En este post veremos cómo podemos llegar a incrementar la seguridad de nuestros Switches y Routers con unas configuraciones básicas, las cuales considero que deberían de utilizarse por defecto.
Encriptación de claves - Acceso al modo EXEC
A la hora de crear la clave de acceso al modo EXEC tenemos dos variantes, una es con el comando enable password, esta crea una clave sin cifrar, o sea, texto plano. La otra alternativa es con el comando enable secret, este creará una clave cifrada. Podremos verificar si la clave se encuentra cifrada ejecutando el comando sh running-config tal como se muestra en el ejemplo:
SW-01#sh running-config
Building configuration...
Current configuration : 1280 bytes
!
version 12.2
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname SW-01
!
enable secret 5 $1$mERr$NIHzy3XHwdUmeFfbuiMHp1
enable password netar
!
Vemos que la clave generada por el comando enable secret no es legible, mientras que la clave generada con enable password sí lo es. Claramente es recomendable generar la clave encriptada.
Encriptación de claves - Acceso al modo Telnet y SSH
Al generar la clave para acceder por Telnet y/o SSH sucederá lo mismo que al utilizar el comando enable password, o sea, no estarán cifradas. Lo mismo sucederá con la clave de los usuarios que demos de alta para ingresar con SSH.
Para solucionar esto utilizaremos el siguiente comando que cifrará todas las claves existentes:
SW-01#
SW-01#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
SW-01(config)#service password-encryption
SW-01(config)#end
SW-01#
Configuración antes de utilizar el comando:
SW-01#sh running-config
(se omite información no relevante)
!
username victor privilege 1 password 0 netar
!
line con 0
password netar
login
!
line vty 0 4
password netar
login
line vty 5 15
password netar
login
!
(se omite información no relevante)
SW-01#
Configuración luego de utilizar el comando:
SW-01#sh running-config
(se omite información no relevante)
!
username victor privilege 1 password 7 082F495A080B
!
line con 0
password 7 082F495A080B
login
!
line vty 0 4
password 7 082F495A080B
login
line vty 5 15
password 7 082F495A080B
login
!
(se omite información no relevante)
SW-01#
Podemos ver que luego de utilizar el comando service password-encryption las claves ya no se pueden leer.
Conexión Telnet vs SSH
Ambas conexiones remotas nos permiten administrar el dispositivo sin tener que estar conectados a él de forma directa con un cable Consola. La diferencie entre estos dos protocolos radica en que los datos de la conexión por Telnet viajan a través de la red en formato de texto plano siendo fáciles de descifrar en caso de ser capturados por un sniffer, mientras que SSH cifra la información que envía por la red.
Si queremos limitar el acceso remoto a nuestros dispositivos para que solamente se pueda acceder con SSH deberemos de utilizar los siguientes comandos:
SW-01(config)#
SW-01(config)#line vty 0 15
SW-01(config-line)#transport input ssh
SW-01(config-line)#end
SW-01#
Esto hará que todas las conexiones por Telnet sean cerradas siendo SSH el único protocolo aceptado para las conexiones entrantes.
Por último, podemos indicar si utilizaremos SSHv1 o SSHv2. La versión 2 contempla mejoras con respecto a la primer versión. Para más info ver SSH.
SW-01(config)#
SW-01(config)#ip ssh version 2
SW-01(config)#
Se deja el vídeo donde se realizan todas las configuraciones explicadas y sus respectivas comprobaciones.
Por último, podemos indicar si utilizaremos SSHv1 o SSHv2. La versión 2 contempla mejoras con respecto a la primer versión. Para más info ver SSH.
SW-01(config)#
SW-01(config)#ip ssh version 2
SW-01(config)#
Se deja el vídeo donde se realizan todas las configuraciones explicadas y sus respectivas comprobaciones.