Cómo configurar la administración del switch L3 D-Link DGS-3630-28PC vía web, Telnet y SSH

Escrito por Sergio De Luz

La semana pasada os ofrecimos un completo análisis del switch L3 Gigabit Stackable D-Link DGS-3630-28PC, un equipo de alto rendimiento orientado al mercado profesional, y más concretamente a medianas y grandes empresas e incluso ISP. Este equipo tiene una gran cantidad de opciones de administración, y hoy os vamos a enseñar cómo configurar diferentes usuarios y a activar diferentes protocolos para administrarlo remotamente.

En este manual os vamos a explicar cómo podemos crear usuarios con diferentes permisos, y también, cómo activar la administración vía Telnet y SSH, así como activar la administración a través de HTTPS (con seguridad) en lugar de hacerlo a través de HTTP (no seguro).

Para llevar a cabo todas las acciones que os vamos a describir, os recomendamos acceder a la administración vía web a través del puerto MGMT dedicado. Si no hemos cambiado la configuración de este puerto, accederemos a través de 192.168.0.1, pero previamente debemos haber configurado IP fija con una IP dentro del rango de la subred 192.168.0.0/24.

Una vez que hayamos entrado en la administración vía web del switch D-Link DGS-3630-28PC, vamos a ver cómo se crearían nuevos usuarios.

Creación de usuarios

Para crear nuevos usuarios con permisos administrativos, debemos irnos a “Management / User Accounts Settings“. En la parte derecha es donde debemos dar de alta un usuario, por ejemplo el usuario “bron”, establecer unos privilegios (1: mínimos privilegios; 15: administrador) y también una contraseña (Password Type: Plain Text). Una vez creado, podremos iniciar sesión con dicho usuario, en la sección “Session Table” nos indicará el tiempo que estamos dentro de la administración así como la IP de origen.

El switch tiene un servicio de “Password Encryption“, el cual nos va a permitir hashear las contraseñas con MD5 y SHA1. Es recomendable activar este servicio para que nuestros credenciales no se guarden en texto plano en el switch, por si queremos exportar la configuración a un dispositivo extraíble.

Un aspecto muy importante que debemos tener en cuenta, es activar que se utilice la base de datos local de usuarios que tenemos en el propio switch. En la sección “Management / Login Method” debemos elegir que el método de inicio de sesión sea “Login Local”, tanto en consola, Telnet como en SSH, tal y como podéis ver a continuación:

Una vez que lo hayamos hecho, podremos iniciar sesión con los credenciales que hemos creado previamente.

Configuración del servicio web y Telnet

El switch D-Link DGS-3630-28PC por defecto tiene activada la administración vía web (HTTP) en el puerto 80, y también tenemos activado el servicio Telnet en el puerto 23 por defecto. Debemos recordar que Telnet es un protocolo no seguro, por lo que no es recomendable administrar el switch a través de Telnet. Lo mejor que podemos hacer es deshabilitar este protocolo, y usar en su lugar SSH (que próximamente os ayudaremos a configurar):

En la sección de “Session Timeout” podremos configurar el tiempo en segundos y minutos para que caduquen las sesiones que tenemos abiertas si no hemos ejecutado ningún comando, esto es ideal para no consumir recursos del propio switch, y para cerrar las conexiones abiertas si hemos dejado el ordenador durante un cierto tiempo.

Configuración del protocolo SSH para la administración del D-Link DGS-3630-28PC

En la sección de “Security / SSH” es donde tendremos el menú de configuración para activar el servidor SSH que tiene el equipo. Gracias a este servidor SSH podremos administrar el equipo a través de la línea de comandos (CLI) de manera segura, no como Telnet que todo el tráfico va en claro.

En el menú deberemos seleccionar “Enable” y elegir un puerto TCP, por defecto el puerto es el 22 y el protocolo de SSH es la versión 2, el protocolo que actualmente se considera seguro. También tenemos la posibilidad de configurar tanto el timeout en la autenticación, como el número máximo de intentos de autenticación hasta que el servidor SSH nos desconecte automáticamente.

En la parte de “Host Key” seleccionamos RSA de 2048 bits de longitud y pinchamos en “Generate” para que se generen de nuevo las claves criptográficas. Es recomendable por seguridad seleccionar tanto RSA como 2048 bits de longitud de clave.

Si nos conectamos con un cliente SSH como PuTTY, podremos ver en “SSH Server Connection” el estado de las diferentes conexiones SSH:

Por último, en “SSH User Settings” podremos ver los usuarios que pueden autenticarse en el servidor SSH, que son los mismos usuarios que creamos anteriormente en la sección de usuarios.

Configuración del switch para administrarlo vía HTTPS (seguro)

Este switch podremos administrarlo de manera segura vía web utilizando HTTPS, sin embargo, por defecto se encuentra únicamente habilitarlo el servidor web vía HTTP. Para configurar HTTPS debemos irnos a “Security / SSL / SSL Global Settings” y seleccionar “SSL Status: Enabled“. En cuanto seleccionemos esta opción y pinchemos en aplicar, perderemos el acceso vía HTTP y solo podremos entrar vía HTTPS:

El firmware nos permite cargar nuestro propio certificado y clave privada, ya que por defecto tenemos un certificado autofirmado. Si entramos vía SSH podremos ver la configuración específica del servidor web:

Por último, en la sección “SSL Service Policy” tendremos la posibilidad de permitir únicamente los protocolos y suites de cifrado que nosotros queramos. Es recomendable dejar únicamente TLS 1.2 (el más seguro actualmente) y una suite de cifrados robusta para evitar problemas de seguridad a la hora de administrar el switch L3.

 

Tal y como habéis visto, este switch L3 D-Link DGS-3630-28PC  nos va a permitir administrarlo a través de múltiples protocolos, tanto seguros (HTTPS y SSH) como inseguros (HTTP y Telnet). Os recomendamos configurar y seleccionar únicamente los protocolos seguros para administrar el D-Link DGS-3630-28PC con garantías.

EUR 2.660,63 EUR

Os recordamos que en RedesZone tenemos un completo análisis de este switch L3 orientado a ámbito profesional:

Podéis visitar la página web oficial de la familia D-Link DGS-3630 donde encontraréis todas las especificaciones técnicas de este equipo. Os recomendamos visitar nuestra página dedicada al fabricante D-Link donde encontraréis todos los análisis que hemos realizado hasta la fecha, tanto de repetidores Wi-Fi, como de switches gestionables de gama alta, tarjetas de red e incluso routers. También podéis acceder a la sección D-Link Hogar Digital donde encontraréis manuales de configuración de los diferentes dispositivos del fabricante D-Link.