Software Cisco IOS e NX-OS : Software Cisco IOS versões 11.0

Senhas Telnet, Console e de Portas AUX no Exemplo de Configuração de Roteadores da Cisco

23 Maio 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (13 Julho 2012) | Feedback


Índice

Introdução
Pré-requisitos
     Requisitos
     Componentes Utilizados
     Convenções
Informações Complementares
Configure Senhas na Linha
     Procedimento de Configuração
     Verificar a Configuração
     Solucionar uma Falha de Login
Configure Senhas Específicas de Usuários Locais
     Procedimento de Configuração
     Verificar a Configuração
     Solucionar Falha de Senha Específica de Usuário
Configure a Autenticação de AAA para o Login.
     Procedimento de Configuração
     Verificar a Configuração
     Solucionar uma Falha de Login de AAA
Discussões relacionadas da comunidade de suporte da Cisco
Informações Relacionadas

Introdução

Esse documento fornece exemplos de configuração de proteção por senha para conexões EXEC de entrada, no roteador.

Pré-requisitos

Requisitos

Para executar as tarefas descritas neste documento, você deve ter acesso EXEC privilegiado à interface de Linha de Comando (CLI) do roteador. Para informações sobre a utilização da linha de comando e para entender os modos de comando, consulte Utilizando o Cisco IOS Software.

Para instruções sobre como conectar um console ao seu roteador, consulte a documentação que acompanha o seu roteador, ou consulte a documentação on-line do seu equipamento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de hardware e software:

  • Router Cisco 2509

  • Cisco IOS® Software Versão 12.2(19)

As informações apresentadas neste documento foram criadas a partir dos dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração vazia (padrão). Se a sua rede estiver ativa, certifique-se de entender o impacto potencial de todos os comandos.

Convenções

Para obter mais informações sobre as convenções de documentos, consulte Convenções e Dicas Técnicas da Cisco.

Informações Complementares

A utilização de proteção por senha para controlar ou restringir o acesso à interface de linha de comando (CLI) do roteador é um dos elementos fundamentais de um plano completo de segurança.

Proteger o roteador contra acesso remoto não autorizado, normalmente Telnet, é o aspecto de segurança mais comum que precisa de configuração, mas a proteção do roteador contra acesso local não autorizado também não pode ser negligenciada.

Observação: A proteção por senha é apenas um dos vários meios que devem ser utilizados em um regime de segurança de rede abrangente e eficaz. Firewalls, listas de acesso e controle do acesso físico ao equipamento são outros elementos que devem ser considerados ao implementar o plano de segurança.

O acesso de linha de comando ou EXEC a um roteador pode ser feito de diversas maneiras, mas em todos os casos a conexão de entrada para o roteador é feita em uma linha de TTY. Existem quatro tipos principais de linhas TTY, como pode ser visto neste exemplo de saída show line:

2509#show line
   Tty Typ     Tx/Rx    A Modem  Roty AccO AccI   Uses   Noise  Overruns   Int
*    0 CTY              -    -      -    -    -      0       0     0/0       -
     1 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     2 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     3 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     4 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     5 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     6 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     7 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     8 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     9 AUX   9600/9600  -    -      -    -    -      0       0     0/0       -
    10 VTY              -    -      -    -    -      0       0     0/0       -
    11 VTY              -    -      -    -    -      0       0     0/0       -
    12 VTY              -    -      -    -    -      0       0     0/0       -
    13 VTY              -    -      -    -    -      0       0     0/0       -
    14 VTY              -    -      -    -    -      0       0     0/0       -

2509#

O tipo de linha CTY é a Porta do Console. Em qualquer roteador, é exibido na configuração do roteador como line con 0 e na saída do comando show line como cty. A porta do console é utilizada principalmente para acesso de sistema local, utilizando um terminal de console.

As linhas TTY são linhas assíncronas utilizadas para modems internos ou externos e conexões de terminal e podem ser vistas na configuração de um roteador ou servidor de acessos como line x. Os números de linha específicos são uma função de hardware incorporada ou instalada no roteador ou servidor de acesso.

A linha AUX é a porta Auxiliar, vista na configuração como line aux 0.

As linhas VTY são as linhas de Terminal Virtual do roteador, utilizadas apenas para controlar as conexões de Telnet de entrada. Elas são virtuais, no sentido de que são uma função de software - não existe um hardware associado a elas. Elas aparecem na configuração como line vty 0 4.

Cada um desses tipos de linha pode ser configurado com proteção de senha. As linhas podem ser configuradas para utilizar uma senha para todos os usuários ou para utilizar senhas específicas de usuários. As senhas específicas ao usuário podem ser configuradas localmente no roteador, ou você pode fornecer autenticação utilizando um servidor de autenticação.

Não há proibição contra a configuração de linhas diferentes com tipos diferentes proteção de senha. Na verdade, é muito comum ver roteadores com uma senha única para o console e senhas específicas de usuário para as outras conexões de entrada.

Abaixo segue um exemplo de saída de roteador do comando show running-config:

2509#show running-config
Building configuration...

Current configuration : 655 bytes
!
version 12.2
.
.
.

               !--- Configuração editada para resumo
            

line con 0
line 1 8
line aux 0
line vty 0 4
!
end

Configure Senhas na Linha

Para especificar uma senha em uma linha, utilize o comando password no modo de configuração de linha. Para habilitar a verificação de senha no login, utilize o comando login no modo configuração de linha.

Observação: Para obter outras informações sobre os comandos utilizados neste documento, utilize a Ferramenta de Consulta de Comandos (clientes registrados somente) .

Procedimento de Configuração

Nesse exemplo, uma senha é configurada para todos os usuários que tentam usar o console.

  1. A partir do prompt EXEC (ou "enable") privilegiado, entre no modo de configuração e, em seguida, mude para o modo de configuração de linha, utilizando os seguintes comandos. Observe que o prompt se altera para refletir o modo atual.

    router#configure terminal
    Enter configuration commands, one per line.  End with CNTL/Z.
    router(config)#line con 0
    router(config-line)#
  2. Configure a senha e habilite a verificação de senha no login.

    router(config-line)#password letmein
    router(config-line)#login
                   
  3. Sair do modo de configuração.

    router(config-line)#end
    router#
    %SYS-5-CONFIG_I: Configured from console by console

    Observação: Não salve as alterações de configuração para line con 0 até sua capacidade de realizar o login ser verificada.

Verificar a Configuração

Examine a configuração do roteador para verificar se os comandos foram digitados corretamente.

Alguns comandos show recebem suporte da Output Interpreter Tool (clientes registrados somente) , o que permite visualizar uma análise da saída do comando show.

  • show running-config - exibe a configuração do roteador no momento.

    router#show running-config
    Building configuration...
    ...
    
                         !--- Linhas omitidas para resumo
                      
    
    !
    line con 0
    password letmein
    login
    line 1 8
    line aux 0
    line vty 0 4
    !
    end

    Para testar a configuração, desconecte o console e conecte-o novamente, usando a senha configurada para acessar o roteador.

    router#exit
    
    router con0 is now available
    
    Press RETURN to get started.
    
    User Access Verification
    Password:
    
                         !--- A senha digitada aqui não é exibida pelo roteador
                      
    
    router>

    Observação: Antes de executar esse teste, verifique se você tem uma conexão alternativa no roteador, por exemplo, Telnet ou de discagem, caso haja algum problema ao registrar novamente no roteador.

Solucionar uma Falha de Login

Se você não conseguir efetuar login de volta no roteador e não tiver salvado a configuração, o recarregamento do roteador eliminará as alterações feitas nessa configuração.

Se as alterações de configuração foram salvas e você não puder realizar o login no roteador, você vai ter que executar uma recuperação de senha. Consulte Procedimentos de Recuperação de Senha para encontrar instruções para a sua plataforma particular.

Configure Senhas Específicas de Usuários Locais

Para estabelecer um sistema de autenticação com base em nome de usuário, utilize o comando username no modo de configuração global. Para habilitar a verificação de senha no login, utilize o comando login local no modo configuração de linha.

Procedimento de Configuração

Nesse exemplo, as senhas são configuradas para usuários que tentam se conectar ao roteador nas linhas VTY utilizando o Telnet.

  1. A partir do prompt EXEC privilegiado (ou de "habilitar"), insira o modo de configuração e informe as combinações de nome de usuário/senha, uma para cada usuário para o qual você queira permitir o acesso ao roteador:

    router#configure terminal
    	Enter configuration commands, one per line.  End with CNTL/Z.
    	router(config)#username russ password montecito
    	router(config)#username cindy password belgium
    	router(config)#username mike password rottweiler
                   
  2. Comute para o modo de configuração utilizando os seguintes comandos. Observe que o prompt se altera para refletir o modo atual.

    router(config)#line vty 0 4
    router(config-line)#
  3. Configure a verificação de senha no login.

    router(config-line)#login local
                   
  4. Sair do modo de configuração.

    router(config-line)#end
    router#
    %SYS-5-CONFIG_I: Configured from console by console

Verificar a Configuração

Examine a configuração do roteador para verificar se os comandos foram digitados corretamente.

  • show running-config - exibe a configuração do roteador no momento.

    router#show running-config
    Building configuration...
    !
    
                         !--- Linhas omitidas para resumo
    
                      
    
    !
    nome de usuário russ senha 0 montecito
    nome de usuário cindy senha 0 belgium
    nome de usuário mike senha 0 rottweiler
    !
    
                         !--- Linhas omitidas para resumo
    
                      
    
    !
    line con 0
    line 1 8
    line aux 0
    line vty 0 4
     login local
    !
    end
    

    Para testar esta configuração, uma conexão de Telnet deve ser feita no roteador. Isso pode ser feito conectando a partir de um host diferente na rede, mas também é possível testar a partir do próprio roteador realizando um Telnet para o endereço IP de qualquer interface no roteador que esteja em um estado up/up, conforme visto na saída do comando show interfaces.

    Veja abaixo uma saída de exemplo se o endereço interface ethernet 0 fosse 10.1.1.1:

    router#telnet 10.1.1.1
    Trying 10.1.1.1 ... Open
    
    
    User Access Verification
    
    
    Username: mike
    Password:
    
                         !--- A senha digitada aqui não é exibida pelo roteador
    
                      
    
    router

Solucionar Falha de Senha Específica de Usuário

Os nomes de usuários e as senhas fazem distinção entre maiúsculas e minúsculas. Os usuários que tentarem efetuar login com um nome de usuário ou senha armazenada incorretamente serão recusados.

Se os usuários não puderem fazer login no roteador com suas senhas específicas, reconfigure o nome de usuário e a senha no roteador.

Configure a Autenticação de AAA para o Login.

Para habilitar a autenticação AAA (autenticação, autorização e relatório) para logins, utilize o comando login authentication no modo de configuração de linha. Os serviços AAA também devem ser configurados.

Procedimento de Configuração

Nesse exemplo, o roteador está configurado para recuperar as senhas dos usuários de um servidor TACACS+ quando os usuários tentam se conectar ao roteador.

Observação: A configuração do roteador para utilizar outros tipos de servidores AAA (RADIUS, por exemplo) é semelhante. Consulte Configurando a Autenticação para informações adicionais.

Observação: Este documento não aborda a configuração do servidor AAA em si. Consulte Protocolos de Segurança de Servidor para informações sobre como configurar o servidor AAA.

  1. A partir do prompt EXEC privilegiado (ou "enable"), insira o modo de configuração e informe os comandos para configurar o roteador de forma a usar os serviços AAA para autenticação:

    	router#configure terminal
    Enter configuration commands, one per line.  End with CNTL/Z.
    router(config)#aaa new-model
    router(config)#aaa authentication login my-auth-list tacacs+
    router(config)#tacacs-server host 192.168.1.101
    router(config)#tacacs-server key letmein
                   
  2. Alterne para o modo de configuração de linha utilizando os seguintes comandos. Observe que o prompt se altera para refletir o modo atual.

    router(config)#line 1 8
    router(config-line)#
  3. Configure a verificação de senha no login.

    router(config-line)#login authentication my-auth-list
    
  4. Sair do modo de configuração.

    router(config-line)#end
    router#
    %SYS-5-CONFIG_I: Configured from console by console

Verificar a Configuração

Examine a configuração do roteador para verificar se os comandos foram digitados corretamente.

  • show running-config - exibe a configuração do roteador no momento.

    router#write terminal
    Building configuration...
    
    Current configuration:
    !
    version 12.0
    service timestamps debug uptime
    service timestamps log uptime
    no service password-encryption
    !
    hostname router
    !
    aaa new-model
    aaa authentication login my-auth-list tacacs+
    !
    
                         !--- Linhas omitidas para resumo
    
                      
    
    ...
    !
    tacacs-server host 192.168.1.101
    tacacs-server key letmein
    !
    line con 0
    line 1 8
     autenticação de login my-auth-list
    line aux 0
    line vty 0 4
    !
    end

Para testar esta configuração particular, uma conexão de entrada ou de saída deve ser feita na linha. Consulte o Guia de Conexão entre Modem e Roteador para informações específicas sobre como configurar linhas assíncronas para conexões de modem.

Como alternativa, você pode configurar uma ou mais linhas VTY para realizar uma autenticação de AAA e então executar o teste.

Solucionar uma Falha de Login de AAA

Antes de emitir os comandos debug, consulte Informações Importantes sobre Comandos de Depuração.

Para solucionar uma tentativa de login com falha, utilize o comando debug apropriado para a sua configuração:


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 45843