Seguridad y Redes

Tips, Video Tutoriales, Wifislax, VMware, Linux, GNS3, Eve-NG, CCNA, Cisco Routers, Switches

Habilitar HTTPS (HTTP Secure) en un Router Cisco

By 13:15 , , ,

Para configurar y monitorizar el router utilizando una transferencia segura de datos en el navegador, la solución es habilitar HTTPS (Hypertext Transfer Protocol Secure o en español Protocolo seguro de transferencia de hipertexto) en el router. Para habilitar HTTPS en un router cisco se utiliza el comando ip http secure-server.
Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#ip http secure-server
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
Router(config)#end
Router#
HTTPS nos proporciona un método seguro y encriptado para acceder al router desde un navegador web usando Secure Sockets Layer (Protocolo de Capa de Conexión Segura SSL) y Transport Layer Security (Seguridad de la Capa de Transporte TLS). Por defecto, el router crea un certificado digital en la configuración, tal como se muestra continuación.
Router#show running-config | section crypto 
crypto pki trustpoint TP-self-signed-998521732
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-998521732
revocation-check none
rsakeypair TP-self-signed-998521732
crypto pki certificate chain TP-self-signed-998521732
certificate self-signed 01
3082023C 308201A5 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 39393835 32313733 32301E17 0D303230 33303130 30313634
345A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F
532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3939 38353231
37333230 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100
E2511EF6 6F0A8C6D B915194A 7C024F32 1DCEFBEB A39C0E6E 924D624D 4803F14D
51CC0CD5 EC228192 BA67A370 7C0D33DF F51DF07C 2F6FCE20 25D81337 34F9526E
940496A1 F5F4AB56 81A1CAC8 65CBABF5 8F2493CC 7842358A CAF055D5 15BF269D
83ADEF10 66CF9165 04F5FF16 5FBA92AE 641ED9E5 127F1587 536FBD06 F25AA1C9
02030100 01A36630 64300F06 03551D13 0101FF04 05300301 01FF3011 0603551D
11040A30 08820652 6F757465 72301F06 03551D23 04183016 80142335 99B9291A
53A28A3A A59369DC E61049FD AB8F301D 0603551D 0E041604 14233599 B9291A53
A28A3AA5 9369DCE6 1049FDAB 8F300D06 092A8648 86F70D01 01040500 03818100
A7CCFC26 38B51159 5E30FFE2 4A77E7E5 EC91C380 D251AED9 389E6D3F 6F8C8E5C
158B93AC 3E6A8902 9F312544 D47D1974 4949985B 16DD5629 106FF3D9 F2AB338F
CF740E85 30B2FB81 2B0E4726 AA7B005E 32E7F688 377DCB67 CADD4E27 13472C0F
46463B71 19447730 18990718 D08D45E6 8846DE1D 132EFF24 D8BF0057 C56471E4
  quit
Router#
Por default, el servidor HTTPS usa el puerto 443, para cambiar el puerto del servidor HTTPS utilizaremos el siguiente comando.
Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#ip http secure-port 8080
Router(config)#end
Router#
En este ejemplo hemos cambiado el puerto 443 (predeterminado) de HTTPS, al puerto 8080. Puedes configurar cualquier puerto que no este siendo utilizado. El protocolo HTTP y el HTTPS no pueden estar configurados para utilizar el mismo puerto.

Asi que, si cambiamos el numero de puerto HTTPS, entonces necesitamos especificar en el navegador el numero de puerto. Por ejemplo: https://192.168.1.11:8080, donde el 8080 es el nuevo puerto de HTTPS que le hemos configurado.

Para ver el estado de la configuración de HTTPS, utilizaremos el comando show ip server.
Router#show ip http server secure status
HTTP secure server status: Enabled
HTTP secure server port: 8080
HTTP secure server ciphersuite: 3des-ede-cbc-sha des-cbc-sha rc4-128-md5 rc4-128-sha
HTTP secure server client authentication: Disabled
HTTP secure server trustpoint:
HTTP secure server active session modules: ALL
Router#
Como se puede ver la salida el comando show ip server, el servidor HTTPS esta habilitado y configurado para utilizar el puerto 8080.

You Might Also Like

10 comentarios

  1. Perdón, soy un poco novato. ¿Qué utilidad tiene configurar y monotorizar el router de mi casa usando HTTPS?
    Entiendo que es para proteger un man-in-the-middle entre tu pc y el router (conexión wifi).
    Pero, ¿qué relación tiene esta "defensa" si cualquiera puede pinchar la contraseña de mi router WPAxx?

    ResponderEliminar
  2. Buenas.. Esto no tiene ninguna utilidad en los router wifi del hogar (aunque también existen access point de cisco, pero desconozco si soportan SDM).

    Los routers cisco son mayormente para uso empresarial, gubernamental, educativa etc.. se puede decir uno de los mas robustos del mundo ya que son de capa 3 y con ellos puedes configurar protocolos de enrutamiento IP (RIP, EIGRP, OSPF, BGP).

    Habilitar el HTTPS en estos equipos
    es para utilizar el SDM de cisco de forma segura y así administrarlos, realizar configuraciones complicadas de una manera muy sencilla, sin tener conocimientos de la linea de comandos.

    ResponderEliminar
  3. Muchas gracias.
    Explicas todo muy claro y me ha servido mucho.

    ResponderEliminar
  4. WTF NO ENTIENDO UN CARAJO

    ResponderEliminar
  5. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  6. Buenas tardes, tengo un problema, al querer habilitar el acceso HTTP en mi router no me deja hacerlo, a continuación te anexo lo que me aparece:

    HQ2(config)#ip http server
    ^
    % Invalid input detected at '^' marker.

    Espero me puedas ayudar, de antemano, gracias.

    ResponderEliminar
    Respuestas
    1. Hola, el símbolo ^ te indica donde está el error. Los comando pueden varias según el modelo y/o marca del router. Puedes intentar con http server enable

      Eliminar
  7. Tengo una pregunta , tengo un repetidor que me permite está interfaz Http , ssh , esto es para tener internet del router en cualquier lugar ? Es que no se casi de eso

    ResponderEliminar
  8. Router#configure terminal
    Router(config)#ip http server
    Router(config)#ip http secure-server
    Router(config)#ip http secure-port 8080
    Router(config)#ip http authentication aaa

    https://192.168.1.11:8080 (a ip valida de CPE)

    ResponderEliminar
  9. ME FUNCIONO PERFECTO, DEJO LA CONFIG



    Router#configure terminal
    Router(config)#ip http server
    Router(config)#ip http secure-server
    Router(config)#ip http secure-port 8080
    Router(config)#ip http authentication aaa

    https://192.168.1.11:8080 (a ip valida de CPE)

    ResponderEliminar