privilegios_de_usuario
Post on 06-Jul-2015
1.221 Views
Preview:
TRANSCRIPT
5/7/2018 privilegios_de_usuario - slidepdf.com
http://slidepdf.com/reader/full/privilegiosdeusuario 1/3
Niveles de acceso
La interfaz de línea de comando de Cisco IOS utiliza una lógica de niveles jerárquicos: modoEXEC usuario y modo EXEC privilegiado. Esta división de modos permite establecer 2 nivelesbásicos de permisos de acceso: acceso de nivel usuario y acceso de nivel privilegiado.El acceso a modo privilegiado puede ser bloqueado utilizando una clave denominada "clave demodo enable" que puede ser encriptada o no:
Router(config)#enable password [clave]
Router(config)#enable secret [clave] Ambas claves son requeridas para acceder al modo privilegiado. Sin embargo, la enablepassword se guarda en formato de texto plano en el archivo de configuración, mientras laenable secret se guarda encriptada utilizando MD5. Por su parte, el acceso a modo usuario se asegura utilizando claves de acceso en lasdiferentes "líneas": consola, auxiliar o terminal virtual. En estas líneas de acceso hay diferentes formas de configurar claves de acceso. Clave simple de acceso al modo usuario En cada uno de las líneas de acceso (consola, auxiliar, terminal virtual), se puede asegurar elacceso utilizando una clave simple. Router(config)#line vty 0 4 Router(config-line)# password [clave] Router(config-line)#login El primer comando define una clave, y el comando login indica al dispositivo que debe mostrarel prompt requiriendo el ingreso de la clave cuando se intenta el acceso por terminal virutal(telnet). La clave se guarda en el archivo de configuración en formato de texto plano. Acceso utilizando usuario y clave El acceso puede asegurarse también utilizando usuario y clave: Router(config)#username [user] secret 0 [clave] Router(config)#line vty 0 4 Router(config-line)#login local Genera un usuario y una clave que se guarda encriptada utilizando MD5 en el archivo deconfiguración. Ese usuario y clave se aplican a la línea de acceso utilizando el comando loginlocal. Asignación de niveles de privilegio por usuario Cisco IOS permite configurar 16 niveles de usuario diferente (0 a 15).
• Usuario nivel 0 - Sólo accede a modo usuario. • Usuario nivel 1 a 14 - Se pueden asignar diferentes comandos para cada nivel. • Usiario nivel 15 - Acceso a modo privilegiado completo.
La configuración de diferentes niveles de acceso es particularmente útil en entornos en los quediferentes técnicos tienen asignadas diferentes tareas. Para configurar un usuario con permiso de utilización de un conjunto limitado de comandos denivel privilegiado, siga este procedimiento: Router(config)# privilege exec level [nivel] [comando] Router(config)#username [user] privilege [level] password
[clave]
5/7/2018 privilegios_de_usuario - slidepdf.com
http://slidepdf.com/reader/full/privilegiosdeusuario 2/3
Router(config)#line vty 0 4 Router(config-line)#login local También es posible generar niveles de privilegios diferentes y asociarlos directamente a unaclave de acceso simple a modo privilegiado: Router(config)#privilege exec level [nivel] [comando] Router(config)#enable secret level [nivel] [clave] Comandos relacionados
• Para encriptar las claves que se guardan en texto plano en el archivo de configuración: Router(config)#service password-encryption
• Para establecer una longitud mínima en las claves:
Router(config)#security password min-length [long] • Para establecer un límite de tiempo de inactividad al final de la cual se cerrará la
seción:
Router(config-line)#exec-timeout [min] [seg] Prácticas sugeridas
• Utilice claves robustas de al menos 10 caracteres alfanuméticos. • Es aconsejable incluir mayúsculas / minúsculas y símbolos. • Las claves no deben ser palabras de diccionario. • Para asegurar el acceso a modo privilegiado utilice siempre la enable secret. • Active el servicio de encriptación de claves para asegurarse que no queden claves en
texto plano visibles en el archivo de configuración. • Cambie las claves periódicamente. • Incluya un mensaje de acceso (banner) advirtiendo que se monitoreará y perseguirá el
acceso no autorizado.
top related