lunes, 8 de junio de 2009

Recuperar clave en router cisco

2 comentarios, Publicado por Covent en 13:29 ,

Recuperación de claves

Prácticamente todos los fabricantes de dispositivos de networking y sistemas incluyen en su diseño un backdoor que permita, en caso de necesidad, ingresar al dispositivo a pesar de no contar con las contraseñas de seguridad en el acceso que se puedan haber configurado.
En algunos casos este procedimiento consiste en un reinicio del equipo utilizando los valores de fábrica, o más conocido como "factory default". Esto implica una desventaja: a la vez que podemos recuperar administración del equipo, perdemos los valores de configuración con los que estaba operando.
Los dispostivos Cisco (routers, switches, firewalls), incluyen en su deseño un procedimiento de "recuperación de claves" o "password recovery". Este procedimiento a diferencia del factory default, permite ingresar a la configuración del equipo y cambiar las claves en conflicto, sin perder la configuración actual del equipo.

El procedimiento

Este procedimiento se asienta en el hecho de que los dispositivos Cisco IOS tienen una estructura de modos jerárquicos y almacenan las claves de seguridad en el archivo de configuración. Por lo tanto, si se evita que el dispositivo cargue el archivo de configuración al encenderse, entonces será posible ingresar manualmente y modificar las claves.
Genéricamente descripto, el procedimiento tiene una secuencia de pasos:

  • Se reinicia el equipo.
  • Se interrumpe la secuencia de inicio para ingresar a controlar manualmente la carga del sistema operativo y el archivo de configuración.
  • Se carga el sistema operativo.
  • No se carga el archivo de configuración, con lo que el dispositivo se inicia con una configuración en blanco.
  • Se ingresa el modo de configuración.
  • Se carga la configuración de respaldo.
  • Se modifica la clave.
  • Se guarda el archivo de configuración modificado.
Un ejemplo
Veamos cómo se implementa este procedimiento en un router Cisco de la serie 2800.

  • Encendemos el dispositivo.
  • Luego de cargado el bootstrap se corta la secuencia de inicio con una señal de interrumpción (Ctrl + Break en Hyperterminal), con lo que se ingresa en modo monitor de ROM.
  • Modificamos el registro de configuración del router para que cuando se reinicie no vaya a la NVRAM a leer el archivo de configuración:
    rommon 1 >_
    rommon 2 >confreg 0x2142
  • A continuación reiniciamos el equipo.
    rommon 3 >reset
  • El router se reinicia en modo setup ya que no lee ninguna configuración:

    --- System Configuration Dialog ---
  • No iniciamos en modo setup
    Would you like to enter the initial configuration dialog? [yes/no]:no


    Press RETURN to get started!

    Router>_
  • Ingresamos al modo privilegiado.
    Router>enable
  • Ya en modo privilegiado cargamos la configuración de respaldo guardada en la NVRAM.
    Router#copy nvram:startup-config system:running-config
  • Ingresamos al modo configuración.
    LAB_A#config terminal
  • Una vez en el modo de configuración procedemos a configurar las nuevas claves que vamos a utilizar.
    LAB_A(config)#enable secret [clave]
    LAB_A(config)#line vty 0 4
    LAB_A(config-line)#login
    LAB_A(config-line)#password [clave]
    LAB_A(config-line)#line console 0
    LAB_A(config-line)#login
    LAB_A(config-line)#password [clave]
    LAB_A(config-line)#exit
  • Debemos volver el registro de configuración al valor original para que el router se inicie normalmente la próxima vez.
    LAB_A(config)#config-register 0x2102
    LAB_A(config)#exit
  • Finalmente copiamos el archivo de configuración activo que tiene las nuevas claves, en la NVRAM.
    LAB_A#copy system:running-config nvram:startup-config
Este procedimiento nos permite configurar nuevas claves, conservando la configuración ya existente en el dispositivo.
Si no interesa conservar la configuración, entonces se puede proceder a hacer una configuración completamente nueva y guardarla en la NVRAM, salteando el paso en el que copiamos la startup config a la running-config.


El procedimiento es semejante en otros dispositivos Cisco, con las debidas adaptaciones respecto del modo en que se interrumpe el proceso de inicio y los comandos necesarios para alcanzar el objetivo.




Si esta información te ha sido de ayuda pincha en mis anuncios. Nos ayudamos mutuamente. Gracias