Authentification via la base de compte Local sur un routeur Cisco

Ce billet à pour objectif de décrire comment on peut mettre en œuvre une authentification via la base de compte local d’un équipement de commutation CISCO.

Je privilégie l’utilisation d’une base de compte local utilisant un hash MD5 pour la protection des mots de passe, plutôt que l’utilisation de la méthode CISCO 7 moins sécurisante (l’empreinte du mot de passe est réversible).

  1. Création d’utilisateur (base locale) :
    Cisco(config)#username  priv secret (hash MD5)
  2. Accéder au mode de configuration de l’accès VTY (telnet)
    Cisco(config)#line vty 0 4
  3. Indiquer que l’authentification sera effectué via la base de compte local
    Cisco(config-line)#login local
  4. Accèder au mode de configuration de l’accès console
    Cisco(config-line)#line console 0
  5. Indiquer que l’authentification sera effectué via la base de compte local
    Cisco(config-line)#login local

Comme indiqué au début du billet le mot de passe est sécurisé via l’utilisation de MD5, pour le hasher, ceci rend le mot de passe illisible par une personne lambda. de plus le hash MD5 (nomé cisco 5) est beaucoup plus difficile à casser qu’un mot de passe utilisant la méthode cisco 7.

Un mot de passe cisco 7 ressemble à l’exemple ci-dessous:

  • username toto password 7 082A0A37

exemple ci-dessous, le résultat de la commande appliqué à la configuration (il suffit de taper la commande « show run »en mode privilégié « # ».

no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname SWS1
!
enable secret 5 $1$WY/O$/6wN2G4.VP0mjbumnGTgx0
!
username admin privilege 15 secret 5 $1$agVe$Z1veVhy.pfvbjBBxv2Rtq1

no aaa new-model
system mtu routing 1500
ip subnet-zero
!
!
!
!
no file verify auto
!
spanning-tree mode rapid-pvst
spanning-tree loopguard default
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
interface GigabitEthernet0/1
switchport access vlan 40
switchport mode access
no cdp enable
!

…………………………………………………

!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan40
ip address 192.168.32.200 255.255.255.0
no ip route-cache
!
ip default-gateway 192.168.32.254
ip http server
!
control-plane
!
!
line con 0
login local
line vty 0 4
login local
line vty 5 15
login local

Laisser une réponse

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *