Cài đặt Tài khoản và Mật khẩu cục bộ trên Bộ định tuyến Cisco Router

Có hai cách xác thực chủ yếu trên thiết bị định tuyến Cisco (và cả các thiết bị mạng hãng khác nói chung). Sử dụng dịch vụ xác thực bên ngoài (chẳng hạn như máy chủ AAA, Radius, TACACS, v.v.) hoặc bằng cách có tên người dùng và mật khẩu cục bộ trên chính thiết bị.

Trong bài viết này, chúng ta sẽ thảo luận về cách thiết lập tên người dùng và mật khẩu cục bộ trên bộ định tuyến Cisco Router để xác thực khi kết nối với thiết bị cho mục đích quản lý. Các nguyên tắc tương tự cũng áp dụng cho các thiết bị Cisco khác như thiết bị chuyển mạch (Switch Cisco), tường lửa (Firewall Cisco), v.v.

Theo mặc định, khi bạn truy cập bộ định tuyến Cisco cho mục đích quản lý (sử dụng Console, Telnet hoặc SSH) thì không yêu cầu xác thực tên người dùng / mật khẩu.

Bạn chỉ cần cung cấp mật khẩu “EXEC đặc quyền” (tức là mật khẩu “enable”) để có quyền truy cập vào chế độ cấu hình đầy đủ của bộ định tuyến (bên dưới sẽ đề cập về các cấp và loại mật khẩu khác nhau).

Việc sử dụng cấp độ xác thực bổ sung (nghĩa là yêu cầu người dùng cung cấp thêm thông tin đăng nhập tên người dùng / mật khẩu ngoài mật khẩu “enable”) sẽ làm cho thiết bị bộ định tuyến có khả năng chống truy cập trái phép cao hơn.

Hơn nữa, việc định cấu hình tên người dùng cục bộ trên thiết bị cho phép bạn linh hoạt để thêm chi tiết về các cấp đặc quyền quản lý cho những người dùng khác nhau (mặc dù việc sử dụng máy chủ AAA bên ngoài cho mục đích xác thực và ủy quyền sẽ tốt hơn so với các tài khoản cục bộ).

Ví dụ: bạn có thể định cấu hình tên người dùng trên bộ định tuyến Router Cisco với đầy đủ đặc quyền (cấp đặc quyền 15): cấu hình bất kỳ thứ gì trên bộ định tuyến. Hoặc bạn có thể định cấu hình tên người dùng với quyền truy cập không đặc quyền (cấp đặc quyền 1): chỉ có thể xem một số thứ trên bộ định tuyến và không có gì khác.

Có hai bước liên quan để định cấu hình tên người dùng cục bộ. Đầu tiên là tạo tên người dùng / mật khẩu và gán cho họ một mức đặc quyền (từ 1 đến 15, với 15 là mức đặc quyền cao nhất).

Nếu bạn không chỉ định số cấp đặc quyền, nó sẽ nhận toàn bộ đặc quyền 15 theo mặc định. Bước thứ hai là định cấu hình các dòng VTY của bạn (0 đến 4) để yêu cầu quyền truy cập đăng nhập cục bộ (tức là chỉ người dùng được định cấu hình với mật khẩu hợp lệ mới có thể truy cập vào bộ định tuyến).

Cấu hình tài khoản cục bộ

Router# config t
Router(config)# username admin-TGM privilege 15 secret $thegioimang$
Router(config)# username monitoring-TGM privilege 1 secret $thegioimang.vn

! Sau khi tạo các tài khoản cục bộ ở trên, bạn áp dụng kiểu xác thực "cục bộ" cho các dòng

Router(config)# line vty 0 4
Router(config-line)# login local
Router(config-line)# exit

Router(config)# line console 0
Router(config-line)# login local
Router(config-line)# exit

Router(config)# line aux 0
Router(config-line)# login local
Router(config-line)# exit

Router(config)# wr

Chỉ là một mẹo bảo mật ở đây, đối với tên người dùng, hãy chọn thứ gì đó khó đoán hoặc thứ gì đó sẽ không được tìm thấy trong các cuộc tấn công từ điển. Ví dụ: những từ như “admin”, “administrator”, “cisco”, v.v. không phải là tên người dùng tốt. Một cuộc tấn công đơn giản từ một hacker sẽ dễ dàng tìm thấy chúng.

Hơn nữa, nếu bạn có nhiều người dùng quản trị viên kết nối với bộ định tuyến của mình, tốt hơn hết bạn nên định cấu hình tên người dùng được cá nhân hóa khác nhau cho từng quản trị viên. Điều này sẽ giúp đảm bảo theo dõi và kiểm tra để biết từng người dùng đã làm gì trên thiết bị và khi nào người dùng kết nối với thiết bị.

Các loại mật khẩu bộ định tuyến:

Mật khẩu là tuyến phòng thủ đầu tiên để bảo vệ Bộ định tuyến của Cisco Router.
Có năm loại mật khẩu có thể được cấu hình trên Bộ định tuyến Cisco:

• Mật khẩu cấp đặc quyền (Privilege EXEC)

o Bật mật khẩu (không được mã hóa)

o Bật mật khẩu bí mật (mật khẩu được mã hóa)

• Mật khẩu dòng bảng điều khiển

• Mật khẩu VTY Lines

• Mật khẩu dòng phụ (AUX)

Cấu hình Mật khẩu Cấp Đặc quyền:

Ở trên, chúng tôi đã cấu hình các tài khoản cục bộ và cũng áp dụng kiểu xác thực “cục bộ” cho tất cả các bộ định tuyến (VTY, console, aux). Bây giờ, chúng ta sẽ cấu hình mật khẩu “EXEC đặc quyền” được sử dụng để truy cập vào “chế độ cấu hình đầy đủ” trên bộ định tuyến Cisco.

! Định cấu hình mật khẩu không được mã hóa (tránh loại này)
Router(config)# enable password somepassword

! Định cấu hình mật khẩu được mã hóa (được khuyến nghị)
Router(config)# enable secret strongpassword

Lưu ý:

Để chỉ định một lớp bảo mật bổ sung, điều quan trọng là sử dụng lệnh enable secret trong chế độ cấu hình chung như được hiển thị ở trên.

Lệnh enable secret cung cấp bảo mật tốt hơn bằng cách lưu trữ mật khẩu bí mật cho phép đã định cấu hình bằng cách sử dụng hàm băm mật mã không thể đảo ngược, so với lệnh enable password, lưu mật khẩu đã định cấu hình ở dạng văn bản rõ ràng hoặc ở định dạng mã hóa dễ dàng đảo ngược.

Lưu trữ mật khẩu dưới dạng băm mật mã giúp giảm thiểu nguy cơ bị dò mật khẩu nếu tệp cấu hình bộ định tuyến được truyền qua mạng, chẳng hạn như đến và đi từ máy chủ TFTP.

Nó cũng hữu ích nếu người dùng trái phép lấy được bản sao tệp cấu hình của bạn. Lưu ý, nếu cả lệnh enable password và lệnh enable secret đều không được cấu hình và nếu có mật khẩu dòng được định cấu hình cho cổng bảng điều khiển, thì mật khẩu dòng bảng điều khiển sẽ đóng vai trò là mật khẩu kích hoạt cho tất cả các dòng VTY, bao gồm Telnet, rlogin, và các kết nối SSH.

Lệnh enable secret có sẵn rộng rãi trong Cisco IOS.

Mã hóa mật khẩu:

Theo mặc định, chỉ mật khẩu enable secret mới được mã hóa. Để mã hóa các loại mật khẩu khác, bạn cần bật dịch vụ " password encryption" trên toàn bộ định tuyến như sau:

Router# configure terminal
Router(config)# service password-encryption

Lưu ý:

Để mã hóa mật khẩu bộ định tuyến cục bộ, hãy sử dụng lệnh service password-encryption ở chế độ cấu hình chung như được hiển thị ở trên.

Lệnh này áp dụng cho mật khẩu dòng, mật khẩu tên người dùng, mật khẩu kích hoạt và mật khẩu khóa xác thực, bao gồm mật khẩu xác thực định tuyến và chuỗi khóa.

Theo mặc định, IOS không mã hóa mật khẩu. Mã hóa mật khẩu theo cách này giúp giảm thiểu nguy cơ bị dò mật khẩu nếu tệp cấu hình bộ định tuyến Router Cisco được truyền qua mạng chẳng hạn như đến và / hoặc từ máy chủ TFTP.

Nó cũng hữu ích nếu người dùng trái phép lấy được bản sao tệp cấu hình của bộ định tuyến Cisco Router.

Cám ơn các bạn đã theo dõi bài viết! Chúc các bạn thành công.

Chi tiết xem tại:

- Đặt mật khẩu cho Router, Switch Cisco - Cấu hình password trên thiết bị Cisco