privilegios_de_usuario

2
Niveles de acceso La interfaz de línea de comando de Cisco IOS utiliza una lógica de niveles jerárquicos: modo EXEC usuario y modo EXEC privilegiado. Esta división de modos permite establecer 2 niveles básicos de permisos de acceso: acceso de nivel usuario y acceso de nivel privilegiado. El acceso a modo privilegiado puede ser bloqueado utilizando una clave denominada "clave de modo enable" que puede ser encriptada o no: Rout er ( conf i g) # enable password  [ cl ave]  Rout er ( conf i g) # enable secret [ cl ave]   Ambas claves son requeridas para acceder al modo privilegiado. Sin embargo, la enable password se guarda en formato de texto plano en el archivo de configuración, mientras la enable secret se guarda encriptada utilizando MD5.  Por su parte, el acceso a modo usuario se asegura utilizando claves de acceso en las diferentes "líneas": consola, auxiliar o terminal virtual. En estas líneas de acceso hay diferentes formas de configurar claves de acceso.  Clave simpl e de a cceso al modo u suario  En cada uno de las líneas de acceso (consola, auxiliar, terminal virtual), se puede asegurar el acceso utilizando una clave simple. R out er ( conf i g)#l i ne vt y 0 4  R out er ( co nf i g- l i ne) #  password  [ cl ave]  R out er ( co nf i g- l i ne) # login El primer comando define una clave, y el comando login indica al dispositivo que debe mostrar el prompt requiriendo el ingreso de la clave cuando se intenta el acceso por terminal virutal (telnet).  La clave se guarda en el archivo de configuración en formato de texto plano.   Ac ceso u ti lizand o u suario y clave  El acceso puede asegurarse también utilizando usuario y clave:  R out er ( co nf i g)# username [user] secret 0 [ cl ave]  R out er ( co nf i g) # line vty 0 4 R out er ( co nf i g- l i ne) # login local Genera un usuario y una clave que se guarda encriptada utilizando MD5 en el archivo de configuración. Ese usuario y clave se aplican a la línea de acceso utilizando el comando login local.   As ig nac n d e ni veles de p ri vil egi o p or us uar io  Cisco IOS permite configurar 16 niveles de usuario diferente (0 a 15).   Usuario nivel 0 - Sólo accede a modo usuario.   Usuario nivel 1 a 14 - Se pueden asignar di ferentes comandos para cada ni vel.   Usiario nivel 15 - Acceso a modo privilegia do completo.  La configuración de diferentes niveles de acceso es particularmente útil en entornos en los que diferentes técnicos tienen asignadas diferentes tareas. Para configurar un usuario con permiso de utilización de un conjunto limitado de comandos de nivel privilegiado, siga este procedimiento:  R out er ( co nf i g)#  privilege exec level  [ ni ve l ] [ coman do]  R out er ( co nf i g) # username [user]  privilege [l evel ]  password  [ cl ave]

Upload: daniel-alejandro-bravo-albornoz

Post on 06-Jul-2015

1.221 views

Category:

Documents


0 download

TRANSCRIPT

5/7/2018 privilegios_de_usuario - slidepdf.com

http://slidepdf.com/reader/full/privilegiosdeusuario 1/3

 

Niveles de acceso

La interfaz de línea de comando de Cisco IOS utiliza una lógica de niveles jerárquicos: modoEXEC usuario y modo EXEC privilegiado. Esta división de modos permite establecer 2 nivelesbásicos de permisos de acceso: acceso de nivel usuario y acceso de nivel privilegiado.El acceso a modo privilegiado puede ser bloqueado utilizando una clave denominada "clave demodo enable" que puede ser encriptada o no:

Router(config)#enable password [clave] 

Router(config)#enable secret [clave] Ambas claves son requeridas para acceder al modo privilegiado. Sin embargo, la enablepassword se guarda en formato de texto plano en el archivo de configuración, mientras laenable secret se guarda encriptada utilizando MD5. Por su parte, el acceso a modo usuario se asegura utilizando claves de acceso en lasdiferentes "líneas": consola, auxiliar o terminal virtual. En estas líneas de acceso hay diferentes formas de configurar claves de acceso. Clave simple de acceso al modo usuario En cada uno de las líneas de acceso (consola, auxiliar, terminal virtual), se puede asegurar elacceso utilizando una clave simple. Router(config)#line vty 0 4 Router(config-line)# password [clave] Router(config-line)#login El primer comando define una clave, y el comando login indica al dispositivo que debe mostrarel prompt requiriendo el ingreso de la clave cuando se intenta el acceso por terminal virutal(telnet). La clave se guarda en el archivo de configuración en formato de texto plano. Acceso utilizando usuario y clave El acceso puede asegurarse también utilizando usuario y clave: Router(config)#username [user] secret 0 [clave] Router(config)#line vty 0 4 Router(config-line)#login local Genera un usuario y una clave que se guarda encriptada utilizando MD5 en el archivo deconfiguración. Ese usuario y clave se aplican a la línea de acceso utilizando el comando loginlocal. Asignación de niveles de privilegio por usuario Cisco IOS permite configurar 16 niveles de usuario diferente (0 a 15). 

• Usuario nivel 0 - Sólo accede a modo usuario. • Usuario nivel 1 a 14 - Se pueden asignar diferentes comandos para cada nivel. • Usiario nivel 15 - Acceso a modo privilegiado completo. 

La configuración de diferentes niveles de acceso es particularmente útil en entornos en los quediferentes técnicos tienen asignadas diferentes tareas. Para configurar un usuario con permiso de utilización de un conjunto limitado de comandos denivel privilegiado, siga este procedimiento: Router(config)# privilege exec level [nivel] [comando] Router(config)#username  [user]  privilege [level]  password 

[clave]

5/7/2018 privilegios_de_usuario - slidepdf.com

http://slidepdf.com/reader/full/privilegiosdeusuario 2/3

 

Router(config)#line vty 0 4 Router(config-line)#login local También es posible generar niveles de privilegios diferentes y asociarlos directamente a unaclave de acceso simple a modo privilegiado: Router(config)#privilege exec level [nivel] [comando] Router(config)#enable secret level [nivel] [clave] Comandos relacionados 

•  Para encriptar las claves que se guardan en texto plano en el archivo de configuración:  Router(config)#service password-encryption 

•  Para establecer una longitud mínima en las claves:

Router(config)#security password min-length [long] •  Para establecer un límite de tiempo de inactividad al final de la cual se cerrará la

seción:

Router(config-line)#exec-timeout [min] [seg] Prácticas sugeridas 

• Utilice claves robustas de al menos 10 caracteres alfanuméticos. • Es aconsejable incluir mayúsculas / minúsculas y símbolos. • Las claves no deben ser palabras de diccionario. • Para asegurar el acceso a modo privilegiado utilice siempre la enable secret. • Active el servicio de encriptación de claves para asegurarse que no queden claves en

texto plano visibles en el archivo de configuración. • Cambie las claves periódicamente. • Incluya un mensaje de acceso (banner) advirtiendo que se monitoreará y perseguirá el

acceso no autorizado. 

5/7/2018 privilegios_de_usuario - slidepdf.com

http://slidepdf.com/reader/full/privilegiosdeusuario 3/3