha pode ser estabelecida para todas as conexões. No entanto, é frequentemente desejável que uma única senha seja estabelecida para uma linha de modo a fornecer segurança para entrada administrativa ao dispositivo se as outras conexões estiverem em uso.
Os comandos a seguir são usados para estabelecer uma senha para linhas vty:
Router (config)#line vty 0 4
Router (config-line)#password senha
Router(config-line)#login
Por padrão, o IOS inclui o comando login nas linhas VTY. Isso impede acesso Telnet ao dispositivo sem primeiro exigir autenticação. Se, por erro, o comando no login for estabelecido, o que remove a exigência para autenticação, pessoas não autorizadas poderiam se conectar à linha usando o Telnet. Isso seria um grande risco de segurança.
Criptografando a Exibição de Senha
Outro comando útil impede que as senhas apareçam como texto claro na visualização de arquivos de configuração. O comando é service password-encryption.
Esse comando faz com que seja executada a criptografia de senhas quando estas forem configuradas. O comando service password-encryption aplica criptografia fraca a todas as senhas não criptografadas. Essa criptografia não se aplica às senhas uma vez que são enviadas pelo meio físico, e sim somente na configuração. O propósito deste comando é proibir que indivíduos não autorizados vejam as senhas no arquivo de configuração.
Se você executar o comando show running-config ou o comando show startup-config antes do comando service password-encryption ser executado, as senhas não criptografadas serão visíveis no resultado da saída da configuração. O comando service password-encryption pode ser executado e a criptografia será aplicada às senhas. Uma vez aplicada a criptografia, remover esse serviço reverterá a criptografia.
Nenhum comentário:
Postar um comentário