M6 · Segurança

Configuração básica de segurança em dispositivos

Modos de acesso no Cisco IOS

O roteador e o switch Cisco possuem dois modos principais de execução:

  • User EXEC mode (>) — acesso limitado, somente leitura
  • Privileged EXEC mode (#) — acesso completo, necessário para configurações
Router> enable
Router#

Para entrar no modo de configuração global:

Router# configure terminal
Router(config)#

Definindo o hostname

O hostname identifica o dispositivo na rede. Configure em modo global:

Router(config)# hostname R1
R1(config)#

Senha de acesso ao modo privilegiado

enable password (não recomendada)

Protege o modo privilegiado com senha em texto claro:

R1(config)# enable password CCNA

A senha fica visível no show running-config. Para criptografar senhas tipo 7 (fraca, reversível):

R1(config)# service password-encryption

Após o comando, a senha aparece com prefixo 7:

enable password 7 045802150C2E

> Atenção: O tipo 7 é facilmente quebrado. Use apenas como camada mínima de proteção visual.

enable secret (recomendada)

Usa criptografia MD5 (tipo 5), muito mais segura:

R1(config)# enable secret Cisco

Regra do exame: Se enable secret e enable password estiverem configuradas simultaneamente, apenas o enable secret funciona. O enable password é ignorado.

No show running-config, a distinção fica clara:

enable password 7 045802150C2E
enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0

Verificando a configuração

Para visualizar a configuração ativa:

R1# show running-config

Dentro do modo de configuração global, use o prefixo do:

R1(config)# do show running-config

Salvando a configuração

A running-config é volátil — perdida ao desligar o dispositivo. Para persistir:

R1# write

ou

R1# write memory

ou

R1# copy running-config startup-config

Os três comandos produzem o mesmo resultado. No exame, qualquer um deles é aceito.

Resumo dos comandos

Comando Modo Função
enable User EXEC Entra no modo privilegiado
configure terminal Privileged EXEC Entra no modo de configuração global
hostname Global config Define o hostname
enable password Global config Senha sem criptografia forte
enable secret Global config Senha com MD5 (tipo 5)
service password-encryption Global config Criptografa senhas tipo 7
show running-config Privileged EXEC Exibe configuração ativa
write / copy run start Privileged EXEC Salva configuração

O que cai no exame

  • Diferença entre enable password e enable secret — o secret sempre prevalece
  • service password-encryption usa tipo 7 (fraca); enable secret usa tipo 5 (MD5)
  • show running-config exige modo privilegiado; use do dentro do config mode
  • Sem write, as alterações são perdidas ao reiniciar