VTY

Las "líneas" de los routers Cisco

Quienes trabajamos con routers y switches Cisco estamos familiarizados con las llamadas "líneas" de acceso al dispositivo ("line" en inglés). Su conocimiento y configuración es un aspecto fundamental de la tarea del Adminstrador de dispositivos Cisco.

¿Qué líneas tiene mi dispositivo?

Las líneas del dispositivo son de dos tipos:

• puertos seriales.
• conexiones de red virtuales.

Para verificar cuáles son las líneas de acceso disponibles en su dispositivo puede utilizar el comando show line.

Router#show line

Router#show line
.Tty Typ...Tx/Rx .A Modem.Roty AccO AccI Uses Noise Overruns Int
*.0..CTY.......... - ..- ... - .. - .. - .. 0 ....0 .. 0/0 .. -
..1..AUX 9600/9600 - ..- ....- ...- .. - .. 0 ....0 .. 0/0 .. -
..2..VTY ..........- ..- ....- .. - .. - .. 0 ....0 .. 0/0 .. -
..3..VTY ..........- ..- ....- .. - .. - .. 0 ....0 .. 0/0 .. -
..4..VTY ..........- ..- ....- .. - .. - .. 0 ....0 .. 0/0 .. -
..5..VTY ..........- ..- ....- .. - .. - .. 0 ....0 .. 0/0 .. -
..6..VTY ..........- ..- ....- .. - .. - .. 0 ....0 .. 0/0 .. -

De acuerdo a lo que se muestra en esta presentación, el dispositivo cuenta con un puerto consola (CTY) actualmente en uso (lo marca el asterisco), un puerto auxiliar (AUX) y 5 puertos virtuales (VTY).

El puerto CTY

Es el que conocemos habitualmente como puerto consola. Es el que nos permite realizar la configuración del dispositivo aún cuando no exista archivo de configuración y no haya ninguna información previa.

Se trata de un puerto serie que requiere la utilización de una terminal con puerto serie conectada al puerto consola mediante un cable consola (rollover) con un adaptador DB9 o RJ45.

Este acceso debe ser adecuadamente asegurado utilizando una clave, que puede ser clave única o clave de acceso de un usuario local. Recuerde que esta clave se guarda en el archivo de configuración en texto plano, por lo que si se desea encriptar esta clave debe utilizarse el servicio de encriptación de claves de Cisco IOS.

Un ejemplo de configuración de este puerto:

Router(config)#username usuario password clave
Router(config)#line console 0
Router(config-line)#login local
Router(config-line)#loggin synchronous
Router(config-line)#exec-timeout 5 0
Router(config-line)#_

El puerto auxiliar

No todos los dispositivos están equipados con un puerto auxiliar, identificado como AUX. Este puerto puede actuar como un puerto de respaldo al puerto consola.

Originalmente esta línea ha sido integrada con el objetivo de posibilitar la conexión de un módem telefónico a través del cual es posible conectarse al dispositivo utilizando una conexión dial-up. Es un puerto serial que debe ser segurizado como tal:

Router(config)#line aux 0
Router(config-line)#password clave
Router(config-line)#login
Router(config-line)#logging synchronous
Router(config-line)#exec-timeout 5 0
Router(config-line)#_

Los puertos VTY

Se trata de un conjunto de puertos virtuales utilizados para la conexión vía telnet, SSH, http o https al dispositivo para realizar administración in band.

La mayoría de los dispositivos tienen al menos 5 puertos virtuales identificados como vty 0 a 4. Sin embargo, en la medida en que resulte necesario, se pueden general más puertos virtuales hasta completar un total de 21 líneas vty.

Un ejemplo de configuración:

Router(config)#line vty 0 4
Router(config-line)#password clave
Router(config-line)#login
Router(config-line)#logging synchronous
Router(config-line)#exec-timeout 5 0
Router(config-line)#transport input ssh
Router(config-line)#exit

Router(config)#line vty 5 20
Router(config-line)#password clave
Router(config-line)#login
Router(config-line)#logging synchronous
Router(config-line)#exec-timeout 5 0
Router(config-line)#transport input ssh
Router(config-line)#_

Conclusión

Una mala configuración de las líneas de acceso es un riesgo de seguridad importante. Estas líneas siempre deben ser configuradas adecuadamente, de acuerdo a las políticas de acceso definidas.

Por otro lado, cuando alguna de estas líneas de acceso es utilizada es posible simplemente bloquearla habilitando el requerimiento de clave pero negando la clave en esa línea. Un ejemplo, para bloquear el acceso por puerto auxiliar:

Router#config t

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#line aux 0

Router(config-line)#login

Router(config-line)#no password

Router(config-line)#^Z

Router#_

También, el acceso a las líneas de terminal virtual puede ser asegurado utilizando listas de acceso estándar, limitando de esta forma las direcciones IP que podrán acceder por telnet o ssh al dispositivo:

Router#config t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#access-list 1 permit 205.7.5.0 0.0.0.7
Router(config)#line vty 0 4
Router(config-line)#access-class 1 in
Router(config-line)#^Z
Router#_

La configuración completa de todas las líneas de acceso puede verificarse al final del archivo de configuración:

Router#show running-config
Building configuration...

Current configuration : 1056 bytes
!
version 12.4
!
[se omite parcialmente información]
!
line con 0
.exec-timeout 5 0
.logging synchronous
.login local
.stopbits 1
line aux 0
.exec-timeout 5 0
.password clave
.logging synchronous
.login
.stopbits 1
line vty 0 4
.exec-timeout 5 0
.password clave
.logging synchronous
.login
line vty 5 20
.exec-timeout 5 0
.password clave
.logging synchronous
.login
!
!
end