סיסמאות הן ההגנה הראשונה להתחברות לא מורשית לאביזרי הרשת:
- סיסמת קונסול – מגבילה את הגישה דרך חיבור הקונסול.
- סיסמת Enable – מגבילה את הגישה למצב "זכויות" (Privilege Exec).
- סיסמת Enable מוצפנת – סיסמה כמו הקודמת אך מוצפנת (=מגובבת).
- סיסמת VTY – מגבילה את הגישה באמצעות חיבור מרחוק (Telnet)
מומלץ להשתמש בסיסמאות שונות לכל רמת גישה. כדאי להשתמש ב- "סיסמאות חזקות", אשר לא ניתן לנחש אותן.
למשל:
- אורך סיסמה מעל 8 תווים.
- שילוב של אותיות גדולות קטנות ומספרים.
- לא להשתמש באותה הסיסמה לכל האביזרים.
- לא להשתמש במילים נפוצות כגון: Password, Admin
הגדרה סיסמה לחיבור קונסול
Switch(config)#line console 0
Switch(config-line)#password <password>
Switch(config-line)#login
הפקודה login מחייבת את בדיקת הסיסמא.
סיסמה עבור כניסה למצב Enable
כדאי להשתמש בסיסמת Enable המוצפנת (ההגדרה enable secret) ולא בסיסמת Enable הרגילה (ההגדרה enable password), כשאפשר, משום שההצפנה מספקת אבטחה טובה יותר.
Switch(config)#enable password <password>
Switch(config)#enable secret password
לא ניתן להתחבר מרחוק (Telnet) במידה ולא הוגדרה סיסמת Enable !!!
סיסמה עבור חיבור VTY
ציוד סיסקו תומך ב-16 קווי גישה מרחוק הממוספרים 0-15, המשמעות היא שאם נגדיר את כל ה- 16, יהיה ניתן לבצע 16 התחברויות שונות במקביל לרכיב. עם זאת, לא חייבים להגדיר את כל הקווים אם לא צריך, לדוגמא הגדרת סיסמא לקווים 0 עד 4 (5 כניסות במקביל):
Switch(config)#line vty 0 4
Switch(config-line)#password <password>
Switch(config-line)#login
ישנן אפשרויות נוספות להגדרת סיסמאות אך לא נדון בהם.
הסתרת הסיסמאות המוצגות
את הסיסמאות הלא מוצפנות ניתן לראות בקבצי ההגדרות ע"י הפקודות:
Show running-config או show startup-config.
הסיבה לכך היא שהסיסמאות נשמרות כטקסט גלוי (Clear Text).
אפשרות זו יכולה להיות בעיית אבטחה ולכן ניתן להצפין את הסיסמאות באמצעות הפקודה:
Switch(config)#service password-encryption
כעת אם נציג את הסיסמאות בקבצי ההגדרות, נראה סיסמאות מוצפנות.
