miércoles, 24 de agosto de 2016

Protección del acceso a EXEC del usuario y visualización de contraseñas de encriptación - CCNA1 V5 - CISCO C2



1. Protección del acceso a EXEC del usuario

El puerto de consola de dispositivos de red debe estar asegurado, como mínimo, mediante el pedido de una contraseña segura al usuario. Así se reducen las posibilidades de que personal no autorizado conecte físicamente un cable al dispositivo y obtenga acceso a éste.

Los siguientes comandos se usan en el modo de configuración global para establecer una contraseña para la línea de consola:

Switch(config)# line console 0

Switch(config-line)# password cisco

Switch(config-line)# login

En el modo de configuración global, se usa el comando line console 0 para ingresar al modo de configuración de línea de la consola. El cero se utiliza para representar la primera (y en la mayoría de los casos la única) interfaz de consola.

El segundo comando, password cisco, especifica una contraseña para la línea de consola.

El comando login configura el switch para que requiera autenticación al iniciar sesión. Cuando se habilita el inicio de sesión y se establece una contraseña, se solicita al usuario de la consola que introduzca una contraseña antes de darle acceso a la CLI.


Contraseña de VTY

Las líneas vty permiten el acceso a un dispositivo Cisco a través de Telnet. De manera predeterminada, muchos switches Cisco admiten hasta 16 líneas vty que se numeran del 0 al 15. El número de líneas vty que admite un router Cisco varía según el tipo de router y la versión de IOS. No obstante, la cantidad más frecuente de líneas vty configuradas es cinco. Estas líneas se numeran del 0 al 4 de manera predeterminada, aunque se pueden configurar líneas adicionales. Es necesario establecer una contraseña para todas las líneas vty disponibles. Puede configurarse la misma contraseña para todas las conexiones. Sin embargo, con frecuencia conviene configurar una única contraseña para una línea a fin de proporcionar un recurso secundario para el ingreso administrativo al dispositivo si las demás conexiones están en uso.

Comandos de ejemplo utilizados para establecer una contraseña en las líneas vty:

Switch(config)# line vty 0 15

Switch(config-line)# password cisco

Switch(config-line)# login

De manera predeterminada, el IOS incluye el comando login en las líneas VTY. Esto impide el acceso al dispositivo mediante Telnet sin autenticación. Si por error se establece el comando no login, que elimina el requisito de autenticación, personas no autorizadas podrían conectarse a la línea a través de la red utilizando Telnet. Esto representaría un riesgo importante para la seguridad.

En la ilustración, se muestra la protección del acceso a EXEC del usuario en las líneas de consola y las líneas Telnet.



2. Visualización de contraseñas de encriptación

Existe otro comando de utilidad que impide que las contraseñas aparezcan como texto no cifrado cuando se visualizan los archivos de configuración: se trata del comando service password-encryption.

Este comando provee la encriptación de la contraseña cuando ésta se configura.

El comando service password-encryption aplica una encriptación mínima a todas las contraseñas sin encriptar. Esta encriptación solo se aplica a las contraseñas del archivo de configuración; no a las contraseñas mientras se envían a través de los medios. El propósito de este comando es evitar que individuos no autorizados vean las contraseñas en el archivo de configuración.

Si se ejecuta el comando show running-config o show startup-configantes de ejecutar el comando service password-encryption, las contraseñas sin encriptar resultan visibles en el resultado de configuración. El comando service password-encryption puede entonces ejecutarse y se aplicará la encriptación a las contraseñas. Una vez que se ha aplicado la encriptación, la cancelación del servicio de encriptación no revierte la encriptación.

En la ilustración, practique la introducción del comando para configurar la encriptación de contraseñas.



Espero haber ayudado en algo. Hasta la próxima oportunidad!











  

No hay comentarios:

Publicar un comentario en la entrada