Passwörter für Telnet-, Konsolen- und AUX-Ports auf Routern konfigurieren

Einleitung

In diesem Dokument werden Beispielkonfigurationen für die Konfiguration des Kennwortschutzes für eingehende EXEC-Verbindungen mit dem Router beschrieben.

Voraussetzungen

Anforderungen

Um die in diesem Dokument beschriebenen Aufgaben durchführen zu können, benötigen Sie privilegierten EXEC-Zugriff auf die Befehlszeilenschnittstelle (CLI) des Routers. Informationen zur Befehlszeile und zu den Befehlsmodi finden Sie unter Verwenden der Cisco IOS-Befehlszeilenschnittstelle.

Anweisungen zum Anschluss einer Konsole an den Router finden Sie in der Begleitdokumentation zum Router oder in der Online-Dokumentation für Ihre Geräte.

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

• Cisco 2509-Router

• Cisco IOS® Software-Version 12

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Hintergrundinformationen

Die Verwendung eines Kennwortschutzes zur Kontrolle oder Beschränkung des Zugriffs auf die Befehlszeilenschnittstelle (CLI) des Routers ist eines der grundlegenden Elemente eines umfassenden Sicherheitsplans.

Der Schutz des Routers vor nicht autorisiertem Remote-Zugriff wird in der Regel durch Telnet gewährleistet. Dies ist die häufigste Sicherheitsmaßnahme, die konfiguriert werden muss. Der Schutz des Routers vor nicht autorisiertem lokalem Zugriff darf jedoch nicht außer Acht gelassen werden.

Hinweis: Der Kennwortschutz ist nur einer von vielen Schritten, die bei einem effektiven und tief greifenden Netzwerksicherheitskonzept durchgeführt werden müssen. Firewalls, Zugriffslisten und die Kontrolle des physischen Zugriffs auf die Geräte sind weitere Elemente, die bei der Implementierung Ihres Sicherheitsplans berücksichtigt werden müssen.

Der Zugriff auf einen Router über die Befehlszeile oder EXEC kann auf verschiedene Weise erfolgen, in allen Fällen erfolgt die eingehende Verbindung zum Router jedoch über eine TTY-Leitung. In diesem Beispiel werden vier Haupttypen von TTY-Leitungen dargestellt: show line Ausgabe:

2509#show line
   Tty Typ     Tx/Rx    A Modem  Roty AccO AccI   Uses   Noise  Overruns   Int
*    0 CTY              -    -      -    -    -      0       0     0/0       -
     1 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     2 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     3 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     4 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     5 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     6 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     7 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     8 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     9 AUX   9600/9600  -    -      -    -    -      0       0     0/0       -
    10 VTY              -    -      -    -    -      0       0     0/0       -
    11 VTY              -    -      -    -    -      0       0     0/0       -
    12 VTY              -    -      -    -    -      0       0     0/0       -
    13 VTY              -    -      -    -    -      0       0     0/0       -
    14 VTY              -    -      -    -    -      0       0     0/0       -

2509#

Der CTY-Leitungstyp ist der Konsolenport. Auf jedem Router wird er in der Routerkonfiguration als line con 0 und in der Ausgabe von angezeigt  show line als cty . Der Konsolen-Port wird hauptsächlich für den lokalen Systemzugriff mit einem Konsolen-Terminal verwendet.

Bei den TTY-Leitungen handelt es sich um asynchrone Leitungen für ein- oder ausgehende Modem- und Terminalverbindungen. Sie sind in einer Router- oder Zugriffsserverkonfiguration als Leitung x zu sehen. Die Leitungsnummern hängen von der Hardware ab, die in den Router oder den Zugriffsserver integriert bzw. auf diesem installiert ist.

Die AUX-Leitung ist der AUX-Port, in der Konfiguration als Leitung aux 0 .

Die VTY-Leitungen sind die virtuellen Terminalleitungen des Routers, die ausschließlich zur Steuerung eingehender Telnet-Verbindungen verwendet werden. Sie sind virtuell, in dem Sinne, dass sie eine Funktion von Software sind - mit ihnen ist keine Hardware verbunden. Sie werden in der Konfiguration als Zeile vty 0 4 angezeigt.

Jeder dieser Leitungstypen kann mit Kennwortschutz konfiguriert werden. Leitungen können so konfiguriert werden, dass sie ein Kennwort für alle Benutzer oder benutzerspezifische Kennwörter verwenden. Benutzerspezifische Kennwörter können lokal auf dem Router konfiguriert werden, oder Sie können einen Authentifizierungsserver verwenden, um die Authentifizierung bereitzustellen.

Es ist nicht verboten, verschiedene Leitungen mit verschiedenen Arten von Passwortschutz zu konfigurieren. Router mit einem einzigen Kennwort für die Konsole und benutzerspezifische Kennwörter für andere eingehende Verbindungen sind in der Tat weit verbreitet.

Dies ist ein Beispiel für die Router-Ausgabe vom show running-config command:

2509#show running-config
Building configuration...

Current configuration : 655 bytes
!
version 12.2
.
. 
. 

!--- Configuration edited for brevity


line con 0
line 1 8
line aux 0
line vty 0 4
!
end

Konfigurieren von Kennwörtern auf der Leitung

Um ein Kennwort für eine Leitung anzugeben, verwenden Sie den Befehl password  im Leitungskonfigurationsmodus. Um eine Kennwortprüfung bei der Anmeldung zu aktivieren, verwenden Sie das login  im Leitungskonfigurationsmodus.

Konfigurationsverfahren

In diesem Beispiel wird ein Kennwort für alle Benutzer konfiguriert, die versuchen, die Konsole zu verwenden.

1. Wechseln Sie an der Eingabeaufforderung für den privilegierten EXEC-Modus (oder enable) in den Konfigurationsmodus, und wechseln Sie dann mit diesen Befehlen in den Leitungskonfigurationsmodus. Beachten Sie, dass sich die Eingabeaufforderung entsprechend dem aktuellen Modus ändert.

   router#configure terminal
   Enter configuration commands, one per line.  End with CNTL/Z.
   router(config)#line con 0
   router(config-line)#

2. Konfigurieren Sie das Kennwort, und aktivieren Sie die Kennwortprüfung bei der Anmeldung.

   router(config-line)#password letmein
   router(config-line)#login
   

3. Beenden Sie den Konfigurationsmodus.

   router(config-line)#end
   router#
   %SYS-5-CONFIG_I: Configured from console by console

   Hinweis: Speichern Sie die Konfigurationsänderungen erst dann in Posten-Symbol 0, wenn Ihre Anmeldefähigkeit verifiziert wurde.

   Hinweis: Wählen Sie in der Leitungs-Konsolenkonfiguration  login  ist ein erforderlicher Konfigurationsbefehl, um bei der Anmeldung eine Passwortüberprüfung zu aktivieren. Die Konsolenauthentifizierung erfordert sowohl password   und login  Befehle zum Arbeiten

Überprüfen der Konfiguration

Überprüfen Sie die Konfiguration des Routers, um sicherzustellen, dass die Befehle ordnungsgemäß eingegeben wurden:

• show running-config   - Zeigt die aktuelle Konfiguration des Routers an.

  router#show running-config
  Building configuration...
  ...
  
  !--- Lines omitted for brevity
  
  
  !
  line con 0
  password letmein
  login
  line 1 8
  line aux 0
  line vty 0 4
  !
  end

  Melden Sie sich zum Testen der Konfiguration von der Konsole aus erneut an, und verwenden Sie das konfigurierte Kennwort für den Zugriff auf den Router:

  router#exit
  
  router con0 is now available
  
  Press RETURN to get started.
  
  User Access Verification
  Password: 
  
  !--- Password entered here is not displayed by the router
  
  
  router>

  Hinweis: Stellen Sie vor diesem Test sicher, dass Sie eine alternative Verbindung zum Router haben, z. B. Telnet oder Einwahl, falls bei der Anmeldung beim Router ein Problem auftritt.

Fehlerbehebung bei fehlgeschlagener Anmeldung

Wenn Sie sich nicht wieder beim Router anmelden können und die Konfiguration nicht gespeichert wurde, laden Sie den Router neu, um alle vorgenommenen Konfigurationsänderungen zu vermeiden.

Wenn die Konfigurationsänderungen gespeichert wurden und Sie sich nicht beim Router anmelden können, führen Sie eine Kennwortwiederherstellung durch. Unter Kennwortwiederherstellungsverfahren finden Sie Anweisungen für Ihre jeweilige Plattform.

Lokale benutzerspezifische Kennwörter konfigurieren

Um ein Authentifizierungssystem einzurichten, das auf dem Benutzernamen basiert, verwenden Sie das username < /code> im globalen Konfigurationsmodus. Um bei der Anmeldung ein Kennwort zu aktivieren, verwenden Sie den  login local im Leitungskonfigurationsmodus.

Konfigurationsverfahren

In diesem Beispiel werden Kennwörter für Benutzer konfiguriert, die versuchen, über Telnet eine Verbindung zum Router auf den VTY-Leitungen herzustellen.

1. Geben Sie an der Eingabeaufforderung für den privilegierten EXEC-Modus (oder enable) den Konfigurationsmodus ein, und geben Sie eine Kombination aus Benutzername und Kennwort für jeden Benutzer ein, für den Sie den Zugriff auf den Router zulassen möchten:

   router#configure terminal
   Enter configuration commands, one per line.  End with CNTL/Z.
   router(config)#username russ password montecito
   router(config)#username cindy password belgium
   router(config)#username mike password rottweiler
   

2. Wechseln Sie in den Leitungskonfigurationsmodus, und verwenden Sie diese Befehle. Beachten Sie, dass sich die Eingabeaufforderung entsprechend dem aktuellen Modus ändert.

   router(config)#line vty 0 4
   router(config-line)#

3. Konfigurieren Sie bei der Anmeldung eine Kennwortprüfung.

   router(config-line)#login local
   

4. Beenden Sie den Konfigurationsmodus.

   router(config-line)#end
   router#
   %SYS-5-CONFIG_I: Configured from console by console

Hinweis: Um die automatische Telnet-Funktion zu deaktivieren, wenn Sie einen Namen in die CLI eingeben, konfigurieren Sie no logging preferred /strong>auf der verwendeten Zeile. Während transport preferred none die gleiche Ausgabe bereitstellt, deaktiviert es auch auto Telnet für die definierten Hosts, die mit dem Befehl ip host konfiguriert sind. Dies unterscheidet sich von den no log preferred -Befehl, der es für nicht definierte Hosts stoppt und es für die definierten Hosts arbeiten lässt.

Überprüfen der Konfiguration

Überprüfen Sie die Konfiguration des Routers, um sicherzustellen, dass die Befehle ordnungsgemäß eingegeben wurden:

• show running-config   - Zeigt die aktuelle Konfiguration des Routers an.

  router#show running-config
  Building configuration...
  !
  
  !--- Lines omitted for brevity 
  
  
  !
  username russ password 0 montecito
  username cindy password 0 belgium
  username mike password 0 rottweiler
  !
  
  !--- Lines omitted for brevity 
  
  
  !
  line con 0
  line 1 8
  line aux 0
  line vty 0 4
   login local
  !
  end
  

  Zum Testen dieser Konfiguration muss eine Telnet-Verbindung zum Router hergestellt werden. Dies ist möglich, wenn Sie von einem anderen Host im Netzwerk aus eine Verbindung herstellen. Sie können jedoch auch vom Router selbst über Telnet die IP-Adresse einer beliebigen Schnittstelle auf dem Router testen, die sich in einem Up/Up-Zustand befindet (siehe Ausgabe des show interfaces aus.

Hier ist eine Beispielausgabe, wenn die Adresse von interface ethernet 0 10.1.1.1 lautete:

router#telnet 10.1.1.1
Trying 10.1.1.1 ... Open


User Access Verification


Username: mike
Password:

!--- Password entered here is not displayed by the router 


router

Fehlerbehebung bei benutzerspezifischem Kennwortfehler

Benutzernamen und Kennwörter berücksichtigen die Groß- und Kleinschreibung. Benutzer, die versuchen, sich mit einem falsch verschlüsselten Benutzernamen oder Kennwort anzumelden, werden abgelehnt.

Wenn sich Benutzer nicht mit ihren spezifischen Kennwörtern beim Router anmelden können, konfigurieren Sie Benutzername und Kennwort auf dem Router neu.

Kennwort für AUX-Leitung konfigurieren

Um ein Kennwort für die AUX-Leitung festzulegen, geben Sie Folgendes ein: password  im Leitungskonfigurationsmodus. Um die Kennwortüberprüfung bei der Anmeldung zu aktivieren, geben Sie den login  im Leitungskonfigurationsmodus.

Konfigurationsverfahren

In diesem Beispiel wird ein Kennwort für alle Benutzer konfiguriert, die versuchen, den AUX-Port zu verwenden.

1. Ausgabe e show line , um die vom AUX-Port verwendete Leitung zu überprüfen.

   R1#show line
   
      Tty Typ    Tx/Rx    A Modem Roty AccO AccI  Uses  Noise  Overruns  Int
   *    0 CTY                  -    -     -    -    -     0      0     0/0      -
       65 AUX  9600/9600  -    -     -    -    -    0     1     0/0             -
       66 VTY                  -    -     -    -    -     0      0     0/0      -
       67 VTY                  -    -     -    -    -     0      0     0/0      -

2. In diesem Beispiel befindet sich der AUX-Port in Leitung 65. Führen Sie die folgenden Befehle aus, um die AUX-Leitung des Routers zu konfigurieren:

   R1#configure terminal
   R1(config)#line 65
   R1(config-line)#modem inout
   R1(config-line)#speed 115200
   R1(config-line)#transport input all
   R1(config-line)#flowcontrol hardware
   R1(config-line)#login
   R1(config-line)#password cisco
   R1(config-line)#end
   R1#

Konfiguration überprüfen

Überprüfen Sie die Konfiguration des Routers, um sicherzustellen, dass die Befehle ordnungsgemäß eingegeben wurden:

• Die Fehlermeldung  show running-config zeigt die aktuelle Konfiguration des Routers an:

  R1#show running-config
  Building configuration...
  !
  
  !--- Lines omitted for brevity.
  
  line aux 0
   password cisco
   login
   modem InOut
   transport input all
   speed 115200
   flowcontrol hardware
  
  !--- Lines omitted for brevity.
  
  !
  end
  

AAA-Authentifizierung für Anmeldung konfigurieren

Um die Authentifizierung, Autorisierung und Abrechnung (Authentication, Authorization, Accounting, AAA) für Anmeldungen zu aktivieren, verwenden Sie die  login authentication im Leitungskonfigurationsmodus. AAA-Dienste müssen ebenfalls konfiguriert werden.

Konfigurationsverfahren

In diesem Beispiel ist der Router so konfiguriert, dass er die Kennwörter von Benutzern von einem TACACS+-Server abruft, wenn Benutzer versuchen, eine Verbindung zum Router herzustellen.

Hinweis: Die Konfiguration des Routers zur Verwendung anderer AAA-Servertypen (z. B. RADIUS) ist ähnlich. Weitere Informationen finden Sie unter Konfigurieren der Authentifizierung.

Hinweis: In diesem Dokument wird nicht auf die Konfiguration des AAA-Servers selbst eingegangen.

1. Geben Sie an der Eingabeaufforderung für den privilegierten EXEC-Modus (oder enable) den Konfigurationsmodus ein, und geben Sie die Befehle ein, mit denen der Router für die Verwendung von AAA-Diensten für die Authentifizierung konfiguriert wird:

   router#configure terminal
   Enter configuration commands, one per line.  End with CNTL/Z.
   router(config)#aaa new-model
   router(config)#aaa authentication login my-auth-list tacacs+
   router(config)#tacacs-server host 192.168.1.101
   router(config)#tacacs-server key letmein
   

2. Wechseln Sie in den Leitungskonfigurationsmodus, und verwenden Sie diese Befehle. Beachten Sie, dass sich die Eingabeaufforderung entsprechend dem aktuellen Modus ändert.

   router(config)#line 1 8
   router(config-line)#

3. Konfigurieren Sie bei der Anmeldung eine Kennwortprüfung.

   router(config-line)#login authentication my-auth-list
   

4. Beenden Sie den Konfigurationsmodus.

   router(config-line)#end
   router#
   %SYS-5-CONFIG_I: Configured from console by console

Überprüfen der Konfiguration

Überprüfen Sie die Konfiguration des Routers, um sicherzustellen, dass die Befehle ordnungsgemäß eingegeben wurden:

• show running-config   - Zeigt die aktuelle Konfiguration des Routers an.

  router#write terminal
  Build configuration...
  
  Current configuration:
  !
  version 12.0
  service timestamps debug uptime
  service timestamps log uptime
  no service password-encryption
  !
  hostname router
  !
  aaa new-model
  aaa authentication login my-auth-list tacacs+
  !
  
  !--- Lines omitted for brevity 
  
  
  ...
  !
  tacacs-server host 192.168.1.101
  tacacs-server key letmein
  !
  line con 0
  line 1 8
   login authentication my-auth-list
  line aux 0
  line vty 0 4
  !
  end

Zum Testen dieser Konfiguration muss eine ein- oder ausgehende Verbindung mit der Leitung hergestellt werden. Spezifische Informationen zur Konfiguration asynchroner Leitungen für Modemverbindungen finden Sie in der Modem - Router Connection Guide (Modem - Router-Verbindungsleitfaden).

Alternativ können Sie eine oder mehrere VTY-Leitungen für die AAA-Authentifizierung und den Test darauf konfigurieren.

Fehlerbehebung: Fehler bei AAA-Anmeldung

Vor der Ausgabe debug  -Befehlen finden Sie unter Wichtige Informationen zu Debugbefehlen.

Um einen fehlgeschlagenen Anmeldeversuch zu beheben, verwenden Sie die debug  für Ihre Konfiguration passender Befehl:

• debuggen aaa-Authentifizierung

• Debug-Radius

• Kerberos debuggen

Zugehörige Informationen

• Cisco IOS-Befehlsreferenz zum Debuggen
• Technischer Support und Downloads von Cisco