Nie, nie masz - technicznie. Ale to, czy możesz wejść w tryb włączania bez niego, zależy od sposobu logowania.
Oto natychmiastowa wersja gratyfikacyjna:
Możesz wejść przez konsolę bez hasła aktywacji, ale utkniesz w trybie użytkownika, jeśli użyjesz prostego hasła logowania bez ustawionego hasła aktywacji.
Oto długo rozwijana wersja programu odpowiadającego StackExchange:
Uwierzytelnianie Cisco jest rodzajem bałaganu dla początkującego. Jest tam dużo starszego bagażu. Pozwól mi spróbować to załamać w sensie realnym.
Każdy, kto ma jakąkolwiek firmę logującą się do routera lub przełącznika, przechodzi bezpośrednio do trybu uprzywilejowanego (włączonego). Tryb użytkownika jest w zasadzie lobby frontowym i służy niewiele więcej celowi niż powstrzymanie przeciągu. W dużych organizacjach, w których masz rozległe sieci i równie ogromne zasoby siły roboczej, uzasadnione może być posiadanie osoby, która może zapukać do drzwi i upewnić się, że ktoś nadal tam jest. (To znaczy, aby zalogować się i uruchomić najbardziej trywialne polecenia, aby zobaczyć, czy urządzenie w rzeczywistości reaguje, a nie pali.) Ale w każdym środowisku, w którym kiedykolwiek pracowałem, poziom 1 miał przynajmniej pewną zdolność do łamać rzeczy.
W związku z tym, szczególnie w takim scenariuszu, jak twój, znajomość hasła aktywacji jest obowiązkowa, aby cokolwiek zrobić. Można powiedzieć, że to drugi poziom bezpieczeństwa - jedno hasło do wejścia do urządzenia, drugie do eskalacji do uprawnień administracyjnych - ale wydaje mi się to trochę głupie.
Jak już wspomniano, możesz (i wiele osób używa) tego samego hasła, co nie pomaga, jeśli ktoś uzyskał nieautoryzowany dostęp przez telnet / ssh. Posiadanie statycznych, globalnych haseł wspólnych dla wszystkich jest prawdopodobnie większym problemem niż wprowadzenie tylko jednego tokena. Wreszcie, większość innych systemów (usług, urządzeń itp.) Nie wymaga drugiej warstwy uwierzytelnienia i z tego powodu nie jest uważana za niebezpieczną.
OK, to moja opinia na ten temat. Musisz sam zdecydować, czy ma to sens w świetle własnej postawy bezpieczeństwa. Przejdźmy do interesów.
Cisco (mądrze) wymaga domyślnego ustawienia hasła dostępu zdalnego. Po przejściu do trybu konfiguracji linii ...
router> enable
router# configure terminal
router(config)# line vty 0 15
router(config-line)#
... możesz nakazać routerowi pominięcie uwierzytelnienia:
router(config-line)# no login
... i natychmiast zostanie zhakowany, ale twój atakujący znajdzie się w trybie użytkownika. Więc jeśli masz włączyć zestaw haseł, przynajmniej masz nieco ograniczone obrażenia, które można zrobić. (Technicznie rzecz biorąc, nie można przejść dalej bez hasła aktywacyjnego. Więcej o tym za chwilę ...)
Oczywiście nikt nie zrobiłby tego w prawdziwym życiu. Minimalne wymagania, domyślnie i zgodnie z rozsądkiem, to ustawienie prostego hasła:
router(config-line)# login
router(config-line)# password cisco
Teraz zostaniesz poproszony o podanie hasła i ponownie przejdziesz do trybu użytkownika. Jeśli wchodzisz za pośrednictwem konsoli, możesz po prostu wpisać, enableaby uzyskać dostęp bez konieczności wprowadzania innego hasła. Ale sprawy różnią się za pośrednictwem telnetu, gdzie prawdopodobnie otrzymasz to:
$ telnet 10.1.1.1
Trying 10.1.1.1...
Connected to 10.1.1.1.
Escape character is '^]'.
User Access Verification
Password: *****
router> enable
% No password set
router>
Przechodząc ... Prawdopodobnie już wiesz, że domyślnie wszystkie skonfigurowane hasła są wyświetlane jako zwykły tekst:
router# show run | inc password
no service password-encryption
password cisco
Jest to jedna z tych rzeczy, które zaciskają zwieracz świadomych bezpieczeństwa. To, czy jest to uzasadniony lęk, jest znowu czymś, co musisz sam zdecydować. Z jednej strony, jeśli masz wystarczający dostęp, aby zobaczyć konfigurację, prawdopodobnie masz wystarczający dostęp do zmiany konfiguracji. Z drugiej strony, jeśli zdarzy się, że niedbale ujawniła swoją konfigurację do kogoś, kto nie ma środków, sami, a potem ... cóż, teraz nie mają środków.
Na szczęście ten pierwszy wiersz powyższego fragmentu no service password-encryptionjest kluczem do zmiany tego:
router(config)# service password-encryption
router(config)# line vty 0 15
router(config-line)# password cisco
Teraz, gdy spojrzysz na konfigurację, zobaczysz to:
router(config-line)# do show run | begin line vty
line vty 0 4
password 7 01100F175804
login
line vty 5 15
password 7 01100F175804
login
!
!
end
Jest to nieznacznie lepsze niż hasła w postaci zwykłego tekstu, ponieważ wyświetlany ciąg znaków nie jest wystarczająco zapadający w pamięć, aby przeglądać ramiona. Jednak odszyfrowanie jest trywialne - i używam tego terminu luźno. Możesz dosłownie wkleić ten ciąg powyżej do jednego z kilku programów do łamania haseł JavaScript na pierwszej stronie wyników Google i natychmiast odzyskać oryginalny tekst.
Te tak zwane hasła „7” są powszechnie uważane za „zaciemnione”, a nie „zaszyfrowane”, aby podkreślić fakt, że jest zaledwie niewiele lepsze niż nic.
Jak się jednak okazuje, wszystkie te passwordpolecenia są przestarzałe. (Lub jeśli nie są, powinny być.) Dlatego masz dwie następujące opcje:
router(config)# enable password PlainText
router(config)# enable secret Encrypted
router(config)# do show run | inc enable
enable secret 5 $1$sIwN$Vl980eEefD4mCyH7NLAHcl
enable password PlainText
Tajna wersja jest mieszana z algorytmem jednokierunkowym, co oznacza, że jedynym sposobem na odzyskanie oryginalnego tekstu jest użycie siły brute - to znaczy wypróbowanie każdego możliwego ciągu wejściowego, dopóki nie wygenerujesz znanego skrótu.
Gdy wpiszesz hasło w wierszu polecenia, przejdzie on przez ten sam algorytm skrótu i dlatego powinien wygenerować taki sam skrót, który jest następnie porównywany z tym w pliku konfiguracyjnym. Jeśli są zgodne, twoje hasło jest akceptowane. W ten sposób zwykły tekst nie jest znany routerowi, z wyjątkiem krótkiego momentu tworzenia lub wprowadzania hasła. Uwaga: Zawsze istnieje szansa, że inne dane wejściowe mogą wygenerować ten sam skrót, ale statystycznie jest to bardzo małe prawdopodobieństwo (odczyt: nieistotne).
Jeśli sam użyjesz powyższej konfiguracji, router zezwoli na istnienie linii enable passwordi enable secret, ale sekret wygrywa z monitu o hasło. Jest to jeden z tych systemów Cisco, który nie ma większego sensu, ale taki właśnie jest. Co więcej, nie ma secretrównoważnego polecenia z trybu konfiguracji linii, więc utkniesz tam z zaciemnionymi hasłami.
W porządku, więc mamy teraz hasło, którego nie można odzyskać (łatwo) z pliku konfiguracyjnego - ale wciąż jest jeden problem. Jest przesyłany zwykłym tekstem podczas logowania przez telnet. Nie dobrze. Chcemy SSH.
SSH, zaprojektowany z myślą o bardziej niezawodnych zabezpieczeniach, wymaga trochę dodatkowej pracy - i obrazu IOS z określonym zestawem funkcji. Jedną dużą różnicą jest to, że proste hasło nie jest już wystarczająco dobre. Musisz przejść do uwierzytelnienia użytkownika. A kiedy już to robisz, skonfiguruj parę kluczy szyfrujących:
router(config)# username admin privilege 15 secret EncryptedPassword
router(config)# line vty 0 15
router(config-line)# transport input ssh
router(config-line)# no password
router(config-line)# login local
router(config-line)# exit
router(config)# ip ssh version 2
router(config)# crypto key generate rsa modulus 1024
Teraz gotujesz z gazem! Zauważ, że to polecenie używa secrethaseł. (Tak, możesz, ale nie powinieneś używać password). Ta privilege 15część pozwala całkowicie ominąć tryb użytkownika. Po zalogowaniu przejdziesz bezpośrednio do trybu uprzywilejowanego:
$ ssh admin@10.1.1.1
Password: *****
router#
W tym scenariuszu nie trzeba używać hasła włączania (ani hasła tajnego).
Jeśli nie masz jeszcze myśleć „Wow ... co za clusterfudge że był” należy pamiętać, że to zupełnie inna rozwlekły po wciąż czai się za pomocą polecenia aaa new-model, gdzie można dostać się do nurkowania do rzeczy, jak zewnętrznych serwerów uwierzytelniających (promień , TACACS +, LDAP itp.), Listy uwierzytelniania (które określają źródła do użycia i w jakiej kolejności), poziomy autoryzacji i rozliczanie aktywności użytkownika.
Zachowaj to wszystko na czas, gdy masz ochotę na chwilę zablokować się na routerze.
Mam nadzieję, że to pomaga!