Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Autenticación
y los usuarios pueden usar sus cuentas existentes para acceder a nuevos equipos a medida
que la red cambia o crece. Los procesos de actualización de cuenta existente eliminan el
error y la frustración del usuario. Los ID y las contraseñas se cifran mediante algoritmos
Autorización
usuario operador de solo lectura, que se puede configurar y controlar desde el servidor de
computadoras individuales.
Registro
seguridad para disponer siempre de esta información. Esta parte de la arquitectura puede
parecer la menos importante durante la fase de acceso a los recursos, pero es de suma
importancia durante el análisis después de un incidente para encontrar la causa raíz de las
infracciones de seguridad.
Modos AAA
AAA se puede utilizar para autenticar usuarios para acceso administrativo o acceso
remoto a la red. Estos dos métodos de acceso utilizan diferentes modos para solicitar servicios
AAA.
Fuente: https://elibro.net/es/ereader/uguayaquil/106474
Está definido en RFC 2865 y es la versión publicada y más utilizada del protocolo AAA.
(cualquiera puede usarlo), usa UDP como protocolo de transporte y solo cifra las contraseñas.
RADIUS usa el puerto UDP 1645 o 1812 para la autenticación y el puerto UDP 1646 o 1813 para
el registro de auditoría.
Está definido en RFC 1492 y es una evolución del protocolo TACACS de Cisco que
AAA completo. Este es un protocolo propietario de Cisco que utiliza TCP como protocolo de
transporte y cifra todos los paquetes. Se caracteriza por aislar cada función del resto, permitiendo
una autorización detallada de comando a comando. TACACS+ utiliza el puerto TCP 49.
Configuración Router
R1(config)#aaa new-model
primero el router intentará verificar las credenciales con un servidor TACACS+ (group tacacs+)
y en caso de fallo busca en la configuración local (local). Esta lista puede tener varios elementos
tacacs+ local
R1(config)#line vty 0 4
Estableciendo que para el login se debe buscar acorde a la lista
ORDEN_AUTENTICACION.
R1(config)#aaa new-model
radius local
R1(config)#line vty 0 4
PWDS EN ROUTERS
Hay varios tipos de contraseñas que se pueden configurar en los enrutadores Cisco como
la contraseña de activación, contraseña secreta para conexiones Telnet y SSH y puerto de consola.
Las contraseñas restringen el acceso a su enrutador. El acceso a la consola, las líneas de terminales
virtuales (VTY) y los puertos auxiliares siempre deben tener una contraseña.
Las contraseñas también se utilizan para controlar el acceso desde el modo de usuario al
modo EXEC privilegiado, lo que garantiza que solo los usuarios autorizados puedan modificar
Router(config-line)# login
De forma predeterminada, las contraseñas enable, console, aux y vty se almacenan en
texto no cifrado y el secreto enable se almacena en forma cifrada. Cuando se accede a través de
Consola, Aux y VTY, lo lleva directamente al Modo de usuario, donde solo tiene acceso a ciertos
comandos, generalmente para ver estadísticas. Se requiere acceso al modo Activo o Privilegiado
para realizar las funciones restantes. La consola y los puertos auxiliares son locales para el
módem.
Sin este comando, no se utiliza ninguna contraseña. La inclusión de este comando hace obligatorio
Protección de consola
para acceder a la consola de administración, pero esto es opcional. Sin embargo, se recomienda
Router(config)#line console 0
Router(config-line)#password password
Router(config-line)#login
línea de la consola.
para el acceso administrativo remoto. Los administradores pueden usar este puerto para configurar
de sesión y contraseña para solicitar un inicio de sesión y establecer una contraseña de inicio de
router(config-line)# login
router(config-line)# exit
Para permitir que los usuarios remotos accedan al enrutador a través de Telnet o SSH,
debe establecer una contraseña en una o más líneas de terminal virtual (VTY). Los enrutadores
de Cisco suelen admitir hasta 5 sesiones de terminal virtual VTY simultáneas (Telnet o SSH) de
forma predeterminada. En los enrutadores, los puertos vty están numerados o etiquetados del 0 al
simultáneas, pero las líneas o sesiones pueden reservarse con una contraseña dedicada incluso si
router(config-line)# login
Se utiliza el comando line vty 0 4 seguido por los subcomandos login y password para
solicitar ingreso y establecer una contraseña de ingreso a las sesiones telnet entrantes.
Hay dos comandos que puede usar para establecer la contraseña. Los comandos enable
password y enable secret se utilizan para restringir el acceso al modo EXEC privilegiado. El
comando enable password se usa solo si el enable secret no se configuró previamente. A
diferencia de enable password, las contraseñas siempre se cifran, por lo que se recomienda
Router(config)#enable password
Esta contraseña no está cifrada, por lo que el comando de configuración enable password
habilita la contraseña para el acceso en modo privilegiado desde el modo de usuario. Si desea que
esta contraseña se cifre y almacene en el archivo de configuración del enrutador, debe usar el
comando enable secret. El comando de configuración enable secret restringe el acceso al modo
EXEC privilegiado. Esta contraseña está encriptada en la configuración del enrutador usando un
algoritmo de encriptación fuerte MD5 (Message Digest 5) para encriptar la contraseña. Por lo
tanto, le recomendamos que utilice el comando enable secret para mayor seguridad. Si usa los dos
comandos anteriores, la contraseña ingresada con el comando enable secret tiene prioridad.
BIBLIOGRAFÍA
certificación CCNP Routing y Switching (3a. ed.). Paracuellos de Jarama, Madrid, RA-MA
Ariganello, E. (2014). Redes Cisco CCNP a Fondo: guía de estudio para profesionales.
https://www.prucommercialre.com/cisco-router-passwords-habilitar-y-secretos/