24 septiembre 2013

14 febrero 2011

Recuperar Contraseña de Switch Cisco

Voy a mostrar cómo recuperar la contraseña (recovery password) de switch Cisco para la gran mayoria de los modelos.


Paso 1 - Desconectar el cable de alimentación del switch.

Paso 2 - Vuelva a conectar el cable de alimentación del switch

Paso 3 - Presionar el boton de mode por un periodo de 15 segundos hasta que el LED del sistema se convierte brevemente ámbar y luego suelte el botón de mode.

Paso 4 - El switch quedara en el modo switch:

Paso 5 - Inicializar el sistema con el comando flash_init

Paso 6 - Cargar el archivo de ayuda load_helper

Paso 7 - Cambiar el nombre del archivo de configuración para config.text.old
switch: rename flash:config.text flash:config.text.old
Paso 8 - Reiniciar el switch con el comando boot

Paso 9 - Esperamos a que el switch termine el proceso de reinicio y nos preguntara Continue with configuration dialog? [yes/no]: respondemos NO

Paso 10 - Entrar al modo EXEC privilegiado con el comando enable

Paso 11 - Cambiar el nombre del archivo de configuración a su nombre original
switch# rename flash:config.text.old flash:config.text
Paso 12 - Copiar el archivo de configuración en la memoria
switch# copy flash:config.text system:running-config
Paso 13 - Reemplazar las claves por una nueva con el comando enable secret
switch(config)# enable secret
Paso 14 - Guardamos con el comando copy running-config startup-config y reiniciamos el dispositivos par verificar la nueva clave.


Para mayor información verificar en la pagina de CISCO

25 abril 2010

Recuperar Contraseña de Router Cisco

Voy a mostrar cómo recuperar la contraseña (recovery password) de routers Cisco para los siguientes modelos:
Router Cisco

1000 Series, 1600 Series, 1700 Series, 1800 Series, 2600 Series, 2800 Series, 3600 Series, 3700 Series, 4500 Series, 7200 Series, 7500 Series y Otros.

Junto a los comandos para recuperar la contraseña de un router cisco les pongo la explicación de cada paso.

Paso 1 - Apagar y Encender el equipo, ya sea de power button o sacando el cable de pòwer directamente y volviendo a conectar.

Paso 2 - Esperamos que haga el POST y empiece a cargar el IOS y presionamos las teclas ctrl+break(Pausa).

Paso 3 - Ingreso al Modo de Monitor ROM (rommon>)

Paso 4 - Cambiar el Valor del Registro de Configuración con el comando confreg 0x2142

Paso 5 - Reiniciar el Router con el comando reset

Paso 6 - Esperamos a que el Router termine el proceso de reinicio y nos preguntara Continue with configuration dialog? [yes/no]: respondemos NO

Paso 7 - Ahora podemos hacer dos cosas
  • Entra a modo privilegiado y realizar el comando show startup-config para verificar cual es la clave enable password y/o usuario. (que no este encriptado)
  • Reemplazar las claves por una nueva con el comando enable secret y guardar la configuración.(Después de Cargada la Configuración)
NOTA: sinos interesa la configuración del dispositivos debemos realizar este comando copy running-config startup-config para cargar la configuración.

Paso 8 - devolver al Valor Original del Registro, entonces en el modo de global configuration escribimos el comando config-register 0×2102

Paso 9 - Guardamos con el comando copy running-config y reiniciamos el dispositivos par verificar la nueva clave.


Para mayor información verificar en la pagina de CISCO

Análisis Forense Router Cisco

En este post se van a tratar las prácticas forenses que se deben aplicar a un router Cisco o basados en Cisco.En primer lugar hay que tener muy claro porque motivos se ataca un router. Los principales motivos son los siguientes:

Porque atacar un router:
· Realizar un ataque de denegación de servicios (DoS) al router y a la red a la que pertenece.
· Comprometer otros routers a través de el.
· Desviar firewalls de red, IDS o otros servicios.
· Monitorizar y grabar el tráfico entrante o saliente de la red.
· Redirigir el tráfico de la red a otro punto.

También hay que tener claro la filosofía de trabajo de un router Cisco. Esta compuesto principalmente por dos memorias donde almacena los datos:
Las memorias son:

Memoria RAM:
Es una memoria no persistente, quiere decir que lo que esta almacenado en ella se borra al apagar el equipo.
En ella se almacena:
· Configuración activa.
· Tablas dinámicas: ARP, Routing, NAT, Violaciones ACL, estadísticas protocolos…

Memoria Flash:
Es persistente, aun apagando el equipo, esta memoria no se borra.En esta memoria se almacena:
· Configuración de arranque.
· Archivos del sistema IOS.

Para empezar el análisis tenemos que tener en cuenta, basándonos en los datos relativos a la filosofía de trabajo del router, una metodología concreta, que consiste en:

· No apagar ni reiniciar el router, evidentemente perderemos todos los datos almacenados en la RAM. Que son todos los datos que importan para el análisis, sin estés datos, el análisis no tiene sentido.
· Aislar el router de la red, sobre todo si el ataque ya se ha realizado. Siempre con el cuidado de no desconectar la alimentación. En algunas casos se puede realizar sin aislar pero después de recoger información, para monitorizar si la actividad continua.
· Conectarse para realizar el análisis forense a través del puerto consola del router y no a través de la red, porque se corrompería la escena.
· Grabar la sesión completa de análisis de la consola en un archivo de log.
· Ejecutar comandos que muestran configuraciones, pero nunca ejecutar comandos de configuración del router.
· Una vez extraída la información volátil, podemos analizar las vulnerabilidades del router y escanear sus servicios a través de la red.

Después de tener en cuenta estas recomendaciones, pasamos a los comandos que tenemos que utilizar en la consola para extraer la configuración activa y las tablas dinámicas. La sesión de consola en la que se ejecuten estés comandos, debe ser grabada.

Los comandos son:
· show clock detail
· show version
· show running-config
· show startup-config
· show reload
· show ip route
· show ip arp
· show users
· show logging
· show ip interface
· show interfaces
· show tcp brief all
· show ip sockets
· show ip nat translations verbose
· show ip cache flow
· show ip cef
· show snmp user
· show snmp group
· show clock detail

También podemos utilizar una herramienta automatizada para recabar esta información, se trata de CREED (Cisco Router Evidence Extraction Disk). Un disco auto arrancable que ejecuta un script para obtener esta información, ejecutando estos comandos:
# terminal length 0
# dir /all
# show clock detail
# show ntp
# show version
# show running-config
# show startup-config
# show reload
# show ip route
# show ip arp
# show users
# show logging
# show interfaces
# show ip interfaces
# show access-lists
# show tcp brief all
# show ip sockets
# show ip nat translations verbose
# show ip cache flow
# show ip cef
# show snmp users
# show snmp groups
# show clock detail
# exit

Después de obtener está información pasaremos a encontrar las vulnerabilidades o servicios por los que se ha podido comprometer la seguridad del router.

Para analizar vulnerabilidades utilizamos herramientas como: Router Audit Tool (RAT) y Nipper.Para analizar servicios utilizamos: nmap, Cisco Torch, Cisco Snmp Tool…

Más información y descarga de CREED (Cisco Router Evidence Extraction Disk):http://web.archive.org/web/20040214172413/http://cybercrime.kennesaw.edu/creed/

Más información y descarga de Cisco Torch, Cisco Snmp Tool y Router Audit Tool (RAT) en el post “Herramientas para asegurar dispositivos Cisco”:http://vtroger.blogspot.com/2008/07/herramientas-para-asegurar-dispositivos.html

Más información y descarga de Nipper en el post “Auditar seguridad en dispositivos Cisco”:http://vtroger.blogspot.com/2008/04/auditar-seguridad-en-dispositivos-cisco.html

Fuente: Guru de la informática
Copyright © 2011 EicheS - Todos los derechos reservados.
CCNA, CCNP, CCDA, CCDP, CCIP, CCVP, CCSP, CCIE, Cisco, Cisco IOS, Airones, BPX, Catalyst, Cisco Press, Cisco Unity, EtherChannel, EtherFast, EtherSwitch, Fat Step, GigaDrive, GigaStack, HomeLink, IP/TV, LightStream, Linksys, MGX, Networking Academy, Network Registrar, Packet, PIX, SMARTnet, StackWise, CallManager, CallManager Express, Cisco Systems, el logo de Cisco Systems, son marcas registradas o marcas de Cisco Systems Inc. y/o sus afiliados en los Estados Unidos y otros países. Toda otra marca mencionada en este documento es propiedad de sus respectivos dueños.