Software Cisco IOS y NX-OS : Software Cisco IOS versión 11.0

Contraseñas de puertos Telnet, de consola y auxiliar en el ejemplo de configuración de routers de Cisco

20 Mayo 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (13 Julio 2012) | Comentarios

Contenidos

Introducción
Requisitos previos
     Requisitos
     Componentes utilizados
     Convenciones
Antecedentes
Configurar contraseñas en la línea
     Procedimiento de configuración
     Verificación de la configuración
     Solucione errores de inicio de sesión
Configure contraseñas locales específicas para cada usuario
     Procedimiento de configuración
     Verificación de la configuración
     Resolución de problemas de falla de contraseña específica de usuario
Configurar la autenticación AAA para el registro
     Procedimiento de configuración
     Verificación de la configuración
     Resolución de problemas relacionados con una falla del registro (login) de AAA
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

Este documento proporciona una configuración de muestra para configurar la protección de contraseñas para conexiones EXEC entrantes al router.

Requisitos previos

Requisitos

Para realizar las tareas que se describen en este documento, debe tener acceso EXEC privilegiado a la interfaz de la línea de comandos (CLI) del router. Para obtener más información acerca del uso de la línea de comandos y para comprender los modos de comandos, consulte Uso de software Cisco IOS.

Para obtener instrucciones sobre cómo conectar una consola al router, consulte la documentación que acompaña al router, o consulte la documentación en línea de su equipo.

Componentes utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware:

  • Router 2509 de Cisco

  • Software Cisco IOS® Versión 12.2(19)

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos utilizados para la redacción de este documento se pusieron en funcionamiento con una configuración despejada (predeterminada). Si pretende aplicar los contenidos de este documento en una red en funcionamiento, asegúrese de conocer perfectamente el uso de los comandos.

Convenciones

Para obtener más información sobre las convenciones del documento, consulte las Convenciones de consejos técnicos de Cisco.

Antecedentes

El uso de la protección de contraseñas para controlar o restringir el acceso a la interfaz de la línea de comandos (CLI) del router es uno de los elementos fundamentales de un plan de seguridad general.

Proteger al router de acceso remoto no autorizado, comúnmente Telnet, es la medida de seguridad más frecuente que debe configurarse, pero no se puede omitir la protección del router de acceso local no autorizado.

Nota: La protección por contraseña es sólo uno de los muchos pasos que tendría que usar en un régimen de seguridad profunda de red. Los firewalls, las listas de acceso y el control de acceso físico al equipo son otros elementos que deben considerarse al implementar su plan de seguridad.

El acceso a la línea de comando o EXEC en un router puede realizarse de distintas maneras, pero en todos los casos, la conexión interna al router se realiza en una línea TTY. Existen cuatro tipos principales de líneas TTY, tal como puede apreciarse en esta show line salida:

2509#show line

   Tty Typ     Tx/Rx    A Modem  Roty AccO AccI   Uses   Noise  Overruns   Int

*    0 CTY              -    -      -    -    -      0       0     0/0       -

     1 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -

     2 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -

     3 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -

     4 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -

     5 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -

     6 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -

     7 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -

     8 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -

     9 AUX   9600/9600  -    -      -    -    -      0       0     0/0       -

    10 VTY              -    -      -    -    -      0       0     0/0       -

    11 VTY              -    -      -    -    -      0       0     0/0       -

    12 VTY              -    -      -    -    -      0       0     0/0       -

    13 VTY              -    -      -    -    -      0       0     0/0       -

    14 VTY              -    -      -    -    -      0       0     0/0       -



2509#

El tipo de línea CTY es el Puerto de la consola. En cualquier router, aparece en la configuración del router como línea con 0 y en la salida del comando línea show como cty. El puerto de la consola se usa principalmente para el acceso al sistema local mediante un terminal de consola.

Las líneas TTY son líneas asíncronas y se utilizan para las conexiones entrantes o salientes de módem y terminal. Pueden encontrarse en una configuración de router o de servidor de acceso como línea x. Los números de líneas específicas son una función del hardware incorporada o instalada en el router o en el servidor de acceso:

La línea AUX es el puerto Auxiliar, observado en la configuración como línea aux 0.

Las líneas VTY son las líneas de Terminal Virtual del router, utilizadas únicamente para controlar las conexiones Telnet entrantes. Son virtuales, en en el sentido que son una función de software – no hay ningún hardware que se relacione con ellas. Aparecen en la configuración como línea vty 0 4.

Cada uno de estos tipos de líneas puede configurarse con protección de contraseña. Las líneas pueden configurarse para utilizar una misma contraseña para todos los usuarios o para contraseñas específicas de los usuarios. Las contraseñas locales específicas para cada usuario pueden configurarse en el router o puede usar un servidor de autenticación para proporcionar la autenticación.

No hay ninguna prohibición en relación con la configuración de distintas líneas con diferentes tipos de protección de contraseña. De hecho, es frecuente observar routers con una única contraseña para la consola y contraseñas específicas para cada usuario para las demás conexiones entrantes.

A continuación se incluye un ejemplo de salida del router desde el comando show running-config:

2509#show running-config

Building configuration...



Current configuration : 655 bytes

!

version 12.2

.

. 

. 

!--- Configuración editada para brevedad



line con 0

line 1 8

line aux 0

line vty 0 4

!

end

Configurar contraseñas en la línea

Para especificar una contraseña en una línea, use el comando password en el modo de configuración de línea. A habilitar la verificación de la contraseña durante el inicio de sesión, use el comando login en el modo de configuración de línea.

Nota: Para obtener información adicional sobre los comandos que se utilizan en este documento, utilice la herramienta de búsqueda de comandos (solamente clientes registrados).

Procedimiento de configuración

En este ejemplo, se configura una contraseña para todos los usuarios que intenten utilizar la consola.

  1. En el mensaje de EXEC privilegiado (o “enable”), ingrese al modo de configuración y, después, cambie al modo de configuración de línea con los siguientes comandos. Tenga en cuenta que el mensaje cambia para reflejar el modo actual.

    router#configure terminal
    
    Enter configuration commands, one per line.  End with CNTL/Z.
    
    router(config)#line con 0
    
    router(config-line)#
  2. Configure la contraseña y habilite la comprobación de contraseña al iniciar la sesión.

    router(config-line)#password letmein
    
    router(config-line)#login
    
    
  3. Modo de configuración de salida

    router(config-line)#end
    
    router#
    
    %SYS-5-CONFIG_I: Configured from console by console

    Nota: No guarde los cambios en la configuración de línea con 0 hasta que se haya verificado su autorización para iniciar sesión.

Verificación de la configuración

Examine la configuración del router para verificar que los comandos se han escrito correctamente:

La herramienta intérprete de resultados (solamente clientes registrados) soporta algunos comandos show y le permite ver un análisis de la salida de comando show.

  • show running-config - muestra la configuración actual para el router.

    router#show running-config
    
    Building configuration...
    
    ...
    
    !--- Líneas omitidas por brevedad
    
    
    
    !
    
    line con 0
    
    password letmein
    
    login
    
    line 1 8
    
    line aux 0
    
    line vty 0 4
    
    !
    
    end

    Para probar la configuración, desconecte la consola y vuelva a conectarla, utilizando la contraseña configurada para acceder al router:

    router#exit
    
    
    
    router con0 is now available
    
    
    
    Press RETURN to get started.
    
    
    
    User Access Verification
    
    Password: 
    
    !--- La contraseña introducida aquí no la muestra el router
    
    
    
    router>

    Nota: Antes de realizar esta prueba, asegúrese de tener una conexión alternativa en el router, como Telnet o de acceso telefónico, en caso de que haya problemas al volver a registrarse en el router.

Solucione errores de inicio de sesión

Si no puede volver a registrarse en el router y no ha guardado la configuración, la recarga del router eliminará todos los cambios en la configuración que haya realizado.

Si se guardaron los cambios en la configuración y no puede iniciar la sesión en el router, deberá realizar una recuperación de la contraseña. Consulte los Procedimientos para recuperación de contraseñas para obtener instrucciones para su plataforma en particular.

Configure contraseñas locales específicas para cada usuario

Para establecer un sistema de autenticación basado en el nombre de usuario, use el comando username en modo de configuración global. A habilitar la verificación de la contraseña durante el inicio de sesión, use el comando login local en el modo de configuración de línea.

Procedimiento de configuración

En este ejemplo, las contraseñas se configuran para todos los usuarios que intenten conectarse al router en las líneas VTY utilizando Telnet.

  1. En el mensaje de EXEC privilegiado (o “enable”), ingrese al modo de configuración e ingrese las combinaciones nombre de usuario/contraseña, una para cada usuario para el que desee permitir el acceso al router:

    router#configure terminal
    
    	Enter configuration commands, one per line.  End with CNTL/Z.
    
    	router(config)#username russ password montecito
    
    	router(config)#username cindy password belgium
    
    	router(config)#username mike password rottweiler
    
    
  2. Cambie al modo de configuración de línea mediante los siguientes comandos. Tenga en cuenta que el mensaje cambia para reflejar el modo actual.

    router(config)#line vty 0 4
    
    router(config-line)#
  3. Configurar la verificación de contraseña en el ingreso al sistema.

    router(config-line)#login local
    
    
  4. Modo de configuración de salida

    router(config-line)#end
    
    router#
    
    %SYS-5-CONFIG_I: Configured from console by console

Verificación de la configuración

Examine la configuración del router para verificar que los comandos se hayan ingresado correctamente:

  • show running-config - muestra la configuración actual para el router.

    router#show running-config
    
    Building configuration...
    
    !
    
    !--- Líneas omitidas por brevedad
    
    
    
    
    
    !
    
    nombre de usuario russ contraseña 0 montecito
    
    nombre de usuario cindy contraseña 0 belgium
    
    nombre de usuario mike contraseña 0 rottweiler
    
    !
    
    !--- Líneas omitidas por brevedad
    
    
    
    
    
    !
    
    line con 0
    
    line 1 8
    
    line aux 0
    
    line vty 0 4
    
     login local
    
    !
    
    end
    
    

    Para probar esta configuración, se debe establecer una conexión Telnet con el router. Esto puede realizarse a través de una conexión de un host diferente en la red, pero también puede realizar esta prueba desde el router mismo mediante una conexión con Telnet de la dirección IP de cualquier interfaz en el router que esté en un estado activa/activa en la salida de comando show interfaces.

    Ésta es una salida de ejemplo si la dirección de interfaz ethernet 0 fuera 10.1.1.1:

    router#telnet 10.1.1.1
    
    Trying 10.1.1.1 ... Open
    
    
    
    
    
    User Access Verification
    
    
    
    
    
    Username: mike
    
    Password:
    
    !--- La contraseña introducida aquí no la muestra el router
    
    
    
    
    
    router

Resolución de problemas de falla de contraseña específica de usuario

Los nombres de usuario y las contraseñas distinguen entre mayúsculas y minúsculas. Se rechazará a los usuarios que intenten registrarse con un nombre de usuario o una contraseña incorrectos.

Si los usuarios no pueden entrar en el router con sus contraseñas correspondientes, Configure nuevamente el nombre de usuario y la contraseña del router.

Configurar la autenticación AAA para el registro

Para habilitar las autenticaciones de autenticación, autorización y contabilidad (AAA) para los inicios de sesión, utilice el comando login authentication en el modo de configuración de línea. También se deben configurar los servicios AAA.

Procedimiento de configuración

En este ejemplo, el router está configurado para recuperar las contraseñas de usuarios desde un servidor TACACS+ cuando los usuarios intenten conectarse al router.

Nota: La configuración del router para utilizar otros tipos de servidores AAA (RADIUS, por ejemplo) es similar. Consulte la Configuración de la autenticación para obtener información adicional.

Nota: Este documento no abarca la configuración de direcciones del servidor AAA. Consulte Seguridad: Protocolos de servidor para obtener información sobre la configuración del servidor AAA.

  1. En el mensaje de EXEC privilegiado (o “enable”), ingrese al modo de configuración e ingrese los comandos para configurar el router y usar los servicios AAA para la autenticación:

    	router#configure terminal
    
    Enter configuration commands, one per line.  End with CNTL/Z.
    
    router(config)#aaa new-model
    
    router(config)#aaa authentication login my-auth-list tacacs+
    
    router(config)#tacacs-server host 192.168.1.101
    
    router(config)#tacacs-server key letmein
    
    
  2. Cambie al modo de configuración de línea con los siguientes comandos. Tenga en cuenta que el mensaje cambia para reflejar el modo actual.

    router(config)#line 1 8
    
    router(config-line)#
  3. Configurar la verificación de contraseña en el ingreso al sistema.

    router(config-line)#login authentication my-auth-list
    
    
  4. Modo de configuración de salida

    router(config-line)#end
    
    router#
    
    %SYS-5-CONFIG_I: Configured from console by console

Verificación de la configuración

Examine la configuración del router para verificar que los comandos se hayan ingresado correctamente:

  • show running-config - muestra la configuración actual para el router.

    router#write terminal
    
    Building configuration...
    
    
    
    Current configuration:
    
    !
    
    version 12.0
    
    service timestamps debug uptime
    
    service timestamps log uptime
    
    no service password-encryption
    
    !
    
    hostname router
    
    !
    
    aaa new-model
    
    aaa authentication login my-auth-list tacacs+
    
    !
    
    !--- Líneas omitidas por brevedad
    
    
    
    
    
    ...
    
    !
    
    tacacs-server host 192.168.1.101
    
    tacacs-server key letmein
    
    !
    
    line con 0
    
    line 1 8
    
     login authentication my-auth-list
    
    line aux 0
    
    line vty 0 4
    
    !
    
    end

Para probar esta configuración en particular, se debe establecer una conexión entrante o saliente con la línea. Consulte la sección Guía para la conexión del módem-router para obtener información específica sobre la configuración de líneas asíncronas para las conexiones del módem.

Como opción alternativa, puede configurar una o más líneas VTY para realizar la autenticación de AAA y realice la prueba correspondiente.

Resolución de problemas relacionados con una falla del registro (login) de AAA

Antes de ejecutar los comandos debug, consulte Información importante sobre Comandos de depuración.

Para solucionar un intento fallido de registro, use el comando debug adecuado para su configuración.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 45843