domingo, 29 de abril de 2012

Habilitando contraseñas en Switches y Routers

Una de las recomendaciones minímas de seguridad para switches y routers es la de habilitar un password para el acceso a la consola, al Privileged EXEC mode (modo privilegiado de comandos) y a las terminales virtuales o VTY's. Aunque mostramos los comandos para un switch, estos comandos sirven igualmente para un router.

Para asegurar el Privileged EXEC mode con un password, se ejecutan los siguientes comandos (se muestran en forma abreviada):

SW1> en
SW1# config t
SW1(config)# enable secret [the Password]
SW1(config)# exit
SW1# disable
Siempre se recomienda usar enable secret en lugar de enable password, porque el password se guarda de forma encriptada en la configuración.
Para quitar el password del Privileged EXEC mode se ejecutan los siguientes comandos:
SW1> en
Password: [Teclear the Password]
SW1# config t
SW1(config)# no enable secret 
SW1(config)# exit
SW1# disable

Para asegurar con un password la consola se ejecutan los siguientes comandos:

SW1> en
SW1# config t
SW1(config)# line con 0
SW1(config-line)# password [thePassword]
SW1(config-line)# login
SW1(config-line)# exit
SW1(config)# exit
SW1# disable
Para quitar el password de la consola se ejecutan los siguientes comandos:
User Access Verification

Password: [Teclear the Password]

SW1> en
SW1# config t
SW1(config)# line con 0
SW1(config-line)# no login
SW1(config-line)# exit
SW1(config)# exit
SW1# disable

Para asegurar las terminales virtuales con un password se ejecutan los siguientes comandos:

SW1>en
SW1# conf t
SW1(config)# line vty 0 15
SW1(config-line)# password [thePassword]
SW1(config-line)# login
SW1(config-line)# exit
Para quitar el password de las terminales virtuales se ejecutan los siguientes comandos:
SW1>en
SW1# conf t
SW1(config)# line vty 0 15
SW1(config-line)# no login
SW1(config-line)# exit

Es importante tener unas buenas políticas de contraseñas, por ejemplo no usar el mismo password para todos los switches o routers, ni tampoco usar password fáciles de adivinar como: cisco, Cisco123, router, etc.