CONFIGURACIONES DE SEGURIDAD PARA CONTROL N1

BUENAS PRCTICAS Se debe ingresar al modo de configuracin global, en este modo se configura el hostname, es importante cambiar este parmetro, puesto que si no se hace, al momento de configurar encriptacin RSA, esta solicitara de igual forma el cambio. Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)# Router(config)#hostname TUETUE TUETUE(config)# TUETUE(config)#

En el modo de configuracin global se configura el lago que deben tener las password En este caso tendr un mnimo de 10 caracteres

TUETUE(config)#security passwords min-length 10 TUETUE(config)#

Ahora configuramos la password enable en el Router. Veamos que sucede si colocramos cisco TUETUE(config)#enable password cisco % Invalid Password length - must contain 10 to 25 characters. Password configuration failed TUETUE(config)# El Router enva el mensaje de error, puesto que anteriormente le indicamos que debe ser de un minimo de 10 carcteres. Ahora se configura con esta caracterstica TUETUE(config)# TUETUE(config)#enable password cisco12345 TUETUE(config)#

El comando es aceptado. Al revisar en la configuracin se puede observar la clave TUETUE#sh running-config Building configuration... < vista omitida> security passwords min-length 10 logging message-counter syslog enable password cisco12345 < vista omitida>

Para dar mayor seguridad a las credenciales del equipo se debe configurar el siguiente comando TUETUE#conf t Enter configuration commands, one per line. End with CNTL/Z. TUETUE(config)# TUETUE(config)#service password-encryption TUETUE(config)# Y se revisa nuevamente con el comando show running-config

TUETUE#show running-config Building configuration... < vista omitida> security passwords min-length 10 logging message-counter syslog enable password 7 070C285F4D06485744465E < vista omitida>

Y se observa que la password fue encriptada, esto sucede con todas las password que se configuren en este equipo. Por ejemplo, veamos las passwor para line VTY, consola y puerto auxiliar, no se debe olvidar que el largo minimo para la password es de 10 caracteres TUETUE#configure terminal Enter configuration commands, one per line. End with CNTL/Z. TUETUE(config)# TUETUE(config)#line console 0

TUETUE(config-line)#password cisco % Invalid Password length - must contain 10 to 25 characters. Password configuration failed TUETUE(config-line)#password cisco12345 TUETUE(config-line)# TUETUE(config-line)#exit TUETUE(config)#line vty 0 4 TUETUE(config-line)#password cisco12345 TUETUE(config-line)# TUETUE(config-line)#exit TUETUE(config)#line aux 0 TUETUE(config-line)#password cisco12345 TUETUE(config-line)#

Las caractersticas de estas lneas, es que se debe salir de una para poder ingresar a la otra, este ejercicio est siendo realizado en un Router real, no olvidar que algunas facilidades no estn en los programas packet tracer o GNS3, como por ejemplo el puerto auxiliar. Ahora revisamos nuevamente la configuracin TUETUE#show running-config Building configuration... <vista omitida > line con 0 password 7 030752180500701E1D5D4C line aux 0 password 7 030752180500701E1D5D4C line vty 0 4 password 7 104D000A061843595F507F login ! <vista omitida > TUETUE#

Vemos nuevamente que el comando service password-encryption trabaja en toda la configuracin del equipo

Ahora se configura la interfaz que conecta al PC de usuario y el PC de usuario

TUETUE(config)# interface f0/1 TUETUE(config-if)# ip address 192.169.1.1 255.255.255.0 TUETUE(config-if)#no shutdown

Se realiza prueba de ping desde el Router TUETUE#ping 192.169.1.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.169.1.2, timeout is 2 seconds: .!!!! Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms TUETUE#

Y desde el PC C:\Documents and Settings>ping 192.169.1.1 Haciendo ping a 192.169.1.1 con 32 bytes de datos: Respuesta desde 192.169.1.1: bytes=32 tiempo=1ms TTL=255 Respuesta desde 192.169.1.1: bytes=32 tiempo<1m TTL=255 Respuesta desde 192.169.1.1: bytes=32 tiempo<1m TTL=255 Respuesta desde 192.169.1.1: bytes=32 tiempo<1m TTL=255 Estadsticas de ping para 192.169.1.1: Paquetes: enviados = 4, recibidos = 4, perdidos = 0 (0% perdidos), Tiempos aproximados de ida y vuelta en milisegundos: Mnimo = 0ms, Mximo = 1ms, Media = 0ms C:\Documents and Settings>

Una vez que est conectado, se puede probar la conexin via telnet

C:\Documents and Settings>telnet 192.169.1.1

Con esta configuracin tenemos la administracin remota del Router. Ahora se comienza dar las configuraciones de mayor seguridad

Se crea un usuario y su respectiva password para el acceso Y se configura en el line vty 0 4 que revise el nombre de usuario en forma local TUETUE(config)#username cisco password ciscoadmin TUETUE(config)# TUETUE(config)#line vty 0 4 TUETUE(config-line)#login local TUETUE(config-line)#

Para bloquear la conexin al equipo por 60 segundos despus de dos intentos fallidos de conexin TUETUE#configure terminal Enter configuration commands, one per line. End with CNTL/Z. TUETUE(config)# TUETUE(config)#login block-for 60 attempts 2 within 30 TUETUE(config)# TUETUE(config)# Veamos que sucede al intentar conectarse colocando password errnea desde el PC

Y por consola se observa el siguiente mensaje al fallar la conexin, y a los 60 segundos se indica que se desbloquea nuevamente. TUETUE(config-line)# *May 4 05:10:45.035: %SEC_LOGIN-1-QUIET_MODE_ON: Still timeleft for watching failures is 9 secs, [user: s] [Source: 192.169.1.2] [localport: 23] [Reason: Login Authentication Failed - BadUser] [ACL: sl_def_acl] at 05:10:45 UTC Sat May 4 2013 TUETUE(config-line)# TUETUE(config-line)# *May 4 05:11:45.035: %SEC_LOGIN-5-QUIET_MODE_OFF: Quiet Mode is OFF, because block period timed out at 05:11:45 UTC Sat May 4 2013 TUETUE(config-line)# Se puede configurar que este mensaje se almacene en el buffer del equipo o se envie a un servidor syslog, en este caso habilitaremos los log del Router TUETUE(config)#logging buffered 4096 6 TUETUE(config)# Y al realizar el comando show logging se observa el suceso, esto para poder realizar anlisis posteriores

En el mismo contexto de tener un registro de los intentos de conexin existen los siguientes comandos para logging TUETUE#configure terminal Enter configuration commands, one per line. End with CNTL/Z. TUETUE(config)#login on-success log TUETUE(config)# TUETUE(config)#login on-failure log TUETUE(config)# El primero para registrar las conexiones que estn correctas y el segundo para las fallidas Veamos que sucede al realizar primero una conexin correcta y luego dos intentos fallidos TUETUE# TUETUE# *May 4 05:25:12.847: %SEC_LOGIN-5-LOGIN_SUCCESS: Login Success [user: cisco] [Source: 192.169.1.2] [localport: 23] at 05:25:12 UTC Sat May 4 2013 *May 4 05:25:29.455: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: w] [Source: 192.169.1.2] [localport: 23] [Reason: Login Authentication Failed - BadUser] at 05:25:29 UTC Sat May 4 2013 *May 4 05:25:39.887: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: prueba] [Source: 192.169.1.2] [localport: 23] [Reason: Login Authentication Failed - BadUser] at 05:25:39 UTC Sat May 4 2013 *May 4 05:25:39.887: %SEC_LOGIN-1-QUIET_MODE_ON: Still timeleft for watching failures is 19 secs, [user: prueba] [Source: 192.169.1.2] [localport: 23] [Reason: Login Authentication Failed - BadUser] [ACL: sl_def_acl] at 05:25:39 UTC Sat May 4 2013 TUETUE# En amarillo se aprecia que la conexin fue exitosa con el usuario cisco desde la ip 192.169.1.2 En gris se aprecia la conexin fallida con el usuario w desde la ip 192.169.1.2 y luego en gris nuevamente Conexin fallida con el usuario prueba desde la ip 192.169.1.2, adems se indica que por el puerto 23 han sido las conexiones. El ultimo log indica que se bloquea por la conexin remota por intentos fallidos

Conexin SSH Esta conexin trabaja por el puerto 22 y veamos ahora como se configura y como se revisa su estado. En primera instancia se el estado TUETUE# TUETUE#sh ip ssh SSH Disabled - version 1.99 %Please create RSA keys (of atleast 768 bits size) to enable SSH v2. Authentication timeout: 120 secs; Authentication retries: 3 Minimum expected Diffie Hellman key size : 1024 bits TUETUE#

Este comando nos indica que esta deshabilitada y que se debe crear la encriptacin RSA. Para crear la encriptacin RSA TUETUE# TUETUE#configure terminal Enter configuration commands, one per line. End with CNTL/Z. TUETUE(config)#crypto key generate rsa general-keys mo TUETUE(config)#crypto key generate rsa general-keys modulus ? <360-2048> size of the key modulus [360-2048] TUETUE(config)#crypto key generate rsa general-keys modulus 1024 % Please define a domain-name first. TUETUE(config)# TUETUE(config)# Aca hay que ver dos cosas, primero que el modulo debe ser de 1024, tal como lo solicitaba anteriormente y tambin nos indica que debemso crear el dominio primero Para este laboratorio el dominio ser ccnasecurity.com Si no cambiaste el hostname del equipo te generar un error y deberas cambiarlo para realizar este comando TUETUE(config)#ip domain name ccnasecurity.com TUETUE(config)# TUETUE(config)#crypto key generate rsa general-keys modulus 1024 The name for the keys will be: TUETUE.ccnasecurity.com % The key modulus size is 1024 bits % Generating 1024 bit RSA keys, keys will be non-exportable...[OK] TUETUE(config)# *May 4 05:36:32.195: %SSH-5-ENABLED: SSH 1.99 has been enabled

Se crea el dominio, se crea la encriptacin RSA , al estar bien generada se habilita el protocolo SSH, lo cual lo indica el log que entrega el equipo Se repite el comando show ip ssh

TUETUE#show ip ssh SSH Enabled - version 1.99 Authentication timeout: 120 secs; Authentication retries: 3 Minimum expected Diffie Hellman key size : 1024 bits TUETUE# Se indica que el protocolo SSH esta habilitado, adems se indica que despus de 120 segundos si no se autentica se caer la conexin y que puede tener tres intentos . Estos parmetros se pueden variar, Con los siguientes comandos TUETUE(config)# TUETUE(config)#ip ssh time-out 90 TUETUE(config)# TUETUE(config)#ip ssh authentication-retries 2 TUETUE(config)# Veamos cmo queda TUETUE# TUETUE#show ip ssh SSH Enabled - version 1.99 Authentication timeout: 90 secs; Authentication retries: 2 Minimum expected Diffie Hellman key size : 1024 bits TUETUE#

Ahora se configura en el line vty 0 4, la conexin a ssh En el pc se abre una ventana de cmd y se realia el siguiente comando ssh -l admin 192.162.1.1 o bien se abre una sesin en un Programa de cliente ssh (putty, crt , etc)

Creacion de perfiles de administrador AAA, no son pilas Es un protocolo que implica un acrnimo con sus letras Authentication, Authorization and Accounting

Se habilita el modo de aaa TUETUE(config)#aaa new-model TUETUE(config)#exit TUETUE#enable view Password: TUETUE# *May 4 06:11:19.091: %PARSER-6-VIEW_SWITCH: successfully set to view 'root' Aparece un log que indica que PARSER es root En este estado es donde se configuran los perfiles de usuario En este caso creamos el usuario admin1 con password passadmin1 Enter configuration commands, one per line. End with CNTL/Z. TUETUE(config)#parser view admin1 TUETUE(config-view)# *May 4 06:18:59.111: %PARSER-6-VIEW_CREATED: view 'admin1' successfully created. TUETUE(config-view)# TUETUE(config-view)#secret passadmin1 TUETUE(config-view)# TUETUE(config-view)#commands exec include all show TUETUE(config-view)#commands exec include all configure terminal TUETUE(config-view)#commands exec include all debug TUETUE(config-view)#

Se ingresa con el perfil del usuario creado y se observa lo que puede hacer TUETUE#enable view admin1 Password: TUETUE# *May 4 06:21:25.583: %PARSER-6-VIEW_SWITCH: successfully set to view 'admin1'. TUETUE# TUETUE#? Exec commands: configure Enter configuration mode debug Debugging functions (see also 'undebug') enable Turn on privileged commands exit Exit from the EXEC show Show running system information TUETUE#