Page 119 - Untitled
P. 119

CAPÍTULO 2: CONFIGURACIÓN DE SWITCHS CISCO

                    CONFIGURACIÓN DE SWITCHS



                       En  párrafos  anteriores  han  sido  analizados  y  configurados  los  aspectos  más
                    básicos del switch, dedicando especial atención al acceso a la CLI y sus ficheros, pero
                    sin profundizar en el resto de servicios. IOS incluye multitud de comandos y opciones
                    para  adecuar  cada  switch  a  las  necesidades  de  cada  red,  siendo  nosotros,  los
                    administradores, los encargados de dicha tarea.


                       La siguiente sección se dedicará al estudio y aplicación de las configuraciones más
                    comunes en estos dispositivos, dividiéndola en tres apartados con el fin de facilitar la
                    comprensión: Asegurar el acceso a la CLI, Configuración de Interfaces y VLANs.



                    Asegurar el acceso a la CLI


                       El comando “password”, ya analizado anteriormente, habilita la autenticación de
                    acceso  al  dispositivo  en  relación  con  contraseñas  almacenadas  localmente.  Sin
                    embargo, esta opción por sí sola representa un nivel de seguridad bastante bajo y
                    por lo tanto poco recomendable sobre entornos corporativos.


                       IOS ofrece métodos más seguros tanto para el acceso local como remoto, siendo
                    los siguientes.


                    AUTENTICACIÓN MEDIANTE CONTRASEÑA


                       Uno de los mayores inconvenientes de password consiste en que la contraseña es
                    almacenada  en  texto-plano  en  los  ficheros  de  configuración.  Para  comprobarlo,
                    simplemente bastará con ejecutar un show running-config, donde serán mostradas
                    totalmente legibles. Imagina que dichos ficheros son guardados en un servidor TFTP
                    o  cualquier  otro  medio  externo  como  copia  de  seguridad,  cualquiera  que  tenga
                    acceso a ellos podrá obtener acceso al dispositivo.

                       Una manera de solucionarlo es aplicando cifrado sobre la contraseña, ejecutando
                    para ello  el comando  enable secret “contraseña” desde el modo de configuración
                    global.  La  función  es  exactamente  la  misma  que  con  enable  password,  es  decir,
                    habilita  la  autenticación  para  acceder  al  modo  privilegiado,  sin  embargo,  la  gran
                    diferencia  entre  ambos  radica  en  que  ahora  la  contraseña  no  será  legible  en  los
                    ficheros de configuración.


                       Para llevar a cabo el cambio, primero se debe eliminar el password anteriormente
                    creado,  ejecutando  un  no  enable  password,  para  luego  introducir  la  nueva
                    configuración:
                                                                                                          101
   114   115   116   117   118   119   120   121   122   123   124