Seguridad y Redes

• Console 
• AUX 
• VTY 
• HTTP/HTTPS 
• Enable secret 
• Enable password

¿Cuales son las mejores practicas para un password que si sea fuerte, que si sea seguro? 

• Por lo menos debe de tener 10 caracteres 
• Usar minúsculas, mayúsculas, números y caracteres especiales 
• Que no sea una palabra común, es decir que no esté en un diccionario 
• Debemos de cambiar el password de manera periódica. Seria una muy buena idea es de que si tenemos una política de seguridad por escrito que ahí se mencione que tan seguido se debe de cambiar el password y que realmente se haga. 

Configurando Password en los Routers Cisco

Confiurar Password de Consola 

Router#configure terminal
Router(config)#line console 0
Router(config-line)#password console
Router(config-line)#login
Router(config-line)#exit

Configurar Password de AUX 

Router#configure terminal
Router(config)#line aux 0
Router(config-line)#password passaux
Router(config-line)#login
Router(config-line)#exit

Configurar Password en las Lineas VTY 

Router#configure terminal
Router(config)#line vty 0 4
Router(config-line)#password vty
Router(config-line)#login

Si en estos momentos vemos la configuración con el comando show running-config.

Router#show running-config
Building configuration...
!
line con 0
exec-timeout 0 0
password console
logging synchronous
login
line aux 0
exec-timeout 0 0
privilege level 15
password passaux
logging synchronous
login
line vty 0 4
password vty
login
!

Configurar el service password-encryption 

Router#configure terminal
Router(config)#service password-encryption
Router(config)#exit

Si ahora le revisamos con un show running-config, veremos los passwords encriptados, pero tal como se ha mencionado esta encriptacion no es muy segura.

Router#show running-config
Building configuration...
!
line con 0
exec-timeout 0 0
password 7 02050B5518090324
logging synchronous
login
line aux 0
exec-timeout 0 0
privilege level 15
password 7 140713181F053F33
logging synchronous
login
line vty 0 4
password 7 08375857
login
!

Cuando veamos en la configuración password 7 lo que sigue significa que esta encriptado y tal como se menciona, esta encriptacion no es segura. Podemos descifrar el password con cualquier herramienta que podamos encontrar en google, como de la pagina Packetlife.net.


Algo importante que debemos de saber es si quitamos el service password-encryption (no service password-encryption).

Router(config)#no service password-encryption

Y le ponemos de nuevo un show running-config

Router#show running-config
Building configuration...
!
line con 0
exec-timeout 0 0
password 7 02050B5518090324
logging synchronous
login
line aux 0
exec-timeout 0 0
privilege level 15
password 7 140713181F053F33
logging synchronous
login
line vty 0 4
password 7 08375857
login
!

Vamos a ver que los deja encriptados. Es bien imporante el entender que si vemos que dice password 7y lo que sigue esta encriptado. Si nosotros copiamos password 7 08375857 y lo pegamos en otro Router el password que le estamos poniendo  no es 08375857, es el que esta encriptado porque le estamos poniendo un 7. Si le pusieramos password 0 (el 0 significa que lo que sigue no esta encriptado).

Habilitar enable password 

Router#configure terminal
Router(config)#enable password passenable

Habilitar enable secret 

Router#configure terminal
Router(config)#enable secret cisco2

Veamos la configuracion

Router#show running-config
Building configuration...
!
enable secret 5 $1$SfXz$VTQcZ6eOOVgZCBfvtmMBC0
enable password passenable
!

Podemos ver que el enable password tiene como contraseña passenable y el enable secret tiene un Hash de MD5. Cuando configuramos el enable secret ingrasamos cisco2 y automaticamente puso un 5 y un hash de MD5. Cualquier password que se ingrese automaticamente lo va convertir en un hasd de MD5 con valor de 128 bits aunque no tengamos habilitado el service password-encryption. Si en alguna configuracion ven enable secret 5 lo que sigue no es el password, es el hash de MD5.