Пароль enable и Секретный Пароль enable
Чтобы обеспечить дополнительную безопасность, используйте команду enable password или enable secret. Любая из этих команд может использоваться, чтобы установить аутентификацию прежде, чем получить доступ к привилегированному режиму EXEC (режиму enable).
Всегда используйте команду enable secret, а не более старую команду enable password по возможности. Команда enable secret обеспечивает большую безопасность, потому что пароль шифруется. Команда enable password может использоваться только если enable secret еще не была установлена.
Команду enable password можно использовать, если устройство использует более старую копию программного обеспечения Cisco IOS, которое не распознает команду enable secret.
Следующие команды используются, чтобы устанавливать пароли:
Router(config)#enable password пароль
Router(config)#enable secret пароль
Отметьте: Если не установлен пароль enable password или enable secret, IOS предотвращает привилегированный доступ EXEC из сеанса Telnet.
Без установки пароля посредством enable password, сеанс Telnet произвел бы следующий вывод:
Switch>enable
% No password set
Switch>
Пароль VTY
Линии vty предоставляют доступ к маршрутизатору через Telnet. По умолчанию многие устройства Cisco поддерживают пять линий VTY, которые нумеруются от 0 до 4. Пароль должен быть установлен для всех доступных линий vty. Один и тот же пароль может быть установлен для всех соединений. Однако, часто требуется, чтобы для одной из линий устанавливается уникальный пароль, чтобы обеспечить альтернативную запись при подключении администратора, если другие соединения используются.
Следующие команды применяются, чтобы установить пароль на линии vty:
Router(config)#line vty 0 4
Router(config-line)#password пароль
Router(config-line)#login
По умолчанию IOS включает команду login для линий VTY. Это предотвращает доступ Telnet к устройству без предварительной аутентификации. Если, по ошибке, устанавливается команда no login, которая удаляет требование аутентификации, неправомочные люди могут соединиться с линией, используя Telnet. Это является большой угрозой безопасности.
Шифрование Отображения Пароля
Другая полезная команда препятствует тому, чтобы пароль отображался простым текстом при просмотре конфигурационных файлов. Это команда service password-encryption.
Эта команда заставляет шифровать пароли при их конфигурации. Команда service password-encryption применяет слабое шифрование ко всем незашифрованным паролям. Это шифрование не применяется к паролям, когда они отправляются через носитель, а используется только в конфигурации. Цель этой команды состоит в том, чтобы воспрепятствовать неправомочным людям подсмотреть пароли в конфигурационном файле.
Если Вы выполняете команду show running-config или show startup-config до выполнения команды service password-encryption, незашифрованные пароли будут видимы при выводе конфигурации. Если затем выполняется service password-encryption, то шифрование будет применено к паролям. Как только шифрование было применено, удаление службы шифрования не инвертирует шифрование.
Далее: Протоколы Канального уровня - Пример протокола уровня 2