最严重的安全问题发生的原因,经常是由于人们忽略了最基本的安全措施。在本文中,戴维·戴维斯将与你一起讨论利用密码保证路由器安全的重要性,并将为你解释思科网际操作系统的三种模式,以及如何配置保护网络的五个主要密码。
为什么需要利用密码保护路由器?
关于这个问题,你可能想问的问题是:路由器难道没有预设的密码?答案是肯定的,确实没有。路由器没有自动的密码保护。
对于思科公司的管理者来说,这是一个需要认真考虑的问题。它非常重要,并且设置密码也很方便。
我们首先讨论的是思科网际操作系统的不同模式。不同的模式意味着不同的用户拥有层次不一样的访问方式以及效力不同的特权,因此,需要为不同的模式设置不同的密码。如果你需要了解关于路由器安全的更多内容,可以阅读我在TechRepublic社区里的另一篇文章,“确保思科路由器和交换机安全的五种方法:基础篇”。
思科网际操作系统的三种模式是什么?
在讨论如何利用密码保护路由器之前,我们先来了解一下思科网际操作系统的三种模式是什么。它们是:
用户模式:在用户模式,路由器将显示基本界面的信息。思科认证网络工程师CCNA著名作家托德·拉蒙一直称用户模式为“无用的模式” ;因为在这个模式下,不能对配置做任何操作,也不能看到任何重要的信息。用户模式也叫做用户体验模式。
特权模式:有时也被称做特权体验模式(或者只是priv模式),在这个模式下,可以进行配置的调整和查看。我认为,这是绝对需要设置密码的第一个地方(虽然在用户模式,也应该有密码的设置)。需要从用户模式进入特权模式的话,需要下面的命令:
Router enable
Router#
全局模式:从特权模式,我们可以进入全局模式。在这个模式下,你可以对路由器的整个设置进行更改。如果需要改变配置的话,你需要下面的命令。
这是一个如何进入全局模式的例子:
Router# configure terminal
Router(config)#
Note: you can also just type conf t.
附注:你也可以只输入conf t命令。
如何对思科网际操作系统的五个主要密码进行设置
思科网际操作系统的五个主要密码是:
控制台
辅助端口
虚拟类型终端
启用密码
启用加密控制台
在默认情况下,如果没有对路由器控制台设置密码的话,你可以访问用户模式(如果其它模式也没有密码设置的话,将进一步进入下一个模式)。你可以利用控制台端口对一台新路由器进行配置。设置一个密码对控制台端口进行保护是至关重要的,因为这样可以防止有人一连接到路由器上,就进入用户模式(甚至可能有更高权限的模式)。
因为每一个路由器只有一个控制台端口,因此你需要在全局模式下利用命令行命令进入控制台,然后使用登录和密码设置两个命令来完成了配置。登录命令可以告诉路由器需要进行控制台密码的设置。密码设置的命令用来设定实际的密码。
下面就是如何进行设置的命令:
Router# config t
Router(config)# line console 0
Router(config-line)# password SecR3t!pass
Router(config-line)# login
需要注意的是:复杂的密码是非常重要的,这样可以防止密码被别人猜测到。
辅助端口
辅助端口是路由器的一个物理访问端口。并不是所有的路由器都有这个端口。辅助端口可以滋味进入控制台的备份配置端口,因此它也是非常重要的,需要设定一个密码。
下面就是如何进行设置的命令:
Router# config t
Router(config)# line aux 0
Router(config-line)#password SecR3t!pass
Router(config-line)# login
虚拟类型终端
虚拟类型终端不是一个物理连接,而是一个虚拟连接。通过它,你可以使用Telnet或者SSH命令进入到路由器( 如何进行SSH配置,可以参见我的文章“如何对思科路由器进行SSH配置”) 。当然,在使用的时间你还是需要一个激活的局域网或者广域网的端口以便进行操作。由于不同类型的路由器和交换机可以有不同数量的虚拟类型终端端口;因此,在配置之前,需要确定它们的数量。确定的方法很简单,只要在特权模式下输入line ?命令就可以得到答案了。
下面是对虚拟类型终端进行配置的一个例子:
Router# config t
Router(config)# line vty 0 4
Router(config-line)# password SecR3t!pass
Router(config-line)# login
启用密码
启用密码可以防止有人完全连接到路由器上。启用命令其实是用来调整路由器不同的安全水平(一共有○到十五一共十六个级别的安全水平)。不过通常使用的是用户模式(一级)到特权模式(十五级)之间的级别。实际上,在用户模式下输入启用命令,就可以直接进入特权模式。
设置密码,从用户模式进入特权模式,并转到全局配置模式,需要下面的命令操作:
Router# config t
Router(config)# enable password SecR3t!enable
Router(config)# exit
启用密码功能存在的弱点是,很容易被人解密。这也是我们为什么需要启用加密功能的缘故。
启用加密
启用加密和启用密码的功能是一样的,但启用加密后可以将密码保存在强大的加密环境中。
Router(config)# enable secret SecR3t!enable
结论
我已经介绍了思科网际操作系统的不同模式,以及如何利用五种不同类型的密码来确保思科路由器或交换机是安全的。请记住,很多情况下,网络出现的问题都是由于简单的密码引起的。一定要确保思科路由器和交换机密码设置的可靠程度。