Ciscoルータへログインする場合、セキュリティの観点で必ずパスワードを設定します。 ここでは、パスワードをCISCOとして、各種パスワードの設定方法を確認し、かつ、外部からTelnetで接続できるようにします。
特権モード(enable password)のパスワード
enable password コマンドは特権モードへのアクセスを制御するための最も基本的なパスワード設定ですが、平文で保存されるためセキュリティ上推奨されません。設定コマンドは以下の通りです。
R1(config)# enable password CISCO
show running-configコマンドで設定内容を確認すると、パスワードが平文で表示されているのが分かります。
R1# show running-config Building configuration... ・ ・ ! enable password CISCO
セキュリティを重視する環境では、enable passwordの使用は避け、次に説明するenable secretの使用を推奨します。
特権モード(enable secret)のパスワード
enable secret コマンドは、パスワードをMD5でハッシュ化して保存します。これにより、平文のままパスワードが表示されるリスクを軽減できます。
R1(config)# enable secret CISCO
show running-configコマンドでは、ハッシュ化されたパスワードが表示されます。
R1# show running-config Building configuration... ・ ・ ! enable secret 4 zqx41LB0PDWLOwD83WC2N1ncA0PcuK71.j1sri9Xkwg
コンソール接続のパスワード
コンソールケーブルを介したログイン時のパスワードはline console コマンドで設定します。
R1(config)# line console 0 R1(config-line)# password CISCO R1(config-line)# login
loginコマンドを使うことで、設定したパスワードが求められます。
VTY(Virtual Teletype)のパスワード
TelnetやSSHによるリモートアクセスをする際に、VTYを使用します。VTYはCiscoルータの仮想ポートです。Telnet接続時に使用するには以下の通り設定します。
R1(config)# line vty 0 4 R1(config-line)# password CISCO R1(config-line)# login
SSH接続を推奨します。Telnetは平文通信のため、データの盗聴リスクが高く、セキュリティ面で脆弱です。
SSHについては、下記の記事を参考にしてください。
>> 参考記事 :初心者でも簡単!Ciscoで安全なSSH設定方法
line パスワードの暗号化
Ciscoルータでは、デフォルトでlineパスワードが平文で保存されます。service password-encryption コマンドを使用することで、パスワードを暗号化できます。
R1(config)# service password-encryption
このコマンドは、lineパスワード、usernameのパスワード、認証キーなど、全てのパスワードを暗号化します。暗号化後の設定は以下のように表示されます。
R1# show running-config . . line con 0 password 7 14343B382F2B login line vty 0 4 password 7 106D202A2638 login !
service password-encryption はlineパスワードの他に、usernameのパスワードや認証キーなども暗号化されます。
リモート端末からのTelnet接続
VTYでパスワードを設定することで、Telnet経由でのリモート接続が可能になります。
端末側(以下、TeraTermの場合)でTelnet接続を試みます。
パスワードが要求されるので、line vty で設定したパスワードを入力します。
ログインできました。次にenableコマンドを入力すると、再度パスワードが要求されます。 これは、特権パスワードで、enable password や enable secret で設定したパスワードを入力します。
特権モードへログインすることができました。
参考
コメント