Niveles de acceso

La interfaz de lnea de comando de Cisco IOS utiliza una lgica de niveles jerrquicos: modo EXEC usuario y modo EXEC privilegiado. Esta divisin de modos permite establecer 2 niveles bsicos de permisos de acceso: acceso de nivel usuario y acceso de nivel privilegiado. El acceso a modo privilegiado puede ser bloqueado utilizando una clave denominada "clave de modo enable" que puede ser encriptada o no:

Router(config)#enable password [clave] Router(config)#enable secret [clave]

Ambas claves son requeridas para acceder al modo privilegiado. Sin embargo, la enable password se guarda en formato de texto plano en el archivo de configuracin, mientras la enable secret se guarda encriptada utilizando MD5. Por su parte, el acceso a modo usuario se asegura utilizando claves de acceso en las diferentes "lneas": consola, auxiliar o terminal virtual. En estas lneas de acceso hay diferentes formas de configurar claves de acceso. Clave simple de acceso al modo usuario En cada uno de las lneas de acceso (consola, auxiliar, terminal virtual), se puede asegurar el acceso utilizando una clave simple. Router(config)#line vty 0 4 Router(config-line)#password [clave] Router(config-line)#login El primer comando define una clave, y el comando login indica al dispositivo que debe mostrar el prompt requiriendo el ingreso de la clave cuando se intenta el acceso por terminal virutal (telnet). La clave se guarda en el archivo de configuracin en formato de texto plano. Acceso utilizando usuario y clave El acceso puede asegurarse tambin utilizando usuario y clave: Router(config)#username [user] secret 0 [clave] Router(config)#line vty 0 4 Router(config-line)#login local Genera un usuario y una clave que se guarda encriptada utilizando MD5 en el archivo de configuracin. Ese usuario y clave se aplican a la lnea de acceso utilizando el comando login local. Asignacin de niveles de privilegio por usuario Cisco IOS permite configurar 16 niveles de usuario diferente (0 a 15). Usuario nivel 0 - Slo accede a modo usuario. Usuario nivel 1 a 14 - Se pueden asignar diferentes comandos para cada nivel. Usiario nivel 15 - Acceso a modo privilegiado completo.

La configuracin de diferentes niveles de acceso es particularmente til en entornos en los que diferentes tcnicos tienen asignadas diferentes tareas. Para configurar un usuario con permiso de utilizacin de un conjunto limitado de comandos de nivel privilegiado, siga este procedimiento: Router(config)#privilege exec level [nivel] [comando] Router(config)#username [user] privilege [level] password

[clave]

Router(config)#line vty 0 4 Router(config-line)#login local Tambin es posible generar niveles de privilegios diferentes y asociarlos directamente a una clave de acceso simple a modo privilegiado: Router(config)#privilege exec level [nivel] [comando] Router(config)#enable secret level [nivel] [clave]

Comandos relacionados Para encriptar las claves que se guardan en texto plano en el archivo de configuracin: Router(config)#service password-encryption Para establecer una longitud mnima en las claves:

Router(config)#security password min-length [long]

Para establecer un lmite de tiempo de inactividad al final de la cual se cerrar la secin:

Router(config-line)#exec-timeout [min] [seg]

Prcticas sugeridas Utilice claves robustas de al menos 10 caracteres alfanumticos. Es aconsejable incluir maysculas / minsculas y smbolos. Las claves no deben ser palabras de diccionario. Para asegurar el acceso a modo privilegiado utilice siempre la enable secret. Active el servicio de encriptacin de claves para asegurarse que no queden claves en texto plano visibles en el archivo de configuracin. Cambie las claves peridicamente. Incluya un mensaje de acceso (banner) advirtiendo que se monitorear y perseguir el acceso no autorizado.