Caros,
Gostaria de trazer algumas informações referenciando-se aos níveis de segurança que o IOS oferece para a estrutura de acesso. Usando-se senhas e assinando privilégios é o caminho mais simples de providenciar controle de acesso ao seu terminal de rede ( roteadores/switches ).
Por padrão, o IOS da Cisco oferece 16 níveis de privilégio. Nesse caso quanto maior o seu nível mais privilégios você terá para efetuar configurações/validações no equipamento. Dentro desse contexto a CLI ( command line interface ) tem dois níveis padrões de acesso para os comandos:
- User EXEC mode: privilege 1
- Privileged EXEC mode: privilege 15
Quando o usuário entra no equipamento ele obrigatoriamente irá ser direcionado para o nível 1, e após digitar “enable“, ele será direcionado ao nível 15. Entretanto, você pode configurar níveis adicionais de acesso para os comandos chamados de “privilégio de acesso”, disponibilizando assim a necessidade para cada usuário/grupo. Cada nível de acesso privilegiado é habilitado através senhas separadas, o qual foi especificado quando configurado o nível.
Para obter um nível de segurança mais elevado, existem dois modelos de senhas que podem ser habilitados nos equipamentos ( enable password e enable secret ). Ambos os comandos são os mesmos, o qual libera você a estabelecer uma senha criptograda. A Cisco recomenda o uso do enable secret, pois possui um algoritmo de criptografia mais robusto. Quando são configurados os dois modelos nos equipamentos a precedência é estabelecida para o ” enable secret “.
R2_1721(config)#enable password ? 0 Specifies an UNENCRYPTED password will follow 7 Specifies a HIDDEN password will follow LINE The UNENCRYPTED (cleartext) 'enable' password level Set exec level password R2_1721(config)#enable secret ? 0 Specifies an UNENCRYPTED password will follow 5 Specifies an ENCRYPTED secret will follow LINE The UNENCRYPTED (cleartext) 'enable' secret level Set exec level password
Quando temos a criação dos privilégios alguns comandos podem ser úteis para a execução dessa hierarquia de acesso:
show privilege = Mostra o atual nível que encontra-se aquele usuário
R2_1721#sh privilege
Current privilege level is 15R2_1721>enable 3
Password:
R2_1721#sh privilege
Current privilege level is 3
Como podemos fazer a criação desse nível para utilização de uma senha:
enable secret = Este comando é default para criação de senha para acesso nível 15, porém ele é usado para criação de senhas para outro níveis.
R2_1721(config)#enable secret level ?
<1-15> Level numberR2_1721(config)#enable secret level 3 blog
Agora vamos criar o privilégio para o nível que foi exemplificado:
privilege = É usado para se definir quais comandos estarão disponíveis para o nível específico de criação.
R2_1721(config)#privilege exec level 3 ?
LINE Initial keywords of the command to modifyR2_1721(config)#privilege exec level 3 show startup-config
Este método pode ser aplicado diretamente para a interface console ou AUX, exigindo que aquele usuário siga os mesmos critérios disponibilizados para Telnet.
R2_1721(config)# line console 0
R2_1721(config-line)# privilege level 3
Para exemplificar essa aplicação vamos criar alguns nivéis de privilégio para um determinado usuário:
R2_1721(config)# enable secret level 3 blog
R2_1721(config)# privilege exec level 3 ping
R2_1721(config)# privilege exec level 3 traceroute
R2_1721(config)# privilege exec level 3 configure terminal
R2_1721(config)# privilege configure level 3 interface
R2_1721(config)# privilege configure level 3 ip
R2_1721(config)# privilege configure level 3 address
R2_1721(config)# privilege configure level 3 no
R2_1721(config)# privilege configure level 3 shutdown
Após essa configuração o usuário deve digitar:
R2_1721> enable 3
A senha que deve ser informada é a configurada anteriormente ” blog “. Após entrar no modo enable tente executar os comandos liberados para este nível. Após fazer essa validação altere novamente o privilégio de alguns comandos, retirando o comando ( privilege exec level 3 configure terminal ) e tente novamente entrar com o privilégio 3 e configurar o ip da interface.
Lembre-se para fazer essa alteração de configuração, você terá que entrar novamente com o privilégio 15.
Espero que gostem do post! 😉
Fonte:
http://www.cisco.com/en/US/docs/ios/12_2/security/configuration/guide/scfpass.html
http://www.cisco.com/en/US/docs/ios/12_2t/12_2t13/feature/guide/ftprienh.html
Abs,
Rodrigo
Comentários Recentes