Configurar as senhas de Telnet, console e porta AUX nos roteadores

Introdução

Este documento descreve configurações de exemplo para configurar a proteção por senha para conexões EXEC de entrada com o roteador.

Pré-requisitos

Requisitos

Para executar as tarefas descritas neste documento, você deve ter acesso EXEC privilegiado à interface de linha de comando (CLI) do roteador. Para obter informações sobre a linha de comando e para entender os modos de comando, consulte Usar a Interface de Linha de Comando do Cisco IOS.

Para obter instruções sobre a conexão de um console ao roteador, consulte a documentação que acompanha o roteador ou a documentação on-line do seu equipamento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• Roteador Cisco 2509

• Software Cisco IOS® versão 12

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Conventions

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

Informações de Apoio

A utilização de proteção por senha para controlar ou restringir o acesso à interface à Interface de linha de comando (CLI) do roteador é um dos elementos fundamentais de um plano completo de segurança.

Proteger o roteador de acesso remoto não autorizado, normalmente o Telnet, é a segurança mais comum que precisa ser configurada, mas proteger o roteador de acesso local não autorizado não pode ser ignorado.

Observação: a proteção por senha é apenas uma das muitas etapas a serem usadas em um regime de segurança de rede detalhado e eficaz. Firewalls, listas de acesso e controle de acesso físico ao equipamento são outros elementos que devem ser considerados ao implementar seu plano de segurança.

O acesso de linha de comando ou EXEC a um roteador pode ser feito de diversas maneiras, mas em todos os casos a conexão de entrada para o roteador é feita em uma linha de TTY. Há quatro tipos principais de linhas TTY, como visto neste exemplo show line saída:

2509#show line
   Tty Typ     Tx/Rx    A Modem  Roty AccO AccI   Uses   Noise  Overruns   Int
*    0 CTY              -    -      -    -    -      0       0     0/0       -
     1 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     2 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     3 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     4 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     5 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     6 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     7 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     8 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     9 AUX   9600/9600  -    -      -    -    -      0       0     0/0       -
    10 VTY              -    -      -    -    -      0       0     0/0       -
    11 VTY              -    -      -    -    -      0       0     0/0       -
    12 VTY              -    -      -    -    -      0       0     0/0       -
    13 VTY              -    -      -    -    -      0       0     0/0       -
    14 VTY              -    -      -    -    -      0       0     0/0       -

2509#

O tipo de linha CTY é a porta do console. Em qualquer roteador, ele aparece na configuração do roteador como line con 0 e na saída do comando  show line como cty . A porta de console é usada principalmente para acesso ao sistema local com um terminal de console.

As linhas TTY são linhas assíncronas usadas para modem de entrada ou de saída e conexões de terminal e podem ser vistas em uma configuração de roteador ou servidor de acesso como linha x . Os números de linha específicos são uma função de hardware incorporada ou instalada no roteador ou servidor de acesso.

A linha AUX é a porta auxiliar, vista na configuração como line aux 0.

As linhas VTY são as linhas de Terminal virtual do roteador, usadas unicamente para controlar as conexões Telnet de entrada. Elas são virtuais, pois são uma função do software - não há nenhum hardware associado a elas. Elas aparecem na configuração como a linha vty 0 4.

Cada um desses tipos de linha pode ser configurado com proteção de senha. As linhas podem ser configuradas para usar uma senha para todos os usuários ou para utilizar senhas específicas de usuários. As senhas específicas ao usuário podem ser configuradas localmente no roteador, ou você pode fornecer autenticação.usando um servidor de autenticação.

Não há nenhuma proibição contra uma configuração de linhas diferentes com tipos diferentes de proteção de senha. Na verdade, é comum ver roteadores com uma única senha para o console e senhas de usuário específicas para outras conexões de entrada.

Este é um exemplo de saída do roteador do show running-config comando:

2509#show running-config
Building configuration...

Current configuration : 655 bytes
!
version 12.2
.
. 
. 

!--- Configuration edited for brevity


line con 0
line 1 8
line aux 0
line vty 0 4
!
end

Configurar senhas na linha

Para especificar uma senha em uma linha, use o comando password  no modo de configuração de linha. Para habilitar uma verificação de senha no login, use o comando login  no modo de configuração de linha.

Procedimento de configuração

Neste exemplo, uma senha é configurada para todos os usuários que tentam usar o console.

1. No prompt EXEC privilegiado (ou enable), entre no modo de configuração e mude para o modo de configuração de linha com esses comandos. Observe que o prompt é alterado para refletir o modo atual.

   router#configure terminal
   Enter configuration commands, one per line.  End with CNTL/Z.
   router(config)#line con 0
   router(config-line)#

2. Configure a senha e habilite a verificação de senha no login.

   router(config-line)#password letmein
   router(config-line)#login
   

3. Sair do modo de configuração.

   router(config-line)#end
   router#
   %SYS-5-CONFIG_I: Configured from console by console

   Observação: não salve as alterações de configuração na linha con 0 até que sua capacidade de efetuar login tenha sido verificada.

   Observação: na configuração de console de linha,  login  é um comando de configuração necessário para habilitar uma verificação de senha ao fazer logon. A autenticação do console requer o comando password   e o login  comandos para trabalhar

Verificar a configuração

Examine a configuração do roteador para verificar se os comandos foram digitados corretamente:

• show running-config   - exibe a configuração atual do roteador.

  router#show running-config
  Building configuration...
  ...
  
  !--- Lines omitted for brevity
  
  
  !
  line con 0
  password letmein
  login
  line 1 8
  line aux 0
  line vty 0 4
  !
  end

  Para testar a configuração, faça logoff do console, faça logon novamente e use a senha configurada para acessar o roteador:

  router#exit
  
  router con0 is now available
  
  Press RETURN to get started.
  
  User Access Verification
  Password: 
  
  !--- Password entered here is not displayed by the router
  
  
  router>

  Observação: antes de executar esse teste, verifique se você tem uma conexão alternativa no roteador, como Telnet ou discagem, caso haja um problema durante o login de volta no roteador.

Solução de problemas de falha de login

Se você não conseguir fazer login novamente no roteador e não tiver salvado a configuração, recarregue o roteador para eliminar todas as alterações feitas na configuração.

Se as alterações de configuração tiverem sido salvas e você não puder efetuar login no roteador, execute uma recuperação de senha. Consulte Password Recovery Procedures (Procedimentos de recuperação de senha) para obter instruções sobre a sua plataforma específica.

Configure senhas específicas de usuário local

Para estabelecer um sistema de autenticação baseado em nome de usuário, use o comando username < /code> no modo de configuração global. Para habilitar uma verificação de senha no login, use o comando  login local no modo de configuração de linha.

Procedimento de configuração

Neste exemplo, as senhas são configuradas para usuários que tentam se conectar ao roteador nas linhas VTY com Telnet.

1. No prompt EXEC privilegiado (ou enable), entre no modo de configuração e insira as combinações de nome de usuário/senha, uma para cada usuário ao qual você deseja permitir acesso ao roteador:

   router#configure terminal
   Enter configuration commands, one per line.  End with CNTL/Z.
   router(config)#username russ password montecito
   router(config)#username cindy password belgium
   router(config)#username mike password rottweiler
   

2. Mude para o modo configuração de linha e use estes comandos. Observe que o prompt é alterado para refletir o modo atual.

   router(config)#line vty 0 4
   router(config-line)#

3. Configure uma verificação de senha no login.

   router(config-line)#login local
   

4. Sair do modo de configuração.

   router(config-line)#end
   router#
   %SYS-5-CONFIG_I: Configured from console by console

Observação: para desativar o Telnet automático quando você digita um nome na CLI, configure no logging preferred /strong>na linha usada. Embora transport preferred none forneça a mesma saída, também desativa o Telnet automático para o host definido configurado com o comando ip host . Isso é diferente do no log preferred que o interrompe para hosts indefinidos e permite que ele funcione para os definidos.

Verificar a configuração

Examine a configuração do roteador para verificar se os comandos foram digitados corretamente:

• show running-config   - exibe a configuração atual do roteador.

  router#show running-config
  Building configuration...
  !
  
  !--- Lines omitted for brevity 
  
  
  !
  username russ password 0 montecito
  username cindy password 0 belgium
  username mike password 0 rottweiler
  !
  
  !--- Lines omitted for brevity 
  
  
  !
  line con 0
  line 1 8
  line aux 0
  line vty 0 4
   login local
  !
  end
  

  Para testar essa configuração, faça uma conexão Telnet ao roteador. Isso pode ser feito se você se conectar a partir de um host diferente na rede, mas você também pode testar a partir do próprio roteador através de telnet para o endereço IP de qualquer interface no roteador que esteja em um estado up/up como visto na saída do comando show interfaces comando.

Aqui está um exemplo de saída se o endereço da interface ethernet 0for 10.1.1.1:

router#telnet 10.1.1.1
Trying 10.1.1.1 ... Open


User Access Verification


Username: mike
Password:

!--- Password entered here is not displayed by the router 


router

Solucione problemas de falha de senha específicas do usuário

Os nomes de usuários e as senhas fazem distinção entre maiúsculas e minúsculas. Os usuários que tentarem fazer login com um nome de usuário ou senha em caso incorreto serão rejeitados.

Se os usuários não puderem fazer login no roteador com suas senhas específicas, reconfigure o nome de usuário e a senha no roteador.

Configurar a senha de linha AUX

Para especificar uma senha na linha AUX, execute o comando password  no modo de configuração de linha. Para habilitar uma verificação de senha no login, execute o comando login  no modo de configuração de linha.

Procedimento de configuração

Neste exemplo, uma senha é configurada para todos os usuários que tentam usar a porta AUX.

1. Emita o e show line para verificar a linha usada pela porta AUX.

   R1#show line
   
      Tty Typ    Tx/Rx    A Modem Roty AccO AccI  Uses  Noise  Overruns  Int
   *    0 CTY                  -    -     -    -    -     0      0     0/0      -
       65 AUX  9600/9600  -    -     -    -    -    0     1     0/0             -
       66 VTY                  -    -     -    -    -     0      0     0/0      -
       67 VTY                  -    -     -    -    -     0      0     0/0      -

2. Neste exemplo, a porta AUX é na linha 65. Execute estes comandos para configurar a linha AUX do roteador:

   R1#configure terminal
   R1(config)#line 65
   R1(config-line)#modem inout
   R1(config-line)#speed 115200
   R1(config-line)#transport input all
   R1(config-line)#flowcontrol hardware
   R1(config-line)#login
   R1(config-line)#password cisco
   R1(config-line)#end
   R1#

Verifique a configuração

Examine a configuração do roteador para verificar se os comandos foram inseridos corretamente:

• O   show running-config exibe a configuração atual do roteador:

  R1#show running-config
  Building configuration...
  !
  
  !--- Lines omitted for brevity.
  
  line aux 0
   password cisco
   login
   modem InOut
   transport input all
   speed 115200
   flowcontrol hardware
  
  !--- Lines omitted for brevity.
  
  !
  end
  

Configure a autenticação AAA para o login

Para habilitar a autenticação AAA (authentication, authorization, and accounting) para logons, use o comando  login authentication no modo de configuração de linha. Os serviços AAA também devem ser configurados.

Procedimento de configuração

Nesse exemplo, o roteador está configurado para recuperar as senhas dos usuários de um servidor TACACS+ quando os usuários tentam se conectar ao roteador.

Observação: a configuração do roteador para usar outros tipos de servidores AAA (RADIUS, por exemplo) é semelhante. Consulte Configurar autenticação para obter informações adicionais.

Observação: este documento não aborda a configuração do próprio servidor AAA.

1. A partir do prompt EXEC privilegiado (ou enable), entre no modo de configuração e digite os comandos para configurar o roteador para usar serviços AAA para autenticação:

   router#configure terminal
   Enter configuration commands, one per line.  End with CNTL/Z.
   router(config)#aaa new-model
   router(config)#aaa authentication login my-auth-list tacacs+
   router(config)#tacacs-server host 192.168.1.101
   router(config)#tacacs-server key letmein
   

2. Mude para o modo configuração de linha e use estes comandos. Observe que o prompt é alterado para refletir o modo atual.

   router(config)#line 1 8
   router(config-line)#

3. Configure uma verificação de senha no login.

   router(config-line)#login authentication my-auth-list
   

4. Sair do modo de configuração.

   router(config-line)#end
   router#
   %SYS-5-CONFIG_I: Configured from console by console

Verificar a configuração

Examine a configuração do roteador para verificar se os comandos foram digitados corretamente:

• show running-config   - exibe a configuração atual do roteador.

  router#write terminal
  Build configuration...
  
  Current configuration:
  !
  version 12.0
  service timestamps debug uptime
  service timestamps log uptime
  no service password-encryption
  !
  hostname router
  !
  aaa new-model
  aaa authentication login my-auth-list tacacs+
  !
  
  !--- Lines omitted for brevity 
  
  
  ...
  !
  tacacs-server host 192.168.1.101
  tacacs-server key letmein
  !
  line con 0
  line 1 8
   login authentication my-auth-list
  line aux 0
  line vty 0 4
  !
  end

Para testar essa configuração específica, uma conexão de entrada ou saída deve ser feita para a linha. Consulte o Modem - Router Connection Guide para obter informações específicas sobre a configuração de linhas assíncronas para conexões de modem.

Como alternativa, você pode configurar uma ou mais linhas VTY para executar a autenticação AAA e o teste a partir daí.

Troubleshooting de Falha de Logon AAA

Antes de emitir debug  consulte Informações Importantes sobre Comandos de Depuração.

Para solucionar problemas de um log com falha na tentativa, use o comando debug  apropriado à sua configuração:

• debug aaa authentication

• debug radius

• debug kerberos

Informações Relacionadas

• Referência de debug command do Cisco IOS
• Suporte técnico e downloads da Cisco