En este post vamos a revisar la manera en cómo podemos Activar o Desactivar Telnet/SSH en WLC Cisco. Algunas empresas, sino que la mayoría donde se tienen normas de seguridad donde se están escaneando o revisando los protocolos utilizados para la gestión y acceso a los servicios, recomiendan desactivar el protocolo Telnet.
TELNET
Es el nombre de un protocolo de red para manejar remotamente a otro dispositivo, la maquina a la que se acceda debe tener un programa o puertos de acceso permitidos que reciban y gestionen las conexiones. El puerto que se utiliza generalmente es el 23.
TELNET solo sirve para acceder en modo terminal, es decir, sin gráficos, pero fue una buena herramienta para arreglar fallos a distancia, sin necesidad de estar físicamente frente a la máquina, se puede usar para consultar datos a distancia, como información personal en máquinas accesibles por red.
El mayor problema de TELNET es la seguridad ya que todos los nombres de usuarios y contraseñas viajan por la red como texto plano, es decir, cadenas de texto sin cifrar. Esto facilita que cualquiera que espíe el tráfico de la red pueda obtener información confidencial como los accesos.
SSH
Es el nombre de un protocolo y del programa que lo implementa, y sirve para acceder a máquinas remotas a través de una red. Permite manejar por completo dispositivos mediante un intérprete de comandos, y también puede redirigir el tráfico de una máquina X para poder ejecutar programas gráficos si tenemos un servidor configurado para esta opción (en sistemas Unix y Windows) corriendo. Además de la conexión a otros dispositivos, SSH nos permite copiar datos de forma segura (tanto ficheros sueltos como simular sesiones FTP cifradas), gestionar claves RSA* para no escribir claves al conectar a los dispositivos y pasar los datos de cualquier otra aplicación por un canal seguro tunelizado mediante SSH.
Activar o desactivar TELNET/SSH en WLC por interfaz GUI
Ingresamos a la WLC
MONITOR > MANAGEMENT > Telnet-SSH
Una vez ubicado en el apartado requerido, podemos ver las dos opciones para permitir conexiones Telnet y SSH, por defecto ambas están en Yes, si se requiere desactivar alguno de ellos, se debe colocar en No.
Vamos a validar el acceso por los dos protocolos
TELNET – Validamos que el acceso está disponible.
SSH – Validamos que también por medio de SSH está disponible el acceso.
En este ejemplo, vamos a desactivar el protocolo telnet.
Seleccionamos Telnet y le damos No, presionamos Apply en el botón superior derecho.
Validamos el acceso por telnet, en esta ocasión la conexión no debe funcionar.
En la prueba realizada, la conexión no se establece, la ventana se cierra ya que el puerto Telnet no está permitido.
Como se explica en el post, se puede activar o desactivar alguno de los protocolos de acceso a la WLC en caso de ser necesario.
Activar o desactivar TELNET/SSH por interfaz CLI
Activar y desactivar alguno de los protocolos de acceso como SSH o Telnet, podemos realizarlo desde la terminal CLI.
Ingresamos por terminal CLI a la Wireless LAN Controller
Aplicamos el siguiente comando para activar TELNET:
(Cisco Controller) >config network telnet enable
Para desactivar TELNET aplicamos el siguiente comando:
(Cisco Controller) >config network telnet disable
Si vamos a activar el protocolo SSH, aplicamos el siguiente comando:
(Cisco Controller) >config network ssh enable
Para desactivar SSH como medio de acceso, aplicar el siguiente comando:
(Cisco Controller) >config network ssh disable
Para validar el estado de ambos protocolos antes de proceder en activar o desactivar algunos de los dos protocolos de acceso, podemos utilizar el siguiente comando:
(Cisco Controller) >config network ssh enable
En el resultado del comando buscar las líneas de Telnet y Secure Shell (SSH)
(Cisco Controller) >show network summary RF-Network Name............................. AG_RF DNS Server IP............................... 192.0.2.1 Web Mode.................................... Disable Secure Web Mode............................. Enable Secure Web Mode Cipher-Option High.......... Enable Secure Web Mode SSL Protocol................ Disable Web CSRF check.............................. Enable OCSP........................................ Disabled OCSP responder URL.......................... Secure Shell (ssh).......................... Enable Secure Shell (ssh) Cipher-Option High....... Disable Telnet...................................... Disable Ethernet Multicast Forwarding............... Disable Ethernet Broadcast Forwarding............... Disable IPv4 AP Multicast/Broadcast Mode............ Unicast IPv6 AP Multicast/Broadcast Mode............ Unicast IGMP snooping............................... Disabled IGMP timeout................................ 60 seconds IGMP Query Interval......................... 20 seconds MLD snooping................................ Disabled MLD timeout................................. 60 seconds
Como siempre, antes del ajuste de cualquier parámetro en la wlc recomendamos realizar un respaldo de la configuración y si se requiere puedes consultar el articulo para realizar un restore de configuración.
Enlaces de consulta:
https://www.ssh.com/academy/ssh
https://www.w3.org/People/Bos/PROSA/rep-protocols.html
Me considero una persona apasionada por la tecnología y/o todo lo relacionado a servicios de TI, me gusta conocer un poco mas de todo lo nuevo que va saliendo y que puede hacer las cosas más sencillas y seguras, lo que busco plasmar en mis artículos es una manera sencilla de entender las cosas que he aprendido con el paso del tiempo y tratar de compartir un poco mas a detalle de algunos procesos y estructuras de TI.
Soy Ingeniero en Sistemas con certificaciones en redes Cisco, comparto lo poco o mucho de mi experiencia en el mundo de las tecnologías.
