[N-01] 패스워드 설정

네트워크 장비 진단 시 계정관리에 대한 항목이다.
기본 패스워드를 변경하였는가? 를 물어보는 항목인데 진단 시 패스워드 설정이 되어 있는가? 도 확인하기 때문에 이에 대한 지식이 필요하다. 그러나 주요정보통신기반시설 가이드라인에서는 이에 대한 정보가 부족하여 글을 작성하며 정리하였다.

VTY, 콘솔, 보조(AUX) 포트의 로그인 인증 방식은 다음과 같다.
login: 라인 패스워드 인증
login local: 로컬 사용자 인증
login authentication: AAA 인증
no login: 인증 없이 사용자 모드(User EXEC mode) 접근 - 패스워드를 설정하지 않았으므로 취약

이제, 포트(line)별로 로그인 인증 방식 설정이 되어 있다면 전역설정은 어떻게 되어어 할까?

1. login (전역 x)
# line vty 0 4
# login
# password <패스워드>

2. login local (전역 o)
# username <사용자이름> password or secret < 암호화 알고리즘 번호> <패스워드>

# line vty 0 4
# login local

3. aaa authentication (전역 o)
# aaa authentication login <메서드_이름> <방식>
<방식>: 인증방식(예: local, group radius)


1) 로컬 계정으로 인증
# aaa new-model
# aaa authentication login MY_AUTH local
# username admin password cisco123

# line vty 0 4
# login authentication MY_AUTH
# transport input ssh

2) RADIUS 인증 실패하면 로컬로 인증
# aaa new-model
# aaa authentication login SECURE_AUTH group radius local
# radius-server host 10.0.0.1 key radkey123
# username backupadmin password cisco123

# line vty 0 4
# login authentication SECURE_AUTH

포트 별 패스워드를 확인했다면 enable 패스워드도 별개로 확인을 해야한다. enable 는 시스템 설정 변경을 위해 들어가는 명령어이기 때문에 별도의 패스워드가 필요하다.

# enable password <패스워드>
또는
# enable secret <패스워드>