Đặt mật khẩu cho Router, Switch Cisco - Cấu hình password trên thiết bị Cisco

Cài đặt Tài khoản và Mật khẩu cục bộ trên Bộ định tuyến Cisco Router

Có hai cách xác thực chủ yếu trên thiết bị định tuyến Cisco (và cả các thiết bị mạng hãng khác nói chung). Sử dụng dịch vụ xác thực bên ngoài (chẳng hạn như máy chủ AAA, Radius, TACACS, v.v.) hoặc bằng cách có tên người dùng và mật khẩu cục bộ trên chính thiết bị.

Trong bài viết này, chúng ta sẽ thảo luận về cách thiết lập tên người dùng và mật khẩu cục bộ trên bộ định tuyến Cisco Router để xác thực khi kết nối với thiết bị cho mục đích quản lý. Các nguyên tắc tương tự cũng áp dụng cho các thiết bị Cisco khác như thiết bị chuyển mạch , tường lửa v.v.

Theo mặc định, khi bạn truy cập bộ định tuyến Cisco cho mục đích quản lý (sử dụng Console, Telnet hoặc SSH) thì không yêu cầu xác thực tên người dùng / mật khẩu.

Bạn chỉ cần cung cấp mật khẩu “EXEC đặc quyền” (tức là mật khẩu “enable”) để có quyền truy cập vào chế độ cấu hình đầy đủ của bộ định tuyến (bên dưới sẽ đề cập về các cấp và loại mật khẩu khác nhau).

Việc sử dụng cấp độ xác thực bổ sung (nghĩa là yêu cầu người dùng cung cấp thêm thông tin đăng nhập tên người dùng / mật khẩu ngoài mật khẩu “enable”) sẽ làm cho thiết bị bộ định tuyến có khả năng chống truy cập trái phép cao hơn.

Hơn nữa, việc định cấu hình tên người dùng cục bộ trên thiết bị cho phép bạn linh hoạt để thêm chi tiết về các cấp đặc quyền quản lý cho những người dùng khác nhau (mặc dù việc sử dụng máy chủ AAA bên ngoài cho mục đích xác thực và ủy quyền sẽ tốt hơn so với các tài khoản cục bộ).

Ví dụ: bạn có thể định cấu hình tên người dùng trên bộ định tuyến Router Cisco với đầy đủ đặc quyền (cấp đặc quyền 15): cấu hình bất kỳ thứ gì trên bộ định tuyến. Hoặc bạn có thể định cấu hình tên người dùng với quyền truy cập không đặc quyền (cấp đặc quyền 1): chỉ có thể xem một số thứ trên bộ định tuyến và không có gì khác.

Có hai bước liên quan để định cấu hình tên người dùng cục bộ. Đầu tiên là tạo tên người dùng / mật khẩu và gán cho họ một mức đặc quyền (từ 1 đến 15, với 15 là mức đặc quyền cao nhất).

Nếu bạn không chỉ định số cấp đặc quyền, nó sẽ nhận toàn bộ đặc quyền 15 theo mặc định. Bước thứ hai là định cấu hình các dòng VTY của bạn (0 đến 4) để yêu cầu quyền truy cập đăng nhập cục bộ (tức là chỉ người dùng được định cấu hình với mật khẩu hợp lệ mới có thể truy cập vào bộ định tuyến).

Cấu hình tài khoản cục bộ

Router# config t
Router(config)# username admin-TGM privilege 15 secret $thegioimang$
Router(config)# username monitoring-TGM privilege 1 secret $thegioimang.vn

! Sau khi tạo các tài khoản cục bộ ở trên, bạn áp dụng kiểu xác thực "cục bộ" cho các dòng

Router(config)# line vty 0 4
Router(config-line)# login local
Router(config-line)# exit

Router(config)# line console 0
Router(config-line)# login local
Router(config-line)# exit

Router(config)# line aux 0
Router(config-line)# login local
Router(config-line)# exit

Router(config)# wr

Chỉ là một mẹo bảo mật ở đây, đối với tên người dùng, hãy chọn thứ gì đó khó đoán hoặc thứ gì đó sẽ không được tìm thấy trong các cuộc tấn công từ điển. Ví dụ: những từ như “admin”, “administrator”, “cisco”, v.v. không phải là tên người dùng tốt. Một cuộc tấn công đơn giản từ một hacker sẽ dễ dàng tìm thấy chúng.

Hơn nữa, nếu bạn có nhiều người dùng quản trị viên kết nối với bộ định tuyến của mình, tốt hơn hết bạn nên định cấu hình tên người dùng được cá nhân hóa khác nhau cho từng quản trị viên. Điều này sẽ giúp đảm bảo theo dõi và kiểm tra để biết từng người dùng đã làm gì trên thiết bị và khi nào người dùng kết nối với thiết bị.

Các loại mật khẩu bộ định tuyến:

Mật khẩu là tuyến phòng thủ đầu tiên để bảo vệ Bộ định tuyến của Cisco.
Có năm loại mật khẩu có thể được cấu hình trên Bộ định tuyến Cisco:

• Mật khẩu cấp đặc quyền (Privilege EXEC)

o Bật mật khẩu (không được mã hóa)

o Bật mật khẩu bí mật (mật khẩu được mã hóa)​

• Mật khẩu dòng bảng điều khiển

• Mật khẩu VTY Lines

• Mật khẩu dòng phụ (AUX)

Cấu hình Mật khẩu Cấp Đặc quyền:

Ở trên, chúng tôi đã cấu hình các tài khoản cục bộ và cũng áp dụng kiểu xác thực “cục bộ” cho tất cả các bộ định tuyến (VTY, console, aux). Bây giờ, chúng ta sẽ cấu hình mật khẩu “EXEC đặc quyền” được sử dụng để truy cập vào “chế độ cấu hình đầy đủ” trên bộ định tuyến Cisco.

! Định cấu hình mật khẩu không được mã hóa (tránh loại này)
Router(config)# enable password somepassword

! Định cấu hình mật khẩu được mã hóa (được khuyến nghị)
Router(config)# enable secret strongpassword

Lưu ý:

Để chỉ định một lớp bảo mật bổ sung, điều quan trọng là sử dụng lệnh enable secret trong chế độ cấu hình chung như được hiển thị ở trên.

Lệnh enable secret cung cấp bảo mật tốt hơn bằng cách lưu trữ mật khẩu bí mật cho phép đã định cấu hình bằng cách sử dụng hàm băm mật mã không thể đảo ngược, so với lệnh enable password, lưu mật khẩu đã định cấu hình ở dạng văn bản rõ ràng hoặc ở định dạng mã hóa dễ dàng đảo ngược.

Lưu trữ mật khẩu dưới dạng băm mật mã giúp giảm thiểu nguy cơ bị dò mật khẩu nếu tệp cấu hình bộ định tuyến được truyền qua mạng, chẳng hạn như đến và đi từ máy chủ TFTP.

Nó cũng hữu ích nếu người dùng trái phép lấy được bản sao tệp cấu hình của bạn. Lưu ý, nếu cả lệnh enable password và lệnh enable secret đều không được cấu hình và nếu có mật khẩu dòng được định cấu hình cho cổng bảng điều khiển, thì mật khẩu dòng bảng điều khiển sẽ đóng vai trò là mật khẩu kích hoạt cho tất cả các dòng VTY, bao gồm Telnet, rlogin, và các kết nối SSH.

Lệnh enable secret có sẵn rộng rãi trong Cisco IOS.

Mã hóa mật khẩu:

Theo mặc định, chỉ mật khẩu enable secret mới được mã hóa. Để mã hóa các loại mật khẩu khác, bạn cần bật dịch vụ " password encryption" trên toàn bộ định tuyến như sau:

Router# configure terminal
Router(config)# service password-encryption

Lưu ý:

Để mã hóa mật khẩu bộ định tuyến cục bộ, hãy sử dụng lệnh service password-encryption ở chế độ cấu hình chung như được hiển thị ở trên.

Lệnh này áp dụng cho mật khẩu dòng, mật khẩu tên người dùng, mật khẩu kích hoạt và mật khẩu khóa xác thực, bao gồm mật khẩu xác thực định tuyến và chuỗi khóa.

Theo mặc định, IOS không mã hóa mật khẩu. Mã hóa mật khẩu theo cách này giúp giảm thiểu nguy cơ bị dò mật khẩu nếu tệp cấu hình bộ định tuyến Router Cisco được truyền qua mạng chẳng hạn như đến và / hoặc từ máy chủ TFTP.

Nó cũng hữu ích nếu người dùng trái phép lấy được bản sao tệp cấu hình của bộ định tuyến Cisco Router.

Cám ơn các bạn đã theo dõi bài viết! Chúc các bạn thành công.

 

Chào các bạn, để giúp các bạn có thêm tài liệu tham khảo hữu ích, trong bài viết sau đây mình sẽ hướng dẫn các bạn cấu hình password trên thiết bị Cisco.

​

Chúng ta đã biết có vài cách cơ bản để truy cập vào một thiết bị Cisco: remote access (Telnet, SSH), console line. Mặc định, các thiết bị này thường không được thiết lập password. Một tính năng mà mình thấy rất hay của thiết bị Cisco đó là nếu vty (Telnet) line mà không được cài đặt password thì sẽ không thể truy cập thiết bị Cisco đó từ xa được. Nếu bạn truy cập vào một thiết bị Cisco bằng Telnet mà nó chưa được cài đặt password, sẽ có thông báo như sau:

Trying 10.1.1.2 … Open
Password required, but none set
[Connection to 10.1.1.2 closed by foreign host]

Nhưng về cơ bản thì không ai làm vậy cả, và là một network administrator hay một vai trò gì đó trong việc quản lí một network thì việc cài đặt password cho các thiết bị là một điều bắt buộc.

1. Password Telnet
Như mình đã nói ở trên, chúng ta không thể dùng Telnet để truy cập vào 1 thiết bị Cisco chưa được thiết lập password. Password Telnet được cấu hình trên vty (Virtual TeletYpe) line. Bạn có thể nhìn thấy vty line trên 1 thiết bị Cisco được cấu hình như sau:

privilege level 15
password cisco
login

Những câu lệnh này có nghĩa là gì?

– Điều đầu tiên bạn có thể nhận ra là chúng ta có thể truy cập vào thiết bị Cisco này bằng Telnet, vì password đã được thiết lập – trong trường hợp này là cisco – và cũng có nghĩa là ai muốn truy cập vào thiết bị Cisco này phải biết password này để truy cập. Một thiết bị Cisco có thể cho phép tối đa 16 user (0 – 15) truy cập cùng lúc. Đối với 1 số thiết bị Cisco đời cũ, số user cho phép là 5 (0 – 4).

– login nghĩa là khi 1 user muốn truy cập vào thiết bị Cisco này, user đó được yêu cầu phải nhập password để có thể truy cập, câu lệnh này rất quan trọng vì nếu không có thì thiết bị sẽ không hỏi password khi user login vào bằng telnet. Nếu vty line được cấu hình với câu lệnh no login thì user Telnet vào thiết bị Cisco này sẽ không cần phải nhập password.

– privilege level 15: câu lệnh này nghĩa là bất cứ user nào biết password của thiết bị Cisco này khi Telnet vào sẽ được đưa trực tiếp vào enabled mode, hay còn gọi là privileged mode. Nếu như câu lệnh này không được cấu hình trên thiết bị Cisco thì khi Telnet vào, user sẽ được đưa vào user mode và trong hầu hết các trường hợp, họ phải vượt qua một lớp bảo mật nữa để có thể vào tới enabled mode.

Thông thường, chúng ta sẽ cho phép 1 nhóm người dùng có thể truy cập trực tiếp vào enabled mode của thiết bị Cisco và những user khác phải nhập thêm 1 password khác để có thể vào được enabled mode.

Trong 1 số trường hợp, bạn có thể nhìn thấy trên thiết bị Cisco được cấu hình như sau:

username user1 password 0 cisco1
username user2 password 0 cisco2
username user3 privilege 15 password 0 cisco3
line vty 0 4
login local

Những câu lệnh này nghĩa là gì?

– Đầu tiên, mỗi một user khi telnet vào thiết bị Cisco này sẽ được yêu cầu phải đăng nhập username và password mà họ được cung cấp. Ví dụ, khi user1 truy cập vào thiết bị Cisco, user này sẽ phải nhập vào phần username là user1 và password mà anh ta được cung cấp là cisco1.

– login local nghĩa là username và password được dùng để xác nhận user sẽ được lấy từ cơ sở dữ liệu lưu trữ trên thiết bị Cisco này.

– Bạn có nhìn thấy số 0 ở sau password đối với user1 và user2 không? Đây là cấp độ mà password được mã hóa. Mặc định thì password được lưu trữ trên thiết bị Cisco ở dạng clear text, tức là không được mã hóa và ở dạng kí tự mà con người có thể đọc được. Khi tạo 1 user trên thiết bị Cisco, bạn có thể chọn độ mạnh của password được mã hóa như sau:

R2(config)#username user3 password ?

0 Specifies an UNENCRYPTED password will follow
7 Specifies a HIDDEN password will follow
LINE The UNENCRYPTED (cleartext) user password

Bạn có thể chọn hoặc không mã hóa password (0) hoặc mã hóa password (7). Lưu ý là password được mã hóa kiểu 7 cũng rất yếu và có thể dễ dàng bị giải mã bằng rất nhiều tool khác nhau (Bạn có thể tìm kiếm trên internet bằng từ khóa “decrypt type 7 encrytion“. Đây là 1 ví dụ. Bạn hãy copy và paste password mã hóa ở dạng 7 vào textbox, click Submit và nó sẽ được tự động giải mã cho bạn). Phương pháp tối ưu ở đây là sử dụng kiểu mã hóa MD5. Đây là phương pháp mã hóa an toàn và được coi là không thể crack. Để tạo một user có password được mã hóa dưới dạng MD5, bạn có thể dùng câu lệnh:

R2(config)#username user4 secret cisco4

Lúc này, password của user4 được lưu trên thiết bị Cisco sẽ có dạng giống như: $1$z1nE$vu4d7U9fL0Hph.1dp4dkc

2. Password console
User có thể truy cập vào thiết bị Cisco một cách trực tiếp thông qua console line. Chúng ta có thể đặt password cho console line để ngăn chặn các truy cập trái phép vào thiết bị Cisco bằng lệnh:

line con 0
password cisco
login

3. Password enable mode
Chúng ta có thể chèn thêm 1 tầng bảo mật nữa cho thiết bị Cisco bằng cách thiết lập password ở enable mode. Khi user muốn truy cập vào enable mode để có thể thay đổi hoặc cấu hình cho thiết bị Cisco thì buộc phải nhập password này. Chúng ta có thể cấu hình password cho enable mode bằng lệnh:

enable password cisco

Chúng ta có thể cấu hình mã hóa password ở enable mode bằng thuật toán MD5 để đảm bảo an toàn cho thiết bị Cisco bằng lệnh enable secret:

enable secret cisco

* Lưu ý: Bạn có thể cấu hình mã hóa tất cả password trên thiết bị Cisco cùng 1 lúc bằng lệnh service password-encryption ở global config mode. Tuy nhiên, lệnh này chỉ mã hóa password ở dạng 7.

Đến đây, các bước cấu hình password trên thiết bị Cisco đã hoàn tất, chúc các bạn thực hiện thành công.

 

Mình xin bổ sung thêm bài viết cài đặt mật khẩu (password) trên thiết bị Cisco (Switch Cisco, Router Cisco, Firewall Cisco)

Thông thường có các loại mật khẩu để bảo mật cho một Router Cisco như sau:
– Loại mật khẩu đầu tiên là enable. Lọai này được sử dụng để vào chế độ enabled mode. Router sẽ yêu cầu bạn nhập mật khẩu này vào khi bạn đánh lệnh enable từ user mode để chuyển sang chế độ enable mode.
– Ba loại còn lại là mật khẩu khi người dùng truy cập qua cổng console, cổng Aux, hay Telnet.

Mật khẩu có phân biệt chữ hoa hay chữ thường (case sensitive), và không quá 25 ký tự. Các ký tự này có thể là chữ hoa, chữ thường, con số, các dấu chấm câu và khoảng cách; tuy nhiên ký tự đầu tiên không được là dấu trắng.

​

Thực hiện:

Mật khẩu truy cập vào enable mode
– Hai loại enable mật khẩu trên router, đặt bằng các lệnh sau:

Router(config)#enable secret vip <-- mật khẩu là vip
Router(config)#enable password cisco <-- mật khẩu là cisco

– Ở chế độ mặc định, mật khẩu ở dạng không mã hóa (clear-text) trong file cấu hình; Lệnh enable secret password sẽ mã hóa các mật khẩu hiện có của router. Nếu có đặt enable secret, nó sẽ có hiệu lực mạnh hơn các mật khẩu còn lại.

Mật khẩu truy cập vào User Mode

1. Đặt mật khẩu cho user mode bằng lệnh line, xem xét các thông số theo sau bằng cách đánh dấu ? sau lệnh line.

Router(config)#line ?
<0-4> First Line number
aux Auxiliary line
console Primary terminal line
vty Virtual terminal

– aux đặt mật khẩu cho cổng aux, thường dùng khi cấu hình cho modem gắn router, quay số vào để cấu hình router.
– console đặt mật khẩu trước khi vào user mode
– vty đặt mật khẩu để telnet vào router. Nếu không đặt mật khẩu, không thể thực hiện telnet vào router.

Để đặt mật khẩu cho user mode, cần xác định line muốn cấu hình và dùng lệnh login để router đưa ra thông báo chứng thực đòi hỏi nhập mật khẩu.

2. Đặt mật khẩu trên cổng aux của Router Cisco:

Vào global config mode đánh lệnh line aux 0.
Chú ý rằng chỉ được chọn số 0 vì thông thường chỉ có một cổng auxilary trên router.

Router#config t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#line aux 0
Router(config-line)#login
Router(config-line)#password thegioimang

Câu lệnh login rất quan trọng, nếu không có lệnh này, router sẽ không thông báo đòi hỏi chứng thực.

3. Đặt mật khẩu truy cập cho cổng console trên router: dùng lệnh line console 0

Router(config)#line console 0
Router(config-line)#login
Router(config-line)#password thegioimang

4. Đặt mật khẩu telnet: dùng lệnh line vty

Router(config-line)#line vty 0 4
Router(config-line)#login
Router(config-line)#password thegioimang

Sau khi router cấu hình địa chỉ IP, bạn có thể dùng chương trình Telnet để cấu hình và kiểm tra router thay vì sử dụng cáp console.
Kiểm tra lại các loại mật khẩu đã đặt bằng cách xem cấu hình hiện tại đang chạy, thực hiện lệnh show running-config:

Router#show running-config

Building configuration...
Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Router
!
enable secret 5 $1$Y3Hx$iF7j2hPkFe6/hwJG.NZOg.
enable password cisco
!
interface Ethernet0
no ip address
shutdown
!
interface Serial0
no ip address
shutdown
!
line con 0
password rrr
login
line aux 0
password vip
login
line vty 0 4
password RRR
login
!
end

Trong cấu hình ta thấy enable secret password ở dạng mã hóa. Các mật khẩu khác ở dạng không mã hóa. Hệ điều hành Cisco IOS cho phép mã hóa tất cả các mật khẩu trong file cấu hình bằng lệnh service password-encryption tại global configuration mode:

Router#
Router#conf ter
Router(config)#service password-encryption
Router(config)# [Ctrl–Z]

Router#show running-config

Building configuration...
Current configuration:
!
version 12.0
service password-encryption
!
hostname Router
!
enable secret 5 $1$Y3Hx$iF7j2hPkFe6/hwJG.NZOg.
enable password 7 01100F175804
!
interface Ethernet0
no ip address
shutdown
!
interface Serial0
no ip address
shutdown
!
line con 0
password 7 111B0B17
login
line aux 0
password 7 0312521B
login
line vty 0 4
password 7 1520393E
login
!
end

Tất cả các mật khẩu đã được mã hóa. Mật khẩu Enable secret vẫn ở dạng cũ; Mức độ mã hóa được hiển thị bằng chỉ số đứng ngay trước mỗi mật khẩu. Các giá trị có thể có của chỉ số này là:

– 7 : mật khẩu được mã hóa theo thuật toán hai chiều MD7; mật khẩu dạng này có thể giải mã được.
– 5 : mật khẩu được mã hóa theo thuật toán một chiều MD5; không thể giải mã được dạng này.
– 0 : (hoặc không có giá trị) mật khẩu được hiển thị ở dạng không mã hóa.

Nếu tắt chế độ mã hóa với câu lệnh no service password-encryption, thì mật khẩu vẫn ở dạng mã hóa trừ khi đặt lại mật khẩu.

Bài viết liên quan:

- Tổng hợp các lệnh căn bản (CLI) khi làm việc với thiết bị mạng Cisco (Switch Cisco, Router Cisco)
- Các lệnh Command-Line Interface (CLI) cho Cisco Switch đầy đủ chi tiết nhất
- Lệnh cấu hình bộ định tuyến Cisco Router hoàn chỉnh – Full CLI for Router Cisco