"Hablaré con el corazón abierto en palabra de voluntad
y
razón de sentimiento."
---Si quieres construir un barco, no empieces por buscar madera, cortar tablas o distribuir el trabajo. Evoca primero en los hombres y mujeres el anhelo del mar libre y ancho---

martes, 16 de enero de 2007

Banners de advertencia en Cisco

Se pueden mostrar banners de advertencia a distintos niveles.

vlan7(config)#banner ?
LINE c banner-text c, where 'c' is a delimiting character
exec Set EXEC process creation banner
incoming Set incoming terminal line banner
login Set login banner
motd Set Message of the Day banner
prompt-timeout Set Message for login authentication timeout
slip-ppp Set Message for SLIP/PPP

Creamos un banner que aparezca al intentar conectar...

vlan7(config)#banner login #
Enter TEXT message. End with the character '#'.
~ WARNING ~
Authorized Access ONLY!
All connections are logged and monitored. Any unauthorized use will be prosecuted to the fullest extent of the law. If you do not agree to this conditions, disconnect now.
#
vlan7(config)#

...y otro que aparezca una vez estamos dentro del sistema.

vlan7(config)#banner motd #
Enter TEXT message. End with the character '#'.
You are connected to a monitored network. Unauthorized access and use of this network will be vigorously prosecuted.
#
vlan7(config)#

Probemoslo:

vlan7@probador ~ $ ssh 192.168.2.1
vlan7@192.168.2.1's password:

You are connected to a monitored network. Unauthorized access and use of this network will be vigorously prosecuted.
vlan7>

Vaya, solo nos aparece el banner motd. Hay un problema, y es que si entramos por SSH no nos muestra el banner login. En cambio si entraramos por Telnet si que nos lo mostraria. ¿A alguien se le ocurre como solucionar esto?

posted by vlan7 at 12:28 PM 0 comments
miércoles, marzo 22, 2006
Niveles de privilegio en Cisco
Existen 16 niveles de privilegio:

Nivel 1: Predefinido para el acceso a nivel de usuario.
Niveles 2..14: Privilegios personalizables.
Nivel 15: Predefinido para el modo enable.

Es aconsejable mover ciertos comandos del nivel 1 al 15:

vlan7(config)#privilege exec level 15 connect
vlan7(config)#privilege exec level 15 telnet
vlan7(config)#privilege exec level 15 ssh

Asi solo puede iniciar sesion en otro equipo el usuario con privilegio 15.

vlan7>sh priv
Current privilege level is 1
vlan7>ssh 1.2.3.4
^
% Invalid input detected at '^' marker.

Pero ¿y si tenemos un usuario al que queremos permitirle ssh pero no queremos que tenga acceso al modo 15?

Pues definimos un nivel (2 en el ejemplo) para ese usuario...

vlan7(config)#enable secret level 2 0 pass_enable

...y un usuario para ese nivel:

vlan7(config)#username pepe secret 0 pass_user

Por ultimo bajamos el comando ssh al nivel 2. El 2 y todos los niveles superiores podran usarlo.

vlan7(config)#privilege exec level 2 ssh

Lo probamos:

vlan7>sh priv
Current privilege level is 1
vlan7>en 2
Password:
vlan7#sh priv
Current privilege level is 2
vlan7#ssh -l vlan7 192.168.2.2
Connection refused by remote host

Cisco no recomienda crear usuarios en los niveles personalizables, pero lo cierto es que existen buenos motivos para no hacer caso a Cisco:
1.- El usuario tiene que entrar con user/pass, no solo con 1 password.
2.- En los logs queda registrado el nombre de usuario con lo que hizo.
Publicado por en