Để bảo mật hệ thống mạng, việc cấu hình mật khẩu cho các thiết bị Cisco là vô cùng quan trọng. Bài viết này sẽ hướng dẫn bạn từng bước cách cấu hình mật khẩu trên thiết bị Cisco, giúp bạn bảo vệ thiết bị khỏi các truy cập trái phép.
Chúng ta có thể truy cập vào thiết bị Cisco bằng nhiều cách như: Telnet, SSH hoặc console line. Tuy nhiên, theo mặc định, các thiết bị này thường không được thiết lập mật khẩu. Để tăng cường bảo mật, bạn cần cấu hình mật khẩu cho các phương thức truy cập này.
Mục Lục
1. Cấu Hình Mật Khẩu Telnet
Mặc định, nếu VTY (Virtual TeletYpe) line không được cài đặt password, bạn sẽ không thể truy cập thiết bị Cisco từ xa. Nếu bạn cố gắng truy cập một thiết bị Cisco bằng Telnet mà chưa cài đặt mật khẩu, bạn sẽ thấy thông báo lỗi “Password required, but none set”.
Để cấu hình mật khẩu Telnet, bạn cần thực hiện các bước sau:
line vty 0 4
password cisco
loginGiải thích các câu lệnh:
- line vty 0 4: Chọn các dòng VTY từ 0 đến 4. Đây là các dòng ảo cho phép kết nối Telnet đến thiết bị. Một thiết bị Cisco có thể hỗ trợ tối đa 16 user (0-15) truy cập đồng thời. Với một số thiết bị Cisco đời cũ, con số này là 5 (0-4).
- password cisco: Đặt mật khẩu cho các dòng VTY là “cisco”. Bất kỳ ai muốn truy cập vào thiết bị Cisco qua Telnet đều phải nhập mật khẩu này.
- login: Yêu cầu người dùng nhập mật khẩu khi đăng nhập qua Telnet. Lệnh này rất quan trọng, nếu không có lệnh này, thiết bị sẽ không yêu cầu mật khẩu khi người dùng đăng nhập qua Telnet. Nếu VTY line được cấu hình với lệnh
no login, người dùng Telnet vào thiết bị sẽ không cần nhập mật khẩu.
privilege level 15Câu lệnh này cho phép người dùng sau khi Telnet vào và nhập đúng mật khẩu sẽ được đưa trực tiếp vào enable mode (hay còn gọi là privileged mode). Nếu không có câu lệnh này, người dùng sẽ được đưa vào user mode và có thể cần thêm một lớp bảo mật nữa để vào enable mode.
Trong một số trường hợp, bạn có thể thấy cấu hình sau trên thiết bị Cisco:
username user1 password 0 cisco1
username user2 password 0 cisco2
username user3 privilege 15 password 0 cisco3
line vty 0 4
login localGiải thích các câu lệnh:
- Mỗi user khi telnet vào thiết bị Cisco này sẽ được yêu cầu phải đăng nhập username và password riêng. Ví dụ, user1 phải nhập username là user1 và password là cisco1.
- login local: Lệnh này chỉ định rằng username và password sẽ được xác thực dựa trên cơ sở dữ liệu người dùng được lưu trữ cục bộ trên thiết bị Cisco.
- Số 0 sau password: Chỉ định cấp độ mã hóa của mật khẩu. Trong trường hợp này, mật khẩu được lưu trữ dưới dạng clear text (không mã hóa).
Khi tạo user trên thiết bị Cisco, bạn có thể chọn độ mạnh của mật khẩu được mã hóa:
R2(config)#username user3 password ?Bạn có thể chọn không mã hóa password (0) hoặc mã hóa password (7). Tuy nhiên, mật khẩu được mã hóa kiểu 7 rất yếu và có thể dễ dàng bị giải mã bằng nhiều công cụ trực tuyến.
Để tăng cường bảo mật, bạn nên sử dụng phương pháp mã hóa MD5:
R2(config)#username user4 secret cisco4Lúc này, password của user4 sẽ được lưu dưới dạng mã hóa MD5, ví dụ: $1$z1nE$vu4d7U9fL0Hph.1dp4dkc.
2. Cấu Hình Mật Khẩu Console
Để ngăn chặn truy cập trái phép vào thiết bị Cisco thông qua console line, bạn có thể đặt mật khẩu cho console line bằng lệnh sau:
line con 0
password cisco
login3. Cấu Hình Mật Khẩu Enable Mode
Để tăng thêm một lớp bảo mật cho thiết bị Cisco, bạn có thể thiết lập mật khẩu cho enable mode. Khi người dùng muốn truy cập vào enable mode để thay đổi cấu hình thiết bị, họ phải nhập mật khẩu này.
Bạn có thể cấu hình mật khẩu cho enable mode bằng lệnh sau:
enable password ciscoĐể tăng cường bảo mật, bạn nên sử dụng mã hóa MD5 cho mật khẩu enable mode:
enable secret ciscoLưu ý quan trọng:
Bạn có thể mã hóa tất cả mật khẩu trên thiết bị Cisco cùng một lúc bằng lệnh service password-encryption ở global configuration mode. Tuy nhiên, lệnh này chỉ mã hóa mật khẩu ở dạng type 7, vốn không an toàn. Vì vậy, hãy ưu tiên sử dụng mã hóa MD5 cho các mật khẩu quan trọng.
Kết Luận
Việc cấu hình mật khẩu cho thiết bị Cisco là một bước quan trọng để bảo vệ hệ thống mạng của bạn. Bằng cách làm theo hướng dẫn trên, bạn có thể dễ dàng cấu hình mật khẩu cho Telnet, console và enable mode, đảm bảo an toàn cho thiết bị Cisco khỏi các truy cập trái phép. Hãy luôn sử dụng mật khẩu mạnh và thay đổi mật khẩu thường xuyên để tăng cường bảo mật.