Apuntes de Kirby
  • 👀whoami
  • 🦉Redes
    • Introducción Redes
      • Organizaciones
      • Historia
      • Puntos de conexión
      • Métodos de acceso a la red
    • Clasificación de las redes
    • Topología de las red
    • Direccionamiento IP
      • IPv4
        • Subredes IPv4
        • Superredes IPv4
        • VLSM
      • IPv6
      • MAC
      • NAT
    • Enrutamiento estático
    • Enrutamiento dinámico
      • RIPv1 & RIPv2
      • Tablas de enrutamiento
      • 🚧Redes conmutadas
    • CML
      • 🚧1er CML lab
    • CISCO
      • ¿Qué son las VLAN?
        • Ejemplo 1 de VLAN
        • Ejemplo 2 de VLAN
      • Acceso y password
      • NAT / PAT
    • Firewalls
      • Tipos de firewalls
      • ZPF
        • Funcionamiento
        • Configurando un ZPF
      • Sophos Firewall XG
        • Sophos home
        • Aprendiendo a usar Sophos
      • pfSense
        • Instalando pfSense
        • OpenVPN en pfSense
        • Port Forward
        • Alias
    • Proxy
      • Squid en pfSense
        • Squid Proxy Server
        • SquidGuard Proxy
      • Proxy reverse Nginx
    • 🚧Suricata
  • 🐝Servicios
    • Servidores Web
      • Nginx
        • NGINX, hosts virtuales
        • Hosts virtuales basados en dominio
        • PHP-FPM
        • Nginx: PHP y MySQL
          • MySQLi - PHP
        • En Alpine linux
        • 🚧Proxy
    • Servidores de correo
      • Seguridad en el correo
      • Postfix
      • hMailServer
      • Clientes de correo
        • Mailutils
        • Mutt
    • Servidores de FTP
      • FileZilla
      • VSFTPD
      • FTP vía IIS
    • Servidores DNS
      • DNS - Windows Server 2016
      • DNS - Ubuntu Server 22.04
      • Systemd
    • Servidores DHCP
      • DHCP-Windows Server 2016
      • DHCP-Ubuntu Server 22.04
    • Servidores MySQL
    • 🚧Mensajería instantánea
      • Ejabberd
    • 🚧Imágenes - Vídeos
      • FFMPEG + YT-DLP
      • Plex
      • Jellyfin
      • Plesk
      • RTMP
      • SRT
    • Webmin + Virtualmin
  • NextCloud
  • 🔑Seguridad
    • NAS
      • Instalación Synology NAS en VirtualBox
        • Creación de volúmenes y su uso
        • Actualización Synology NAS
        • Creación de usuarios y carpetas compartidas
        • Funciones del panel de control
          • Acceso por SSH
          • Configuración de los servicios de archivos
          • Configuración de red
          • Copias de seguridad (restauración)
          • Seguridad
          • Personalizar páginas de inicio
          • Servicio de notificaciones
        • Centro de paquetes Synology
          • Servidores multimedia
          • Paquetes de utilidades
          • Cloud Sync
          • Hyper Backup
          • Synology Office
      • Truenas
        • Rsync en Truenas
      • OpenmediaVault
    • Backups
      • Rsync
        • Ejemplo de rsync
    • ¿Qué son las ACL?
    • SOPS/AGE
    • RAID
      • mdadm
  • 🐳Virtualización
    • Proxmox
      • Instalar en VMWare
      • Instalar en VirtualBox
      • Entorno Proxmox
      • Almacenamiento local
      • Añadir discos
      • Clonar
      • Qemu agent
      • Linux container - LXC
      • Clúster
      • Red Interna
      • 🚧Proxmox Backup
      • 🚧Otras consideraciones
    • Alpine Linux
    • Contenedores
      • Docker
        • YAML
        • Instalando Docker
        • Portainer
          • Instalando Portainer
          • Dentro de Portainer
        • Docker volumen
        • Docker compose
          • Docker: PHP y MySQL
          • Importar sitio web en Docker
          • Instalando Wordpress
      • Pi-hole
        • Instalando Pi-hole en Docker
        • Instalando Pi-hole en Debian
        • RDP
          • RDP - Docker
  • 🐞Misceláneas
    • Datos - codificación
    • IPTables
    • Túnel con Cloudflare
    • Servidor de video
    • Comandos de Linux
    • Anaconda & Spyder
    • CGI - NGINX
    • Arduino
      • Capítulo 0 Blink
      • Capítulo 1 Led
      • Capítulo 2 Botton & LED
  • ⁉️Interesante
    • Curioso
    • Ideas
Powered by GitBook
On this page
  • Modos de subconfiguración
  • Contraseña para acceder por la línea de consola, terminales virtuales y conexión auxiliar
  • Activar contraseña para acceder por terminales virtuales
  • Activar contraseña para acceder por la conexión auxiliar
  • Activar contraseña en el modo EXEC privilegiado
  • Cifrando las contraseñas
  • Mensajes de aviso

Was this helpful?

Edit on GitHub
  1. Redes
  2. CISCO

Acceso y password

Utilizar contraseñas débiles sigue siendo la mayor preocupación de seguridad de las organizaciones. Los dispositivos de red, incluyendo los routers domésticos, siempre deben tener contraseñas configuradas para limitar el acceso administrativo. Nunca dejemos la contraseña por defecto en nuestro router en casa!

En Cisco IOS podemos utilizar contraseñas en modo jerárquico y permitir diferentes privilegios de acceso al dispositivo.

A todos los switches o routers se les debe limitar el acceso administrativo asegurando:

  • EXEC privilegiado

  • EXEC de usuario y, el

  • Acceso Telnet remoto con contraseñas.

Además, todas las contraseñas deben estar cifradas así como mostrar notificaciones legales.

Al elegir contraseñas, debemos usar contraseñas seguras que no sean fáciles de adivinar.

Algunos aspectos a considerar al seleccionar una contraseña:

  • Tener más de ocho caracteres de longitud.

  • Usar una combinación de letras mayúsculas y minúsculas, números, caracteres especiales o secuencias numéricas.

  • Evitar el uso de la misma contraseña para todos los dispositivos.

  • No usar palabras comunes porque se adivinan fácilmente.

Modos de subconfiguración

Existen diversos tipos de modos de subconfiguración. Si queremos acceder al modo de subconfiguración de línea, debemos utilizar el comando line seguido del tipo de línea de administración y el número al que deseamos acceder.

Para salir de un modo de subconfiguración y volver al modo de configuración global usamos el comando exit.

Para pasar de cualquier modo de subconfiguración del modo de configuración global a un nivel por encima en la jerarquía de modos, escribimos el comando exit.

Para pasar de cualquier modo de subconfiguración al modo EXEC privilegiado, ingresamos el comando end o escribimos la combinación de teclas. Ctrl+Z.

Contraseña para acceder por la línea de consola, terminales virtuales y conexión auxiliar

Cuando nos conectamos a un dispositivo, nos encontramos en modo EXEC de usuario, que está protegido usando la consola.

Para proteger el acceso al modo EXEC del usuario:

En el comando de configuración line console 0 global el cero representa la primera y en la única) interfaz de consola. 

enable
configure terminal
hostname R1
line console 0
password cisco
login
exit

Para tener acceso como administrador a todos los comandos del sistema, incluida la configuración del dispositivo, debemos obtener acceso en modo EXEC privilegiado. Recordemos que es el método de acceso más importante porque proporciona acceso completo al dispositivo.

Para asegurar el acceso privilegiado a EXEC, usamos el comando enable secret password global config, como se muestra en el ejemplo.

enable
configure terminal
SW1(config)# enable secret class
SW1(config)# exit
SW1#

Activar contraseña para acceder por terminales virtuales

Las líneas de terminal virtual (VTY) permiten el acceso remoto utilizando Telnet o SSH al dispositivo.

Muchos switches de Cisco admiten hasta 16 líneas VTY, de 0 al 15.

Para poder proteger las VTY, debemos acceder al modo VTY de línea y después, especificar la contraseña de VTY. Por último, habilitar el acceso a VTY con el comando login.

enable
configure terminal
line vty 0 15
password cisco
login
end

Activar contraseña para acceder por la conexión auxiliar

line aux 0
password cisco
login
exit

Lo malo de esto es que la contraseña aparece en texto plano, sin cifrar. Lo podemos ver haciendo

show running-config

Por tanto, lo ideal sería cifrar todas las contraseñas. Vamos allá:

service password-encryption

Ahora si aparecen cifradas todas las contraseñas.

Activar contraseña en el modo EXEC privilegiado

Si queremos securizar el acceso al modo EXEC de usuario cn privilegios, podemos hacer.

configure terminal
enable password cisco 
enable secret class

Cifrando las contraseñas

Los archivos startup-config y running-config muestran la mayoría de las contraseñas en texto plano y está claro que es una amenaza de seguridad flagrante porque cualquiera puede descubrir las contraseñas si tiene acceso a estos archivos.

Para cifrar las contraseñas de texto sin formato, utilizamos el comando service password-encryption global config como se muestra en el ejemplo.

SW1# configure terminal
SW1(config)# service password-encryption
SW1(config)#

El comando aplica un cifrado débil (MD5) a todas las contraseñas no cifradas. Esta encriptación solo se aplica a las contraseñas del archivo de configuración; no a las contraseñas mientras se envían a través de los medios.

El propósito de este comando es evitar que individuos no autorizados vean las contraseñas en el archivo de configuración.

Mensajes de aviso

Pedir contraseñas de acceso a los dispositivos es una forma de mantener al personal no autorizado fuera de la red, sin embargo es vital proporcionar un método para declarar que solo el personal autorizado debe intentar acceder al dispositivo.

Para ello debemos crear un aviso que muestre por consola un mensaje.

Nota: Los avisos pueden ser una parte importante en los procesos legales en el caso de una demanda por el ingreso no autorizado a un dispositivo. Algunos sistemas legales no permiten la acusación, y ni siquiera el monitoreo de los usuarios, a menos que haya una notificación visible.

SW1# enable
SW1# configure terminal
SW1(config)# banner motd #Authorized Access Only#
SW1#(config)# end

PreviousEjemplo 2 de VLANNextNAT / PAT

Last updated 4 months ago

Was this helpful?

🦉