Seleccionar página
Fundamentos de Seguridad Comandos Cisco CCNA 200-301

Fundamentos de Seguridad Comandos Cisco CCNA 200-301

Fundamentos de Seguridad – Comandos Cisco CCNA 200-301

Ejemplo de configuración de seguridad en un Switch

 

Switch# configure terminal

Switch(config)# hostname Switch9200

Switch9200(config)# enable secret cisco

Switch9200(config)# line console 0

Switch9200(config-line)# logging synchronous

Switch9200(config-line)# login

Switch9200(config-line)# passwotch cisco

Switch9200(config-line)# exec-timeout 0 0

Switch9200(config-line)# exit

Switch9200(config)# line vty 0 15

Switch9200(config-line)# login

Switch9200(config-line)# password cisco

Switch9200(config-line)# exit

Switch9200(config)# ip default-gateway 192.168.100.1

Switch9200(config)# interface vlan 1

Switch9200(config-if)# ip Address 192.168.100.2 255.255.255.0

Switch9200(config-if)# no shutdown

Switch9200(config-if)# interface Gigabitethernet 0/1

Switch9200(config-if)# description *** Enlace a Router ***

Switch9200(config-if)# interface fastethernet 0/1

Switch9200(config-if)# description *** Conexión a PC1 ***

Switch9200(config-if)# switch mode Access

Switch9200(config-if)# switchport port-security

Switch9200(config-if)# switchport port-security mac-address sticky

Switch9200(config-if)# switchport port-security maximum 1

Switch9200(config-if)# switchport port-security violation shutdown

Switch9200(config-if)# interface fastethernet 0/2

Switch9200(config-if)# description *** Conexión a PC2 ***

Switch9200(config-if)# switchport mode Access

Switch9200(config-if)# switchport port-security mac-address dddd.eeee.ffff

Switch9200(config-if)# switchport port-security máximum 1

Switch9200(config-if)# switchport port-security violation shutdown

Switch9200(config-if)# exit

Switch9200(config)# exit

Switch9200# copy running-config startup-config

 

Fundamentos de Seguridad Comandos Cisco CCNA 200-301

 

✔️Configuración de Password en un Switch

 

Switch9200(config)# enable password cisco

Switch9200(config)# enable secret ciscosecret

Switch9200(config)# line console 0

Switch9200(config-line)# login

Switch9200(config-line)# password cisco

Switch9200(config-line)# exit

Switch9200(config)# line vty 0 15

Switch9200(config-line)# login

Switch9200(config-line)# password cisco

Switch9200(config-line)# exit

Switch9200(config)#

 

✔️Configuración de Static MAC Addresses

 

Switch9200(config)# mac Address-table static aaaa.bbbb.cccc vlan 1 interface fastethernet 0/1

Switch9200(config)# no mac Address-table static aaaa.bbbb.cccc vlan 1 interface fastethernet 0/1

 

✔️Configuración de Switch Port Security

 

Switch9200(config)# interface fastethernet 0/1

Switch9200(config-if)# switchport mode Access

Switch9200(config-if)# swithport port-security

Switch9200(config-if)# switchport port-security maximum 4

Switch9200(config-if)# switchport port-security mac-address aaaa.bbbb.cccc

Switch9200(config-if)# switchport port-security violation shutdown

Switch9200(config-if)# switchport port-security violation restrict

Switch9200(config-if)# switchport port-security violation protect

 

✔️Configuración de Sticky MAC Address

 

Switch9200(config)# interface fastethernet 0/5

Switch9200(config)# switchport port-security mac-address sticky

Switch9200(config)# switchport port-security mac-address sticky vlan 10 voice

 

✔️Verificando Switch Port Security

 

Switch9200# show port-security

Switch9200# show port-security interface fastethernet 0/5

Switch9200# show port-security Address

Switch9200# show mac address-table [dynamic]

 

✔️Configuración de DHCP Snooping

 

Switch9200(config)# ip dhcp snooping

Switch9200(config)# ip dhcp snooping vlan 20

Switch9200(config)# ip dhcp snooping vlan 10-35

Switch9200(config)# ip dhcp snooping vlan 20 30

Switch9200(config)# ip dhcp snooping vlan 10,12,14

Switch9200(config)# ip dhcp snooping vlan 10-12,14

Switch9200(config)# ip dhcp snooping information option

Switch9200(config)# interface fastethernet 0/1

Switch9200(config-if)# switchport mode trunk

Switch9200(config-if)# switchport trunk encapsulation dot1q

Switch9200(config-if)# switchport trunk allowed vlan 10,20

Switch9200(config-if)# ip dhcp snooping trust

Switch9200(config-if)# ip dhcp snooping limit rate 75

Switch9200(config-if)# exit

Switch9200(config)# ip dhcp snooping verify mac-address

 

✔️Verificación de DHCP Snooping

 

Switch9200# show ip dhcp snooping

Switch9200# show ip dhcp snooping binding

Switch9200# show ip dhcp source binding

Switch9200# show run

 

✔️Configuración de Dynamic ARP Inspection (DAI)

 

Switch9200(config)# ip dhcp snooping

Switch9200(config)# ip dhcp snooping vlan 10-20

Switch9200(config)# ip arp inspection validate src-mac

Switch9200(config)# ip arp inspection validate dst-mac

Switch9200(config)# ip arp inspection validate ip

Switch9200(config)# interface fastethernet 0/24

Switch9200(config-if)# ip dhcp snooping trust

Switch9200(config-if)# ip arp inspection trust

 

✔️Verificando DAI

 

Switch9200# show ip arp inspection interfaces

Switch9200# show ip arp inspection vlan 10

Switch9200# show ip arp inspection statistics vlan 10

Seguridad en el acceso a dispositivos Cisco

Seguridad en el acceso a dispositivos Cisco

En Cisco IOS tiene múltiples formas de asegurar el acceso a los dispositivos Cisco como router, switches, AP, etc.

 

Niveles de acceso

 

La línea de comando de Cisco CLI (Command line interface) utiliza niveles jerárquicos de acceso, que son modo EXEC usuario y modo EXEC privilegiado.

Por defecto, no se requiere autenticación. Si conecta un cable de consola Cisco a nuestro switch o router, esto es lo que sucede:

 

Switch con0 is now available

 

Press RETURN to get started.

 

Switch>

Una vez que presionamos el botón Intro de nuestro teclado, terminamos en el modo de usuario de inmediato. No hay contraseña ni nada. Lo mismo se aplica al modo enable:

 

Switch>enable

Switch#

 

El acceso a modo privilegiado podemos bloquearla utilizando una clave encriptada por medio del siguiente comando

 

Switch(config)# enable secret [clave]

Seguridad del modo de usuario

 

Clave simple:

 

La opción más simple para proteger el modo de usuario es agregar una contraseña, como sigue:

 

Switch(config)#line console 0

Switch(config-line)#password cisco

Switch(config-line)#login

Username y Password:

 

En lugar de una sola contraseña, también es posible usar nombres de usuario y contraseñas. Esta es una mejor opción, si tenemos varias personas que necesitan acceder a un switch o router. Aquí se explica cómo hacer esto:

 

Switch(config)#line console 0

Switch(config-line)#login local

Switch(config-line)#exit

 

Switch(config)#username admin privilege 15 secret adminpass

  

El comando “login local” le indica al switch que consulte una base de datos local de nombres de usuarios y contraseñas.

El comando “username [user] privilege [nivel] secret [clave]”, indica el nombre del usuario, el nivel de privilegio del usuario y una clave secreta encriptada.

 

Cisco IOS permite configurar 16 niveles de usuario diferente (0 a 15).

  • Usuario nivel 0 – Sólo accede a modo usuario.
  • Usuario nivel 1 a 14 – Se pueden asignar diferentes comandos para cada nivel.
  • Usuario nivel 15 – Acceso a modo privilegiado completo.

La próxima vez que abra la consola, esto es lo que ve:

 

Switch con0 is now available

Press RETURN to get started.

User Access Verification 

 

Username: admin

Password:

Switch>

 

Como decodificar contraseña de Cisco IOS

Como decodificar contraseña de Cisco IOS

¿Es posible descifrar la contraseña de Cisco IOS?, y la respuesta es sí. Es por eso que debemos tener cuidado cuando realizamos respaldos de la configuración de los switch y router Cisco. Al realizar el respaldo se copian las contraseñas que pueden ser vulneradas.

 

Hay distintos tipos de contraseñas como las siguientes:

 

  • De tipo 0, se guardan en texto plano. Es decir seguridad nula.
    • Por ejemplo: enable password eclassvirtual

 

  • De tipo 5, a cada contraseña se le aplica el algoritmo MD5 Unix, almacenándose su correspondiente hash. Se considera el más seguro.
    • Por ejemplo: enable secret eclassvirtual

 

  • De tipo 7, similar al anterior siéndole aplicado un algoritmo definido por Cisco. Fácilmente descifrable.
    • Por ejemplo: enable password eclassvirtual

                                   service password-encryption

 

Veamos un ejemplo más concreto con “contraseña de tipo 0”, supongamos que tenemos la configuración de un router con la siguiente configuración:

 

hostname R1

!

enable password cisco

 

En este caso la password en texto claro es “cisco”

 

Ahora tenemos la siguiente configuración:

service password-encryption

!

hostname R1

!

enable password 7 094F471A1A0A

 

La clave ahora aparece cifrada (Contraseña de tipo 7) y se muestra como “094F471A1A0A”, sin embargo este mecanismo de cifrado es muy débil y podemos descifrar incluso en paginas en internet, como por ejemplo el siguiente sitio web:

 

http://www.ifm.net.nz/cookbooks/passwordcracker.html

 Como descifrar contraseña de Cisco IOS 01

 

También es posible descifrar “contraseñas del tipo 5”, tenemos ahora la siguiente configuración:

hostname R1

!

enable secret 5 $1$6TwN$c3UXTuHI5vOy/tS4MMYPx.

 

http://www.ifm.net.nz/cookbooks/cisco-ios-enable-secret-password-cracker.html

 Como descifrar contraseña de Cisco IOS 02

 

En este caso y como se indica en la página de ifm.net.nz, el descifrado de la contraseña tipo 5, se logra en contraseñas débiles, en este caso “cisco123”, por lo que para contraseñas más fuertes se deben usar otro tipo de herramientas como “cain” con diccionarios de contraseñas más completos.

 

Abrir chat
1
Hola 👋, en que puedo ayutarte!