Configuración Básica de Dispositivos

1. Nombres de Dispositivos

Has aprendido mucho sobre el Cisco IOS, la navegación por el IOS y la estructura de comando. Ahora, estás listo para configurar los dispositivos! El primer comando de configuración en cualquier dispositivo debe ser darle un nombre único de dispositivo o nombre de host. Por defecto, a todos los dispositivos se les asigna un nombre de fábrica por defecto. Por ejemplo, un switch IOS de Cisco es “Switch”.

El problema es que si todos los switches de una red se dejaran con sus nombres por defecto, sería difícil identificar un dispositivo específico. Por ejemplo, ¿cómo sabrías que estás conectado al dispositivo correcto cuando accedes a él remotamente usando SSH? El nombre del host proporciona la confirmación de que está conectado al dispositivo correcto.

El nombre por defecto debería cambiarse por algo más descriptivo. Al elegir los nombres de manera inteligente, es más fácil recordar, documentar e identificar los dispositivos de red. Aquí hay algunas pautas importantes de nombres para los hosts:

• Comienza con una letra
• No contiene espacios
• Termina con una letra o un dígito
• Usa sólo letras, dígitos y guiones
• Tiene menos de 64 caracteres de longitud

Una organización debe elegir una convención de nombres que haga fácil e intuitiva la identificación de un dispositivo específico. Los nombres de host utilizados en el dispositivo IOS conservan las mayúsculas y las minúsculas. Por ejemplo, la figura muestra que tres switches, que abarcan tres pisos diferentes, están interconectados en una red. La convención de nombres que se utilizó incorporó la ubicación y el propósito de cada dispositivo. La documentación de la red debe explicar cómo se eligieron esos nombres para que los dispositivos adicionales puedan ser nombrados en consecuencia.

Cuando se nombran los dispositivos de la red, son fáciles de identificar con fines de configuración.

Una vez identificada la convención de nombres, el siguiente paso es usar la CLI para aplicar los nombres a los dispositivos. Como se muestra en el ejemplo, desde el modo EXEC privilegiado, se accede al modo de configuración global introduciendo el comando configure terminal. Observa el cambio en la línea de comandos.

Switch# configure terminal
Switch(config)# hostname Sw-Floor-1
Sw-Floor-1(config)#

Desde el modo de configuración global, introduce el comando hostname seguido del nombre del switch y pulsa Enter. Observa el cambio en el nombre del símbolo del sistema de comando.

Siempre asegúrate de que la documentación se actualiza cada vez que se añade o modifica un dispositivo. Identifica los dispositivos en la documentación por su ubicación, propósito y dirección.

2. Pautas para la Contraseña

El uso de contraseñas débiles o fáciles de adivinar sigue siendo la mayor preocupación de las organizaciones en materia de seguridad. Los dispositivos de red, incluidos los routers inalámbricos domésticos, siempre deben tener contraseñas configuradas para limitar el acceso administrativo.

Cisco IOS puede configurarse para utilizar contraseñas de modo jerárquico para permitir diferentes privilegios de acceso a un dispositivo de red.

Todos los dispositivos de red deben limitar el acceso administrativo asegurando el acceso privilegiado EXEC, el usuario EXEC y el acceso remoto a Telnet con contraseñas. Además, todas las contraseñas deben estar cifradas y se deben proporcionar notificaciones legales.

Al elegir las contraseñas, utiliza contraseñas fuertes que no sean fáciles de adivinar. Hay algunos puntos clave que deben considerarse al elegir las contraseñas:

• Usar contraseñas que tengan más de ocho caracteres de longitud.
• Utilizar una combinación de letras mayúsculas y minúsculas, números, caracteres especiales y/o secuencias numéricas.
• Evitar utilizar la misma contraseña para todos los dispositivos.
• No utilizar palabras comunes porque son fáciles de adivinar.

Utiliza una búsqueda en Internet para encontrar un generador de contraseñas. Muchos te permitirán establecer la longitud, el conjunto de caracteres y otros parámetros.

3. Configurar las Contraseñas

Cuando se conecta inicialmente a un dispositivo, se encuentra en el modo de usuario EXEC. Este modo se asegura con la consola.

Para asegurar el acceso al modo EXEC de usuario, entra en el modo de configuración de la consola de línea utilizando el comando de configuración global de la consola de línea 0, como se muestra en el ejemplo. El cero se usa para representar la primera (y en la mayoría de los casos la única) interfaz de la consola. A continuación, especifica la contraseña del modo EXEC del usuario utilizando el comando password password. Por último, habilita el acceso del usuario EXEC utilizando el comando login.

Sw-Floor-1# configure terminal
Sw-Floor-1(config)# line console 0
Sw-Floor-1(config-line)# password cisco
Sw-Floor-1(config-line)# login
Sw-Floor-1(config-line)# end
Sw-Floor-1#

El acceso a la consola ahora requerirá una contraseña antes de permitir el acceso al modo EXEC del usuario.

Para tener acceso de administrador a todos los comandos de IOS, incluida la configuración de un dispositivo, debesobtener acceso privilegiado al modo EXEC. Es el método de acceso más importante porque proporciona un acceso completo al dispositivo.

Para asegurar el acceso privilegiado al modo EXEC, utiliza el comando de configuración global enable secret password, como se muestra en el ejemplo.

Sw-Floor-1# configure terminal
Sw-Floor-1(config)# enable secret class
Sw-Floor-1(config)# exit
Sw-Floor-1#

Las líneas de terminales virtuales (VTY) permiten el acceso remoto mediante Telnet o SSH al dispositivo. Muchos switches Cisco soportan hasta 16 líneas VTY numeradas del 0 al 15.

Para asegurar las líneas VTY, entra en el modo de línea VTY usando el comando de configuración global line vty 0 15. Luego, especifica la contraseña VTY usando el comando password password. Por último, habilita el acceso a VTY mediante el comando login.

Se muestra un ejemplo de aseguramiento de las líneas VTY en un switch.

Sw-Floor-1# configure terminal
Sw-Floor-1(config)# line vty 0 15
Sw-Floor-1(config-line)# password cisco 
Sw-Floor-1(config-line)# login 
Sw-Floor-1(config-line)# end
Sw-Floor-1#

4. Cifrar las Contraseñas

Los archivos startup-config y running-config muestran la mayoría de las contraseñas en texto plano. Esto es una amenaza a la seguridad porque cualquiera puede descubrir las contraseñas si tiene acceso a estos archivos.

Para encriptar todas las contraseñas en texto plano, utiliza el comando de configuración global service password-encryption, como se muestra en el ejemplo.

Sw-Floor-1# configure terminal
Sw-Floor-1(config)# service password-encryption
Sw-Floor-1(config)#

El comando aplica una encriptación débil a todas las contraseñas no encriptadas. Esta encriptación sólo se aplica a las contraseñas del archivo de configuración, no a las contraseñas que se envían a través de la red. El propósito de este comando es evitar que personas no autorizadas vean las contraseñas en el archivo de configuración.

Utiliza el comando show running-config para verificar que las contraseñas están ahora encriptadas.

Sw-Floor-1(config)# end
Sw-Floor-1# show running-config
!

!
line con 0
password 7 094F471A1A0A 
login
!
line vty 0 4
password 7 03095A0F034F38435B49150A1819
login
!
!
end

5. Mensajes de Aviso (Banner)

Aunque la exigencia de contraseñas es una forma de mantener al personal no autorizado fuera de una red, es vital proporcionar un método para declarar que sólo el personal autorizado debe intentar acceder al dispositivo. Para ello, añade un banner a la salida del dispositivo. Los banners pueden ser una parte importante del proceso legal en el caso de que alguien sea procesado por irrumpir en un dispositivo. Algunos sistemas jurídicos no permiten el enjuiciamiento, ni siquiera la vigilancia de los usuarios, a menos que esté visible una notificación.

Para crear un mensaje de banner en un dispositivo de red, utiliza el comando de configuración global banner motd # el mensaje aquí #. El “#” en la sintaxis del comando se denomina carácter delimitador. Se introduce antes y después del mensaje. El carácter delimitador puede ser cualquier carácter siempre y cuando no aparezca en el mensaje. Por esta razón, se utilizan a menudo símbolos como el “#“. Una vez ejecutado el comando, el banner se mostrará en todos los intentos posteriores de acceso al dispositivo hasta que se elimine el banner.

El siguiente ejemplo muestra los pasos para configurar el banner en el Sw-Floor-1.

Sw-Floor-1# configure terminal
Sw-Floor-1(config)# banner motd #Authorized Access Only#

6. Vídeo – Acceso Administrativo Seguro a un Switch

Haz clic en Reproducir en la figura para ver un vídeo de demostración de cómo asegurar el acceso administrativo a un switch.

7. Verificador de Sintaxis – Configuración Básica del Dispositivo

Acceso seguro de la administración a un switch.

• Asignar un nombre de dispositivo.
• Acceso seguro del usuario al modo EXEC.
• Asegurar el acceso privilegiado al modo EXEC.
• Acceso seguro a VTY.
• Cifrar todas las contraseñas de texto plano.
• Mostrar un banner de acceso.

.-.

• Entra en el modo de configuración global.

Switch#configure terminal

• Nombra el switch “Sw-Floor-1”.

Switch(config)#hostname Sw-Floor-1

• Asegura el acceso al modo EXEC del usuario entrando en la consola de línea 0, asigna la contraseña cisco, habilita el inicio de sesión y vuelve al modo de configuración global usando exit.

Sw-Floor-1(config)#line console 0
Sw-Floor-1(config-line)#password cisco
Sw-Floor-1(config-line)#login
Sw-Floor-1(config-line)#exit

• Asegure el acceso privilegiado al modo EXEC usando la contraseña class.

Sw-Floor-1(config)#enable secret class

• Asegure las líneas VTY de la 0 a la 15, asigna la contraseña cisco, habilita el acceso y vuelve al modo de configuración global usando exit.

Sw-Floor-1(config)#line vty 0 15
Sw-Floor-1(config-line)#password cisco
Sw-Floor-1(config-line)#login
Sw-Floor-1(config-line)#exit

• Cifrar todas las contraseñas en texto plano.

Sw-Floor-1(config)#service password-encryption

• Crear un mensaje publicitario usando el símbolo “#” como delimitador. El banner debe mostrar exactamente: ¡Advertencia! ¡Sólo acceso autorizado!

Sw-Floor-1(config)#banner motd #¡Advertencia! ¡Sólo acceso autorizado!#

Has completado con éxito los requisitos básicos para acceder y asegurar un dispositivo.

¡Listo! Sigue visitando nuestro blog de curso de redes, dale Me Gusta a nuestra fanpage; y encontrarás más herramientas y conceptos que te convertirán en todo un profesional de redes.