Lab0 Asegurando Routers/Switches
En esta última entrega del lab0 vamos a asegurar los routers/switches con una autenticación simple, pero eficiente, los comandos siguientes se realizan en los routers R1-R4(todos) y Switches SWA-SWP-SWD(todos) así:
Activando encriptación y bloqueo
Primero activamos la encriptación de contraseñas:
|
|
Esto es muy importante, si no se activa este servicio las contraseñas serán visibles al hacer un backup de la configuración o al usar el comando:
|
|
Líneas con y aux
Vamos a activar un acceso por contraseña cada vez que nos conectemos usando alguno de estos puertos:
|
|
En este ejemplo se usó la contraseña “labFinal”. Ahora cada vez que nos conectemos a la consola del router/switch se nos pedirá esa contraseña y si la dejamos sin usar durante 5 minutos con 30 segundos se nos pedirá nuevamente la contraseña. Finalmente:
|
|
Además si se fallan 3 intentos en un tiempo de 60 segundos se deben esperar 120 segundos para los próximos 3 intentos.
Desactivando telnet
Si revisamos las líneas vemos que:
|
|
Es por esta razón(líneas vty 0-4) de que el servicio telnet está a la escucha en cada router/switch y obtenemos el siguiente mensaje si intentamos conectarnos:
|
|
Para desactivar telnet:
|
|
Y con esto queda desactivado telnet.
Para la Administración remota de un router/switch se debe habilitar usuarios y SSH, en este lab al no usar hardware real la conexión se realiza mediante la consola(line con 0), pero si necesitamos habilitar SSH el libro:
En el capítulo 9 Contiene instrucciones muy detalladas sobre SSH incluyendo control de usuarios.
Modo EXEC privilegiado con contraseña
Para proteger el modo EXEC privilegiado:
|
|
Ahora cada vez que escribamos “enable” usaremos la contraseña “labExec”, el comando “no enable password” evita usar la forma antigua de cifrar las contraseñas.
Con esta configuración tendríamos 2 contraseñas que usar:
- La primera para el modo de usuario(cada vez que usamos la línea con o aux)
- La segunda cada vez que necesitemos configurar algo(modo EXEC privilegiado)
Ahora nuestro lab tiene una seguridad básica pero funcional.