Los cinco tipos de contraseñas para proteger tu router Cisco
En este artículo, nos centraremos en una excelente manera de garantizar la seguridad básica en un router Cisco: las contraseñas del router. Las contraseñas son la mejor defensa contra posibles hackers. No tener contraseñas en un router Cisco puede causar graves problemas. Sin embargo, debes tener en cuenta que el uso de contraseñas es solo la primera línea de defensa, y también debes contar con otras características de seguridad en tu red.
Seguridad incorporada en los routers Cisco
Cisco cuenta con algunas medidas de seguridad incorporadas en su sistema operativo de enrutamiento empresarial (IOS, por sus siglas en inglés). Por ejemplo, es imposible acceder mediante Telnet a un router Cisco a menos que un administrador configure una contraseña de Telnet o utilice el comando "No Login", que permite a los usuarios acceder mediante Telnet sin contraseña. De cualquier manera, algo tiene que estar configurado para que Telnet funcione. Además, no puedes acceder al modo privilegiado (que es el modo EXEC IOS que te permite ver o cambiar la configuración de un router) desde Telnet a menos que se establezca una contraseña de habilitación. Estas son características muy básicas de los routers Cisco y solo proporcionan cierta seguridad.
Modo de usuario y modo privilegiado
Antes de profundizar en el tema de las contraseñas, debes entender la diferencia entre el modo de usuario y el modo privilegiado. Ambos modos se llaman modo EXEC, y se utiliza un indicador para mostrarte en qué modo te encuentras.
Modo de usuario CLI
La interfaz de línea de comandos (CLI) del modo de usuario solo permite ver estadísticas de la interfaz y generalmente es utilizada por administradores junior para recopilar información para el personal senior. No queremos que personas con salarios altos dediquen su tiempo a recopilar estadísticas básicas de la red cuando un administrador junior podría hacerlo adecuadamente. Puedes acceder al modo de usuario de tres formas:
- Consola: Un conector RJ-45 en todos los routers Cisco te permite tener acceso completo al router si no se han establecido contraseñas.
- Auxiliar: Un conector RJ-45 en la mayoría de los routers te permite conectar un módem al puerto, marcar en el router y realizar una conexión mediante consola.
- VTY: El teletipo virtual se utiliza para permitir una conexión Telnet al router, lo que permite que funcione como un puerto de consola. Debes tener una interfaz activa en el router para que Telnet se conecte al router.
Lo más importante que debes entender sobre los tres modos de conexión es que solo te permiten acceder al modo de usuario. Para ver y cambiar la configuración, debes estar en modo privilegiado.
Modo privilegiado CLI
El modo privilegiado EXEC permite tener acceso completo a un router Cisco de forma predeterminada, y la configuración se puede ver y cambiar en este modo. Puedes ingresar al modo privilegiado ingresando primero en el modo de usuario y luego escribiendo el comando enable.
Guía completa para entender las direcciones IP y su importancia en redesEs importante recordar que para cambiar la configuración del router, debes estar en modo privilegiado EXEC. Los puertos de consola, auxiliar y VTY se utilizan solo para acceder al modo de usuario y no tienen nada que ver con la configuración del router.
Modo de configuración global
Una vez que estés en modo privilegiado, ingresas al modo de configuración global para realizar cambios en la configuración. Puedes realizar cambios escribiendo el comando configure terminal. Sin embargo, es preferible utilizar el comando abreviado config t. Esto te permite cambiar la configuración en ejecución, que es un archivo en la memoria RAM dinámica y es la configuración que el router está utilizando. Puedes guardar la configuración en ejecución en lo que se llama NVRAM (memoria RAM no volátil). El archivo que se copia en la NVRAM se llama configuración de inicio y es la configuración que se copia en la RAM cuando el router se reinicia o se enciende.
Una vez que escribas configure terminal en el modo privilegiado, tu indicador cambiará a lo siguiente:
Router#configure terminal
Router(config)#
Este indicador te indica que estás en el modo de configuración global. Desde aquí, puedes realizar cambios en el router que afectan a toda la configuración del mismo, de ahí el nombre de modo de configuración global. Por ejemplo, aquí es donde se configuran las contraseñas del router.
Si deseas cambiar la configuración de una interfaz, debes ingresar al modo de configuración de interfaz desde el modo de configuración global. Aquí tienes un ejemplo:
Cómo hacer subnetting de una red: guía completa y ejemplos prácticosRouter#configure terminal
Router(config)#interface fastethernet 0/0
Router(config-if)#
Observa el indicador Router(config-if)#, que te indica que estás en el modo de configuración de la interfaz. Desde aquí, puedes habilitar o deshabilitar la interfaz, agregar direcciones IP e IPX, entre otras cosas.
Las cinco contraseñas
Ahora que comprendes la diferencia entre el modo de usuario, el modo privilegiado y los modos de configuración global e interfaz, puedes establecer las contraseñas para cada nivel. A continuación, se encuentran las cinco contraseñas que puedes configurar en un router Cisco:
- Contraseña de consola
- Contraseña de auxiliar
- Contraseña de VTY (Telnet)
- Contraseña de habilitación
- Contraseña de habilitación secreta
Discutiremos cada una de estas contraseñas y cómo configurarlas en las secciones siguientes.
Contraseña de consola
Esta es la conexión básica a cada router. Para configurar inicialmente un router, debes conectarte al puerto de consola y, como mínimo, habilitar una interfaz y establecer la contraseña de VTY. Después de habilitar una interfaz y configurar las líneas de VTY, un administrador puede acceder mediante Telnet al router y realizar las configuraciones finales desde esa conexión. Sin embargo, el puerto de consola se puede utilizar para configurar la configuración completa en cualquier momento. Por lo tanto, es muy importante proteger el puerto de consola con una contraseña.
Para configurar una contraseña de modo de usuario en la consola, utiliza el comando Line en el modo de configuración global. Como solo hay un puerto de consola en todos los routers, el comando es:
Cómo subnetear una dirección de red de Clase B: guía completa y ejemplosline console 0
Aquí tienes un ejemplo:
Router#config t
Router(config)#line console 0
Router(config-line)#
Observa que el indicador cambió a Router(config-line)#. Este indicador te indica que estás configurando las líneas de consola, auxiliar o VTY.
Para terminar de configurar el puerto de consola, puedes utilizar otros dos comandos:
- Login: Este comando le indica al router que busque la contraseña en la configuración de la línea de consola. Si no usas este comando, no se te pedirá una contraseña al conectarte al puerto de consola del router.
- Password: Este comando establece la contraseña de modo de usuario de la consola. Distingue entre mayúsculas y minúsculas.
El comando completo se verá así:
Cómo utilizar la utilidad Nslookup para solucionar problemas de DNSRouter#config t
Router(config)#line console 0
Router(config-line)#login
Router(config-line)#password todd
Contraseña de auxiliar
En algunos routers, el puerto auxiliar se denomina puerto auxiliar, y en otros, puerto auxiliar. Para conocer el nombre completo en la línea de comandos de tu router, utiliza el signo de interrogación con el comando Line, como se muestra a continuación:
Router(config)#line ?
< 0-4> First Line Number
aux Auxiliary line
console Primary terminal line
vty Virtual terminal
En este punto, puedes elegir el comando correcto que necesitas. Aquí tienes un ejemplo de cómo configurar el puerto auxiliar de un router Cisco para solicitar una contraseña de modo de usuario con un cable de consola conectado (este puerto se puede utilizar con o sin un módem):
Router#config t
Router(config)#line aux 0
Router(config-line)#login
Router(config-line)#password cisco
Contraseña de VTY (Telnet)
Las líneas Virtual Teletype (VTY) se utilizan para configurar el acceso mediante Telnet a un router Cisco. Como mencioné anteriormente, las líneas VTY deben configurarse para que Telnet tenga éxito.
Anatomía de los paquetes TCP/IP: UDPEste es un ejemplo del intento de un administrador de Telnetear a un router que no tiene configuradas las líneas VTY:
Contraseña no establecida, conexión rechazada
Esta es la configuración predeterminada en todos los routers Cisco.
Para configurar las líneas VTY, debes utilizar el signo de interrogación con el comando line 0 para determinar el número de líneas disponibles en tu router. El número varía según el tipo de router y la versión de IOS. Sin embargo, cinco es el número más común de líneas.
Router#config t
Router(config)#line vty 0 ?
<0-4> Last Line Number
<cr>
Router(config)#line vty 0 4
Router(config-line)#login
Router(config-line)#password cisco
Observa que eliges todas las líneas disponibles para una configuración más eficiente. Puedes establecer cada línea individualmente, pero esto puede causar problemas porque no puedes elegir la línea con la que ingresas al router cuando haces Telnet.
Cómo solucionar problemas de conexión VPN cuando se utiliza NATPuedes indicarle al router que permita conexiones Telnet sin contraseña utilizando el comando No Login:
Router(config)#line vty 0 4
Router(config-line)#no login
Contraseña de habilitación
La contraseña de habilitación se utiliza para permitir la seguridad en un router Cisco cuando un administrador intenta pasar del modo de usuario al modo privilegiado. La contraseña de habilitación es una contraseña antigua y sin cifrar que solicitará una contraseña al utilizarse desde el modo privilegiado. Puedes establecer la contraseña de habilitación desde el modo EXEC de configuración global utilizando el comando enable password password.
Aquí tienes un ejemplo:
Router#config t
Router(config)#enable password lammle
Router(config)#exit
Router#disable (el comando disable te lleva de vuelta al modo de usuario desde el modo privilegiado)
Router>enable
Enter password:
Contraseña de habilitación secreta
La contraseña de habilitación secreta logra lo mismo que la contraseña de habilitación. Sin embargo, está cifrada de forma predeterminada y sustituye a la contraseña de habilitación si se establece. En otras palabras, si estableces la contraseña de habilitación y luego estableces la contraseña de habilitación secreta, nunca se utilizará la contraseña de habilitación.
Cómo utilizar la utilidad NETSTAT para solucionar problemas de conectividad TCP/IP en WindowsPuedes establecer la contraseña de habilitación secreta desde el modo de configuración global utilizando el comando:
enable secret password
Aquí tienes un ejemplo:
Router#config t
Router(config)#enable secret san jose
Cifrado de contraseñas
Las contraseñas de las líneas de comando (consola, auxiliar y VTY) no están cifradas de forma predeterminada y se pueden ver ingresando al modo privilegiado de EXEC y escribiendo el comando show running-config. Esto muestra la configuración completa que está ejecutando el router, incluyendo todas las contraseñas. Recuerda que la contraseña de habilitación secreta está cifrada de forma predeterminada, pero las otras cuatro no lo están. Para cifrar tus contraseñas, utiliza el comando de configuración global:
service password-encryption
Cuál es el mejor protocolo de enrutamiento para su red Análisis y recomendaciones.Aquí tienes un ejemplo de cómo realizar el cifrado manual de contraseñas (así como un ejemplo de cómo establecer las cinco contraseñas):
Router#config t
Router(config)#service password-encryption
Router(config)#enable password todd
Router(config)#line vty 0 4
Router(config-line)#login
Router(config-line)#password todd
Router(config-line)#line con 0
Router(config-line)#login
Router(config-line)#password cisco
Router(config-line)#line aux 0
Router(config-line)#login
Router(config-line)#password sanjose
Router(config-line)#exit
Router(config)#no service password-encryption
Router(config)#enable secret lammle
Router(config)#^Z
Todas las contraseñas pueden ser iguales, excepto las contraseñas de habilitación y habilitación secreta. Sin embargo, por motivos de seguridad, se recomienda que sean diferentes.
Conclusion
Es extremadamente importante establecer contraseñas en todos los routers Cisco de tu empresa. Si estás estudiando para tus exámenes de certificación de Cisco, asegúrate de comprender las contraseñas y cómo configurarlas. Recuerda la diferencia entre la contraseña de habilitación secreta y la contraseña de habilitación, y que la contraseña de habilitación secreta tiene prioridad sobre la contraseña de habilitación si está establecida.
Qué es Bluetooth y cómo funcionaEn Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Redes, allí encontraras muchos artículos similares a Los cinco tipos de contraseñas para proteger tu router Cisco , tenemos lo ultimo en tecnología 2023.
Artículos Relacionados