Mis Libros de Networking: Cómo asegurar la ROMMON

29 de julio de 2013

Cómo asegurar la ROMMON

Cisco IOS habilita por defecto la posibilidad de interrumpir la secuencia de arranque del dispositivo para forzar el ingreso al modo ROM Monitor lo que nos permite luego modificar las claves de acceso del dispositivo manteniendo el resto del archivo de configuración intacto. Es lo que generalmente conocemos como "password recovery".
Este feature puede significar un potencial hueco de seguridad ya que permitiría a un atacante con acceso físico al dispositivo acceder al archivo de configuración (debemos tener presente que la primer barrera de seguridad en este caso es bloquear el acceso físico indebido a los dispositivos).
Para contrarrestar esta vulnerabilidad es posible deshabilitar el acceso al modo ROM Monitor.

Router(config)#no service password-recovery
WARNING
Executing this command will disable password recovery mechanism. Do not execute this command without another plan for password recovery.
Are you sure you want to continue? [yes/no]:

Este comando deshabilita todo acceso al modo ROMMON. Por lo tanto tampoco es posible, por ejemplo, cargar una imagen de IOS utilizando xmodem.
En caso de requerirse recuperar el acceso al modo monitor de ROM, de acuerdo a la plataforma de que se trate, hay varios procedimientos posibles; pero se debe tener presente que en todos los casos se perderá el archivo de configuración existente, por lo que se requiere contar con un respaldo externo del archivo de configuración.
El procedimiento disponible para todas las plataformas consiste en mantener presionadas las teclas Ctrl+Break por espacio de 5 a 10 segundos mientras la imagen de Cisco IOS se está descomprimiendo durante la secuencia de arranque del dispositivo.

Cisco Internetwork Operating System Software
IOS (tm) 3600 Software (C3640-IS-M), Version 12.3(3), RELEASE SOFTWARE (fc2)
Copyright (c) 1986-2003 by Cisco Systems, Inc.
Compiled Mon 18-Aug-03 19:03 by dchih
Image text-base: 0x60008950, data-base: 0x61B3E000

PASSWORD RECOVERY IS DISABLED
Do you want to reset the router to factory default configuration and proceed [y/n] ?
Reset router configuration to factory default.
Cisco 3640 (R4700) processor (revision 0x00) with 59392K/6144K bytes of memory.
Processor board ID 09196037

Como resultado de la ejecución se borrará el archivo de configuración de respaldo (startup-config) y el dispositivo iniciará con la configuración por defecto correspondiente.

No hay comentarios.:

Publicar un comentario

Gracias por tu comentario.
En este blog los comentarios están moderados, por lo que su publicación está pendiente hasta la revisión del mismo.

El Autor

Oscar Gerometta es Instructor desde 1999 y ha certificado como CCAI, CCSI y CCBF.
Ha capacitado a miles de técnicos y preparado para obtener sus certificaciones a cientos de ellos incluyendo CCNA R&S, CCNP R&S, CCDA, CCNAsec, CCNAwi, CCNPsec, CCNPwi. Es consultor, redactor y docente en diferentes áreas vinculadas a las TICs. Sus publicaciones incluyen la primer Guía de Preparación para el Examen de Certificación CCNA en español.

Se autoriza la reproducción de los materiales de este blog citando la fuente e incluyendo un enlace al mismo.

http://about.me/ogerometta