Las contraseñas son una parte esencial de los métodos de control de acceso del enrutador Cisco. Estos se utilizan para restringir el acceso a un enrutador CISCO; Como no existe una defensa de contraseña automática o predeterminada que viene con los enrutadores, se utilizan diferentes tipos de contraseñas, como la contraseña de la consola utilizada para configurar la contraseña del puerto de la consola, las contraseñas auxiliares para configurar una contraseña para el puerto auxiliar, la contraseña secreta contraseña para las conexiones SSH y Telnet y el puerto de la consola también, la contraseña de activación o la contraseña Vty utilizada para la sesión Telnet o SSH en un enrutador. Además, el modo EXEC privilegiado se puede configurar en las contraseñas.
Tipos de contraseñas:
Hay cinco tipos principales de contraseñas:
- Contraseña de la consola
- Contraseña Aux o Auxiliar
- Habilitar contraseña
- Habilitar contraseña secreta
- contraseña VTY
Estos se explican a continuación a continuación.
1. Contraseña de la consola:
se usa para configurar la contraseña del puerto de la consola, si no se ha configurado una contraseña en la consola del enrutador, de manera predeterminada, el usuario puede usar el modo de usuario de acceso. El proceso de cifrado real se produce cuando se configura una contraseña o se escribe la configuración existente. Es crucial establecer una contraseña de puerto de consola, ya que evita que alguien se conecte, se mueva físicamente hacia el enrutador u obtenga acceso al modo de usuario, y mucho más. Como los enrutadores solo tienen un puerto de consola, el usuario debe usar la consola de línea de comandos 0 en el modo de configuración global.
Router1# config t Router1(config)# line console 0 Router1(config-line)# password MkcbDtGfRblw3#$577DF Router1(config-line)# login Router1(config-line)#exit
2. Contraseñas auxiliares o auxiliares:
la contraseña auxiliar se utiliza para configurar una contraseña para el puerto auxiliar, que es un puerto de acceso físico en el enrutador. Se utiliza un puerto auxiliar para acceder a un enrutador a través de un módem. Sin embargo, este puerto no está presente en todos los enrutadores.
Router1# config t Router1(config)# line aux 0 Router1(config-line)# password MkcbDtGfRblw3#$577DF Router1(config-line)# login Router1(config-line)# end
3. Habilitar contraseña:
Habilitar contraseña es un comando global que limita el acceso al modo ejecutivo privilegiado. Estas contraseñas no están encriptadas. Estos se utilizan generalmente para cambiar el nivel de seguridad (del nivel 0 al nivel 15) en el enrutador. Aunque, por lo general, se utiliza para pasar del modo de usuario al modo privilegiado.
Router1# config t Router1(config)# enable password MkcbDtGfRblw3#$577DF Router1(config)# exit
4. Habilitar contraseña secreta:
tiene la misma funcionalidad que la contraseña habilitada, aunque las contraseñas se almacenan en una forma encriptada mucho más segura. Asigna contraseñas secretas cifradas unidireccionales disponibles en la versión 10.3 y versiones posteriores.
Router1(config)# enable secret MkcbDtGfRblw3#$577DF
5. Contraseña de Vty:
Vty se usa para sesiones Telnet o SSH en un enrutador. La contraseña de Vty se puede configurar en el momento de configurar el enrutador desde la consola. Estas contraseñas pueden ser cambiadas en cualquier momento por el usuario. Puede haber una contraseña para todos los vtys o puede haber diferentes contraseñas correspondientes a cada terminal virtual (es decir, vty0 – vty4).
Router1# config t Router1(config)# line vty 0 4 Router1(config-line)# password MkcbDtGfRblw3#$577DF Router1(config-line)# login
Por ejemplo , cifrar todas las contraseñas de texto a través del comando de cifrado de contraseña del servicio:
Router1#show run Building configuration...Current configuration: 976 bytes version 12.4 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption! hostname Router1 enable secret 5 $5$eWMd$Qxl6RCoPutSnLoBaR047N/ enable password dSFsvr433 username smdh password 0 dSFsvr43345 username btcan password 0 linux username mtcan secret 5 $5$eWMd$Qxl6RCoPutSnLoBaafdefR047Ncs username mmlel password 0 68445 interface FastEthernet0/0 ip address 1.0.0.1 255.0.0.0 duplex auto speed auto! Interface FastEthernet0/1 ip address 2.0.0.1 255.0.0.0 ip classless ip route 0.0.0.0 0.0.0.0 2.0.0.2 password mmlel684 Login line aux 0 password 684 login !line vty 0 4 login local
Ahora, ejecutando el comando de cifrado de contraseña del servicio
Router1# config t Router1(config)# service password-encryption
Ahora comprobando el estado después de ejecutar el comando de cifrado de contraseña.
Router1#show run Building configuration...Current configuration: 926 bytes version 12.4 no service timestamps log datetime msec no service timestamps debug datetime msec service password-encryption hostname Router1 enable secret 5 $5$eWMd$Qxl6RCoPutSnLoBaR047N/ enable password 7 54893F4571269843 username smdh password 7 54893F457126984365E username btcan password 7 548D93F457C12 username mtcan secret 5 $5$eWMd$Qxl6RCoPutSnLoBaafdefR047Ncs username mmlel password 7 59531E1D5D8C interface FastEthernet0/0 ip address 1.0.0.1 255.0.0.0 duplex auto speed auto !interface FastEthernet0/1 ip address 2.0.0.1 255.0.0.0 duplex auto speed auto ip classless ip route 0.0.0.0 0.0.0.0 2.0.0.2 line con 0 password 7 01863D9A110A0D494078 login line aux 0 password 7 02803W1F login line vty 0 4 login local
Ahora configure telnet con protección de contraseña.
Router1(config)# username mmlel password 68445 Router1(config)# username smdh password dSFsvr43345 Router1(config)#line vty 0 4 Router1(config-line)# login local Router1(config-line)# exit
Puntas :
- El usuario debe utilizar el cifrado de contraseña de servicio en todos los enrutadores.
- Los usuarios deben asegurarse de que las contraseñas sean seguras.
- Todos los enrutadores deben tener contraseñas distintas.
- Siempre se debe acceder al enrutador desde un sistema seguro.