Cisco

Limitación del acceso a las configuraciones de los dispositivos IOS

El IOS usa modos jerárquicos para colaborar con la seguridad del dispositivo. Como parte de este cumplimiento de seguridad, el IOS puede aceptar diversas contraseñas para permitir diferentes privilegios de acceso al dispositivo.

Las contraseñas ingresadas aquí son:

Contraseña de enable: limita el acceso al modo EXEC privilegiado.

Contraseña secreta de enable: es una contraseña encriptada que limita el acceso al modo EXEC privilegiado.

Contraseña de consola: limita el acceso a los dispositivos mediante la conexión de consola.

Contraseña de VTY: limita el acceso a los dispositivos a través de Telnet.

Contraseña secreta de enable

Para proteger el acceso a EXEC privilegiado, utilice el comando enable secret contraseña. Una variación más antigua y menos segura de este comando es el comando enable password contraseña. Si bien puede utilizarse cualquiera de estos comandos para establecer la autenticación antes de permitir el acceso al modo EXEC privilegiado (enable), se recomienda utilizar el comando enable secret. El comando enable secret proporciona mayor seguridad, dado que la contraseña está encriptada.

Comando de ejemplo para establecer contraseñas:

Switch(config)# enable secret contraseña

Contraseña de consola:

El puerto de consola de dispositivos de red debe estar asegurado, como mínimo, mediante el pedido de una contraseña segura al usuario. Así se reducen las posibilidades de que personal no autorizado conecte físicamente un cable al dispositivo y obtenga acceso a éste.

Los siguientes comandos se usan en el modo de configuración global para establecer una contraseña para la línea de consola:

Switch(config)# line console 0

Switch(config-line)# password cisco

Switch(config-line)# login

En el modo de configuración global, se usa el comando line console 0 para ingresar al modo de configuración de línea de la consola. El cero se utiliza para representar la primera (y en la mayoría de los casos la única) interfaz de consola.

El segundo comando, password cisco, especifica una contraseña para la línea de consola.

El comando login configura el switch para que requiera autenticación al iniciar sesión. Cuando se habilita el inicio de sesión y se establece una contraseña, se solicita al usuario de la consola que introduzca una contraseña antes de darle acceso a la CLI.

Contraseña de VTY

Las líneas vty permiten el acceso a un dispositivo Cisco a través de Telnet. De manera predeterminada, muchos switches Cisco admiten hasta 16 líneas vty que se numeran del 0 al 15. El número de líneas vty que admite un router Cisco varía según el tipo de router y la versión de IOS. No obstante, la cantidad más frecuente de líneas vty configuradas es cinco. Estas líneas se numeran del 0 al 4 de manera predeterminada, aunque se pueden configurar líneas adicionales. Es necesario establecer una contraseña para todas las líneas vty disponibles. Puede configurarse la misma contraseña para todas las conexiones. Sin embargo, con frecuencia conviene configurar una única contraseña para una línea a fin de proporcionar un recurso secundario para el ingreso administrativo al dispositivo si las demás conexiones están en uso.

Comandos de ejemplo utilizados para establecer una contraseña en las líneas vty:

Switch(config)# line vty 0 15

Switch(config-line)# password cisco

Switch(config-line)# exec-timeout 10

Switch(config-line)# login

De manera predeterminada, el IOS incluye el comando login en las líneas VTY. Esto impide el acceso al dispositivo mediante Telnet sin autenticación. Si por error se establece el comando no login, que elimina el requisito de autenticación, personas no autorizadas podrían conectarse a la línea a través de la red utilizando Telnet. Esto representaría un riesgo importante para la seguridad.

Exec Timeout, los tiempos de espera de ejecución se pueden configurar en los puertos de consola, vty y auxiliares. Desconecta a los usuarios después de estar los minutos especificados inactivos.

Seguridad adicional

Para asegurar que todas las contraseñas configuradas tengan una longitud mínima específica, utilice el comando security passwords min-length del modo de configuración global.

Router(config)# login block-for 120 attempts 3 within 60
Este comando bloquea los intentos de inicio de sesión durante 120 segundos si hay tres intentos de inicio de sesión fallidos en 60 segundos.

Encriptación de contraseñas

Existe otro comando de utilidad que impide que las contraseñas aparezcan como texto no cifrado cuando se visualizan los archivos de configuración: se trata del comando service password-encryption.

Este comando provee la encriptación de la contraseña cuando ésta se configura. El comando service password-encryption aplica una encriptación mínima a todas las contraseñas sin encriptar. Esta encriptación solo se aplica a las contraseñas del archivo de configuración; no a las contraseñas mientras se envían a través de los medios. El propósito de este comando es evitar que individuos no autorizados vean las contraseñas en el archivo de configuración.

Si se ejecuta el comando show running-config o show startup-config antes de ejecutar el comando service password-encryption, las contraseñas sin encriptar resultan visibles en el resultado de configuración. Ejecutar el comando service password-encryption en modo de configuración global y se aplicará la encriptación a las contraseñas. Una vez que se ha aplicado la encriptación, la cancelación del servicio de encriptación no revierte la encriptación.

Mensaje del día (MOTD)

El IOS proporciona varios tipos de avisos. Un aviso común es el mensaje del día (MOTD). Con frecuencia se usa para notificaciones legales ya que se visualiza en todos los terminales conectados.

Configure el MOTD con el comando banner motd del modo de configuración global.

El comando banner motd requiere el uso de delimitadores para identificar el contenido del mensaje de aviso. El comando banner motd va seguido de un espacio y un carácter delimitador. Luego, se ingresan una o más líneas de texto para representar el mensaje del aviso. Una segunda ocurrencia del carácter delimitador denota el final del mensaje. El carácter delimitador puede ser cualquier carácter siempre que no aparezca en el mensaje. Por este motivo, a menudo se usan símbolos como «#».

La sintaxis para configurar un MOTD en el modo de configuración global es la siguiente:

Switch(config)# banner motd # El uso del dispositivo es exclusivo del personal autorizado #

Una vez que se ha ejecutado el comando, aparecerá el aviso en todos los intentos posteriores de acceso al dispositivo hasta que el aviso se elimine.

Guardar y verificar configuración

Guardar la configuración mediante el comando copy run start
Router#copy running-config startup-config

Verificar la configuración mediante el comando
Router#show running-config