Configuración básica de los dispositivos de red

La configuración básica de dispositivos de red es el primer paso para garantizar el funcionamiento seguro y eficiente de routers, switches y otros equipos en una infraestructura de red. Estos dispositivos, sin una configuración inicial adecuada, son vulnerables a accesos no autorizados, errores de gestión y fallos operativos. La configuración básica incluye tareas esenciales como:

•  Identificación del Dispositivo: 

- Estandarización de nombres:   

  [Tipo]-[Ubicación]-[Función]-[Número] (ej: *SW-Floor2-Data-01*).  

  Esto ayuda en redes distribuidas geográficamente o en entornos cloud híbridos.  

- Descripción de interfaces:  

  Etiqueta puertos físicos para evitar errores. Por ejemplo

- Beneficio en monitorización:  

  Herramientas como *SolarWinds* o *PRTG* usan estos nombres para generar mapas de red automáticos.

•  Protección de Acceso: Capas de Seguridad:  

- Autenticación de dos factores (2FA):  

  Configura métodos modernos como TACACS+ con tokens OTP para acceso remoto.  

- Bloqueo de intentos fallidos:  

  Este comando bloquea el acceso tras 3 intentos erróneos en 60 segundos.  

- Roles personalizados:  

  Crea usuarios con permisos específicos (ej: "Técnico-Solo-Lectura" que solo ejecute show commands).

• Contraseñas Robustas: No Solo para la Consola

- Estándar NIST 800-63B:  

  Recomienda contraseñas de 12+ caracteres, mezclando mayúsculas, símbolos y números.  

- Ejemplo de contraseña segura:  

  #Bienvenido2024! (fácil de recordar, difícil de crackear).  

- Evita defaults:  

  Cambia siempre las credenciales predefinidas como admin:admin o cisco:cisco.

•  Enable Secret vs. Enable Password:

- Enable secret:  

 Usa algoritmo SHA-256 (irreversible). Se configura con:  

Es obligatorio en IOS XE y dispositivos modernos.  

- Enable password:  

  Nunca la uses en producción: Solo es útil en laboratorios o para fines educativos.  

•  Seguridad Física:

- Bloqueo de puertos no utilizados*:  

  En switches, deshabilita puertos sin uso para evitar conexiones maliciosas:  

 

    

- Cableado seguro:  

  Usa armarios con cerraduras y sistemas de detección de manipulación física.  

• Backup y Restauración:   

- Guarda configuraciones automáticamente:  

  Usa protocolos como *TFTP* o *SCP* para respaldos periódicos:  

    

- Documenta cambios:  

  Herramientas como *RANCID* o *Oxidized* rastrean modificaciones en la configuración.  

•  Errores Comunes y Cómo Evitarlos

- Olvidar el "write memory":  

  Si no guardas la configuración en la memoria no volátil (NVRAM), se perderá al reiniciar:  

- Usar SNMPv1/v2c:  

  Estas versiones envían datos en texto plano. Migra a *SNMPv3* con autenticación y cifrado.  

•  Herramientas para Simplificar la Configuración-  

- Cisco Packet Tracer: Ideal para simular redes y practicar sin riesgo.  

- Ansible: Automatiza tareas repetitivas (ej: aplicar ACLs en 100 switches simultáneamente).  

- GNS3: Emula hardware avanzado para pruebas complejas.  

--------------------------------------------------------------------------------------------------------------------------

1. Aplicación de Nombre a Dispositivos:

Se refiere a disegnarle algun nombre a dispositivos, para poder para no puedan accesar a el tan facil, sin embargo hay programas para que un pueda obtener la contraseña, es muy dificil de obtener asi que solo los hackers lo pueden dedifrar.

El host solo se usa en las peticiones  CLI. Si el host no está bien configurado entonces  el Router usa el nombre de host predeterminado, asignado de fábrica, también el switch tiene el nombre de host predeterminado o asignado de fábrica sino, Imaginamos  que una internetwork tiene varios routers y todos recibieron el nombre predeterminado Router.

Asignar un nombre único a cada dispositivo (por ejemplo, *Switch-Piso3* o *Router-Sucursal*) es crucial para:  

- Identificación rápida: En redes grandes, evita confusiones al gestionar múltiples equipos.  

- Organización de registros: Los nombres personalizados aparecen en logs y mensajes del sistema, facilitando la solución de problemas.  

- Buenas prácticas: Cumple con estándares de nomenclatura (ej: ubicación + función + número).  

Ejemplo en Cisco IOS:  

bash

Router> enable  

Router# configure terminal  

Router(config)# hostname Router-Sucursal  

Router-Sucursal(config)# 

---

2. Limitación de Acceso a Dispositivos:

La limitación física del acceso a los dispositivos de red con armarios o bastidores con llave resulta una buena práctica; sin embargo, las contraseñas son la principal defensa contra el acceso no autorizado a los dispositivos de red. Cada dispositivo debe tener contraseñas configuradas a nivel local para limitar el acceso. En un curso futuro, analizaremos cómo reforzar la seguridad al exigir una ID de usuario junto con una contraseña. Por ahora, presentaremos precauciones de seguridad básicas mediante el uso de contraseñas únicamente.

Restringir quién puede acceder al dispositivo previene ataques y errores humanos. Métodos clave:  

- Listas de Control de Acceso (ACLs): Filtran direcciones IP permitidas para acceder vía SSH o Telnet.  

- Autentiación AAA (Authentication, Authorization, Accounting): Usa servidores externos como RADIUS o TACACS+ para validar usuarios.  

- Deshabilitar servicios innecesarios: Por ejemplo, cerrar puertos HTTP no utilizados.  

Consejo:  Siempre utiliza SSH en lugar de Telnet para conexiones remotas, ya que cifra la comunicación.  

3. Contraseña de Consola:

El puerto de consola de un dispositivo Cisco IOS tiene privilegios especiales. El puerto de consola de dispositivos de red debe estar asegurado, como mínimo, mediante el pedido de una contraseña segura al usuario. Así se reducen las posibilidades de que personal no autorizado conecte físicamente un cable al dispositivo y obtenga acceso a éste. Los siguientes comandos se usan en el modo de configuración global para establecer una contraseña para la línea de consola: Switch(config)#line console 0 Switch(config-line)#password password Switch(config-line)#login Desde el modo de configuración global, se usa el comando line console 0 para ingresar al modo de configuración de línea para la consola. El cero se utiliza para representar la primera (y, en la mayoría de los casos, la única) interfaz de consola para un router. El segundo comando, password password especifica una contraseña en una línea. El comando login configura al router para que pida la autenticación al iniciar sesión. Cuando el login está habilitado y se ha configurado una contraseña, habrá una petición de entrada de una contraseña. Una vez que se han ejecutado estos tres comandos, aparecerá una petición de entrada de contraseña cada vez que un usuario intente obtener acceso al puerto de consola.

- Evita acceso físico no autorizado: Cualquiera que conecte un cable podría modificar la configuración

- Configuración típica:  

bash

Router(config)# line console 0  

Router(config-line)# password ContraseñaSegura  

Router(config-line)# login  

- Mejora la seguridad: Combina con *timeouts para desconexión automática tras inactividad.  

 4. Orden de Enable y Enable Secre:

Para proporcionar una mayor seguridad, utilice el comando enable password o el comando enable secret. Puede usarse cualquiera de estos comandos para establecer la autenticación antes de acceder al modo EXEC privilegiado (enable). Si es posible, use siempre el comando enable secret, no el comando anterior enable password. El comando enable secret provee mayor seguridad porque la contraseña está encriptada. El comando enable password puede usarse sólo si enable secret no se ha configurado aún. El comando enable password se ejecutaría si el dispositivo usa una versión anterior del software IOS de Cisco que no reconoce el comando enable secret. Los siguientes comandos se utilizan para configurar las contraseñas: Router(config)#enable password contraseña Router(config)#enable secret contraseña Nota: Si no se configura una contraseña enable password o enable secret, IOS impide el acceso EXEC privilegiado desde una sesión Telnet. Si no se ha establecido una contraseña de enable, podría aparecer una sesión Telnet de esta forma: Switch>enable % No se ha establecido contraseña Switch>

En dispositivos Cisco, estas contraseñas protegen el modo privilegiado (enable mode), donde se ejecutan comandos críticos:  

- Enable password: Almacena la contraseña en texto plano (poco seguro).  

- Enable secret: Usa cifrado MD5 o SHA-256 (recomendado).  

-Jerarquía: Si ambas están configuradas, *enable secret tiene prioridad.  

-Ejemplo:  

bash

Router(config)# enable password 12345    # No recomendado  

Router(config)# enable secret @Bc7#x2   # Opción segura  

  

- ¿Por qué evitar "enable password"? 

Visible en archivos de configuración con show running-config.  

Obsoleta en versiones modernas de IOS.  

https://youtu.be/-uaxju-UfRc?si=dCJkI7eZ9_ocAuwF