Строка конфигурации:

enable secret 5 $1$EuWt$SxHM5UPH3AIL8U9tq9a2E0

Преимущество такого шифрования пароля в том, что его кодирование производится даже при отключенном сервисе шифрования (забыли включить или не знали про такой сервис). Скриптов по расшифровке таких паролей я не встречал, но их существование вполне вероятно.

Ограничение доступа к маршрутизатору.

Управлять маршрутизаторами можно удаленно через telnet или локально через консольный порт или порт AUX. Отсюда следует два вида ограничения доступа к маршрутизатору: локальное и удаленное.

Доступ к маршрутизатору для его конфигурирования и мониторинга может производиться 6 способами:

С терминала, компьютера администратора (COM-порт), или терминального сервера через консольный порт маршрутизатора

С терминала, компьютера администратора (COM-порт), или терминального сервера путем дозвона на модем, подсоединенный к порту AUX

Через Telnet

Посредством Unix-команды rsh

По протоколу SNMP (community с правом записи - RW)

Через WWW-интерфейс (встроенный в маршрутизатор HTTP-сервер)

Терминальным сервером называется хост, имеющий несколько последовательных асинхронных портов стандарта RS-232 (COM-порты), к которым подключаются консольные кабели маршрутизаторов. Поскольку обычный компьютер имеет 2 COM-порта, то для организации многопортового терминального сервера на базе ПК требуется установка карты расширения с дополнительными COM-портами (например, RocketPort). Из обрудования Cisco в качестве терминальных серверов обычно используются маршрутизаторы Cisco 2509 (8 асинхронных интерфейсов) и 2511 (16 асинхронных интерфейсов); при этом режим маршрутизации обычно отключается (no ip routing).

В целях безопасности все способы доступа, кроме консольного, следует по возможности ограничить, а лучше - полностью отключить. По умолчанию rsh и SNMP отключены, а доступ по Telnet, наоборот, разрешен, причем без пароля. Статус HTTP-сервера зависит от версии IOS и модели оборудования.

Консольный доступ уже сам по себе физически ограничен подключением консольного кабеля к терминальному серверу. Если администратор получает доступ к терминальному серверу удаленно, то встаёт задача защищенного доступа на терминальный сервер. Наиболее правильный способ организации удаленного доступа к терминальному серверу - протокол SSH.

Локальное ограничение доступа к маршрутизатору

Во-первых, необходимо специальное помещение с ограничением доступа для персонала, в котором бы находилось оборудование. Это рекомендуется для того, чтобы посторонний человек не имел физический доступ к маршрутизатору, т.к. при работе с маршрутизатором через консольный порт или порт AUX мы работаем в EXEC сессии без пароля на уровне обычного пользователя. И для получения доступа к привилегированному режиму посторонний человек может воспользоваться самым простым методом восстановление паролей - перезагрузка маршрутизатора, вход в режим ROM-монитора, изменение значения регистра конфигурации, снова перезагрузка маршрутизатора и элементарный вход в привилегированный режим без всякого пароля (вообще-то, это стандартный метод восстановления забытого пароля для доступа в privileg EXEC mode, но вот может использоваться и для совершенно противоположной цели).

Если физический доступ к маршрутизатору не может быть достаточно ограничен, то необходимо установить пароль на работу в EXEC режиме по консольному порту и порту AUX. Вообще это лучше делать всегда, даже когда маршрутизатор находится в закрытом помещении под десятью замками (а вы уверены в своих коллегах?). Делается это достаточно просто и существует минимум два оптимальных варианта: совсем запретить вход в привилегированный режим или разрешить вход с нормальной авторизацией через пароль.

Пример конфигурации, в которой для консольного порта разрешен вход через пароль с временем работы на порту в течении 1,5 минут, а для порта AUX запрещен вход EXEC режим:

aaa new-model
aaa authentication login default local

line con 0
exec-timeout 1 30
line aux
no exec

В этой конфигурации при подсоединении к консольному порту мы не сразу попадем в user EXEC режим как это происходит обычно, а только после ввода пользовательского имени и пароля. Хочу заметить, что в параметрах команды exec-timeout время задается в минутах и секундах (через пробел), но если мы захотим указать 0 минут и 0 секунд (exec-timeout 0 0), то это не означает, что совсем нельзя будет попасть на данный порт. А как раз наоборот - пользователь будет находиться в EXEC режиме бесконечно долго. Это нужно обязательно учитывать администраторам при конфигурации маршрутизатора. Самое минимальное время - 1 секунда (exec-timeout 0 1).