hoan hỉ

Vài điều cơ bản về mật khẩu router

Chúng ta biết có vài cách cơ bản để truy cập vào một router: remote access (Telnet, SSH), console line. Mặc định, các router thường không được thiết lập mật khẩu. Một tính năng mà mình thấy rất hay của router hay switch đó là nếu vty (Telnet) line mà không được cài đặt mật khẩu thì sẽ không thể truy cập router hay switch từ xa được. Nếu bạn truy cập vào 1 router bằng Telnet mà router đó chưa được cài đặt mật khẩu, sẽ có thông báo như sau:

Trying 10.1.1.2 … Open

Password required, but none set

[Connection to 10.1.1.2 closed by foreign host]

Nhưng về cơ bản thì không ai làm vậy cả, và là một network administrator hay một vai trò gì đó trong việc quản lí 1 network thì việc cài đặt mật khẩu cho các thiết bị là một điều bắt buộc.

1. Mật khẩu Telnet

Như mình đã nói ở trên, chúng ta không thể dùng Telnet để truy cập vào 1 router chưa được thiết lập mật khẩu. Mật khẩu Telnet được cấu hình trên vty (Virtual TeletYpe) line. Bạn có thể nhìn thấy vty line trên 1 router được cấu hình như sau:

privilege level 15

password cisco

login

Những câu lệnh này có nghĩa là gì?

– Điều đầu tiên bạn có thể nhận ra là những router khác có thể truy cập vào router này bằng Telnet, vì mật khẩu đã được thiết lập – trong trường hợp này là cisco – và cũng có nghĩa là ai muốn truy cập vào router này phải biết mật khẩu này để truy cập. Một router có thể cho phép tối đa 16 user (0 – 15) truy cập cùng lúc. Đối với 1 số router đời cũ, số user cho phép là 5 (0 – 4).

login nghĩa là khi 1 user muốn truy cập vào router này, user đó được yêu cầu phải nhập mật khẩu để có thể truy cập. Nếu vty line được cấu hình với câu lệnh no login thì user Telnet vào router này sẽ không cần phải nhập mật khẩu.

privilege level 15: câu lệnh này nghĩa là: bất cứ user nào biết password của router này khi Telnet vào sẽ được đưa trực tiếp vào enabled mode, hay còn gọi là privileged mode. Nếu như câu lệnh này không được cấu hình trên router thì khi Telnet vào, user sẽ được đưa vào user mode và trong hầu hết các trường hợp, họ phải vượt qua một lớp bảo mật nữa để có thể vào tới enabled mode.

Trong hầu hết các trường hợp, chúng ta sẽ cho phép 1 nhóm người dùng có thể truy cập trực tiếp vào enabled mode của router và những user khác phải nhập thêm 1 mật khẩu khác để có thể vào được enabled mode.

Trong 1 số trường hợp, bạn có thể nhìn thấy trên router được cấu hình như sau:

username hoanock password 0 cisco

username james password 0 cisco1

username john privilege 15 password 0 cisco2

line vty 0 4

login local

Những câu lệnh này nghĩa là gì?

– Đầu tiên, mỗi một user khi telnet vào router này sẽ được yêu cầu phải đăng nhập username và mật khẩu mà họ được cung cấp. Ví dụ, khi user hoanock truy cập vào router, user này sẽ phải nhập vào phần username là hoanock và mật khẩu mà anh ta được cung cấp là cisco.

– login local nghĩa là username và password được dùng để xác nhận user sẽ được lấy từ cở sở dữ liệu lưu trữ trên router này.

– Bạn có nhìn thấy số 0 ở sau password đối với 2 user hoanockjames không? Đây là cấp độ mà mật khẩu được mã hóa. Mặc định thì mật khẩu được lưu trữ trên router ở dạng clear text – tức là không được mã hóa và ở dạng kí tự mà con người có thể đọc được. Khi tạo 1 user trên router, bạn có thể chọn độ mạnh của mật khẩu được mã hóa như sau:

R2(config)#username james password ?

0     Specifies an UNENCRYPTED password will follow

7     Specifies a HIDDEN password will follow

LINE  The UNENCRYPTED (cleartext) user password

Bạn có thể chọn hoặc không mã hóa mật khẩu (0) hoặc mã hóa mật khẩu (7). Lưu ý là mật khẩu được mã hóa kiểu 7 cũng rất yếu và có thể dễ dàng bị giải mã bằng rất nhiều tool khác nhau (Bạn có thể tìm kiếm trên internet bằng từ khóa “decrypt type 7 encrytion“. Đây là 1 ví dụ. Bạn hãy copy và paste mật khẩu mã hóa ở dạng 7 vào textbox, click Submit và nó sẽ được tự động giải mã cho bạn). Phương pháp tối ưu ở đây là sử dụng kiểu mã hóa MD5. Đây là phương pháp mã hóa an toàn và được coi là không thể crack. Để tạo một user có mật khẩu được mã hóa dưới dạng MD5, bạn có thể dùng câu lệnh:

R2(config)#username natasha secret cisco4

Lúc này, mật khẩu của user natasha được lưu trên router sẽ có dạng giống như: $1$z1nE$vu4d7U9fL0Hph.1dp4dkc.

2. Mật khẩu console

User có thể truy cập vào router 1 cách trực tiếp thông qua console line. Chúng ta có thể đặt mật khẩu cho console line để ngăn chặn các truy cập trái phép vào router bằng lệnh:

line con 0

password cisco

login

3. Mật khẩu enable mode

Chúng ta có thể chèn thêm 1 tầng bảo mật nữa cho router bằng cách thiết lập mật khẩu ở enable mode. Khi user muốn truy cập vào enable mode để có thể thay đổi hoặc cấu hình cho router thì buộc phải nhập mật khẩu này. Chúng ta có thể cấu hình mật khẩu cho enable mode bằng lệnh:

enable password cisco

Chúng ta có thể cấu hình mã hóa mật khẩu ở enable mode bằng thuật toán MD5 để đảm bảo an toàn cho router bằng lệnh enable secret:

enable secret cisco

Lưu ý: Bạn có thể cấu hình mã hóa tất cả mật khẩu trên router cùng 1 lúc bằng lệnh service password-encryption ở global config mode. Tuy nhiên, lệnh này chỉ mã hóa mật khẩu ở dạng 7.

Written by hoanvu

August 17, 2011 at 3:39 pm

%d bloggers like this: