Configurando senhas em um roteador Cisco

Segurança em um roteador Cisco As senhas em um roteador Cisco são de extrema importância para a segurança do sistema e da rede como um todo. Em um roteador Cisco existem 4 tipos de senha: enable secret, enable password, console e vty. A enable secret é a senha mais forte do roteador Cisco. Ela é requerida quando se tenta entrar no modo EXEC privilegiado. A diferença entre a enable secret e a enable password é que a primeira é criptografada por padrão com uma chave poderosa, enquanto a segunda não, sendo que a secret tem precedência sobre a password. Entretanto, vou mostrar no final deste artigo, como implementar criptografia leve para todas as senhas não criptografadas do roteador. A enable password como dito anteriormente é uma senha sem criptografia, e é requerida também quando se tentar entrar no modo EXEC privilegiado. A senha de console será requerida quando o administrador entrar no roteador pela porta console, utilizando para isso um cabo rollover conectado a porta console do roteador à porta serial do computador. Como podemos ver, essa é uma senha para conexão física ao roteador. Entretanto, mesmo sendo uma conexão física, ela deve possuir senha para aumentar a segurança. A senha de vty será requerida ao tentar se conectar ao roteador por meio de uma sessão telnet. No roteador Cisco, o padrão são 5 conexões remotas, numeradas a partir do 0. É importante frisar que somente a enable secret é criptografada por default (padrão). As demais senhas, quando inserido o comando #show running-config, que mostra a configuração em execução do roteador aparecem em texto aberto o que compromete a segurança da rede. Abaixo segue um exemplo desta situação. enable password cisco ! (...) line con 0 password cisco login line vty 0 3 login line vty 4 password cisco login ! Agora que você já tem uma idéia sobre as senhas em um roteador Cisco, está na hora de começar a configurá-las. Primeiramente vamos configurar as senhas de console e vty. Router>en Router#configure terminal Router(config)#line console 0 // Entra na interface de console. O nº 0 é referente ao nº da interface de console. Router(config-line)#password //Aqui você define sua senha. Router(config-line)#login //Garante que a senha será requerida ao se logar no roteador. Router(config-line)#exit //Retorna ao modo de configuração global. Router(config)#line vty 04 //04 siginifica que vamos configurar de uma vez a senha de todas as conexões remotas do roteador. Router(config-line)#password Router(config-line)#login //Garante que a senha configurada será requerida ao se logar remotamente no roteador. Router(config-line)#^Z //Retorna raiz. Router#copy running-config statup-config //Salva a configuração. Agora vamos configurar as senhas enable, requeridas ao se passar do modo EXEC usuáriopara o modo EXEC privilegiado. Router>en Router#configure terminal Router(config)#enable password //Aqui você defini sua senha. Router(config)#enable secret //Aqui você define a senha criptografada que terá precedencia sobre a senha configurada acima. Pronto, seu roteador já possui todas as senhas configuradas. Agora vamos aumentar ainda mais a segurança de suas senhas não criptografadas. A criptografia usada não é tão complexa como a criptografia utilizada na enable secret, mas já quebra um ganho tremendo no quesito segurança. Para que isso seja feito, insira o seguinte comando: Router(config)#service password-encryption É claro que as senhas não são garantia de segurança total do roteador e da rede, mas são uma barreira que aumenta a segurança do equipamento e da rede como um todo. Para efeito de comparação, segue a saída do comando Router(config)#service password-encryption.Note que agora todas as senhas estão criptografadas. ! enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0 enable password 7 0822455D0A16 ! line con 0 password 7 0822455D0A16 login line vty 0 3 login line vty 4 password 7 0822455D0A16 login ! Source: Viavida