Wachtwoorden voor Telnet, console en AUX-poorten op routers configureren

Inleiding

Dit document beschrijft voorbeeldconfiguraties om wachtwoordbescherming voor inkomende EXEC-verbindingen aan de router te configureren.

Voorwaarden

Vereisten

Om de taken uit te voeren die in dit document worden beschreven, moet u geprivilegieerde EXEC-toegang hebben tot de router Command Line Interface (CLI). Zie Cisco IOS-opdrachtregel gebruiken voor meer informatie over de opdrachtregel en om de opdrachtmodi te begrijpen.

Raadpleeg voor instructies over de aansluiting van een console op uw router de documentatie die bij uw router is meegeleverd of raadpleeg de online documentatie voor uw apparatuur.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• Cisco 2509 router

• Cisco IOS®-softwareversie 12

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Achtergrondinformatie

Het gebruik van wachtwoordbescherming om de toegang tot de opdrachtregelinterface (CLI) van uw router te beheren of te beperken is een van de fundamentele elementen van een overkoepelend security plan.

Om de router tegen onbevoegde verre toegang te beschermen, typisch Telnet, is de gemeenschappelijkste veiligheid die moet worden gevormd, maar om de router tegen onbevoegde lokale toegang te beschermen kan niet worden genegeerd.

Opmerking: wachtwoordbeveiliging is slechts een van de vele stappen die u kunt gebruiken in een effectief, diepgaand beveiligingsregime. Firewalls, toegangslijsten en controle van de fysieke toegang tot de apparatuur zijn andere elementen die in overweging moeten worden genomen bij het implementeren van uw veiligheidsplan.

Toegang via een opdrachtregel, of EXEC, tot een router kan op een aantal manieren, maar in alle gevallen wordt de inkomende verbinding met de router gemaakt op een TTY-lijn. Er zijn vier hoofdtypen TTY-lijnen, zoals in deze steekproef te zien show line output:

2509#show line
   Tty Typ     Tx/Rx    A Modem  Roty AccO AccI   Uses   Noise  Overruns   Int
*    0 CTY              -    -      -    -    -      0       0     0/0       -
     1 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     2 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     3 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     4 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     5 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     6 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     7 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     8 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     9 AUX   9600/9600  -    -      -    -    -      0       0     0/0       -
    10 VTY              -    -      -    -    -      0       0     0/0       -
    11 VTY              -    -      -    -    -      0       0     0/0       -
    12 VTY              -    -      -    -    -      0       0     0/0       -
    13 VTY              -    -      -    -    -      0       0     0/0       -
    14 VTY              -    -      -    -    -      0       0     0/0       -

2509#

Het CTY-lijntype is de consolepoort. Op om het even welke router, verschijnt het in de routerconfiguratie als lijn con 0 en in de output van  show line commando als stad. De consolepoort wordt voornamelijk gebruikt voor lokale systeemtoegang met een consoleterminal.

De TTY-lijnen zijn asynchrone lijnen die worden gebruikt voor inkomende of uitgaande modem- en terminalverbindingen en kunnen in een router- of toegangsserverconfiguratie worden gezien als lijn x . De specifieke lijnnummers zijn een functie van de hardware die is ingebouwd in of geïnstalleerd op de router of toegangsserver.

De AUX-lijn is de aanvullende poort, in de configuratie te vinden als line aux 0.

De VTY-lijnen zijn de virtuele terminallijnen van de router, uitsluitend gebruikt voor het beheren van inkomende Telnet-verbindingen. Ze zijn virtueel in de zin dat ze een functie zijn van software – er is geen bijbehorende hardware. Ze staan in de configuratie als line vty 0 4.

Alle lijnen van dit type kunnen worden geconfigureerd met wachtwoordbescherming. Lijnen kunnen worden geconfigureerd met één wachtwoord voor alle gebruikers of met gebruikersspecifieke wachtwoorden. Gebruikersspecifieke wachtwoorden kunnen lokaal op de router worden geconfigureerd of u kunt een verificatieserver gebruiken voor de verificatie.

Er is geen verbod tegen een configuratie van verschillende lijnen met verschillende soorten wachtwoordbescherming. Het is zelfs gebruikelijk om routers te zien met één wachtwoord voor de console en gebruikersspecifieke wachtwoorden voor andere inkomende verbindingen.

Dit is een voorbeeld van routeroutput van show running-config opdracht:

2509#show running-config
Building configuration...

Current configuration : 655 bytes
!
version 12.2
.
. 
. 

!--- Configuration edited for brevity


line con 0
line 1 8
line aux 0
line vty 0 4
!
end

Wachtwoorden op de lijn configureren

Om een wachtwoord op een lijn te specificeren, gebruik password  opdracht in lijnconfiguratiemodus. Om een wachtwoordcontrole bij de aanmelding in te schakelen, gebruikt u de login  opdracht in lijnconfiguratiemodus.

Configuratieprocedure

In dit voorbeeld wordt een wachtwoord ingesteld voor alle gebruikers die proberen de console te gebruiken.

1. Voer vanuit de geprivilegieerde EXEC-prompt (of inschakelen) de configuratiemodus in en switch vervolgens om de configuratiemodus met deze opdrachten te lijnen. Let op dat de prompt wijzigt om de huidige modus weer te geven.

   router#configure terminal
   Enter configuration commands, one per line.  End with CNTL/Z.
   router(config)#line con 0
   router(config-line)#

2. Het wachtwoord configureren en wachtwoordcontrole inschakelen bij inloggen.

   router(config-line)#password letmein
   router(config-line)#login
   

3. Verlaat de configuratiemodus.

   router(config-line)#end
   router#
   %SYS-5-CONFIG_I: Configured from console by console

   Opmerking: Sla de configuratiewijzigingen niet op in line con 0 totdat uw vermogen om in te loggen is geverifieerd.

   Opmerking: onder de lijnconsoleconfiguratie,  login  is een vereiste configuratieopdracht om een wachtwoordcontrole tijdens het inloggen in te schakelen. Verificatie van console vereist zowel de password   en de login  opdrachten aan het werk

De configuratie verifiëren

Onderzoek de configuratie van de router om te verifiëren dat de opdrachten correct zijn ingevoerd:

• show running-config   - toont de huidige configuratie van de router.

  router#show running-config
  Building configuration...
  ...
  
  !--- Lines omitted for brevity
  
  
  !
  line con 0
  password letmein
  login
  line 1 8
  line aux 0
  line vty 0 4
  !
  end

  Om de configuratie te testen, log uit de console en log in opnieuw, en gebruik het ingestelde wachtwoord om toegang te krijgen tot de router:

  router#exit
  
  router con0 is now available
  
  Press RETURN to get started.
  
  User Access Verification
  Password: 
  
  !--- Password entered here is not displayed by the router
  
  
  router>

  Opmerking: voordat u deze test uitvoert, moet u ervoor zorgen dat u een alternatieve verbinding met de router hebt, zoals Telnet of inbellen, voor het geval er een probleem is tijdens het inloggen op de router.

Fout bij inloggen voor probleemoplossing

Als u niet terug in de router kunt loggen en u de configuratie niet hebt opgeslagen, herlaad de router om eventuele configuratiewijzigingen te elimineren die u hebt aangebracht.

Als de configuratiewijzigingen zijn opgeslagen en u niet kunt inloggen op de router, voert u een wachtwoordherstel uit. Zie Password Recovery Procedures (wachtwoordherstelprocedures) voor de instructies voor uw specifieke platform.

Lokale gebruikersspecifieke wachtwoorden configureren

Om een op gebruikersnaam gebaseerd verificatiesysteem op te zetten, gebruikt u de username < /code> opdracht in globale configuratiemodus. Om een wachtwoordcontrole bij aanmelding in te schakelen, gebruikt u de  login local opdracht in lijnconfiguratiemodus.

Configuratieprocedure

In dit voorbeeld, worden de wachtwoorden gevormd voor gebruikers die proberen om met de router op de lijnen VTY met Telnet te verbinden.

1. Van de bevoorrechte herinnering EXEC (of laat toe), ga configuratiewijze in en ga gebruikersbenaming/wachtwoordcombinaties in, voor elke gebruiker voor wie u toegang tot de router wilt verlenen:

   router#configure terminal
   Enter configuration commands, one per line.  End with CNTL/Z.
   router(config)#username russ password montecito
   router(config)#username cindy password belgium
   router(config)#username mike password rottweiler
   

2. Switch om configuratiemodus te lijnen en gebruik deze opdrachten. Let op dat de prompt wijzigt om de huidige modus weer te geven.

   router(config)#line vty 0 4
   router(config-line)#

3. Wachtwoordcontrole instellen bij inloggen.

   router(config-line)#login local
   

4. Verlaat de configuratiemodus.

   router(config-line)#end
   router#
   %SYS-5-CONFIG_I: Configured from console by console

Opmerking: om automatisch Telnet uit te schakelen wanneer u een naam op de CLI typt, configureer geen voorkeursregistratie /strong>op de lijn die wordt gebruikt. Hoewel transport preferred non (voorkeur geen transport) dezelfde output geeft, schakelt dit ook Auto Telnet uit voor de gedefinieerde host die is geconfigureerd met de opdracht ip host. Dit is anders dan de no log preferred opdracht, die het voor niet gedefinieerde hosts tegenhoudt en laat het werken voor de gedefinieerde hosts.

De configuratie verifiëren

Onderzoek de configuratie van de router om te verifiëren dat de opdrachten correct zijn ingevoerd:

• show running-config   - toont de huidige configuratie van de router.

  router#show running-config
  Building configuration...
  !
  
  !--- Lines omitted for brevity 
  
  
  !
  username russ password 0 montecito
  username cindy password 0 belgium
  username mike password 0 rottweiler
  !
  
  !--- Lines omitted for brevity 
  
  
  !
  line con 0
  line 1 8
  line aux 0
  line vty 0 4
   login local
  !
  end
  

  Om deze configuratie te testen moet een Telnet-verbinding tot stand worden gebracht met de router. Dit kan worden gedaan als u verbinding maakt met een andere host op het netwerk, maar u kunt ook testen vanaf de router zelf via telnet naar het IP-adres van elke interface op de router die zich in een up/up-status bevindt zoals te zien is in de uitvoer van de show interfaces uit.

Hier is een voorbeelduitvoer als het adres voor etherface 010.1.1.1 was:

router#telnet 10.1.1.1
Trying 10.1.1.1 ... Open


User Access Verification


Username: mike
Password:

!--- Password entered here is not displayed by the router 


router

Problemen met gebruikersspecifiek wachtwoord troubleshooten

Gebruikersnamen en wachtwoorden zijn hoofdlettergevoelig. Gebruikers die proberen in te loggen met een niet correct opgegeven gebruikersnaam of wachtwoord worden geweigerd.

Configureer de gebruikersnaam en het wachtwoord opnieuw op de router als gebruikers niet kunnen inloggen op de router met hun specifieke wachtwoorden.

Het AUX-lijnwachtwoord configureren

Om een wachtwoord op de AUX-lijn op te geven, geeft u de password  opdracht in lijnconfiguratiemodus. Om de wachtwoordcontrole bij inloggen in te schakelen, geeft u de login  opdracht in lijnconfiguratiemodus.

Configuratieprocedure

In dit voorbeeld, wordt een wachtwoord gevormd voor alle gebruikers die proberen om de haven te gebruiken AUX.

1. E afgeven show line bevel om de lijn te verifiëren die door de haven AUX wordt gebruikt.

   R1#show line
   
      Tty Typ    Tx/Rx    A Modem Roty AccO AccI  Uses  Noise  Overruns  Int
   *    0 CTY                  -    -     -    -    -     0      0     0/0      -
       65 AUX  9600/9600  -    -     -    -    -    0     1     0/0             -
       66 VTY                  -    -     -    -    -     0      0     0/0      -
       67 VTY                  -    -     -    -    -     0      0     0/0      -

2. In dit voorbeeld is de AUX poort op lijn 65. Geef deze opdrachten uit om de router AUX-lijn te configureren:

   R1#configure terminal
   R1(config)#line 65
   R1(config-line)#modem inout
   R1(config-line)#speed 115200
   R1(config-line)#transport input all
   R1(config-line)#flowcontrol hardware
   R1(config-line)#login
   R1(config-line)#password cisco
   R1(config-line)#end
   R1#

De configuratie verifiëren

Bekijk de configuratie van de router om te verifiëren dat de opdrachten correct zijn ingevoerd:

• Het  show running-config het bevel toont de huidige configuratie van de router:

  R1#show running-config
  Building configuration...
  !
  
  !--- Lines omitted for brevity.
  
  line aux 0
   password cisco
   login
   modem InOut
   transport input all
   speed 115200
   flowcontrol hardware
  
  !--- Lines omitted for brevity.
  
  !
  end
  

AAA-verificatie voor inloggen configureren

Gebruik de optie  login authentication opdracht in lijnconfiguratiemodus. AAA-services moeten ook worden geconfigureerd.

Configuratieprocedure

In dit voorbeeld is de router geconfigureerd om de wachtwoorden van gebruikers op te halen van een TACACS+-server wanneer gebruikers proberen verbinding te maken met de router.

Opmerking: de configuratie van de router om andere typen AAA-servers te gebruiken (bijvoorbeeld RADIUS) is vergelijkbaar. Zie Verificatie configureren voor meer informatie.

Opmerking: Dit document behandelt niet de configuratie van de AAA-server.

1. Voer vanuit de geprivilegieerde EXEC-prompt (of inschakelen) de configuratiemodus in en voer de opdrachten in om de router te configureren om AAA-services voor verificatie te gebruiken:

   router#configure terminal
   Enter configuration commands, one per line.  End with CNTL/Z.
   router(config)#aaa new-model
   router(config)#aaa authentication login my-auth-list tacacs+
   router(config)#tacacs-server host 192.168.1.101
   router(config)#tacacs-server key letmein
   

2. Switch om configuratiemodus te lijnen en gebruik deze opdrachten. Let op dat de prompt wijzigt om de huidige modus weer te geven.

   router(config)#line 1 8
   router(config-line)#

3. Wachtwoordcontrole instellen bij inloggen.

   router(config-line)#login authentication my-auth-list
   

4. Verlaat de configuratiemodus.

   router(config-line)#end
   router#
   %SYS-5-CONFIG_I: Configured from console by console

De configuratie verifiëren

Onderzoek de configuratie van de router om te verifiëren dat de opdrachten correct zijn ingevoerd:

• show running-config   - toont de huidige configuratie van de router.

  router#write terminal
  Build configuration...
  
  Current configuration:
  !
  version 12.0
  service timestamps debug uptime
  service timestamps log uptime
  no service password-encryption
  !
  hostname router
  !
  aaa new-model
  aaa authentication login my-auth-list tacacs+
  !
  
  !--- Lines omitted for brevity 
  
  
  ...
  !
  tacacs-server host 192.168.1.101
  tacacs-server key letmein
  !
  line con 0
  line 1 8
   login authentication my-auth-list
  line aux 0
  line vty 0 4
  !
  end

Om deze specifieke configuratie te testen, moet een inkomende of uitgaande verbinding met de lijn tot stand worden gebracht. Raadpleeg de verbindingsgids voor modems en routerverbindingen voor specifieke informatie over de configuratie van asynchrone lijnen voor modemverbindingen.

U kunt ook een of meer VTY-lijnen configureren om AAA-verificatie uit te voeren en vervolgens uw test uit te voeren.

Probleemoplossing voor AAA-aanmelding mislukt

Voordat u het product uitgeeft debug  Zie Belangrijke informatie over debug commando's.

Om een mislukte inlogpoging op te lossen, gebruikt u de debug  bevel aangewezen aan uw configuratie:

• debug aaa authentication

• debug radius

• debug kerberos

Gerelateerde informatie

• Cisco IOS Debug Command Reference (Overzicht van Cisco IOS debug-opdrachten)
• Cisco technische ondersteuning en downloads