Es posible que hayais oido hablar del administrador que la semana pasada secuestró supuestamente el sistema de comunicaciones del ayuntamiento de San Francisco (USA). Al parecer Childs, CCIE, desconfiaba bastante de la capacidad de sus colegas para gestionar la red. Extremadamente protector de su red MPLS basada en tecnología Cisco, Childs trabajaba mucho y tenía una relación cada vez peor con sus compañeros y superiores...
No se si os va sonando el cuadro, yo de estos ya he visto unos cuantos casos, no pongo nombres que luego la gente se busca en Google y la liamos, pero a lo que íbamos, en un momento dado le piden a Childs hacer un cambio en la red, no se ponen de acuerdo, y cuando intentan acceder a los dispositivos ¿sabeis quíen era el único que tenía las credenciales? Childs, que a última hora estaba más quemado que la pipa de un indio. Teneis los detalles de la historia en estos enlaces
San Francisco Mayor Regains Control of the Network
Parts of San Francisco network still locked out
San Francisco sysadmin stays in jail
¿Pero qué es exactamente lo que había hecho? El quid del problema era que al parecer tenía deshabilitado el mecanismo de recuperación de contraseñas de los routers Cisco que, como sabeis, es el procedimiento que permite retomar el control de los dispositivos teniendo acceso físico a los mismos. Lo que es menos conocido es que existe un comando que permite deshabilitar la recuperación de contraseñas. Los dispositivos permanecen accesibles a los administradores que tengan las credenciales correctas, pero si se pretende recuperar el acceso de root (level 15), al realizar la recuperación de contraseñas se borra la configuración del dispositivo. Se trata de un comando no documentado y por estar considerado peligroso lo han escondido de la ayuda contextual:
R1(config)# no service pass?Y ya está. Deshabilitar el mecanismo de recuperación de contraseñas puede añadir un nivel extra de seguridad, pero es preciso tener copias de seguridad de las configuraciones de los dispositivos. Así que si os entreteneis tomando notas como las de la imagen no apliqueis este comando y buscad ayuda...
password-encryption
R1(config)# no service password-recovery
WARNING:
Executing this command will disable password recovery mechanism.
Do not execute this command without another plan for password recovery.
Are you sure you want to continue? [yes/no]: y
R1(config)# ^Z
R1# reload
Proceed with reload? [confirm]
System Bootstrap, Version 12.2(8r)T2, RELEASE SOFTWARE (fc1)
TAC Support: http://www.cisco.com/tac
Copyright (c) 2002 by cisco Systems, Inc.
c3725 processor with 262144 Kbytes of main memory
Main memory is configured to 64 bit mode with parity disabled
Readonly ROMMON initialized
PASSWORD RECOVERY FUNCTIONALITY IS DISABLED
...
Fuentes: Packetlife (más). Procedimientos de recuperación de contraseñas de Cisco. El caso es que quiero apuntarme a este blog, ¿Cómo lo hago?.