Professional Documents
Culture Documents
De forma predeterminada, el software IOS de Cisco deja contraseas en texto sin cifrar
cuando se introducen en un router. Esto no es seguro, ya que cualquiera que pase por detrs
suyo mientras observa la configuracin de un router podra espiar por encima de su hombro
y ver la contrasea.
Si se usa el comando enable password o el comando username username password
password estas contraseas se mostraran al observar la configuracin en ejecucin.
Ejemplo:
R1(config)# username Student password cisco123
R1(config)# do show run | include username
username Student password 0 cisco123
R1(config)#
El 0 que aparece en la configuracin en ejecucin indica que la contrasea no est oculta.
Por este motivo, todas las contraseas deben estar encriptadas en un archivo de
configuracin. El IOS de Cisco ofrece dos esquemas de proteccin de contraseas:
Ejemplo
Configurar las contraseas del Router
De manera predeterminada, todas las lneas de VTY estn configuradas para aceptar
cualquier tipo de conexin remota. Por razones de seguridad, las lneas de VTY se deben
configurar para aceptar conexiones slo con los protocolos realmente necesarios. Esto se
hace mediante el comando transport input. Por ejemplo, un VTY que debe recibir slo
sesiones de Telnet estara configurado con transport input telnet, y un VTY que permite las
sesiones de Telnet y de SSH estara configurado con transport input telnet ssh
Ejemplo
Otra tctica til es configurar los tiempos de espera de los VTY mediante el comando exectimeout. Esto impide que una sesin inactiva consuma el VTY en forma indefinida. A
pesar de que su eficacia contra los ataques deliberados es relativamente limitada,
proporciona algo de proteccin contra las sesiones que se dejan accidentalmente inactivas.
Del mismo modo, la activacin de los mensajes de actividad de TCP en las conexiones
entrantes mediante el comando service tcp-keepalives-in puede ayudar a resguardarse de
los ataques maliciosos y de las sesiones hurfanas provocadas por colapsos del sistema
remoto.
Ejemplo
SSH reemplaz a Telnet como la mejor prctica para proporcionar administracin remota
de los routers con conexiones que admiten una slida privacidad e integridad de las
sesiones. SSH utiliza el puerto TCP 22. Brinda una funcionalidad similar a la de una
conexin Telnet saliente, con la excepcin de que la conexin se encuentra encriptada.
Mediante la autenticacin y la encriptacin, SSH hace posibles las comunicaciones seguras
a travs de una red insegura
Los routers Cisco pueden actuar como cliente y servidor SSH. De manera predeterminada,
ambas funciones se encuentran activadas en el router cuando se activa SSH. Como cliente,
un router puede realizar un SSH a otro router. Como servidor, un router puede aceptar
conexiones SSH cliente.
los
parmetros
de
configuracin
Tiempos de espera
Reintentos
Los siguientes pasos configuran el SSH en un router
opcionales
se
encuentran:
Para conectarse a un router configurado con un SSH, debe utilizar una aplicacin de SSH
cliente como PuTTY o TeraTerm. Debe asegurarse de elegir la opcin SSH y de que
utilice el puerto TCP 22.
Modo interactivo: este modo le indica opciones para activar y desactivar servicios y otras
caractersticas de seguridad. Es el modo predeterminado.
Modo no interactivo: ejecuta automticamente el comando auto secure con la
configuracin predeterminada recomendada de Cisco. Este modo se activa con la opcin
del comando no-interact.
Los datos que debemos de ingresar en el Comando auto secure son los siguientes
Detalles de la interfaz
Ttulos
Contraseas
SSH
Caractersticas del firewall del IOS
Ahora, el router R1 debe estar configurado con los valores adecuados para conectarse al
servidor TFTP.
Si se pierde la imagen del IOS de Cisco, el router cambia al modo ROMmon cuando
arranca. ROMmon es compatible con Xmodem. Con esa capacidad, el router puede
comunicarse con una aplicacin de emulacin de terminal, como HyperTerminal, en la PC
del administrador del sistema. Un administrador del sistema que tiene una copia de la
imagen del IOS de Cisco en una PC puede restaurarla al router estableciendo una conexin
de consola entre la PC y el router, y ejecutando Xmodem desde HyperTerminal.
Paso 1. Conecte los dispositivos
Conecte la PC del administrador del sistema al puerto de consola del router afectado. Abra
una sesin de emulacin de terminal entre el router R1 y la PC del administrador del
sistema.
Paso 4. Explore la ubicacin de la imagen del IOS de Cisco que desea transferir y elija el
protocolo Xmodem. Haga clic en Send. Aparece un cuadro de dilogo en donde se muestra
el estado de la descarga. El host y el router comienzan a transferir la informacin despus
de varios segundos.