Seguridad En Redes
ddtenas1512 de Junio de 2014
684 Palabras (3 Páginas)167 Visitas
4.2.3 Administracion de la seguirdad de los routers
Si se usa el comando enable password o el comando username username password password estas contraseñas se mostrarían al observar la configuración en ejecución.
Por ejemplo:
R1(config)# username Student password cisco123
R1(config)# do show run | include username
username Student password 0 cisco123
R1(config)#
El 0 que aparece en la configuración en ejecución indica que la contraseña no está oculta.
La encriptación del tipo 7 puede ser utilizada por los comandos enable password, username y line password, incluidos vty, line console y aux port. No ofrece una gran protección, ya que sólo oculta la contraseña utilizando un algoritmo de encriptación simple.
R1(config)# service password-encryption
R1(config)# do show run | include username
username Student password 7 03075218050061
R1(config)#
El 7 que aparece en la configuración en ejecución indica que la contraseña está oculta.
Por lo tanto, para proteger el nivel privilegiado EXEC tanto como sea posible, siempre debe configurar el comando enable secret.
ambién debe asegurarse de que la contraseña secreta sea única y no coincida con ninguna otra.
R1(config)# username Student secret cisco
R1(config)# do show run | include username
username Student secret 5 $1$z245$lVSTJzuYgdQDJiacwP2Tv/
R1(config)#
El software IOS de Cisco Versión 12.3(1) y posteriores permite que los administradores definan la longitud mínima en caracteres de todas las contraseñas de los routers utilizando el comando de configuración global security passwords min-length 10.
4.2.4 Protección del acceso remoto administrativo a los routers.
Las conexiones se pueden evitar por completo en cualquier línea mediante la configuración del router con los comandos login y no password. Ésta es la configuración predeterminada de los VTY, pero no de los TTY ni del puerto AUX.
Controles en los puertos VTY
De manera predeterminada, todas las líneas de VTY están configuradas para aceptar cualquier tipo de conexión remota. Por razones de seguridad, las líneas de VTY se deben configurar para aceptar conexiones sólo con los protocolos realmente necesarios. Esto se hace mediante el comando transport input. Por ejemplo, un VTY que debe recibir sólo sesiones de Telnet estaría configurado con transport input telnet, y un VTY que permite las sesiones de Telnet y de SSH estaría configurado con transport input telnet ssh.
Otra táctica útil es configurar los tiempos de espera de los VTY mediante el comando exec-timeout. Esto impide que una sesión inactiva consuma el VTY en forma indefinida
Del mismo modo, la activación de los mensajes de actividad de TCP en las conexiones entrantes mediante el comando service tcp-keepalives-in puede ayudar a resguardarse de los ataques maliciosos y de las sesiones huérfanas provocadas por colapsos del sistema remoto.
4.2.4 Protección del acceso remoto administrativo a los routers.
4.3.2 Proteccion de los protocolos de enrutameinto
En los resultados de la pantalla, el comando passive-interface default desactiva las publicaciones de routers en todas las interfaces. Esto también incluye la interfaz S0/0/0. El comando no passive-interface s0/0/0 activa la interfaz S0/0/0 para enviar y recibir actualizaciones RIP.
El ejemplo muestra los comandos necesarios para crear una cadena de claves denominada RIP_KEY. Pese a que es posible considerar varias
...