Pour cette raison, vous devez sécuriser le port de console des périphériques réseau en exigeant, au minimum, que l'utilisateur fournisse un mot de passe fort. Cela réduit les chances qu'un personnel non autorisé branche physiquement un câble sur le port de console de l'appareil et accède ainsi au périphérique.
Vous utilisez les commandes suivantes en mode de configuration globale pour définir un mot de passe pour la ligne de console :
Switch(config)# line console 0
Switch(config-line)# password cisco
Switch(config-line)# login
À partir du mode de configuration globale, la commande line console 0 permet d'entrer en mode de configuration de ligne pour la console. Le zéro sert à représenter la première (et le plus souvent, la seule) interface de console.
La deuxième commande, password cisco définit un mot de passe pour la ligne de console.
Enfin, la commande login permet de configurer le commutateur pour qu'il exige une authentification à l'ouverture de session. Lorsque la connexion est activée et qu'un mot de passe est défini, l'utilisateur de la console est invité à saisir un mot de passe avant d'accéder à la CLI.
Mot de passe VTY
Les lignes vty permettent d'accéder à un routeur Cisco via Telnet. Par défaut, de nombreux commutateurs Cisco prennent en charge jusqu'à 16 lignes vty, numérotées de 0 à 15. Le nombre de lignes vty prises en charge par un routeur Cisco varie selon le type de routeur et la version de l'IOS. Cependant, en général, cinq lignes vty sont configurées. Ces lignes sont numérotées de 0 à 4 par défaut, bien que des lignes supplémentaires puissent être configurées. Vous devez définir un mot de passe pour toutes les lignes vty disponibles. Vous pouvez certes définir le même mot de passe pour toutes les connexions. Toutefois, il est souvent souhaitable d'associer un mot de passe unique à une certaine ligne afin de réserver un accès à un administrateur lorsque les autres connexions sont utilisées.
Exemples de commandes permettant de définir un mot de passe sur les lignes vty :
Switch(config)# line vty 0 15
Switch(config-line)# password cisco
Switch(config-line)# login
Par défaut, l'IOS inclut la commande login sur les lignes VTY. Cela permet d'interdire les accès Telnet au périphérique sans authentification préalable. Si vous avez exécuté par inadvertance la commande no login, rien n'empêche des personnes non autorisées de se connecter à la ligne avec Telnet puisque l'authentification n'est plus obligatoire. Il s'agit d'un risque majeur en matière de sécurité.
La figure illustre la sécurisation de l'accès au mode d'exécution utilisateur sur les lignes de console et Telnet.