El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe configuraciones de ejemplo para configurar la protección por contraseña para las conexiones EXEC entrantes al router.
Para realizar las tareas descritas en este documento, debe tener acceso EXEC privilegiado a la interfaz de línea de comandos (CLI) del router. Para obtener información sobre la línea de comandos y para comprender los modos de comandos, vea Uso de la Interfaz de Línea de Comandos de Cisco IOS.
Para obtener instrucciones sobre la conexión de una consola al router, consulte la documentación que acompaña al router o la documentación en línea del equipo.
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
Router 2509 de Cisco
Software Cisco IOS® versión 12
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
For more information on document conventions, refer to the Cisco Technical Tips Conventions.
El uso de protección con contraseña para controlar o restringir el acceso a la interfaz de línea de comandos (CLI) del router es uno de los elementos fundamentales de un plan de seguridad general.
La protección del router contra el acceso remoto no autorizado, normalmente Telnet, es la seguridad más común que debe configurarse, pero no se puede pasar por alto la protección del router contra el acceso local no autorizado.
Nota: la protección por contraseña es solo uno de los muchos pasos que se deben seguir para aplicar un régimen de seguridad de red exhaustivo y eficaz. Los firewalls, las listas de acceso y el control del acceso físico al equipo son otros elementos que deben tenerse en cuenta al implementar el plan de seguridad.
El acceso a la línea de comando o EXEC en un router puede realizarse de distintas maneras, pero en todos los casos, la conexión interna al router se realiza en una línea TTY. Existen cuatro tipos principales de líneas TTY, como se muestra en este ejemplo show line
salida:
2509#show line Tty Typ Tx/Rx A Modem Roty AccO AccI Uses Noise Overruns Int * 0 CTY - - - - - 0 0 0/0 - 1 TTY 9600/9600 - - - - - 0 0 0/0 - 2 TTY 9600/9600 - - - - - 0 0 0/0 - 3 TTY 9600/9600 - - - - - 0 0 0/0 - 4 TTY 9600/9600 - - - - - 0 0 0/0 - 5 TTY 9600/9600 - - - - - 0 0 0/0 - 6 TTY 9600/9600 - - - - - 0 0 0/0 - 7 TTY 9600/9600 - - - - - 0 0 0/0 - 8 TTY 9600/9600 - - - - - 0 0 0/0 - 9 AUX 9600/9600 - - - - - 0 0 0/0 - 10 VTY - - - - - 0 0 0/0 - 11 VTY - - - - - 0 0 0/0 - 12 VTY - - - - - 0 0 0/0 - 13 VTY - - - - - 0 0 0/0 - 14 VTY - - - - - 0 0 0/0 - 2509#
El tipo de línea CTY es el Puerto de la Consola. En cualquier router, aparece en la configuración del router como line con 0 y en la salida del show line
comando as cty . El puerto de la consola se utiliza principalmente para el acceso al sistema local con un terminal de la consola.
Las líneas TTY son líneas asíncronas utilizadas para conexiones de módem y terminal entrantes o salientes y pueden verse en una configuración de router o servidor de acceso como línea x . Los números de líneas específicas son una función del hardware incorporada o instalada en el router o en el servidor de acceso.
La línea AUX es el puerto auxiliar, que aparece en la configuración como line aux 0.
Las líneas VTY son las líneas de terminal virtual del router, que se utilizan solamente para controlar las conexiones Telnet entrantes. Son virtuales en el sentido que son una función de software; no hay hardware relacionado con ellas. Aparecen en la configuración como line vty 0 4.
Cada uno de estos tipos de líneas puede configurarse con protección con contraseña. Las líneas pueden configurarse para utilizar una misma contraseña para todos los usuarios o para contraseñas específicas de los usuarios. Las contraseñas específicas de los usuarios se pueden configurar de manera local en el router, o bien puede utilizar un servidor de autenticación para proporcionar la autenticación.
No existe ninguna prohibición de configurar diferentes líneas con diferentes tipos de protección por contraseña. De hecho, es común ver routers con una sola contraseña para la consola y contraseñas específicas de los usuarios para otras conexiones entrantes.
Este es un ejemplo de salida del router desde el show running-config
comando:
2509#show running-config Building configuration... Current configuration : 655 bytes ! version 12.2 . . . !--- Configuration edited for brevity line con 0 line 1 8 line aux 0 line vty 0 4 ! end
Para especificar una contraseña en una línea, utilice el password
en el modo de configuración de línea. Para activar una comprobación de contraseña en el inicio de sesión, utilice el login
en el modo de configuración de línea.
En este ejemplo, se configura una contraseña para todos los usuarios que intenten utilizar la consola.
Desde el mensaje EXEC privilegiado (o enable), ingrese al modo de configuración y luego cambie al modo de configuración de línea con estos comandos. Tenga en cuenta que el mensaje cambia para reflejar el modo actual.
router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. router(config)#line con 0 router(config-line)#
Configure la contraseña y active la comprobación de contraseña al iniciar sesión.
router(config-line)#password letmein router(config-line)#login
Salga del modo de configuración.
router(config-line)#end router# %SYS-5-CONFIG_I: Configured from console by console
Nota: No guarde los cambios de configuración en el icono de línea 0 hasta que se haya verificado su capacidad para iniciar sesión.
Nota: En la configuración de la consola de línea, login
es un comando de configuración necesario para habilitar una comprobación de contraseña al iniciar sesión. La autenticación de consola requiere tanto el password
y el login
comandos para trabajar
Examine la configuración del router para verificar que los comandos hayan sido ingresados correctamente:
show running-config
: muestra la configuración actual del router.
router#show running-config Building configuration... ... !--- Lines omitted for brevity ! line con 0 password letmein login line 1 8 line aux 0 line vty 0 4 ! end
Para probar la configuración, cierre la consola y vuelva a iniciar sesión, y utilice la contraseña configurada para acceder al router:
router#exit router con0 is now available Press RETURN to get started. User Access Verification Password: !--- Password entered here is not displayed by the router router>
Nota: Antes de realizar esta prueba, asegúrese de tener una conexión alternativa al router, como Telnet o dial-in, en caso de que haya un problema durante el inicio de sesión de nuevo en el router.
Si no puede volver a iniciar sesión en el router y no ha guardado la configuración, recargue el router para eliminar cualquier cambio de configuración que haya realizado.
Si se guardaron los cambios de configuración y no puede iniciar sesión en el router, realice una recuperación de contraseña. Para obtener instrucciones sobre una plataforma en particular, consulte Procedimientos para Recuperación de Contraseña.
Para establecer un sistema de autenticación basado en el nombre de usuario, utilice el username < /code>
en el modo de configuración global. Para activar una comprobación de contraseña al iniciar sesión, utilice el login local
en el modo de configuración de línea.
En este ejemplo, las contraseñas se configuran para los usuarios que intentan conectarse al router en las líneas VTY con Telnet.
Desde el mensaje EXEC privilegiado (o enable), ingrese al modo de configuración e ingrese las combinaciones de nombre de usuario/contraseña, una para cada usuario para el cual desea permitir el acceso al router:
router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. router(config)#username russ password montecito router(config)#username cindy password belgium
router(config)#username mike password rottweiler
Cambie al modo de configuración de línea y utilice estos comandos. Tenga en cuenta que el mensaje cambia para reflejar el modo actual.
router(config)#line vty 0 4 router(config-line)#
Configure una comprobación de contraseña al iniciar sesión.
router(config-line)#login local
Salga del modo de configuración.
router(config-line)#end router# %SYS-5-CONFIG_I: Configured from console by console
Nota: Para inhabilitar el Telnet automático cuando escribe un nombre en la CLI, configure no logging preferred /strong>en la línea que se utiliza. Si bien transport preferred none proporciona el mismo resultado, también inhabilita el uso automático de Telnet para el host definido que se configura con el comando ip host. Esto es diferente a la no log preferred
, que lo detiene para hosts no definidos y lo deja funcionar para los definidos.
Examine la configuración del router para verificar que los comandos hayan sido ingresados correctamente:
show running-config
: muestra la configuración actual del router.
router#show running-config Building configuration... ! !--- Lines omitted for brevity ! username russ password 0 montecito username cindy password 0 belgium username mike password 0 rottweiler ! !--- Lines omitted for brevity ! line con 0 line 1 8 line aux 0 line vty 0 4 login local ! end
Para probar esta configuración, se debe establecer una conexión Telnet al router. Esto se puede hacer si se conecta desde un host diferente en la red, pero también puede probar desde el propio router a través de telnet a la dirección IP de cualquier interfaz en el router que esté en un estado up/up como se ve en la salida de la show interfaces
comando.
Aquí hay un ejemplo de salida si la dirección de la interfaz ethernet 0era 10.1.1.1:
router#telnet 10.1.1.1 Trying 10.1.1.1 ... Open User Access Verification Username: mike Password: !--- Password entered here is not displayed by the router router
Los nombres de usuario y las contraseñas distinguen entre mayúsculas y minúsculas. Se rechazarán los usuarios que intenten iniciar sesión con un nombre de usuario o una contraseña con mayúsculas incorrectas.
Si los usuarios no pueden iniciar sesión en el router con sus contraseñas específicas, reconfigure el nombre de usuario y la contraseña en el router.
Para especificar una contraseña en la línea AUX, ejecute el comando password
en el modo de configuración de línea. Para habilitar una verificación de contraseña al iniciar sesión, ejecute el comando login
en el modo de configuración de línea.
En este ejemplo, se configura una contraseña para todos los usuarios que intenten utilizar el puerto AUX.
Ejecute el comando e show line
para verificar la línea utilizada por el puerto AUX.
R1#show line Tty Typ Tx/Rx A Modem Roty AccO AccI Uses Noise Overruns Int * 0 CTY - - - - - 0 0 0/0 - 65 AUX 9600/9600 - - - - - 0 1 0/0 - 66 VTY - - - - - 0 0 0/0 - 67 VTY - - - - - 0 0 0/0 -
En este ejemplo, el puerto AUX está en la línea 65. Ejecute estos comandos para configurar la línea AUX del router:
R1#configure terminal R1(config)#line 65 R1(config-line)#modem inout R1(config-line)#speed 115200 R1(config-line)#transport input all R1(config-line)#flowcontrol hardware R1(config-line)#login R1(config-line)#password cisco R1(config-line)#end R1#
Examine la configuración del router para verificar que los comandos se han ingresado correctamente:
show running-config
muestra la configuración actual del router:
R1#show running-config Building configuration... ! !--- Lines omitted for brevity. line aux 0 password cisco login modem InOut transport input all speed 115200 flowcontrol hardware !--- Lines omitted for brevity. ! end
Para habilitar la autenticación de autenticación, autorización y administración de cuentas (AAA) para los inicios de sesión, utilice el login authentication
en el modo de configuración de línea. También se deben configurar los servicios AAA.
En este ejemplo, el router está configurado para recuperar las contraseñas de los usuarios de un servidor TACACS+ cuando estos intenten conectarse al router.
Nota: La configuración del router para utilizar otros tipos de servidores AAA (RADIUS, por ejemplo) es similar. Consulte Configurar autenticación para obtener información adicional.
Nota: Este documento no trata la configuración del propio servidor AAA.
Desde el mensaje EXEC privilegiado (o enable), ingrese al modo de configuración e ingrese los comandos para configurar el router para utilizar los servicios AAA para la autenticación:
router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. router(config)#aaa new-model router(config)#aaa authentication login my-auth-list tacacs+ router(config)#tacacs-server host 192.168.1.101 router(config)#tacacs-server key letmein
Cambie al modo de configuración de línea y utilice estos comandos. Tenga en cuenta que el mensaje cambia para reflejar el modo actual.
router(config)#line 1 8 router(config-line)#
Configure una comprobación de contraseña al iniciar sesión.
router(config-line)#login authentication my-auth-list
Salga del modo de configuración.
router(config-line)#end router# %SYS-5-CONFIG_I: Configured from console by console
Examine la configuración del router para verificar que los comandos hayan sido ingresados correctamente:
show running-config
: muestra la configuración actual del router.
router#write terminal Build configuration... Current configuration: ! version 12.0 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname router ! aaa new-model aaa authentication login my-auth-list tacacs+ ! !--- Lines omitted for brevity ... ! tacacs-server host 192.168.1.101 tacacs-server key letmein ! line con 0 line 1 8 login authentication my-auth-list line aux 0 line vty 0 4 ! end
Para probar esta configuración en particular, se debe establecer una conexión entrante o saliente a la línea. Consulte la Guía de Conexión del Módem al Router para obtener información específica sobre la configuración de líneas asíncronas para las conexiones del módem.
Como alternativa, puede configurar una o más líneas VTY para realizar la autenticación AAA y realizar la prueba correspondiente.
Antes de emitir debug
, consulte Información importante sobre comandos de depuración.
Para solucionar problemas de un intento de inicio de sesión fallido, utilice el debug
comando apropiado para su configuración:
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
17-Dec-2019 |
Versión inicial |