Tweet
Trong quản trị hệ thống mạng doanh nghiệp, việc bảo vệ truy cập vào thiết bị mạng (router, switch) là yêu cầu bắt buộc nhằm đảm bảo an toàn, tính toàn vẹn và khả năng kiểm soát cấu hình. Ba lớp bảo mật cơ bản nhất trên thiết bị Cisco bao gồm:
Bài viết dưới đây trình bày cơ chế, vai trò và cách cấu hình chuẩn cho từng loại mật khẩu.
1. Mật khẩu Enable Mode (Enable Secret)
1.1 Vai trò
Enable Mode là cấp độ cao nhất trên thiết bị Cisco, cho phép người quản trị truy cập vào cấu hình hệ thống. Tài khoản nào vào được chế độ này đều có thể thay đổi cấu hình mạng, do đó mật khẩu phải được bảo vệ nghiêm ngặt.
1.2 Cách cấu hình
Cisco khuyến nghị sử dụng enable secret thay vì enable password, vì enable secret sử dụng thuật toán mã hoá mạnh hơn (MD5).
conf t
enable secret <mật_khẩu_mạnh>
end
wr mem
2. Mật khẩu Console
2.1 Vai trò
Console là phương thức truy cập vật lý trực tiếp vào thiết bị. Trong nhiều tình huống khẩn cấp (mất cấu hình SSH, lỗi truy cập mạng), console là “đường sống” duy nhất để quản trị viên kết nối vào thiết bị.
2.2 Cách cấu hình
Có thể đặt mật khẩu console dạng đơn giản hoặc yêu cầu đăng nhập theo user (login local). Hai cách cấu hình đều được trình bày dưới đây.
Cấu hình dạng mật khẩu trực tiếp:
conf t
line console 0
password <mật_khẩu_console>
login
end
wr mem
Cấu hình dùng user local (khuyến nghị):
conf t username admin privilege 15 secret <mật_khẩu>
line console 0
login local
end
wr mem
3. Mật khẩu truy cập từ xa qua SSH
3.1 Vai trò
SSH là phương thức truy cập bảo mật từ xa vào thiết bị. Toàn bộ thông tin được mã hoá, an toàn hơn nhiều so với Telnet. SSH thường được dùng trong môi trường doanh nghiệp để đảm bảo tính bảo mật và kiểm soát truy cập.
3.2 Điều kiện để thiết bị chạy SSH
Thiết bị cần các thành phần sau:
conf t
! Đặt hostname và domain name
hostname <name>
ip domain-name <example.local>
! Tạo key RSA 2048-bit
crypto key generate rsa modulus 2048
! Tạo user local
username chuyenviet privilege 15 secret <mật_khẩu_ssh>
! Bật Ip SSH Version 2
ip ssh version 2
end
wr mem
! Cấu hình line vty cho SSH
line vty 0 4
transport input ssh
login local
end
wr mem
4. Một số lưu ý bảo mật quan trọng
Việc thiết lập mật khẩu đúng chuẩn cho Enable Mode, Console và SSH giúp bảo vệ thiết bị mạng, hạn chế truy cập trái phép và duy trì tính toàn vẹn của hệ thống. Đây là bước nền tảng trong mọi môi trường triển khai hạ tầng mạng doanh nghiệp. Lập trình viên hoặc kỹ thuật viên hệ thống nên luôn tuân thủ quy tắc bảo mật này trước khi đưa thiết bị vào vận hành thực tế.
- Mật khẩu chế độ EXEC đặc quyền (Enable Mode)
- Mật khẩu Console
- Mật khẩu truy cập từ xa qua SSH
Bài viết dưới đây trình bày cơ chế, vai trò và cách cấu hình chuẩn cho từng loại mật khẩu.
1. Mật khẩu Enable Mode (Enable Secret)
1.1 Vai trò
Enable Mode là cấp độ cao nhất trên thiết bị Cisco, cho phép người quản trị truy cập vào cấu hình hệ thống. Tài khoản nào vào được chế độ này đều có thể thay đổi cấu hình mạng, do đó mật khẩu phải được bảo vệ nghiêm ngặt.
1.2 Cách cấu hình
Cisco khuyến nghị sử dụng enable secret thay vì enable password, vì enable secret sử dụng thuật toán mã hoá mạnh hơn (MD5).
conf t
enable secret <mật_khẩu_mạnh>
end
wr mem
2. Mật khẩu Console
2.1 Vai trò
Console là phương thức truy cập vật lý trực tiếp vào thiết bị. Trong nhiều tình huống khẩn cấp (mất cấu hình SSH, lỗi truy cập mạng), console là “đường sống” duy nhất để quản trị viên kết nối vào thiết bị.
2.2 Cách cấu hình
Có thể đặt mật khẩu console dạng đơn giản hoặc yêu cầu đăng nhập theo user (login local). Hai cách cấu hình đều được trình bày dưới đây.
Cấu hình dạng mật khẩu trực tiếp:
conf t
line console 0
password <mật_khẩu_console>
login
end
wr mem
Cấu hình dùng user local (khuyến nghị):
conf t username admin privilege 15 secret <mật_khẩu>
line console 0
login local
end
wr mem
3. Mật khẩu truy cập từ xa qua SSH
3.1 Vai trò
SSH là phương thức truy cập bảo mật từ xa vào thiết bị. Toàn bộ thông tin được mã hoá, an toàn hơn nhiều so với Telnet. SSH thường được dùng trong môi trường doanh nghiệp để đảm bảo tính bảo mật và kiểm soát truy cập.
3.2 Điều kiện để thiết bị chạy SSH
Thiết bị cần các thành phần sau:
- Đặt hostname và domain-name
- Tạo key RSA cho SSH
- Cấu hình user local
- Gán phương thức xác thực cho VTY
conf t
! Đặt hostname và domain name
hostname <name>
ip domain-name <example.local>
! Tạo key RSA 2048-bit
crypto key generate rsa modulus 2048
! Tạo user local
username chuyenviet privilege 15 secret <mật_khẩu_ssh>
! Bật Ip SSH Version 2
ip ssh version 2
end
wr mem
! Cấu hình line vty cho SSH
line vty 0 4
transport input ssh
login local
end
wr mem
4. Một số lưu ý bảo mật quan trọng
- Luôn dùng secret thay vì password để đảm bảo được mã hoá bảo mật.
- Dùng mật khẩu mạnh: tối thiểu 10 ký tự, có chữ hoa, chữ thường, số và ký tự đặc biệt.
- Kiểm tra lại cấu hình:
- show running-config | include username
- show running-config | section vty
show running-config | include enable
Việc thiết lập mật khẩu đúng chuẩn cho Enable Mode, Console và SSH giúp bảo vệ thiết bị mạng, hạn chế truy cập trái phép và duy trì tính toàn vẹn của hệ thống. Đây là bước nền tảng trong mọi môi trường triển khai hạ tầng mạng doanh nghiệp. Lập trình viên hoặc kỹ thuật viên hệ thống nên luôn tuân thủ quy tắc bảo mật này trước khi đưa thiết bị vào vận hành thực tế.