Cambiar el puerto por defecto de Telnet en equipos CISCO Cambiar el puerto por defecto de Telnet en equipos CISCO
En otras ocasiones hemos discutido sobre las ventajas de usar SSH frente a Telnet, en los tiempos que corren es innecesario el uso de este... Cambiar el puerto por defecto de Telnet en equipos CISCO
En otras ocasiones hemos discutido sobre las ventajas de usar SSH frente a Telnet, en los tiempos que corren es innecesario el uso de este último a no ser que por fuerza mayor debamos seguir usando el conocido puerto 23 para acceder a la gestión remota de equipos CISCO. Esto puede ser debido a versiones de IOS que no soportan SSH o simplemente que nuestros más viejos y curtidos administradores de red crecieron con él y se niegan rotundamente a abandonarlo. 
Imagen 


Si estamos en esta situación y queremos dar algo de seguridad (aunque hablar de Telnet es hablar de todo lo contrario a seguridad :xD) a nuestro entorno, podemos configurar un puerto alternativo que no sea tan conocido como el famoso 23. 
Sería impresionantemente bonito disponer de un comando “ip telnet listen-port 4423″ pero no, esto no es así y tendremos que buscar otras soluciones. Nos valdremos del comando “rotary” para presentar el puerto de Telnet en otro puerto alternativo y posteriormente bloquear las conexiones al 23. 
Para permitir que telnet escuche en otro puerto utilizamos, como hemos dicho, el comando “rotary” que seguido de un número indicará que el servicio está disponible adicionalmente en el puerto numero 3000 + el número indicado, edecir, si ponemos “rotary 1” estará en el 3001, “rotary 2″ en el 3002 y así sucesivamente. 
Veamos esto aplicado al mundo CISCO: 
Imagen 
Con esta configuración deberíamos tener el acceso Telnet en el puerto 3001, vamos a probar: 
Imagen 
Desde el otro switch del laboratorio de pruebas, lanzamos un telnet al puerto 3001 y, como vemos en la imagen anterior, tenemos acceso al switch que habíamos configurado. 
Pero… ¿Y si intentamos acceder por el puerto 23? 
Imagen 
Como vemos, la conexión por el puerto 23 sigue estando también disponible, ahora es cuando debemos “bloquear” esos accesos para solo permitirlos por el otro puerto. 
Existen varias formas, aquí expondremos dos: 
1- Modo sencillo: Usando listas de acceso 
Básicamente lo que vamos a hacer es crear una lista de acceso extendida que bloquee el acceso al puerto 23 y lo permita para el 3001. Una vez creada la lista de acceso la enlazaremos a la nea VTY. 
Imagen 
Si ahora intentamos el acceso al telnet por su puerto por defecto, nos rechaza la conexión. El puerto 23, ni ningún otro, excepto el 3001 están permitidos debido a la lista de acceso. 
Imagen 
2- Modo JMV – GOD mode 
Este modo esta soportado en versiones de IOS superiores a la 12.4(4)T, los switches de pruebas no lo soportan pero pegare aquí la configuración. 
Imagen 
Se crea un filtro que realiza match para intentos de conexión tcp en el puerto 23 y simplemente lo descarta y lo logea. En los intentos de conexión podemos ver el DROP en el equipo: 

gpinero

No hay comentarios

Se el primero en dejar un comentario.

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

CAPTCHA ImageChange Image