Lab0 Asegurando Routers/Switches

jlbr incluido en Pentesting Lab Laboratorio

2022-09-01 449 palabras 3 minutos

Contenido

En esta última entrega del lab0 vamos a asegurar los routers/switches con una autenticación simple, pero eficiente, los comandos siguientes se realizan en los routers R1-R4(todos) y Switches SWA-SWP-SWD(todos) así:

Activando encriptación y bloqueo

Primero activamos la encriptación de contraseñas:

1

SWP(config)#service password-encryption

Esto es muy importante, si no se activa este servicio las contraseñas serán visibles al hacer un backup de la configuración o al usar el comando:

1

SWP(config)#do sh running-config

Líneas con y aux

Vamos a activar un acceso por contraseña cada vez que nos conectemos usando alguno de estos puertos:

1
2
3
4
5
6
7
8
9


SWP(config)#line con 0
SWP(config-line)#login
SWP(config-line)#password labFinal
SWP(config-line)#exec-timeout 5 30
SWP(config-line)#line aux 0
SWP(config-line)#login
SWP(config-line)#password labFinal
SWP(config-line)#exec-timeout 5 30
SWP(config-line)#exit 

En este ejemplo se usó la contraseña “labFinal”. Ahora cada vez que nos conectemos a la consola del router/switch se nos pedirá esa contraseña y si la dejamos sin usar durante 5 minutos con 30 segundos se nos pedirá nuevamente la contraseña. Finalmente:

1

SWP(config)#login block-for 120 attempts 3 within 60

Además si se fallan 3 intentos en un tiempo de 60 segundos se deben esperar 120 segundos para los próximos 3 intentos.

Desactivando telnet

Si revisamos las líneas vemos que:

1
2
3
4
5
6
7
8


SWP(config)#do sh running-config
...
line con 0
line aux 0
line vty 0 4
 login    
!         
...

Es por esta razón(líneas vty 0-4) de que el servicio telnet está a la escucha en cada router/switch y obtenemos el siguiente mensaje si intentamos conectarnos:

1
2
3
4
5
6
7
8


gns3@box:~$ telnet 172.16.20.1

Entering character mode
Escape character is '^]'.

Password required, but none set
Connection closed by foreign host
gns3@box:~$ 

Para desactivar telnet:

1
2
3


SWP(config)#line vty 0 4
SWP(config-line)#transport input none
SWP(config-line)#

Y con esto queda desactivado telnet.

Administración remota usando SSH

Para la Administración remota de un router/switch se debe habilitar usuarios y SSH, en este lab al no usar hardware real la conexión se realiza mediante la consola(line con 0), pero si necesitamos habilitar SSH el libro:

Cisco Routers for the Desperate, 2ed

En el capítulo 9 Contiene instrucciones muy detalladas sobre SSH incluyendo control de usuarios.

Modo EXEC privilegiado con contraseña

Para proteger el modo EXEC privilegiado:

1
2


SWP(config)#enable secret labExec 
SWP(config)#no enable password 

Ahora cada vez que escribamos “enable” usaremos la contraseña “labExec”, el comando “no enable password” evita usar la forma antigua de cifrar las contraseñas.

Con esta configuración tendríamos 2 contraseñas que usar:

La primera para el modo de usuario(cada vez que usamos la línea con o aux)
La segunda cada vez que necesitemos configurar algo(modo EXEC privilegiado)

Ahora nuestro lab tiene una seguridad básica pero funcional.