domingo, 11 de septiembre de 2011

Acceso y recuperación (o cambio) de contraseñas en un router CISCO


Si estamos autorizados y alguna vez requerimos ingresar al router y por alguna razón hemos olvidado la contraseña, los siguientes pasos son necesarios para ya sea recuperarla, en el caso de que no se encuentren encriptadas, o para cambiarlas y así poder tener acceso al equipo nuevamente. 

El router almacena las contraseñas en el archivo "Startup-configuration" ubicado en la NVRAM. Por ello se hace necesario cambiar la secuencia de inicio del sistema de forma tal que no nos pida el password luego de cargar la configuración inicial.

La secuencia de inicio del router está determinada por un valor binario ubicado en una posicón de memoria llamada registro de configuración, "Configuration register". Este valor también será necesario cambiarlo para que en el Router no se cargue el archivo "Startup-Configuration".

Debido a que el acceso al equipo es imposible a falta de contraseñas, estos cambios deben hacerse en el modo ROM Monitor, un ambiente de comandos limitados para propósitos especiales. Dicho procedimiento requiere acceso físico por consola. Los intentos via Telnet fallarán. 

Para ingresar en modo ROMMON, apague el router y enciendalo un par de segundos después. 

Cuando el equipo inicie la carga mostrando el mensaje "System Bootstrap, Version", presionar "Ctrl+Break" (O "Pausa") para Hyperterminal o "Alt+B" para TeraTerm. Una vez en modo ROMMON, se digitan los comandos:



rommon 1 > confreg 0x2142
rommon 2 > reset

Con esto hemos dado la orden al router para que reinicie evitando la configuración inicial almacenada. Ahora procedemos con la averiguación de las contraseñas, en el caso de que no estén cifradas, o del respectivo cambio.


         --- System Configuration Dialog ---
Continue with configuration dialog? [yes/no]: n

Router>enable
Router#copy startup-config running-config
Router#show running-config
!
*resultado omitido*
!
Router#configure terminal
Router(config)#enable secret class
Router(config)#line console 0
Router(config-line)#password cisco
Router(config-line)#login
Router(config-line)#line vty 0 4
Router(config-line)#password cisco
Router(config-line)#login
Router(config-line)#exit

Hasta acá hemos reconfigurado las contraseñas, de modo que en el próximo reinicio del router, cuando nos pida los passwords, podremos ingresar con los que recién configuramos. 

Un vistazo a ls configuración nos permite leer las contraseñas, salvo para el comando "enable" que está cifrada.

!
line con 0
 password cisco
 login
line vty 0 4
 password cisco
 login
!
!
!
end

Como medida de seguridad es recomendable encriptar todas las contraseñas, como sigue:

Router(config)#service password-encryption

Otro vistazo nos permite verificar que ahora las contraseñas no pueden ser leídas y solo el administrador de la red sabe cuales son: 

!
line con 0
 password 7 0822455D0A16
 login
line vty 0 4
 password 7 0822455D0A16
 login
!
!
!
end

Ahora restauramos el valor roginal del registro de configuración, de modo que el router vuelva a la secuencia de inicio normal

Router(config)#config-register 0x2101
Router(config)#exit

El comando "Show Version" nos muestra que efectivamente así será:

Configuration register is 0x2142 (will be 0x2101 at next reload)

Ahora podemos guardar la configuración

Router#copy running-config startup-config

Y finalmente reiniciamos

Router#reload
Proceed with reload? [confirm]

Una vez reiniciado el router, pedirá nuevamente las contraseñas de manera normal. Debemos ingresar aquellas que reconfiguramos y tenremos acceso normal al equipo.

No hay comentarios:

Publicar un comentario