ایمن سازی کنسول تجهیزات سیسکو امر مهمی برای حفظ از نفوذ افراد متفرقه به سوئیچ و روتر های سازمان می باشد که با تعریف یوزر نیم و پسورد در لایه های مختلف ، از دسترسی افراد بیگانه جلوگیری می کند.
ضمن تاکید بر این که مراحل زیر فرایند احراز هویت را فقط در بستر محلی و Local اعمال می کنند و برای کنترل دسترسی های از راه دور مثل Telnet و SSH از دستور line vty باید استفاده کرد .
برای ایمن سازی کنسول های سیسکو مراحل زیر را انجام دهید .
ابتدا وارد سطح پیکربندی شده و دستور زیر را تایپ کنید :
$Router(config)# line console 0
$Router(config-line)# exec-timeout 1
$Router(config-line)# login local
دستور exec-timeout باعث می شود پس از گذشت زمانی ( دقیقه ) از Idle بودن ، کنسول دستگاه خود به خود غیر فعال شود که این قابلیت در زمان هایی که مدیر شبکه از پای سیستم بلند می شود و کنسول IOS را بدون خارج شدن رها می کند ، بسیار مفید است تا افراد دیگر نتوانند به پیکربندی دستگاه های سیسکو دسترسی پیدا کنند. دستور login local که در حالت Console 0 باید زده شود تعیین می کند که ادمین باید قبل از فعال کردن کنسول ، یوزر نیم و پسورد خود را نیز وارد کند .
حالا برای تعیین یوزر نیم و پسورد دستور زیر را وارد کنید :
$Router(config)# username Admin1 secret God%12345
دستور بالا قبل از سطح یک درخواست احراز هویت می کند و مدیر شبکه قبل از enable کردن کنسول می بایست یوزر نیم و پسورد خود را وارد کند .
اما یک لایه پسورد دیگر می توانید به کنسول خود بیافزایید که مربوط به ورود به سطح دو یا privilege level می باشد. در این سطح نیاز به یوزر نیم نداریم و تنها یک رمز عبور کافیست . برای انجام این پیکربندی دستور زیر را وارد نمایید :
$Router(config)# enable secret God%123
فراموش نکنید که در دستورات بالا میشه به جای secret از دستور password هم استفاده کرد . تفاوت عملکرد این دو، در این است که با زدن secret حروف نوشته شده نامرئی هستند ولی دستور پسورد حروف در حال تایپ شدن روی صفحه را نمایش می دهد .
یکی از راه های نفوذ هکر ها به سوئیچ و روتر ، استفاده از دستور show run در سطح دو می باشد، که این دستور History تمام دستورات زده شده در کنسول را نشان می دهد و همچنین رمز عبور هایی که برای دستگاه تعیین کرده ایم را هم نمایش می دهد. پس برای جلوگیری از این روش می توانیم از دستور زیر استفاده کنیم تا تمام رمز عبور هایی که به دستگاه های سیسکو داده ایم ، رمز نگاری و Encrypt شوند.
$Router(config)# service password-encryption
با وارد کردن تمامی دستورات بالا، مدیر شبکه هم برای ورود به سطح یک و هم سطح دو نیاز به احراز هویت دارد و همینطور رمز های عبوری که مشخص کرده ایم به وسیله دستور آخر Encrypt شده اند. یک نکته قابل توجه این است که با بوجود آوردن لایه های امنیتی بیشتر ، امکان فراموشی و گم کردن مشخصات داده شده نیز وجود دارد پس بسته به نیاز و شرایط ، یک مدیر باید به صورت خود مختار بسنجد که تا چه میزان ایمن سازی در شبکه اعمال شود.