VERIFICACIÓN DE LA SEGURIDAD DEL PUERTO VTY

Después de configurar la ACL para restringir el acceso a las líneas VTY, es importante verificar que funcione correctamente. En la ilustración, se muestran dos dispositivos que intentan conectarse al R1 mediante SSH. Se configuró la lista de acceso 21 en las líneas VTY en el R1. La PC1 logra conectarse, mientras que la PC2 no puede establecer una conexión SSH. Este es el comportamiento que se espera, ya que la lista de acceso configurada permite el acceso a VTY desde la red 192.168.10.0/24 y deniega al resto de los dispositivos.

El resultado del R1 muestra lo que se produce al emitir el comando show access-lists después de que la PC1 y la PC2 intentan conectarse mediante SSH. La coincidencia en la línea permit del resultado es producto de una conexión SSH correcta de la PC1. La coincidencia en la instrucción deny se debe al intento fallido de la PC2, un dispositivo en la red 192.168.11.0/24, de establecer una conexión SSH.

1.PNG

EL COMANDO ACCESS-CLASS

Puede mejorar la seguridad de las líneas administrativas mediante la restricción del acceso a VTY. La restricción del acceso a VTY es una técnica que permite definir las direcciones IP a las que se les permite acceder remotamente al proceso de EXEC del router. Puede controlar qué direcciones IP pueden acceder remotamente as router mediante la configuración de una ACL y una instrucción access-class en las líneas VTY. Utilice esta técnica con SSH para mejorar aún más la seguridad de acceso administrativo.

El comando access-class configurado en el modo de configuración de línea restringe las conexiones de entrada y salida entre una VTY determinada (en un dispositivo de Cisco) y las direcciones en una lista de acceso.

La sintaxis del comando access-class es la siguiente:

Router (config)# access-class número-de-acl { in [ vrf-also ] | out }

El parámetro in limita las conexiones de entrada entre las direcciones en la lista de acceso y el dispositivo de Cisco, mientras que el parámetro out limita las conexiones de salida entre un dispositivo de Cisco en particular y las direcciones en la lista de acceso.

En la figura 1, se muestra un ejemplo en el que se permite que un rango de direcciones acceda a las líneas VTY de 0 a 4. La ACL de la ilustración se configuró para permitir que la red 192.168.10.0 acceda a las líneas VTY de 0 a 4, pero para denegar las demás redes.

Para configurar listas de acceso en los VTY, se debe tener en cuenta lo siguiente:

  • Se pueden aplicar listas de acceso numeradas y nombradas a los VTY.
  • Se deben establecer restricciones idénticas en todos los VTY, porque un usuario puede intentar conectarse a cualquiera de ellos.

Nota: Las listas de acceso se aplican a los paquetes que se transportan a través de un router, no están diseñadas para bloquear los paquetes que se originan en el router. De manera predeterminada, las ACL de salida no evita las conexiones de acceso remoto que se inician desde el router.

En la figura uno se muestra un router con un segmento de red local en cada una de las dos interfaces Ethernet Gigabit. Cada segmento consiste en un switch y una computadora. El router tiene los puertos de V.T.Y cero a cuatro configurados para el acceso. La figura muestra los comandos necesarios para crear una A.C.L para restrinja las conexiones de V.T.Y. La figura comienza en el modo de configuración global y luego se mueve a las líneas de v.t.y con el comando line v.t.y. cero espacio cuatro. El siguiente comando configura el router para utilizar una base de datos local para acceder con el comando login local. La siguiente línea fija el tipo de conexión a permitir. El comando es transport input s.s.h. Luego se aplica una A.C.L en las líneas con el comando access guión class 21 in. La ilustración va desde el modo de configuración de línea al modo de configuración global con el comando exit. El A.C.L se crea con el comando access guión list 21 permit 192 punto 168 punto 10 punto cero cero punto cero punto cero punto 255, y el comando access guión list 21 deny any. La figura dos es un elemento de medios interactivos que permite que el estudiante configure las líneas de v.t.y para aceptar s.s.h en un router.

1.PNG

CONFIGURACIÓN DE SSH

Antes de configurar SSH, el switch debe tener configurado, como mínimo, un nombre de host único y los parámetros correctos de conectividad de red.

Paso 1: Verificar la compatibilidad con SSH

Use el comando show ip ssh para verificar que el switch admita SSH. Si el switch no ejecuta un IOS que admita características criptográficas, este comando no se reconoce.

Paso 2: Configurar el dominio IP

Configure el nombre de dominio IP de la red mediante el comando ip domain-name nombre-de-dominio comando global configuration mode. En la figura 1, el valor de nombre-de-dominio es cisco.com.

1.PNG

Paso 3: Generar pares de claves RSA

No todas las versiones del IOS utilizan la versión 2 de SSH de manera predeterminada, y la versión 1 de SSH tiene fallas de seguridad conocidas. Para configurar la versión 2 de SSH, emita el comando ip ssh version 2 del modo de configuración global. La creación de un par de claves RSA habilita SSH automáticamente. Use el comando crypto key generate rsa del modo de configuración global para habilitar el servidor SSH en el switch y generar un par de claves RSA. Al crear claves RSA, se solicita al administrador que introduzca una longitud de módulo. La configuración de ejemplo en la figura 1 utiliza un tamaño de módulo de 1024 bits. Una longitud de módulo mayor es más segura, pero se tarda más en generarlo y utilizarlo.

Nota: para eliminar el par de claves RSA, use el comando crypto key zeroize rsa del modo de configuración global. Después de eliminarse el par de claves RSA, el servidor SSH se deshabilita automáticamente.

Paso 4: Configurar la autenticación de usuario

El servidor SSH puede autenticar a los usuarios localmente o con un servidor de autenticación. Para usar el método de autenticación local, cree un par de nombres de usuario y contraseñas con el comando username Nombre de usuario secret Contraseña comando global configuration mode. En el ejemplo, se asignó la contraseña ccna al usuario admin.

Paso 5: Configurar las líneas vty

Habilite el protocolo SSH en las líneas vty mediante el comando transport input ssh del modo de configuración de línea. El switch Catalyst 2960 tiene líneas vty que van de 0 a 15. Esta configuración evita las conexiones que no son SSH (como Telnet) y limita al switch a que acepte solo las conexiones SSH. Use el comando line vty del modo de configuración global y, luego, el comando login local del modo de configuración de línea para requerir la autenticación local de las conexiones SSH mediante la base de datos de nombres de usuarios locales.

Paso 6: Habilitar la versión 2 de SSH

De manera predeterminada, SSH admite las versiones 1 y 2. Si se admiten ambas versiones, en el resultado de show ip ssh se muestra que se admite la versión 1.99. La versión 1 tiene vulnerabilidades conocidas. Por esta razón, se recomienda habilitar únicamente la versión 2. Habilite la versión de SSH mediante el comando de configuración global ip ssh version 2.