«

»

out 10 2011

Imprimir Post

IOS – Configurações de Níveis de Segurança

Caros,

  Gostaria de trazer algumas informações referenciando-se aos níveis de segurança que o IOS oferece para a estrutura de acesso. Usando-se senhas e assinando privilégios é o caminho mais simples de providenciar controle de acesso ao seu terminal de rede ( roteadores/switches ).

  Por padrão, o IOS da Cisco oferece 16 níveis de privilégio. Nesse caso quanto maior o seu nível mais privilégios você terá para efetuar configurações/validações no equipamento. Dentro desse contexto a CLI ( command line interface ) tem dois níveis padrões de acesso para os comandos:

  1. User EXEC mode: privilege 1
  2. Privileged EXEC mode: privilege 15

  Quando o usuário entra no equipamento ele obrigatoriamente irá ser direcionado para o nível 1, e após digitar “enable“, ele será direcionado ao nível 15. Entretanto, você pode configurar níveis adicionais de acesso para os comandos chamados de “privilégio de acesso”, disponibilizando assim a necessidade para cada usuário/grupo. Cada nível de acesso privilegiado é habilitado através senhas separadas, o qual foi especificado quando configurado o nível.

  Para obter um nível de segurança mais elevado, existem dois modelos de senhas que podem ser habilitados nos equipamentos ( enable password e enable secret ). Ambos os comandos são os mesmos, o qual libera você a estabelecer uma senha criptograda. A Cisco recomenda o uso do enable secret, pois possui um algoritmo de criptografia mais robusto. Quando são configurados os dois modelos nos equipamentos a precedência é estabelecida para o ” enable secret “.

R2_1721(config)#enable password ?
  0      Specifies an UNENCRYPTED password will follow
  7      Specifies a HIDDEN password will follow
  LINE   The UNENCRYPTED (cleartext) 'enable' password
  level  Set exec level password

R2_1721(config)#enable secret ?
  0      Specifies an UNENCRYPTED password will follow
  5      Specifies an ENCRYPTED secret will follow
  LINE   The UNENCRYPTED (cleartext) 'enable' secret
  level  Set exec level password

  Quando temos a criação dos privilégios alguns comandos podem ser úteis para a execução dessa hierarquia de acesso:

show privilege = Mostra o atual nível que encontra-se aquele usuário

R2_1721#sh privilege
Current privilege level is 15

R2_1721>enable 3
Password:
R2_1721#sh privilege
Current privilege level is 3

  Como podemos fazer a criação desse nível para utilização de uma senha:

enable secret = Este comando é default para criação de senha para acesso nível 15, porém ele é usado para criação de senhas para outro níveis.

R2_1721(config)#enable secret level ?
<1-15> Level number

R2_1721(config)#enable secret level 3 blog

  Agora vamos criar o privilégio para o nível que foi exemplificado:

privilege = É usado para se definir quais comandos estarão disponíveis para o nível específico de criação.

R2_1721(config)#privilege exec level 3 ?
LINE Initial keywords of the command to modify

R2_1721(config)#privilege exec level 3 show startup-config

  Este método pode ser aplicado diretamente para a interface console ou AUX, exigindo que aquele usuário siga os mesmos critérios disponibilizados para Telnet.

R2_1721(config)# line console 0
R2_1721(config-line)# privilege level 3

  Para exemplificar essa aplicação vamos criar alguns nivéis de privilégio para um determinado usuário:

R2_1721(config)# enable secret level 3 blog
R2_1721(config)# privilege exec level 3 ping
R2_1721(config)# privilege exec level 3 traceroute
R2_1721(config)# privilege exec level 3 configure terminal
R2_1721(config)# privilege configure level 3 interface
R2_1721(config)# privilege configure level 3 ip
R2_1721(config)# privilege configure level 3 address
R2_1721(config)# privilege configure level 3 no
R2_1721(config)# privilege configure level 3 shutdown

  Após essa configuração o usuário deve digitar:

R2_1721> enable 3

  A senha que deve ser informada é a configurada anteriormente ” blog “. Após entrar no modo enable tente executar os comandos liberados para este nível. Após fazer essa validação altere novamente o privilégio de alguns comandos, retirando o comando ( privilege exec level 3 configure terminal ) e tente novamente entrar com o privilégio 3 e configurar o ip da interface.

  Lembre-se para fazer essa alteração de configuração, você terá que entrar novamente com o privilégio 15.

  Espero que gostem do post! 😉

Fonte:
http://www.cisco.com/en/US/docs/ios/12_2/security/configuration/guide/scfpass.html
http://www.cisco.com/en/US/docs/ios/12_2t/12_2t13/feature/guide/ftprienh.html

Abs,
Rodrigo

Posts relacionados:


0
0

Link permanente para este artigo: https://ciscoredes.com.br/2011/10/10/ios-configuracoes-de-niveis-de-seguranca/

Deixe uma resposta