Los cinco tipos de contraseñas para proteger tu router Cisco

En este artículo, nos centraremos en una excelente manera de garantizar la seguridad básica en un router Cisco: las contraseñas del router. Las contraseñas son la mejor defensa contra posibles hackers. No tener contraseñas en un router Cisco puede causar graves problemas. Sin embargo, debes tener en cuenta que el uso de contraseñas es solo la primera línea de defensa, y también debes contar con otras características de seguridad en tu red.

Índice de Contenido
  1. Seguridad incorporada en los routers Cisco
  2. Modo de usuario y modo privilegiado
    1. Modo de usuario CLI
    2. Modo privilegiado CLI
  3. Modo de configuración global
  4. Las cinco contraseñas
    1. Contraseña de consola
    2. Contraseña de auxiliar
    3. Contraseña de VTY (Telnet)
    4. Contraseña de habilitación
    5. Contraseña de habilitación secreta
    6. Cifrado de contraseñas
  5. Conclusion

Seguridad incorporada en los routers Cisco

Cisco cuenta con algunas medidas de seguridad incorporadas en su sistema operativo de enrutamiento empresarial (IOS, por sus siglas en inglés). Por ejemplo, es imposible acceder mediante Telnet a un router Cisco a menos que un administrador configure una contraseña de Telnet o utilice el comando "No Login", que permite a los usuarios acceder mediante Telnet sin contraseña. De cualquier manera, algo tiene que estar configurado para que Telnet funcione. Además, no puedes acceder al modo privilegiado (que es el modo EXEC IOS que te permite ver o cambiar la configuración de un router) desde Telnet a menos que se establezca una contraseña de habilitación. Estas son características muy básicas de los routers Cisco y solo proporcionan cierta seguridad.

Modo de usuario y modo privilegiado

Antes de profundizar en el tema de las contraseñas, debes entender la diferencia entre el modo de usuario y el modo privilegiado. Ambos modos se llaman modo EXEC, y se utiliza un indicador para mostrarte en qué modo te encuentras.

Modo de usuario CLI

La interfaz de línea de comandos (CLI) del modo de usuario solo permite ver estadísticas de la interfaz y generalmente es utilizada por administradores junior para recopilar información para el personal senior. No queremos que personas con salarios altos dediquen su tiempo a recopilar estadísticas básicas de la red cuando un administrador junior podría hacerlo adecuadamente. Puedes acceder al modo de usuario de tres formas:

  • Consola: Un conector RJ-45 en todos los routers Cisco te permite tener acceso completo al router si no se han establecido contraseñas.
  • Auxiliar: Un conector RJ-45 en la mayoría de los routers te permite conectar un módem al puerto, marcar en el router y realizar una conexión mediante consola.
  • VTY: El teletipo virtual se utiliza para permitir una conexión Telnet al router, lo que permite que funcione como un puerto de consola. Debes tener una interfaz activa en el router para que Telnet se conecte al router.

Lo más importante que debes entender sobre los tres modos de conexión es que solo te permiten acceder al modo de usuario. Para ver y cambiar la configuración, debes estar en modo privilegiado.

Modo privilegiado CLI

El modo privilegiado EXEC permite tener acceso completo a un router Cisco de forma predeterminada, y la configuración se puede ver y cambiar en este modo. Puedes ingresar al modo privilegiado ingresando primero en el modo de usuario y luego escribiendo el comando enable.

Guía completa para entender las direcciones IP y su importancia en redes

Es importante recordar que para cambiar la configuración del router, debes estar en modo privilegiado EXEC. Los puertos de consola, auxiliar y VTY se utilizan solo para acceder al modo de usuario y no tienen nada que ver con la configuración del router.

Modo de configuración global

Una vez que estés en modo privilegiado, ingresas al modo de configuración global para realizar cambios en la configuración. Puedes realizar cambios escribiendo el comando configure terminal. Sin embargo, es preferible utilizar el comando abreviado config t. Esto te permite cambiar la configuración en ejecución, que es un archivo en la memoria RAM dinámica y es la configuración que el router está utilizando. Puedes guardar la configuración en ejecución en lo que se llama NVRAM (memoria RAM no volátil). El archivo que se copia en la NVRAM se llama configuración de inicio y es la configuración que se copia en la RAM cuando el router se reinicia o se enciende.

Una vez que escribas configure terminal en el modo privilegiado, tu indicador cambiará a lo siguiente:

Router#configure terminal
Router(config)#

Este indicador te indica que estás en el modo de configuración global. Desde aquí, puedes realizar cambios en el router que afectan a toda la configuración del mismo, de ahí el nombre de modo de configuración global. Por ejemplo, aquí es donde se configuran las contraseñas del router.

Si deseas cambiar la configuración de una interfaz, debes ingresar al modo de configuración de interfaz desde el modo de configuración global. Aquí tienes un ejemplo:

Cómo hacer subnetting de una red: guía completa y ejemplos prácticos

Router#configure terminal
Router(config)#interface fastethernet 0/0
Router(config-if)#

Observa el indicador Router(config-if)#, que te indica que estás en el modo de configuración de la interfaz. Desde aquí, puedes habilitar o deshabilitar la interfaz, agregar direcciones IP e IPX, entre otras cosas.

Las cinco contraseñas

Ahora que comprendes la diferencia entre el modo de usuario, el modo privilegiado y los modos de configuración global e interfaz, puedes establecer las contraseñas para cada nivel. A continuación, se encuentran las cinco contraseñas que puedes configurar en un router Cisco:

  • Contraseña de consola
  • Contraseña de auxiliar
  • Contraseña de VTY (Telnet)
  • Contraseña de habilitación
  • Contraseña de habilitación secreta

Discutiremos cada una de estas contraseñas y cómo configurarlas en las secciones siguientes.

Contraseña de consola

Esta es la conexión básica a cada router. Para configurar inicialmente un router, debes conectarte al puerto de consola y, como mínimo, habilitar una interfaz y establecer la contraseña de VTY. Después de habilitar una interfaz y configurar las líneas de VTY, un administrador puede acceder mediante Telnet al router y realizar las configuraciones finales desde esa conexión. Sin embargo, el puerto de consola se puede utilizar para configurar la configuración completa en cualquier momento. Por lo tanto, es muy importante proteger el puerto de consola con una contraseña.

Para configurar una contraseña de modo de usuario en la consola, utiliza el comando Line en el modo de configuración global. Como solo hay un puerto de consola en todos los routers, el comando es:

Cómo subnetear una dirección de red de Clase B: guía completa y ejemplos

line console 0

Aquí tienes un ejemplo:

Router#config t
Router(config)#line console 0
Router(config-line)#

Observa que el indicador cambió a Router(config-line)#. Este indicador te indica que estás configurando las líneas de consola, auxiliar o VTY.

Para terminar de configurar el puerto de consola, puedes utilizar otros dos comandos:

  • Login: Este comando le indica al router que busque la contraseña en la configuración de la línea de consola. Si no usas este comando, no se te pedirá una contraseña al conectarte al puerto de consola del router.
  • Password: Este comando establece la contraseña de modo de usuario de la consola. Distingue entre mayúsculas y minúsculas.

El comando completo se verá así:

Cómo utilizar la utilidad Nslookup para solucionar problemas de DNS

Router#config t
Router(config)#line console 0
Router(config-line)#login
Router(config-line)#password todd

Contraseña de auxiliar

En algunos routers, el puerto auxiliar se denomina puerto auxiliar, y en otros, puerto auxiliar. Para conocer el nombre completo en la línea de comandos de tu router, utiliza el signo de interrogación con el comando Line, como se muestra a continuación:

Router(config)#line ?
< 0-4> First Line Number
aux           Auxiliary line
console       Primary terminal line
vty           Virtual terminal

En este punto, puedes elegir el comando correcto que necesitas. Aquí tienes un ejemplo de cómo configurar el puerto auxiliar de un router Cisco para solicitar una contraseña de modo de usuario con un cable de consola conectado (este puerto se puede utilizar con o sin un módem):

Router#config t
Router(config)#line aux 0
Router(config-line)#login
Router(config-line)#password cisco

Contraseña de VTY (Telnet)

Las líneas Virtual Teletype (VTY) se utilizan para configurar el acceso mediante Telnet a un router Cisco. Como mencioné anteriormente, las líneas VTY deben configurarse para que Telnet tenga éxito.

Anatomía de los paquetes TCP/IP: UDP

Este es un ejemplo del intento de un administrador de Telnetear a un router que no tiene configuradas las líneas VTY:

Contraseña no establecida, conexión rechazada

Esta es la configuración predeterminada en todos los routers Cisco.

Para configurar las líneas VTY, debes utilizar el signo de interrogación con el comando line 0 para determinar el número de líneas disponibles en tu router. El número varía según el tipo de router y la versión de IOS. Sin embargo, cinco es el número más común de líneas.

Router#config t
Router(config)#line vty 0 ?
<0-4>  Last Line Number
<cr>
Router(config)#line vty 0 4
Router(config-line)#login
Router(config-line)#password cisco

Observa que eliges todas las líneas disponibles para una configuración más eficiente. Puedes establecer cada línea individualmente, pero esto puede causar problemas porque no puedes elegir la línea con la que ingresas al router cuando haces Telnet.

Cómo solucionar problemas de conexión VPN cuando se utiliza NAT

Puedes indicarle al router que permita conexiones Telnet sin contraseña utilizando el comando No Login:

Router(config)#line vty 0 4
Router(config-line)#no login

Contraseña de habilitación

La contraseña de habilitación se utiliza para permitir la seguridad en un router Cisco cuando un administrador intenta pasar del modo de usuario al modo privilegiado. La contraseña de habilitación es una contraseña antigua y sin cifrar que solicitará una contraseña al utilizarse desde el modo privilegiado. Puedes establecer la contraseña de habilitación desde el modo EXEC de configuración global utilizando el comando enable password password.

Aquí tienes un ejemplo:

Router#config t
Router(config)#enable password lammle
Router(config)#exit
Router#disable (el comando disable te lleva de vuelta al modo de usuario desde el modo privilegiado)
Router>enable
Enter password:

Contraseña de habilitación secreta

La contraseña de habilitación secreta logra lo mismo que la contraseña de habilitación. Sin embargo, está cifrada de forma predeterminada y sustituye a la contraseña de habilitación si se establece. En otras palabras, si estableces la contraseña de habilitación y luego estableces la contraseña de habilitación secreta, nunca se utilizará la contraseña de habilitación.

Cómo utilizar la utilidad NETSTAT para solucionar problemas de conectividad TCP/IP en Windows

Puedes establecer la contraseña de habilitación secreta desde el modo de configuración global utilizando el comando:

enable secret password

Aquí tienes un ejemplo:

Router#config t
Router(config)#enable secret san jose

Cifrado de contraseñas

Las contraseñas de las líneas de comando (consola, auxiliar y VTY) no están cifradas de forma predeterminada y se pueden ver ingresando al modo privilegiado de EXEC y escribiendo el comando show running-config. Esto muestra la configuración completa que está ejecutando el router, incluyendo todas las contraseñas. Recuerda que la contraseña de habilitación secreta está cifrada de forma predeterminada, pero las otras cuatro no lo están. Para cifrar tus contraseñas, utiliza el comando de configuración global:

service password-encryption

Cuál es el mejor protocolo de enrutamiento para su red Análisis y recomendaciones.

Aquí tienes un ejemplo de cómo realizar el cifrado manual de contraseñas (así como un ejemplo de cómo establecer las cinco contraseñas):

Router#config t
Router(config)#service password-encryption
Router(config)#enable password todd
Router(config)#line vty 0 4
Router(config-line)#login
Router(config-line)#password todd
Router(config-line)#line con 0
Router(config-line)#login
Router(config-line)#password cisco
Router(config-line)#line aux 0
Router(config-line)#login
Router(config-line)#password sanjose
Router(config-line)#exit
Router(config)#no service password-encryption
Router(config)#enable secret lammle
Router(config)#^Z

Todas las contraseñas pueden ser iguales, excepto las contraseñas de habilitación y habilitación secreta. Sin embargo, por motivos de seguridad, se recomienda que sean diferentes.

Conclusion

Es extremadamente importante establecer contraseñas en todos los routers Cisco de tu empresa. Si estás estudiando para tus exámenes de certificación de Cisco, asegúrate de comprender las contraseñas y cómo configurarlas. Recuerda la diferencia entre la contraseña de habilitación secreta y la contraseña de habilitación, y que la contraseña de habilitación secreta tiene prioridad sobre la contraseña de habilitación si está establecida.

Qué es Bluetooth y cómo funciona

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Redes, allí encontraras muchos artículos similares a Los cinco tipos de contraseñas para proteger tu router Cisco , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.