terça-feira, 4 de janeiro de 2011

Configurando senhas em um roteador Cisco

As senhas em um roteador Cisco são de extrema importância para a segurança do sistema e da rede como um todo. Em um roteador Cisco existem 4 tipos de senha: enable secret, enable password, console e vty.


A enable secret é a senha mais forte do roteador Cisco. Ela é requerida quando se tenta entrar no modo EXEC privilegiado. A diferença entre a enable secret e a enable password é que a primeira é criptografada por padrão com uma chave poderosa, enquanto a segunda não, sendo que a secret tem precedência sobre a password. Entretanto, vou mostrar no final deste artigo, como implementar criptografia leve para todas as senhas não criptografadas do roteador.

A enable password como dito anteriormente é uma senha sem criptografia, e é requerida também quando se tentar entrar no modo EXEC privilegiado.

A senha de console será requerida quando o administrador entrar no roteador pela porta console, utilizando para isso um cabo rollover conectado a porta console do roteador à porta serial do computador. Como podemos ver, essa é uma senha para conexão física ao roteador. Entretanto, mesmo sendo uma conexão física, ela deve possuir senha para aumentar a segurança.

A senha de vty será requerida ao tentar se conectar ao roteador por meio de uma sessão telnet. No roteador Cisco, o padrão são 5 conexões remotas, numeradas a partir do 0.

É importante frisar que somente a enable secret é criptografada por default (padrão). As demais senhas, quando inserido o comando #show running-config, que mostra a configuração em execução do roteador aparecem em texto aberto o que compromete a segurança da rede. Abaixo segue um exemplo desta situação.

enable password cisco
!
(...)
line con 0
password cisco
login
line vty 0 3
login
line vty 4

password cisco
login

!
Agora que você já tem uma idéia sobre as senhas em um roteador Cisco, está na hora de começar a configurá-las. Primeiramente vamos configurar as senhas de console e vty.
Router>en
Router#configure terminal
Router(config)#line console 0 // Entra na interface de console. O nº 0 é referente ao nº da interface de console.
Router(config-line)#password //Aqui você define sua senha.
Router(config-line)#login //Garante que a senha será requerida ao se logar no roteador.
Router(config-line)#exit //Retorna ao modo de configuração global.
Router(config)#line vty 04 //04 siginifica que vamos configurar de uma vez a senha de todas as conexões remotas do roteador.
Router(config-line)#password
Router(config-line)#login //Garante que a senha configurada será requerida ao se logar remotamente no roteador.
Router(config-line)#^Z //Retorna raiz.
Router#copy running-config statup-config //Salva a configuração.

Agora vamos configurar as senhas enable, requeridas ao se passar do modo EXEC usuário para o modo EXEC privilegiado.

Router>en
Router#configure terminal
Router(config)#enable password //Aqui você defini sua senha.
Router(config)#enable secret //Aqui você define a senha criptografada que terá precedencia sobre a senha configurada acima.

Pronto, seu roteador já possui todas as senhas configuradas. Agora vamos aumentar ainda mais a segurança de suas senhas não criptografadas. A criptografia usada não é tão complexa como a criptografia utilizada na enable secret, mas já quebra um ganho tremendo no quesito segurança. Para que isso seja feito, insira o seguinte comando:

Router(config)#service password-encryption

É claro que as senhas não são garantia de segurança total do roteador e da rede, mas são uma barreira que aumenta a segurança do equipamento e da rede como um todo. Para efeito de comparação, segue a saída do comando Router(config)#service password-encryption. Note que agora todas as senhas estão criptografadas.

!
enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0
enable password 7 0822455D0A16
!
line con 0
password 7 0822455D0A16
login
line vty 0 3
login
line vty 4
password 7 0822455D0A16
login
!

Até mais!

0 comentários:

 
© 2007 Template feito por Templates para Voc�