אבטחת המתג / הנתב – הגדרת סיסמאות

סיסמאות הן ההגנה הראשונה להתחברות לא מורשית לאביזרי הרשת:

  • סיסמת קונסול – מגבילה את הגישה דרך חיבור הקונסול.
  • סיסמת Enable – מגבילה את הגישה למצב "זכויות" (Privilege Exec).
  • סיסמת Enable מוצפנת – סיסמה כמו הקודמת אך מוצפנת (=מגובבת).
  • סיסמת VTY – מגבילה את הגישה באמצעות חיבור מרחוק (Telnet)

מומלץ להשתמש בסיסמאות שונות לכל רמת גישה. כדאי להשתמש ב- "סיסמאות חזקות", אשר לא ניתן לנחש אותן.

למשל:

  • אורך סיסמה מעל 8 תווים.
  • שילוב של אותיות גדולות קטנות ומספרים.
  • לא להשתמש באותה הסיסמה לכל האביזרים.
  • לא להשתמש במילים נפוצות כגון: Password, Admin

הגדרה סיסמה לחיבור קונסול

Switch(config)#line console 0
Switch(config-line)#password <password>
Switch(config-line)#login

הפקודה login מחייבת את בדיקת הסיסמא.

סיסמה עבור כניסה למצב Enable

כדאי להשתמש בסיסמת Enable המוצפנת (ההגדרה enable secret) ולא בסיסמת Enable הרגילה (ההגדרה enable password), כשאפשר, משום שההצפנה מספקת אבטחה טובה יותר.

Switch(config)#enable password <password>
Switch(config)#enable secret password

לא ניתן להתחבר מרחוק (Telnet) במידה ולא הוגדרה סיסמת Enable !!!

סיסמה עבור חיבור VTY

ציוד סיסקו תומך ב-16 קווי גישה מרחוק הממוספרים 0-15, המשמעות היא שאם נגדיר את כל ה- 16, יהיה ניתן לבצע 16 התחברויות שונות במקביל לרכיב. עם זאת, לא חייבים להגדיר את כל הקווים אם לא צריך, לדוגמא הגדרת סיסמא לקווים 0 עד 4 (5 כניסות במקביל):

Switch(config)#line vty 0 4
Switch(config-line)#password <password>
Switch(config-line)#login

ישנן אפשרויות נוספות להגדרת סיסמאות אך לא נדון בהם.

הסתרת הסיסמאות המוצגות

את הסיסמאות הלא מוצפנות ניתן לראות בקבצי ההגדרות ע"י הפקודות:
Show running-config או show startup-config.
הסיבה לכך היא שהסיסמאות נשמרות כטקסט גלוי (Clear Text).

אפשרות זו יכולה להיות בעיית אבטחה ולכן ניתן להצפין את הסיסמאות באמצעות הפקודה:

Switch(config)#service password-encryption

כעת אם נציג את הסיסמאות בקבצי ההגדרות, נראה סיסמאות מוצפנות.

You may also like...

כתיבת תגובה

האימייל לא יוצג באתר.

אתר זה עושה שימוש באקיזמט למניעת הודעות זבל. לחצו כאן כדי ללמוד איך נתוני התגובה שלכם מעובדים.