Proteger la configuración de un dispositivo Cisco ante un password recovery

El proceso de recuperación de contraseña de un dispositivo de red es útil pero puede suponer un problema de seguridad física.

¿ Cómo podemos proteger la configuración de un dispositivo Cisco ?

Podemos empezar por establecer un método de autenticación basado en radius, tacacs o en su defecto con contraseñas fuertes.

Si hablamos de seguridad en el acceso por consola, además podemos permitir el proceso de recuperación de contraseña o “password recovery” evitando exponer la configuración.
Imaginemos que nos roban un switch, router, firewall … Si el “ladrón” inicia el proceso de password recovery podrá tener acceso a la configuración del dispositivo.

El comando “no service password-recovery” realizará un factory default obligatoriamente si iniciamos el proceso de recuperación de contraseña.
Es decir, si alguien detiene el arranque del dispositivo e inicia el proceso “password recovery” se borrará la configuración.

Switch#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)#no service password-recovery 
Switch(config)#end

Switch#show version | include recovery
The password-recovery mechanism is disabled.

 

Leave a Reply

Your email address will not be published. Required fields are marked *