Configuración de contraseñas de puerto AUX, consola y Telnet en routers

Introducción

Este documento describe configuraciones de ejemplo para configurar la protección por contraseña para las conexiones EXEC entrantes al router.

Prerequisites

Requirements

Para realizar las tareas descritas en este documento, debe tener acceso EXEC privilegiado a la interfaz de línea de comandos (CLI) del router. Para obtener información sobre la línea de comandos y para comprender los modos de comandos, vea Uso de la Interfaz de Línea de Comandos de Cisco IOS.

Para obtener instrucciones sobre la conexión de una consola al router, consulte la documentación que acompaña al router o la documentación en línea del equipo.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• Router 2509 de Cisco

• Software Cisco IOS® versión 12

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Convenciones

For more information on document conventions, refer to the Cisco Technical Tips Conventions.

Antecedentes

El uso de protección con contraseña para controlar o restringir el acceso a la interfaz de línea de comandos (CLI) del router es uno de los elementos fundamentales de un plan de seguridad general.

La protección del router contra el acceso remoto no autorizado, normalmente Telnet, es la seguridad más común que debe configurarse, pero no se puede pasar por alto la protección del router contra el acceso local no autorizado.

Nota: la protección por contraseña es solo uno de los muchos pasos que se deben seguir para aplicar un régimen de seguridad de red exhaustivo y eficaz. Los firewalls, las listas de acceso y el control del acceso físico al equipo son otros elementos que deben tenerse en cuenta al implementar el plan de seguridad.

El acceso a la línea de comando o EXEC en un router puede realizarse de distintas maneras, pero en todos los casos, la conexión interna al router se realiza en una línea TTY. Existen cuatro tipos principales de líneas TTY, como se muestra en este ejemplo show line salida:

2509#show line
   Tty Typ     Tx/Rx    A Modem  Roty AccO AccI   Uses   Noise  Overruns   Int
*    0 CTY              -    -      -    -    -      0       0     0/0       -
     1 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     2 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     3 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     4 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     5 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     6 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     7 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     8 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     9 AUX   9600/9600  -    -      -    -    -      0       0     0/0       -
    10 VTY              -    -      -    -    -      0       0     0/0       -
    11 VTY              -    -      -    -    -      0       0     0/0       -
    12 VTY              -    -      -    -    -      0       0     0/0       -
    13 VTY              -    -      -    -    -      0       0     0/0       -
    14 VTY              -    -      -    -    -      0       0     0/0       -

2509#

El tipo de línea CTY es el Puerto de la Consola. En cualquier router, aparece en la configuración del router como line con 0 y en la salida del  show line comando as cty . El puerto de la consola se utiliza principalmente para el acceso al sistema local con un terminal de la consola.

Las líneas TTY son líneas asíncronas utilizadas para conexiones de módem y terminal entrantes o salientes y pueden verse en una configuración de router o servidor de acceso como línea x . Los números de líneas específicas son una función del hardware incorporada o instalada en el router o en el servidor de acceso.

La línea AUX es el puerto auxiliar, que aparece en la configuración como line aux 0.

Las líneas VTY son las líneas de terminal virtual del router, que se utilizan solamente para controlar las conexiones Telnet entrantes. Son virtuales en el sentido que son una función de software; no hay hardware relacionado con ellas. Aparecen en la configuración como line vty 0 4.

Cada uno de estos tipos de líneas puede configurarse con protección con contraseña. Las líneas pueden configurarse para utilizar una misma contraseña para todos los usuarios o para contraseñas específicas de los usuarios. Las contraseñas específicas de los usuarios se pueden configurar de manera local en el router, o bien puede utilizar un servidor de autenticación para proporcionar la autenticación.

No existe ninguna prohibición de configurar diferentes líneas con diferentes tipos de protección por contraseña. De hecho, es común ver routers con una sola contraseña para la consola y contraseñas específicas de los usuarios para otras conexiones entrantes.

Este es un ejemplo de salida del router desde el show running-config comando:

2509#show running-config
Building configuration...

Current configuration : 655 bytes
!
version 12.2
.
. 
. 

!--- Configuration edited for brevity


line con 0
line 1 8
line aux 0
line vty 0 4
!
end

Configuración de Contraseñas en la Línea

Para especificar una contraseña en una línea, utilice el password  en el modo de configuración de línea. Para activar una comprobación de contraseña en el inicio de sesión, utilice el login  en el modo de configuración de línea.

Procedimiento de Configuración

En este ejemplo, se configura una contraseña para todos los usuarios que intenten utilizar la consola.

1. Desde el mensaje EXEC privilegiado (o enable), ingrese al modo de configuración y luego cambie al modo de configuración de línea con estos comandos. Tenga en cuenta que el mensaje cambia para reflejar el modo actual.

   router#configure terminal
   Enter configuration commands, one per line.  End with CNTL/Z.
   router(config)#line con 0
   router(config-line)#

2. Configure la contraseña y active la comprobación de contraseña al iniciar sesión.

   router(config-line)#password letmein
   router(config-line)#login
   

3. Salga del modo de configuración.

   router(config-line)#end
   router#
   %SYS-5-CONFIG_I: Configured from console by console

   Nota: No guarde los cambios de configuración en el icono de línea 0 hasta que se haya verificado su capacidad para iniciar sesión.

   Nota: En la configuración de la consola de línea,  login  es un comando de configuración necesario para habilitar una comprobación de contraseña al iniciar sesión. La autenticación de consola requiere tanto el password   y el login  comandos para trabajar

Verifique la Configuración

Examine la configuración del router para verificar que los comandos hayan sido ingresados correctamente:

• show running-config   : muestra la configuración actual del router.

  router#show running-config
  Building configuration...
  ...
  
  !--- Lines omitted for brevity
  
  
  !
  line con 0
  password letmein
  login
  line 1 8
  line aux 0
  line vty 0 4
  !
  end

  Para probar la configuración, cierre la consola y vuelva a iniciar sesión, y utilice la contraseña configurada para acceder al router:

  router#exit
  
  router con0 is now available
  
  Press RETURN to get started.
  
  User Access Verification
  Password: 
  
  !--- Password entered here is not displayed by the router
  
  
  router>

  Nota: Antes de realizar esta prueba, asegúrese de tener una conexión alternativa al router, como Telnet o dial-in, en caso de que haya un problema durante el inicio de sesión de nuevo en el router.

Solucionar problemas de errores de inicio de sesión

Si no puede volver a iniciar sesión en el router y no ha guardado la configuración, recargue el router para eliminar cualquier cambio de configuración que haya realizado.

Si se guardaron los cambios de configuración y no puede iniciar sesión en el router, realice una recuperación de contraseña. Para obtener instrucciones sobre una plataforma en particular, consulte Procedimientos para Recuperación de Contraseña.

Configure Contraseñas Locales Específicas para cada Usuario

Para establecer un sistema de autenticación basado en el nombre de usuario, utilice el username < /code> en el modo de configuración global. Para activar una comprobación de contraseña al iniciar sesión, utilice el  login local en el modo de configuración de línea.

Procedimiento de Configuración

En este ejemplo, las contraseñas se configuran para los usuarios que intentan conectarse al router en las líneas VTY con Telnet.

1. Desde el mensaje EXEC privilegiado (o enable), ingrese al modo de configuración e ingrese las combinaciones de nombre de usuario/contraseña, una para cada usuario para el cual desea permitir el acceso al router:

   router#configure terminal
   Enter configuration commands, one per line.  End with CNTL/Z.
   router(config)#username russ password montecito
   router(config)#username cindy password belgium
   router(config)#username mike password rottweiler
   

2. Cambie al modo de configuración de línea y utilice estos comandos. Tenga en cuenta que el mensaje cambia para reflejar el modo actual.

   router(config)#line vty 0 4
   router(config-line)#

3. Configure una comprobación de contraseña al iniciar sesión.

   router(config-line)#login local
   

4. Salga del modo de configuración.

   router(config-line)#end
   router#
   %SYS-5-CONFIG_I: Configured from console by console

Nota: Para inhabilitar el Telnet automático cuando escribe un nombre en la CLI, configure no logging preferred /strong>en la línea que se utiliza. Si bien transport preferred none proporciona el mismo resultado, también inhabilita el uso automático de Telnet para el host definido que se configura con el comando ip host. Esto es diferente a la no log preferred , que lo detiene para hosts no definidos y lo deja funcionar para los definidos.

Verifique la Configuración

Examine la configuración del router para verificar que los comandos hayan sido ingresados correctamente:

• show running-config   : muestra la configuración actual del router.

  router#show running-config
  Building configuration...
  !
  
  !--- Lines omitted for brevity 
  
  
  !
  username russ password 0 montecito
  username cindy password 0 belgium
  username mike password 0 rottweiler
  !
  
  !--- Lines omitted for brevity 
  
  
  !
  line con 0
  line 1 8
  line aux 0
  line vty 0 4
   login local
  !
  end
  

  Para probar esta configuración, se debe establecer una conexión Telnet al router. Esto se puede hacer si se conecta desde un host diferente en la red, pero también puede probar desde el propio router a través de telnet a la dirección IP de cualquier interfaz en el router que esté en un estado up/up como se ve en la salida de la show interfaces comando.

Aquí hay un ejemplo de salida si la dirección de la interfaz ethernet 0era 10.1.1.1:

router#telnet 10.1.1.1
Trying 10.1.1.1 ... Open


User Access Verification


Username: mike
Password:

!--- Password entered here is not displayed by the router 


router

Troubleshooting de Errores de Contraseñas Específicas de los Usuarios

Los nombres de usuario y las contraseñas distinguen entre mayúsculas y minúsculas. Se rechazarán los usuarios que intenten iniciar sesión con un nombre de usuario o una contraseña con mayúsculas incorrectas.

Si los usuarios no pueden iniciar sesión en el router con sus contraseñas específicas, reconfigure el nombre de usuario y la contraseña en el router.

Configurar contraseña de línea AUX

Para especificar una contraseña en la línea AUX, ejecute el comando password  en el modo de configuración de línea. Para habilitar una verificación de contraseña al iniciar sesión, ejecute el comando login  en el modo de configuración de línea.

Procedimiento de Configuración

En este ejemplo, se configura una contraseña para todos los usuarios que intenten utilizar el puerto AUX.

1. Ejecute el comando e show line para verificar la línea utilizada por el puerto AUX.

   R1#show line
   
      Tty Typ    Tx/Rx    A Modem Roty AccO AccI  Uses  Noise  Overruns  Int
   *    0 CTY                  -    -     -    -    -     0      0     0/0      -
       65 AUX  9600/9600  -    -     -    -    -    0     1     0/0             -
       66 VTY                  -    -     -    -    -     0      0     0/0      -
       67 VTY                  -    -     -    -    -     0      0     0/0      -

2. En este ejemplo, el puerto AUX está en la línea 65. Ejecute estos comandos para configurar la línea AUX del router:

   R1#configure terminal
   R1(config)#line 65
   R1(config-line)#modem inout
   R1(config-line)#speed 115200
   R1(config-line)#transport input all
   R1(config-line)#flowcontrol hardware
   R1(config-line)#login
   R1(config-line)#password cisco
   R1(config-line)#end
   R1#

Verificar configuración

Examine la configuración del router para verificar que los comandos se han ingresado correctamente:

•   show running-config muestra la configuración actual del router:

  R1#show running-config
  Building configuration...
  !
  
  !--- Lines omitted for brevity.
  
  line aux 0
   password cisco
   login
   modem InOut
   transport input all
   speed 115200
   flowcontrol hardware
  
  !--- Lines omitted for brevity.
  
  !
  end
  

Configuración de la Autenticación AAA para Iniciar Sesión

Para habilitar la autenticación de autenticación, autorización y administración de cuentas (AAA) para los inicios de sesión, utilice el  login authentication en el modo de configuración de línea. También se deben configurar los servicios AAA.

Procedimiento de Configuración

En este ejemplo, el router está configurado para recuperar las contraseñas de los usuarios de un servidor TACACS+ cuando estos intenten conectarse al router.

Nota: La configuración del router para utilizar otros tipos de servidores AAA (RADIUS, por ejemplo) es similar. Consulte Configurar autenticación para obtener información adicional.

Nota: Este documento no trata la configuración del propio servidor AAA.

1. Desde el mensaje EXEC privilegiado (o enable), ingrese al modo de configuración e ingrese los comandos para configurar el router para utilizar los servicios AAA para la autenticación:

   router#configure terminal
   Enter configuration commands, one per line.  End with CNTL/Z.
   router(config)#aaa new-model
   router(config)#aaa authentication login my-auth-list tacacs+
   router(config)#tacacs-server host 192.168.1.101
   router(config)#tacacs-server key letmein
   

2. Cambie al modo de configuración de línea y utilice estos comandos. Tenga en cuenta que el mensaje cambia para reflejar el modo actual.

   router(config)#line 1 8
   router(config-line)#

3. Configure una comprobación de contraseña al iniciar sesión.

   router(config-line)#login authentication my-auth-list
   

4. Salga del modo de configuración.

   router(config-line)#end
   router#
   %SYS-5-CONFIG_I: Configured from console by console

Verifique la Configuración

Examine la configuración del router para verificar que los comandos hayan sido ingresados correctamente:

• show running-config   : muestra la configuración actual del router.

  router#write terminal
  Build configuration...
  
  Current configuration:
  !
  version 12.0
  service timestamps debug uptime
  service timestamps log uptime
  no service password-encryption
  !
  hostname router
  !
  aaa new-model
  aaa authentication login my-auth-list tacacs+
  !
  
  !--- Lines omitted for brevity 
  
  
  ...
  !
  tacacs-server host 192.168.1.101
  tacacs-server key letmein
  !
  line con 0
  line 1 8
   login authentication my-auth-list
  line aux 0
  line vty 0 4
  !
  end

Para probar esta configuración en particular, se debe establecer una conexión entrante o saliente a la línea. Consulte la Guía de Conexión del Módem al Router para obtener información específica sobre la configuración de líneas asíncronas para las conexiones del módem.

Como alternativa, puede configurar una o más líneas VTY para realizar la autenticación AAA y realizar la prueba correspondiente.

Troubleshooting de AAA log in Failure

Antes de emitir debug  , consulte Información importante sobre comandos de depuración.

Para solucionar problemas de un intento de inicio de sesión fallido, utilice el debug  comando apropiado para su configuración:

• debug aaa authentication

• debug radius

• debug kerberos

Información Relacionada

• Referencia de Comandos de Debug del Cisco IOS
• Asistencia técnica y descargas de Cisco