lunes, 8 de septiembre de 2014

Asegurando el CLI de Router/switch Cisco


Por defecto los routers y switches vienen sin contraseña alguna para acceder a los diferentes modos.
Cualquiera persona pudiera accesar fácilmente a la administacion via consola del equipo o telnet si esta activado.

A continuación un ejemplo sencillo de autenticacion local en el dispositivo:

Switch> enable 
Switch# configure terminal 
Switch(config)# enable secret cisco    ---------► Esta contraseña se pedira cada vez que el usuario intente ingresar al "enable mode" desde cualquier tipo  de administracion.

 Switch(config)# line console 0 switch
(config-line)# password umbrella -------► Esta clave se solicitara solo para el acceso por consola
switch(config-line)# login 
switch (config-line)# exit 

 Switch(config)# line vty 0 15 
Switch(config-line)# password love  -----► Esta clave se solicitara para el acceso por VTY
Switch (config-line)# login 
Switch (config-line)# end

También se pueden crear usuarios con diferentes passwords para el acceso de VTY con el comando:

 Switch(config)# Username Cisco password Ciscofacil 

y con un simple comando de "Login" en el VTY se empezarian a autenticar los usuarios de esa manera.

El switch y el router pueden usar dispositivos externos para su autenticacion mediante el servicio de AAA, por ejemplo se podría ligar el servicio de Active directory de un windows server para hacer la autenticacion del personal de TI para administración via telnet.


Enable Secret Vs Enable Password

** En las ultimas versiones del Cisco IOS el comando "Enable password" ha sido depreciado ***

La diferencia entre estos dos comandos,  el comando "Enable secret" encripta el password automáticamente mientras el "Enable password" lo mantiene en "Clear text" o texto claro.

Si hacemos un "Show Run" al dispositvo podríamos ver la diferencia.

Enable secret utiliza un funcion de una sola via con el algoritmo MD5 y encripta nuestro password

(Ultimas versiones de IOS para router soportan SHA-256 como función para encriptar)





Por ultimo si hacemos un "Show run " al dispositivo veremos los password de consola y VTY en texto claro para encriptarlos debemos utilizar el comando "Service password-encription".

Espero sea de ayuda.

Saludos.



Publicado por en
Etiquetas: , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)