Initiële apparaat configuratie

Bij de initiële configuratie benoemd men het netwerkapparaat met het hostname commando, stelt men de klok in en maakt men een banner die iedere keer getoond word als men op management interface van het netwerkapparaat inlogt. Meer informatie over het gebruik en voorbeelden van banners kan men hier vinden http://answers.google.com/answers/threadview?id=589227.

Device> enable
Device# configure terminal
Device(config)# hostname hostname
Device(config)# clock set hh:mm:ss dd mm yyyy
Device(config)# clock timezone UTC +1
Device(config)# banner motd #
Unathaurized access prohibited!
Authorized access ondly!#

Device(config)# exit
Device# copy running-config startup-config

Toegangsbeveiliging

De toegangsbeveiliging tot het managementsysteem van een netwerkapparaat kan men instellen met een wachtwoord welk dan nodig is om toegang te krijgen tot de priviliged exec mode. Het gebruik van het verouderde (pre-10.3) enable password wordt niet meer gebruikt en het is aan te bevelen het nieuwe enable secret te gebruiken welke het wachtwoord versleuteld opslaat in het configuratiebestand.

Let op! Enkel de enable secret slaat wachtwoorden versleuteld op dat gebruik maakt van een MD5 hashing algoritme. De poortwachtwoorden kan men versleutelen als men de service password-encryption activeert. Deze zal de wachtwoorden opslaan in het configuratiebestand als het omkeerbaar type 7. Meer over Cisco IOS wachtwoordversleuteling kan men hier vinden http://www.cisco.com/c/en/us/support/docs/security-vpn/remote-authentication-dial-user-service-radius/107614-64.html.

De toegang tot de management interface van de switch kan men instellen per poort basis waaronder. De console poort wordt gebruikt voor het opzetten van een RS232 verbinding, de auxiliary poort wordt gebruikt voor toegang via modem en vty lijnen zijn virtuele poorten die gebruikt worden voor telnet/ssh toegang.

Device(config)# enable secret wachtwoord
Device(config)# service password-encryption
Device(config)# line console 0
Device(config-line)# password consolepassword
Device(config-line)# login
Device(config-line)# line aux 0 1
Device(config-line)# password auxpassword
Device(config-line)# login
Device(config-line)# line vty 0 15
Device(config-line)# password vtypassword
Device(config-line)# session-limit x  // maximum aantal sessiesDevice(config-line)# login

Het is aan te bevelen gebruik te maken van de secure shell (SSH) in plaats van telnet. In tegenstelling tot telnet zorgt SSH voor een versleutelde verbinding. Dit zorgt ervoor dat networksniffers bij arp flooding attacks niet in staat zijn de datastroom in te zien.

Device(config)# username username password password
Device(config)# ip domain name domain-name
Device(config)# crypto key generate rsa
Device(config)# ip ssh version 2
Device(config)# ip ssh authentication-retries // # retries
Device(config)# ip ssh time-out // SSH time-out interval
Device(config)# line vty 0 15
Device(config-line)# login local
Device(config-line)# transport input ssh

Let op! Een netwerkapparaat moet twee wachtwoorden hebben zodat een gebruiker op afstand wijzigingen in de configuratie kan aanbrengen:

– Line vty wachtwoord
– Enable of secret wachtwoord

Zonder het enable of enable secret wachtwoord kan de gebruiker enkel toegang krijgen tot de gebruikersmode en niet tot de priviliged mode.