No, tecnicamente no. Ma se è possibile accedere alla modalità di abilitazione senza una dipende da come si accede.
Ecco la versione di gratificazione istantanea:
Puoi accedere tramite la console senza una password di abilitazione, ma rimarrai bloccato in modalità utente se usi una semplice password di accesso vty senza una password di abilitazione impostata.
Ecco la lunga versione del risponditore StackExchange:
L'autenticazione Cisco è un po 'un casino per un principiante. C'è un sacco di bagaglio legacy lì. Vorrei provare a scomporlo in un senso del mondo reale.
Chiunque abbia un'attività che accede a un router o passa praticamente passa direttamente alla modalità privilegiata (abilita). La modalità utente è fondamentalmente una lobby frontale e serve a poco più scopo che tenere fuori la bozza. Nelle grandi organizzazioni in cui disponi di vaste reti e pool di lavoro altrettanto vasti, può essere giustificato avere qualcuno in grado di bussare alla porta principale e assicurarsi che qualcuno sia ancora lì. (Cioè, per accedere ed eseguire i comandi più banali solo per vedere che il dispositivo, in effetti, risponde e non è in fiamme.) Ma in ogni ambiente in cui abbia mai lavorato, il livello 1 aveva almeno una capacità di rompere le cose.
In quanto tale, e in particolare in uno scenario come il tuo, conoscere la password di abilitazione è obbligatorio per eseguire qualsiasi operazione. Si potrebbe dire che si tratta di un secondo livello di sicurezza - una password per accedere al dispositivo, un'altra per passare al privilegio amministrativo - ma a me sembra un po 'sciocco.
Come già notato, puoi (e molte persone lo fanno) usare la stessa password, il che non aiuta molto se qualcuno ha ottenuto l'accesso non autorizzato tramite telnet / ssh. Avere password statiche e globali condivise da tutti è probabilmente più un problema che avere un solo token richiesto per entrare. Infine, la maggior parte degli altri sistemi (servizi, appliance, ecc.) Non richiedono un secondo livello di autenticazione e non sono generalmente considerati non sicuri a causa di ciò.
OK, questa è la mia opinione sull'argomento. Dovrai decidere da solo se ha senso alla luce della tua posizione di sicurezza. Andiamo al sodo.
Cisco (saggiamente) richiede di impostare una password di accesso remoto per impostazione predefinita. Quando si entra nella modalità di configurazione della linea ...
router> enable
router# configure terminal
router(config)# line vty 0 15
router(config-line)#
... puoi dire al router di saltare l'autenticazione:
router(config-line)# no login
... e prontamente violato, ma l'attaccante finirà in modalità utente. Quindi, se hai impostato una password di abilitazione, almeno hai in qualche modo limitato il danno che può essere fatto. (Tecnicamente, non puoi andare oltre senza una password di abilitazione. Ne parleremo tra poco in un momento ...)
Naturalmente, nessuno lo farebbe nella vita reale. Il requisito minimo, per impostazione predefinita e di buon senso, è impostare una semplice password:
router(config-line)# login
router(config-line)# password cisco
Ora ti verrà chiesta una password e finirai di nuovo in modalità utente. Se arrivi tramite la console, puoi semplicemente digitare enable
per accedere senza dover inserire un'altra password. Ma le cose sono diverse tramite telnet, dove probabilmente otterrai questo:
$ telnet 10.1.1.1
Trying 10.1.1.1...
Connected to 10.1.1.1.
Escape character is '^]'.
User Access Verification
Password: *****
router> enable
% No password set
router>
Andando avanti ... Probabilmente sai già che, per impostazione predefinita, tutte le password configurate vengono visualizzate come testo normale:
router# show run | inc password
no service password-encryption
password cisco
Questa è una di quelle cose che stringe lo sfintere dei coscienti della sicurezza. Se l'ansia giustificata è di nuovo qualcosa che devi decidere da solo. Da un lato, se si dispone di accesso sufficiente per visualizzare la configurazione, probabilmente si dispone di accesso sufficiente per modificare la configurazione. D'altra parte, se vi capita di avere incautamente rivelato la configurazione a qualcuno che non ha i mezzi stessi, poi ... beh, ora si fanno hanno i mezzi.
Fortunatamente, quella prima riga nello snippet sopra no service password-encryption
, è la chiave per cambiarla:
router(config)# service password-encryption
router(config)# line vty 0 15
router(config-line)# password cisco
Ora, quando guardi la configurazione, vedi questo:
router(config-line)# do show run | begin line vty
line vty 0 4
password 7 01100F175804
login
line vty 5 15
password 7 01100F175804
login
!
!
end
Questo è leggermente migliore delle password in testo semplice, perché la stringa visualizzata non è abbastanza memorabile per navigare a spalla. Tuttavia, è banale decifrare - e uso questo termine liberamente. Puoi letteralmente incollare quella stringa sopra in una dozzina di cracker di password JavaScript nella prima pagina dei risultati di Google e recuperare immediatamente il testo originale.
Queste cosiddette "7" password sono comunemente considerate "offuscate" piuttosto che "crittografate" per evidenziare il fatto che è appena migliore di niente.
A quanto pare, tuttavia, tutti questi password
comandi sono obsoleti. (O se non lo sono, dovrebbero essere.) Ecco perché hai le seguenti due opzioni:
router(config)# enable password PlainText
router(config)# enable secret Encrypted
router(config)# do show run | inc enable
enable secret 5 $1$sIwN$Vl980eEefD4mCyH7NLAHcl
enable password PlainText
La versione segreta è sottoposta a hash con un algoritmo unidirezionale, il che significa che l'unico modo per recuperare il testo originale è tramite la forza bruta, ovvero provare ogni possibile stringa di input fino a quando non si genera l'hash noto.
Quando si immette la password al prompt, passa attraverso lo stesso algoritmo di hash e quindi dovrebbe finire per generare lo stesso hash, che viene quindi confrontato con quello nel file di configurazione. Se corrispondono, la tua password è accettata. In questo modo, il testo in chiaro non è noto al router se non durante il breve momento in cui si sta creando o inserendo la password. Nota: c'è sempre la possibilità che altri input possano generare lo stesso hash, ma statisticamente è una probabilità molto bassa (leggi: trascurabile).
Se si sceglie di usare la configurazione sopra te stesso, il router permette sia le enable password
e enable secret
di esistere linee, ma le vittorie segreti della Richiesta password. Questo è uno di quei Cisco che non ha molto senso, ma è così. Inoltre, non esiste secret
un comando equivalente dalla modalità di configurazione della linea, quindi sei bloccato con password offuscate lì.
Bene, ora abbiamo una password che non può essere recuperata (facilmente) dal file di configurazione, ma c'è ancora un problema. Viene trasmesso in testo normale quando si accede tramite telnet. Non buono. Vogliamo SSH.
SSH, progettato pensando a una sicurezza più solida, richiede un po 'di lavoro extra e un'immagine IOS con un determinato set di funzionalità. Una grande differenza è che una semplice password non è più sufficiente. È necessario passare all'autenticazione basata sull'utente. E mentre ci sei, imposta una coppia di chiavi di crittografia:
router(config)# username admin privilege 15 secret EncryptedPassword
router(config)# line vty 0 15
router(config-line)# transport input ssh
router(config-line)# no password
router(config-line)# login local
router(config-line)# exit
router(config)# ip ssh version 2
router(config)# crypto key generate rsa modulus 1024
Adesso stai cucinando con il gas! Si noti che questo comando utilizza secret
password. (Sì, puoi, ma non dovresti, usare password
). La privilege 15
parte consente di ignorare completamente la modalità utente. Quando accedi, vai direttamente alla modalità privilegiata:
$ ssh admin@10.1.1.1
Password: *****
router#
In questo scenario, non è necessario utilizzare una password di abilitazione (o segreta).
Se non sei ancora pensando, "wow ... che clusterfudge che era", tenere a mente c'è tutto un altro post prolisso ancora in agguato dietro il comando aaa new-model
, dove si arriva a tuffarsi in cose come il server di autenticazione esterni (RADIUS , TACACS +, LDAP, ecc.), Elenchi di autenticazione (che definiscono le fonti da utilizzare e in quale ordine), livelli di autorizzazione e contabilità delle attività dell'utente.
Salva tutto ciò per un momento in cui ti senti bloccato per un po 'dal tuo router.
Spero possa aiutare!