Contraseñas de puertos Telnet, de consola y auxiliar en el ejemplo de configuración de routers de Cisco



Documentos relacionados
Telnet, contraseñas de la consola y puerto auxiliar en el ejemplo de configuración de los routeres Cisco

Packet Tracer: Configuración de los parámetros iniciales del switch

Servidor configurado terminal con las opciones de menú

Configuración de una red privada a privada con túnel de router IPsec con NAT y estático

Router del Cisco IOS: Local, TACACS+ y autenticación de RADIUS del ejemplo de configuración de la conexión HTTP

Habilitación del Secure Shell (SSH) en un punto de acceso

Práctica de laboratorio Establecer y verificar una conexión Telnet

Configuración RADIUS para el servidor de Windows 2008 NP - WAAS AAA

Autenticación de servidor alterno de autenticación saliente - Ningún Firewall Cisco IOS o configuración del NAT

Configurando el IPSec - Claves comodín previamente compartidas con el Cliente Cisco Secure VPN y los Config Ninguno-MODE

RADIUS avanzado para clientes de marcado manual PPP

Configuración SSH en las líneas equipo teleescritor con la opción de menú en el servidor terminal

Configurar el hub and spoke del router a router del IPSec

IPS 7.X: Autenticación de ingreso del usuario al sistema usando ACS 5.X como ejemplo de la configuración de servidor de RADIUS

Modos de funcionamiento de Cisco IOS

Packet Tracer: Configuración de los parámetros iniciales del switch

Conexión de BRI a PRI usando voz sobre datos

Ejemplo de configuración ISDN - IP

En este ejemplo, dos Puentes Cisco Aironet de la serie 350 establece el WEP; el dos Routers configura un túnel IPsec.

Práctica de laboratorio Configuración de las descripciones de interfaz

El configurar autenticación de RADIUS a través del motor caché de Cisco

Uso del registro de la configuración en todos los routeres Cisco

Traducción de X.25 a TCP

Configuración de AAA básico en un servidor de acceso

Configuración de AAA básico en un servidor de acceso

Práctica de laboratorio Operaciones avanzadas de Telnet

Configuración de IPSec entre tres routers mediante el uso de direcciones privadas

Práctica de laboratorio Suspender y desconectar las sesiones Telnet

PRÁCTICA 1: INTRODUCCIÓN AL ROUTER

Papel de la autenticación CHAP configurado bajo interfaz celular

Práctica de laboratorio Configuración de la autenticación OSPF

Práctica de laboratorio: Configuración de direcciones IPv6 en dispositivos de red

Configurando a túnel IPSec de red privada a privada del router con el NAT y los parásitos atmosféricos

Práctica de laboratorio Cambios de configuración

Lightweight Access Point de la configuración como supplicant del 802.1x

Práctica de laboratorio Configuración de la autenticación PPP

Práctica de laboratorio Propagación de las rutas por defecto en un dominio OSPF

Práctica de laboratorio: Uso de la CLI para recopilar información sobre dispositivos de red

Acceso del administrador TACACS al ejemplo de configuración convergido de los reguladores del Wireless LAN del acceso

Configuración de ISDN BRI y PRI en Australia

Configurar el TACACS+, el RADIUS, y el Kerberos en el Switches del Cisco Catalyst

Práctica de laboratorio Gateway de último recurso

Configuración de la marcación manual RADIUS con la autenticación del servidor Livingston

Resolución de problemas de autenticación de PPP (CHAP o PAP)

Política de ruteo con el ejemplo de configuración del switch Catalyst de la serie 3550.

Práctica de laboratorio: Administración de los archivos de configuración del router con software de emulación de terminal

Práctica de laboratorio 3.1.4: Aplicación de la seguridad básica del switch

Usando el comando cpe máximo en el DOCSIS y el CMTS

Configurar un ADSL WIC del Cisco 1700/2600/3600 (interfaz sin numerar) con el RFC1483 que rutea usando el protocol ip del AAL5SNAP

Práctica de laboratorio Administración de archivos de configuración mediante TFTP

Procedimiento para conectar la puerta AUX de un cisco a la CONSOLA de otro CISCO. Diagrama de conexión:

Dirección General de Educación Superior Tecnológica INSTITUTO TECNOLÓGICO DE SALINA CRUZ

Este documento proporciona un ejemplo de configuración para X25 Sobre TCP.

Práctica de laboratorio: Configuración de direcciones IPv6 en dispositivos de red

Configuración de la autenticación IS-IS

Qué hace a un router ser recomenzada por los comandos abort o trace trap

Configurar el RCP como Transport Protocol en los Fundamentos del Resource Manager de Cisco

Cómo Configurar SSH en Switches Catalyst que Ejecutan CatOS

Práctica de laboratorio Configuración de temporizadores OSPF

Advertencia: Cualquier configuración unsaved será perdida cuando usted realiza los procedimientos en este artículo.

Qué significan los mensajes "Not On Common Subnet" (No en la subred común) de EIGRP?

Práctica de laboratorio Configuración de parámetros básicos del router con la CLI del IOS

Tema: Despliegue de portal de servicios cautivos con autenticación proxy

Práctica de laboratorio Configuración de IGRP

CONFIGURACIÓN BÁSICA DEL ROUTER

Práctica de laboratorio: Configuración de una dirección de administración de switches

INSTITUTO TECNOLÓGICO DE SALINA CRUZ Redes de Computadora Semestre enero junio 2015 Reporte de prácticas

Configuración ISE 2.0: IOS autenticación de TACACS+ y comando authorization basado en la membresía del grupo AD

Práctica de laboratorio Uso de Show IP Route para examinar las tablas de enrutamiento

Creación de paquetes de núcleos

Práctica de laboratorio: resolución de problemas de DHCPv6

Configuración de Gateway de último recurso mediante comandos IP

Práctica de laboratorio Uso del comando boot system. Objetivo. Información básica / Preparación

Implementación de Autenticación Proxy

IPSec claves generadas manualmente entre el ejemplo de configuración del Routers

Utilice el NAT para ocultar el IP Address real del ONS15454 para establecer a una sesión CTC

Configuración de servidor de Syslog en los reguladores del Wireless LAN (WLCs)

Agregue un más nodo al anillo de paquetes flexible

3. Autenticación, autorización y registro de auditoria CAPITULO 3. AUTENTICACIÓN, AUTORIZACIÓN Y REGISTRO DE AUDITORÍA

INSTALACIÓN Y CONFIGURACIÓN DEL SISTEMA DE AUTENTICACIÓN TACACS

Uso de números de puerto FTP no estándares con NAT

IPS 5.x y posterior: NTP en el ejemplo de configuración IPS

NAT en el ejemplo de configuración del Switches del Catalyst 6500/6000

Práctica de laboratorio : Práctica de laboratorio sobre desafío a la configuración básica de OSPF

Configuración del Active Directory sola Muestraen para el servidor del invitado del NAC

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

Configuración de PIX Firewall con Acceso al servidor de correo en una red externa.

Configuración y verificación de su red

Práctica de laboratorio: Administración de los archivos de configuración del router con software de emulación de terminal

Práctica de laboratorio: configuración y verificación de ACL extendidas Topología

: Cómo realizar una configuración inicial del switch

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

El dominio de red inalámbrica mantiene el AP como ejemplo de la configuración de servidor AAA

Práctica de laboratorio Configuración de DHCP

NAT en el ejemplo de configuración del Switches del Catalyst 6500/6000

Práctica de laboratorio: resolución de problemas de configuración de VLAN

Transcripción:

Contraseñas de puertos Telnet, de consola y auxiliar en el ejemplo de configuración de routers de Cisco Contenidos Introducción Requisitos previos Requisitos Componentes utilizados Convenciones Antecedentes Configurar contraseñas en la línea Solucione errores de inicio de sesión Configure contraseñas locales específicas para cada usuario Resolución de problemas de falla de contraseña específica de usuario Configurar la autenticación AAA para el registro Resolución de problemas relacionados con una falla del registro (login) de AAA Introducción Este documento proporciona una configuración de muestra para configurar la protección de contraseñas para conexiones EXEC entrantes al router. Requisitos previos Requisitos Para realizar las tareas que se describen en este documento, debe tener acceso EXEC privilegiado a la interfaz de la línea de comandos (CLI) del router. Para obtener más información acerca del uso de la línea de comandos y para comprender los modos de comandos, consulte Uso de software Cisco IOS. Para obtener instrucciones sobre cómo conectar una consola al router, consulte la documentación que acompaña al router, o consulte la documentación en línea de su equipo. Componentes utilizados La información que contiene este documento se basa en las siguientes versiones de software y hardware: Router 2509 de Cisco Software Cisco IOS Versión 12.2(19) La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos utilizados para la redacción de este documento se pusieron en funcionamiento con una configuración despejada (predeterminada). Si pretende aplicar los contenidos de este documento en una red en funcionamiento, asegúrese de conocer perfectamente el uso de los comandos. Convenciones Para obtener más información sobre las convenciones del documento, consulte las Convenciones de consejos técnicos de Cisco. Antecedentes El uso de la protección de contraseñas para controlar o restringir el acceso a la interfaz de la línea de comandos (CLI) del router es uno de los

elementos fundamentales de un plan de seguridad general. Proteger al router de acceso remoto no autorizado, comúnmente Telnet, es la medida de seguridad más frecuente que debe configurarse, pero no se puede omitir la protección del router de acceso local no autorizado. Nota: La protección por contraseña es sólo uno de los muchos pasos que tendría que usar en un régimen de seguridad profunda de red. Los firewalls, las listas de acceso y el control de acceso físico al equipo son otros elementos que deben considerarse al implementar su plan de seguridad. El acceso a la línea de comando o EXEC en un router puede realizarse de distintas maneras, pero en todos los casos, la conexión interna al router se realiza en una línea TTY. Existen cuatro tipos principales de líneas TTY, tal como puede apreciarse en esta show line salida: 2509#show line Tty Typ Tx/Rx A Modem Roty AccO AccI Uses Noise Overruns Int * 0 CTY - - - - - 0 0 0/0-1 TTY 9600/9600 - - - - - 0 0 0/0-2 TTY 9600/9600 - - - - - 0 0 0/0-3 TTY 9600/9600 - - - - - 0 0 0/0-4 TTY 9600/9600 - - - - - 0 0 0/0-5 TTY 9600/9600 - - - - - 0 0 0/0-6 TTY 9600/9600 - - - - - 0 0 0/0-7 TTY 9600/9600 - - - - - 0 0 0/0-8 TTY 9600/9600 - - - - - 0 0 0/0-9 AUX 9600/9600 - - - - - 0 0 0/0-10 VTY - - - - - 0 0 0/0-11 VTY - - - - - 0 0 0/0-12 VTY - - - - - 0 0 0/0-13 VTY - - - - - 0 0 0/0-14 VTY - - - - - 0 0 0/0-2509# El tipo de línea CTY es el Puerto de la consola. En cualquier router, aparece en la configuración del router como línea con 0 y en la salida del comando línea show como cty. El puerto de la consola se usa principalmente para el acceso al sistema local mediante un terminal de consola. Las líneas TTY son líneas asíncronas y se utilizan para las conexiones entrantes o salientes de módem y terminal. Pueden encontrarse en una configuración de router o de servidor de acceso como línea x. Los números de líneas específicas son una función del hardware incorporada o instalada en el router o en el servidor de acceso: La línea AUX es el puerto Auxiliar, observado en la configuración como línea aux 0. Las líneas VTY son las líneas de Terminal Virtual del router, utilizadas únicamente para controlar las conexiones Telnet entrantes. Son virtuales, en en el sentido que son una función de software no hay ningún hardware que se relacione con ellas. Aparecen en la configuración como línea vty 0 4. Cada uno de estos tipos de líneas puede configurarse con protección de contraseña. Las líneas pueden configurarse para utilizar una misma contraseña para todos los usuarios o para contraseñas específicas de los usuarios. Las contraseñas locales específicas para cada usuario pueden configurarse en el router o puede usar un servidor de autenticación para proporcionar la autenticación. No hay ninguna prohibición en relación con la configuración de distintas líneas con diferentes tipos de protección de contraseña. De hecho, es frecuente observar routers con una única contraseña para la consola y contraseñas específicas para cada usuario para las demás conexiones entrantes. A continuación se incluye un ejemplo de salida del router desde el comando show running-config: 2509#show running-config

Building configuration... Current configuration : 655 bytes version 12.2... --- Configuración editada para brevedad line con 0 line 1 8 line aux 0 line vty 0 4 end Configurar contraseñas en la línea Para especificar una contraseña en una línea, use el comando password en el modo de configuración de línea. A habilitar la verificación de la contraseña durante el inicio de sesión, use el comando login en el modo de configuración de línea. Nota: Para obtener información adicional sobre los comandos que se utilizan en este documento, utilice la herramienta de búsqueda de comandos (solamente clientes registrados). En este ejemplo, se configura una contraseña para todos los usuarios que intenten utilizar la consola. 1. En el mensaje de EXEC privilegiado (o enable ), ingrese al modo de configuración y, después, cambie al modo de configuración de línea con los siguientes comandos. Tenga en cuenta que el mensaje cambia para reflejar el modo actual. router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. router(config)#line con 0 router(config-line)# 2. Configure la contraseña y habilite la comprobación de contraseña al iniciar la sesión. router(config-line)#password letmein router(config-line)#login 3. Modo de configuración de salida router(config-line)#end router# %SYS-5-CONFIG_I: Configured from console by console Nota: No guarde los cambios en la configuración de línea con 0 hasta que se haya verificado su autorización para iniciar sesión.

Examine la configuración del router para verificar que los comandos se han escrito correctamente: La herramienta intérprete de resultados (solamente clientes registrados) soporta algunos comandos show y le permite ver un análisis de la salida de comando show. show running-config - muestra la configuración actual para el router. router#show running-config Building configuration...... --- Líneas omitidas por brevedad line con 0 password letmein login line 1 8 line aux 0 line vty 0 4 end Para probar la configuración, desconecte la consola y vuelva a conectarla, utilizando la contraseña configurada para acceder al router: router#exit router con0 is now available Press RETURN to get started. User Access Verification Password: --- La contraseña introducida aquí no la muestra el router router> Nota: Antes de realizar esta prueba, asegúrese de tener una conexión alternativa en el router, como Telnet o de acceso telefónico, en caso de que haya problemas al volver a registrarse en el router. Solucione errores de inicio de sesión Si no puede volver a registrarse en el router y no ha guardado la configuración, la recarga del router eliminará todos los cambios en la configuración que haya realizado. Si se guardaron los cambios en la configuración y no puede iniciar la sesión en el router, deberá realizar una recuperación de la contraseña. Consulte los Procedimientos para recuperación de contraseñas para obtener instrucciones para su plataforma en particular. Configure contraseñas locales específicas para cada usuario Para establecer un sistema de autenticación basado en el nombre de usuario, use el comando username en modo de configuración global. A habilitar la verificación de la contraseña durante el inicio de sesión, use el comando login local en el modo de configuración de línea.

En este ejemplo, las contraseñas se configuran para todos los usuarios que intenten conectarse al router en las líneas VTY utilizando Telnet. 1. En el mensaje de EXEC privilegiado (o enable ), ingrese al modo de configuración e ingrese las combinaciones nombre de usuario/contraseña, una para cada usuario para el que desee permitir el acceso al router: router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. router(config)#username russ password montecito router(config)#username cindy password belgium router(config)#username mike password rottweiler 2. Cambie al modo de configuración de línea mediante los siguientes comandos. Tenga en cuenta que el mensaje cambia para reflejar el modo actual. router(config)#line vty 0 4 router(config-line)# 3. Configurar la verificación de contraseña en el ingreso al sistema. router(config-line)#login local 4. Modo de configuración de salida router(config-line)#end router# %SYS-5-CONFIG_I: Configured from console by console Examine la configuración del router para verificar que los comandos se hayan ingresado correctamente: show running-config - muestra la configuración actual para el router. router#show running-config Building configuration... --- Líneas omitidas por brevedad nombre de usuario russ contraseña 0 montecito nombre de usuario cindy contraseña 0 belgium nombre de usuario mike contraseña 0 rottweiler --- Líneas omitidas por brevedad line con 0

line 1 8 line aux 0 line vty 0 4 login local end Para probar esta configuración, se debe establecer una conexión Telnet con el router. Esto puede realizarse a través de una conexión de un host diferente en la red, pero también puede realizar esta prueba desde el router mismo mediante una conexión con Telnet de la dirección IP de cualquier interfaz en el router que esté en un estado activa/activa en la salida de comando show interfaces. Ésta es una salida de ejemplo si la dirección de interfaz ethernet 0 fuera 10.1.1.1: router#telnet 10.1.1.1 Trying 10.1.1.1... Open User Access Verification Username: mike Password: --- La contraseña introducida aquí no la muestra el router router Resolución de problemas de falla de contraseña específica de usuario Los nombres de usuario y las contraseñas distinguen entre mayúsculas y minúsculas. Se rechazará a los usuarios que intenten registrarse con un nombre de usuario o una contraseña incorrectos. Si los usuarios no pueden entrar en el router con sus contraseñas correspondientes, Configure nuevamente el nombre de usuario y la contraseña del router. Configurar la autenticación AAA para el registro Para habilitar las autenticaciones de autenticación, autorización y contabilidad (AAA) para los inicios de sesión, utilice el comando login authentication en el modo de configuración de línea. También se deben configurar los servicios AAA. En este ejemplo, el router está configurado para recuperar las contraseñas de usuarios desde un servidor TACACS+ cuando los usuarios intenten conectarse al router. Nota: La configuración del router para utilizar otros tipos de servidores AAA (RADIUS, por ejemplo) es similar. Consulte la Configuración de la autenticación para obtener información adicional. Nota: Este documento no abarca la configuración de direcciones del servidor AAA. Consulte Seguridad: Protocolos de servidor para obtener información sobre la configuración del servidor AAA. 1. En el mensaje de EXEC privilegiado (o enable ), ingrese al modo de configuración e ingrese los comandos para configurar el router y usar los servicios AAA para la autenticación: router#configure terminal

Enter configuration commands, one per line. End with CNTL/Z. router(config)#aaa new-model router(config)#aaa authentication login my-auth-list tacacs+ router(config)#tacacs-server host 192.168.1.101 router(config)#tacacs-server key letmein 2. Cambie al modo de configuración de línea con los siguientes comandos. Tenga en cuenta que el mensaje cambia para reflejar el modo actual. router(config)#line 1 8 router(config-line)# 3. Configurar la verificación de contraseña en el ingreso al sistema. router(config-line)#login authentication my-auth-list 4. Modo de configuración de salida router(config-line)#end router# %SYS-5-CONFIG_I: Configured from console by console Examine la configuración del router para verificar que los comandos se hayan ingresado correctamente: show running-config - muestra la configuración actual para el router. router#write terminal Building configuration... Current configuration: version 12.0 service timestamps debug uptime service timestamps log uptime no service password-encryption hostname router aaa new-model aaa authentication login my-auth-list tacacs+ --- Líneas omitidas por brevedad...

tacacs-server host 192.168.1.101 tacacs-server key letmein line con 0 line 1 8 login authentication my-auth-list line aux 0 line vty 0 4 end Para probar esta configuración en particular, se debe establecer una conexión entrante o saliente con la línea. Consulte la sección Guía para la conexión del módem-router para obtener información específica sobre la configuración de líneas asíncronas para las conexiones del módem. Como opción alternativa, puede configurar una o más líneas VTY para realizar la autenticación de AAA y realice la prueba correspondiente. Resolución de problemas relacionados con una falla del registro (login) de AAA Antes de ejecutar los comandos debug, consulte Información importante sobre Comandos de depuración. Para solucionar un intento fallido de registro, use el comando debug adecuado para su configuración. depurar autenticación aaa depurar radius depurar kerberos 1992-2014 Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generación del PDF: 20 Mayo 2008 http://www.cisco.com/cisco/web/support/la/7/76/76739_configpasswords.html

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback