2.6.1.2 Lab - Securing The Router For Administrative Access-Español

Práctica de laboratorio: Protección del enrutador
para acceso administrativo
Seguridad CCNA
Práctica de laboratorio: Protección del enrutador para acceso
administrativo
Topología
Nota: Los dispositivos ISR G1 utilizan interfaces FastEthernet en lugar de interfaces GigabitEthernet.
© 2015-2020 Cisco y / o sus filiales. Todos los derechos reservados. Página 2 de www.netacad.com
Cisco Public.
Tabla de direccionamiento IP
Disposi Interfaz Dirección IP Máscara de Puerta de Puerto del

tivo subred enlace interruptor
predeterminad
a
G0 / 1 192.168.1.1 255.255.255.0 N/A S1 F0 / 5
R1
S0 / 0/0 10.1.1.1 255.255.255.25 N/A N/A
(DCE) 2
S0 / 0/0 10.1.1.2 255.255.255.25 N/A N/A
R2 2
S0 / 0/1 10.2.2.2 255.255.255.25 N/A N/A
(DCE) 2
G0 / 1 192.168.3.1 255.255.255.0 N/A S3 F0 / 5
R3
S0 / 0/1 10.2.2.1 255.255.255.25 N/A N/A
2
PC-A NIC 192.168.1.3 255.255.255.0 192.168.1.1 S1 F0 / 6
PC-C NIC 192.168.3.3 255.255.255.0 192.168.3.1 S3 F0 / 18
Objetivos
Parte 1: configurar los ajustes básicos del dispositivo
 Cablee la red como se muestra en la topología.
 Configure el direccionamiento IP básico para enrutadores y PC.
 Configure el enrutamiento OSPF.
 Configurar hosts de PC.
 Verifique la conectividad entre hosts y enrutadores.
Parte 2: Controlar el acceso administrativo para enrutadores
 Configure y cifre todas las contraseñas.
 Configure un banner de advertencia de inicio de sesión.
 Configure la seguridad mejorada de la contraseña del nombre de usuario.
 Configure un servidor SSH en un enrutador.
 Configure un cliente SSH y verifique la conectividad.
 Configure un servidor SCP en un enrutador.
Parte 3: configurar roles administrativos
 Cree múltiples vistas de roles y otorgue diferentes privilegios.
 Verificar y contrastar vistas.
Parte 4: Configurar informes de administración y resiliencia de Cisco IOS
 Proteja los archivos de configuración e imagen de Cisco IOS.
 Configure la seguridad SNMPv3 mediante una ACL.
 Configure un enrutador como fuente de hora sincronizada para otros dispositivos que usan NTP.
 Configure la compatibilidad con syslog en un enrutador.
 Instale un servidor syslog en una PC y habilítelo.
Cisco Public.
 Realice cambios en el enrutador y supervise los resultados de syslog en la PC.
Cisco Public.
Parte 5: Asegurar el plano de control
 Configurar la autenticación OSPF mediante SHA256
 Verificar la autenticación OSPF
Parte 6: configurar las funciones de seguridad automatizadas
 Bloquee un enrutador con AutoSecure y verifique la configuración.
 Compare el uso de AutoSecure con la protección manual de un enrutador mediante la línea de comando.
Antecedentes / Escenario
El enrutador es un componente crítico en cualquier red. Controla el movimiento de datos dentro y fuera de la
red y entre dispositivos dentro de la red. Es particularmente importante proteger los enrutadores de red
porque la falla de un dispositivo de enrutamiento podría hacer que secciones de la red, o toda la red, sean
inaccesibles. Controlar el acceso a los enrutadores y habilitar los informes sobre los enrutadores es
fundamental para la seguridad de la red y debe formar parte de una política de seguridad integral.
En esta práctica de laboratorio, creará una red de varios enrutadores y configurará los enrutadores y los
hosts. Utilice varias herramientas CLI para asegurar el acceso local y remoto a los enrutadores, analizar las
posibles vulnerabilidades y tomar medidas para mitigarlas. Habilite los informes de administración para
monitorear los cambios de configuración del enrutador.
Los comandos y la salida del router en esta práctica de laboratorio son de un router Cisco 1941 que utiliza el
software Cisco IOS, versión 15.4 (3) M2 (con una licencia de paquete de tecnología de seguridad). Se
pueden utilizar otros enrutadores y versiones de Cisco IOS. Consulte la Tabla de resumen de interfaces del
enrutador al final de la práctica de laboratorio para determinar qué identificadores de interfaz utilizar según el
equipo de la práctica de laboratorio. Según el modelo del enrutador, los comandos disponibles y la salida
producida pueden variar de lo que se muestra en esta práctica de laboratorio.
Nota: Antes de comenzar, asegúrese de que los enrutadores y los conmutadores se hayan borrado y
no tengan configuraciones de inicio.
Recursos necesarios
 3 enrutadores (Cisco 1941 con Cisco IOS versión 15.4 (3) imagen M2 con una licencia de paquete
de tecnología de seguridad)
 2 conmutadores (Cisco 2960 o comparable) (no requerido)
 2 PC (Windows 7 u 8.1, cliente SSH, servidor syslog)
 Cables serie y Ethernet como se muestra en la topología
 Cables de consola para configurar dispositivos de red de Cisco
Parte 1: configurar los ajustes básicos del dispositivo

En la Parte 1, configure la topología de la red y configure los ajustes básicos, como las direcciones IP de la
interfaz.
Paso 1: Cablee la red.

Conecte los dispositivos, como se muestra en el diagrama de topología, y conecte los cables según sea
necesario.
Paso 2: Configure los ajustes básicos para cada

enrutador.
a. Configure los nombres de host como se muestra en la
topología.
b. Configure las direcciones IP de la interfaz como se muestra en la Tabla de direcciones IP.
c. Configure una frecuencia de reloj para los enrutadores con un cable serie DCE conectado a su
interfaz serie. Aquí se muestra R1 como ejemplo.
R1 (config) # interfaz S0 / 0/0
R1 (config-if) # frecuencia de reloj 64000
d. Para evitar que el enrutador intente traducir comandos ingresados incorrectamente como si fueran
nombres de host, desactive la búsqueda de DNS. Aquí se muestra R1 como ejemplo.
R1 (config) # sin búsqueda de dominio ip
Paso 3: Configure el enrutamiento OSPF en los enrutadores.

a. Utilice el comando router ospf en el modo de configuración global para habilitar OSPF en R1.
R1 (config) # enrutador ospf 1
b. Configure las declaraciones de red para las redes en R1. Utilice un ID de área de 0.
R1 (config-router) # red 192.168.1.0 0.0.0.255 área 0
R1 (config-router) # red 10.1.1.0 0.0.0.3 área 0
c. Configure OSPF en R2 y R3.
d. Emita el comando de interfaz pasiva para cambiar la interfaz G0 / 1 en R1 y R3 a pasiva.
R1 (config-router) # interfaz pasiva g0 / 1

R3 (config-router) # interfaz pasiva g0 / 1
Paso 4: Verificar los vecinos OSPF y la información de enrutamiento.

a. Emita el comando show ip ospf Neighbor para verificar que cada enrutador enumere los demás
enrutadores de la red como vecinos.
R1 # muestre al vecino del ospf del IP
ID de Pri Estado Tiempo Habla a Interfaz

vecino muerto
10.2.2.2 0 COMPLETO/- 00:00:31 10.1.1.2 Serie0 /
0/0
b. Emita el comando show ip route para verificar que todas las redes se muestren en la tabla de enrutamiento
en todos los enrutadores.
R1 # mostrar ruta IP
Códigos: L - local, C - conectado, S - estático, R - RIP, M - móvil, B -
BGP D - EIGRP, EX - EIGRP externo, O - OSPF, IA - OSPF entre áreas
N1 - OSPF NSSA tipo externo 1, N2 - OSPF NSSA externo tipo 2
E1 - OSPF externo tipo 1, E2 - OSPF externo tipo 2
i - IS-IS, su - Resumen de IS-IS, L1 - IS-IS nivel-1, L2 - IS-IS nivel-
2 ia - IS-IS entre áreas, * - candidato predeterminado, U - ruta
estática por usuario o - ODR, P - ruta estática descargada
periódicamente, H - NHRP, l - LISP
a - ruta de aplicación
+ - ruta replicada,% - anulación del
siguiente salto La puerta de enlace de último

recurso no está configurada
10.0.0.0/8 tiene subredes variables, 3 subredes, 2 máscaras

C 10.1.1.0/30 está conectado directamente, Serial0 / 0/0
L 10.1.1.1/32 está conectado directamente, Serial0 / 0/0
O 10.2.2.0/30 [110/128] a través de 10.1.1.2, 00:03:03,
Serial0 / 0/0
192.168.1.0/24 tiene subredes variables, 2 subredes, 2
máscaras
C 192.168.1.0/ está conectado directamente,
24 GigabitEthernet0 / 1
L 192.168.1.1/ está conectado directamente,
O192.168.3.0 / 24 [110/129] a través de 10.1.1.2, 00:02:36, Serie0 / 0/0
Paso 5: Configure los ajustes de IP del host de la PC.

Configure una dirección IP estática, una máscara de subred y una puerta de enlace predeterminada
para la PC-A y la PC-C como se muestra en la Tabla de direcciones IP.
Paso 6: Verifique la conectividad entre la PC-A y la PC-C.

a. Haga ping de R1 a R3.
Si los pings no tienen éxito, solucione los problemas de las configuraciones básicas del dispositivo antes de
continuar.
b. Haga ping desde la PC-A, en la LAN R1, a la PC-C, en la LAN R3.
Si los pings no tienen éxito, solucione los problemas de las configuraciones básicas del dispositivo antes de
continuar.
Nota: Si puede hacer ping de la PC-A a la PC-C, habrá demostrado que el enrutamiento OSPF está
configurado y funcionando correctamente. Si no puede hacer ping pero las interfaces del dispositivo están
activas y las direcciones IP son correctas, use los comandos show run, show ip ospf Neighbor y show ip route
para ayudar a identificar problemas relacionados con el protocolo de enrutamiento.
Paso 7: guarde la configuración básica en ejecución para cada enrutador.

Guarde la configuración básica en ejecución de los enrutadores como archivos de texto en su PC. Estos
archivos de texto se pueden usar para restaurar configuraciones más adelante en el laboratorio.
Parte 2: Controlar el acceso administrativo para enrutadores

En la Parte 2, usted:
 Configurar y cifrar contraseñas.
 Configure un banner de advertencia de inicio de sesión.
 Configure la seguridad mejorada de la contraseña del nombre de usuario.
 Configure la seguridad de inicio de sesión virtual mejorada.
 Configure un servidor SSH en R1.
 Investigue el software de cliente de emulación de terminal y configure el cliente SSH.
 Configure un servidor SCP en R1.
Nota: Realice todas las tareas tanto en R1 como en R3. Los procedimientos y la salida para R1 se muestran
aquí.
Tarea 1: Configurar y cifrar contraseñas en los enrutadores R1 y R3.
Paso 1: Configure una longitud mínima de contraseña para todas las contraseñas del enrutador.
Utilice el comando de contraseña de seguridad para establecer una longitud mínima de contraseña de 10
caracteres.
R1 (config) # contraseña de seguridad longitud mínima 10
Paso 2: Configure la contraseña secreta de habilitación.
Configure la contraseña cifrada secreta de habilitación en ambos enrutadores. Utilice el algoritmo
hash de tipo 9 (SCRYPT).
R1 (config) # enable algoritmo-tipo scrypt secreto cisco12345
¿Cómo ayuda la configuración de una contraseña secreta de habilitación a proteger un enrutador de verse
comprometido por un ataque?
Que la persona que está haciendo el ataque se pueda acceder y mantenga el

acceso al dispositivo seguro o si es muy hábil por un tiempo limitado
Paso 3: Configure la consola básica, el puerto auxiliar y las líneas de acceso virtual.
Nota: Las contraseñas en esta tarea se establecen en un mínimo de 10 caracteres, pero son relativamente
simples para el beneficio de realizar el laboratorio. Se recomiendan contraseñas más complejas en una red
de producción.
a. Configure una contraseña de consola y habilite el inicio de sesión para enrutadores. Para mayor
seguridad, el comando exec-timeout hace que la línea cierre sesión después de 5 minutos de
inactividad. El comando logging synchronous evita que los mensajes de la consola interrumpan la
entrada del comando.
Nota: Para evitar inicios de sesión repetitivos durante esta práctica de laboratorio, el comando
exec-timeout se puede establecer en 0 0, lo que evita que caduque. Sin embargo, esto no se
considera una buena práctica de seguridad.
R1 (config) # line console 0 R1
(config-line) # contraseña
ciscocon R1 (config-line) # exec-
timeout 5 0 R1 (config-line) #
login
R1 (config-line) # registro síncrono
Cuando configuró la contraseña para la línea de la consola, ¿qué mensaje se mostró?
% password too short - must be at least 10 characters. password not configured.
b. Configure una nueva contraseña de ciscoconpass para la consola.

c. Configure una contraseña para el puerto AUX del enrutador R1.
R1 (config) # línea auxiliar 0
R1 (config-line) # contraseña
ciscoauxpass R1 (config-line) # exec-
timeout 5 0 R1 (config-line) # login
d. Telnet de R2 a R1.
R2> telnet 10.1.1.1
¿Pudiste iniciar sesión? Explique.
si, me pide la contraseña del puerto

¿Qué mensajes se mostraron?
trying 10.1.1.1 …. open
password required but none set
[connection to 10.1.1.1 chosed by foreign host]
e. Configure la contraseña en las líneas vty para el enrutador R1.
R1 (config) # línea vty 0 4
R1 (config-line) # contraseña
ciscovtypass
R1 (config-line) # exec-timeout 5 0
R1 (config-line) # transporte input
telnet R1 (config-line) # login
Nota: El valor predeterminado para las líneas vty ahora es la
entrada de transporte none. Telnet de R2 a R1 nuevamente.
¿Pudiste iniciar sesión esta vez?
si, me pide la contraseña de vty y esto sucedió por que ya se configuraron las líneas vty
f. Ingrese al modo EXEC privilegiado y ejecute el comando show run. ¿Puedes leer la contraseña
secreta de enable? Explique.
no, la contraseña secreta de habilitación se ha cifrado con el algoritmo hash de 9 scrypt
¿Puedes leer las contraseñas de consola, aux y vty? Explique.
si, todas las contraseñas de consola, aux y vty están en texto plano o sea que se pueden
leer.
g. Repita la parte de configuración de los pasos 3a a 3g en el enrutador R3.
Paso 4: cifre las contraseñas de texto sin cifrar.

a. Utilice el comando service password-encryption para cifrar las contraseñas de consola, aux y vty.
R1 (config) # servicio de cifrado de contraseña
b. Publique el comando show run. ¿Puedes leer las contraseñas de consola, aux y vty? Explique.
no, ahora aparece una especie de código entre número y letras o (hexadecimal)
line aux 0
password 7 0822455d0a165445415f59
logging synchronous
login
!
line vty 0 4
password 7 0822455d0a165445415f59
logging synchronous
login
¿En qué nivel (número) está cifrada la contraseña secreta de habilitación predeterminada?
Nivel 9
¿A qué nivel (número) se cifran las demás contraseñas? Nivel 7
¿Qué nivel de cifrado es más difícil de descifrar y por qué?
9, debido a que el algoritmo es más fuerte que el 7 y 8, el tipo 9 (scrypt) es actualmente

el algoritmo más fuerte.
Tarea 2: Configurar un cartel de advertencia de inicio de sesión en los enrutadores R1 y

R3.
Paso 1: Configure un mensaje de advertencia para que se muestre antes de iniciar sesión.
a. Configure una advertencia para usuarios no autorizados con un banner de mensaje del día (MOTD)
usando el comando banner motd. Cuando un usuario se conecta a uno de los enrutadores, aparece el
banner MOTD antes del mensaje de inicio de sesión. En este ejemplo, el signo de dólar ($) se utiliza
para iniciar y finalizar el mensaje.
R1 (configuración) # banner motd $ ¡Acceso no autorizado estrictamente
prohibido! $
R1 (config) # salir
b. Publique el comando show run. ¿A qué se convierte el $ en la salida?
$ se convierte en ^c
Tarea 3: Configurar seguridad de contraseña de nombre de usuario mejorada en los
enrutadores R1 y R3.
Paso 1: Investigue las opciones para el comando de nombre de usuario.

En el modo de configuración global, ingrese el siguiente
comando: R1 (config) # username user01 algoritmo-tipo?
¿Qué opciones hay disponibles?
• md5 codifica la contraseña usando el algoritmo md5
• scrypt codifica la contraseña utilizando el algoritmo hash scrypt

• sha256 codifica la contraseña usando hash pbkdf2 el algoritmo
Paso 2: cree una nueva cuenta de usuario con una contraseña secreta.
a. Cree una nueva cuenta de usuario con el hash SCRYPT para cifrar la contraseña.
R1 (configuración) # nombre de usuario user01 tipo de algoritmo scrypt secreto
user01pass
b. Salga del modo de configuración global y guarde su configuración.
c. Muestra la configuración en ejecución. ¿Qué método de hash se utiliza para la contraseña?
• tipo 9 (scrypt) algoritmo hash
Paso 3: pruebe la nueva cuenta iniciando sesión en la consola.

a. Configure la línea de la consola para usar las cuentas de inicio de sesión definidas localmente.
R1 (config) # line console 0
R1 (config-line) # login
local R1 (config-line) # end
R1 # salida
b. Salga a la pantalla inicial del enrutador que muestra: R1 con0 ahora está disponible, presione RETURN
para comenzar.
c. Inicie sesión con el nombre de usuario user01 previamente definido y la contraseña
user01pass. ¿Cuál es la diferencia entre iniciar sesión en la consola ahora y antes?
 antes solo pedía una contraseña la diferencia es que ahora se le pedirá que ingrese
un nombre de usuario y contraseña
 Después de iniciar sesión, ejecute el comando show run. ¿Pudiste emitir el comando? Explique.
 no, requiere nivel exec privilegiado

 Ingrese al modo EXEC privilegiado usando el comando enable. ¿Se le solicitó una contraseña?
Explique.
 sí, los nuevos usuarios creados aún deberán ingresar la contraseña secreta
de habilitación para ingresar al modo exec privilegiado
Paso 4: Pruebe la nueva cuenta iniciando sesión desde una sesión Telnet.
a. Desde la PC-A, establezca una sesión Telnet con R1. Telnet está deshabilitado de forma
predeterminada en Windows 7. Si es necesario, busque en línea los pasos para habilitar Telnet en
Windows 7.
PC-A> telnet 192.168.1.1
¿Se le solicitó una cuenta de usuario? Explique.
 no, las líneas vty no se ha configurado para usar las cuentas definidas localmente
haci moco se hizo en la línea de consola 0
 Configure las líneas vty para usar las cuentas de inicio de sesión definidas localmente.
R1 (config-line) # inicio de sesión local
b. Desde la PC-A, vuelva a telnet a R1.
PC-A> telnet 192.168.1.1
¿Se le solicitó una cuenta de usuario? Explique.
 si, las líneas vty ahora están configuradas para usar las cuentas definidas
localmente
 Inicie sesión como user01 con una contraseña de user01pass.
c. Durante la sesión Telnet al R1, acceda al modo EXEC privilegiado con el comando
enable. ¿Qué contraseña usaste?
 la contraseña secreta habilitar cisco12345

 Para mayor seguridad, configure el puerto AUX para usar las cuentas de inicio de sesión definidas
localmente.
R1 (config) # línea auxiliar 0
R1 (config-line) # inicio de sesión local
d. Finalice la sesión Telnet con el comando exit.
Tarea 4: Configurar el servidor SSH en el enrutador R1 y R3.

En esta tarea, use la CLI para configurar el enrutador para que se administre de forma segura mediante SSH
en lugar de Telnet. Secure Shell (SSH) es un protocolo de red que establece una conexión de emulación de
terminal segura a un enrutador u otro dispositivo de red. SSH cifra toda la información que pasa a través del
enlace de red y proporciona autenticación de la computadora remota. SSH está reemplazando rápidamente a
Telnet como la herramienta de inicio de sesión remota preferida por los profesionales de redes.
Nota: Para que un enrutador admita SSH, debe configurarse con autenticación local (servicios AAA o
nombre de usuario) o autenticación con contraseña. En esta tarea, configura un nombre de usuario SSH y
autenticación local.
Paso 1: configurar un nombre de dominio.

Ingrese al modo de configuración global y establezca el nombre de dominio.
R1 # conf t
R1 (config) # ip nombre de dominio ccnasecurity.com
Paso 2: Configure un usuario privilegiado para iniciar sesión desde el cliente SSH.
a. Utilice el comando de nombre de usuario para crear la ID de usuario con el nivel de privilegio más alto
posible y una contraseña secreta.
R1 (configuración) # nombre de usuario privilegio de administrador
15 tipo de algoritmo scrypt secreto cisco12345
Nota: Los nombres de usuario no distinguen entre mayúsculas y minúsculas de forma predeterminada.
Aprenderá a distinguir entre mayúsculas y minúsculas en los nombres de usuario en el Capítulo 3.
b. Salga a la pantalla de inicio de sesión inicial del enrutador. Inicie sesión con el nombre de usuario admin
y la contraseña asociada. ¿Cuál fue el mensaje del enrutador después de ingresar la contraseña?
 el indicador de exec (activar) privilegiado #. con un privilegio nivel 15, el inicio de
sesión está por defecto al modo de ejecución privilegiado, entro de una a modo
privilegiado y no paso por el modo exec
Paso 3: Configure las líneas vty entrantes.

Especifique un nivel de privilegio de 15 para que un usuario con el nivel de privilegio más alto (15) ingrese de
forma predeterminada al modo EXEC privilegiado cuando acceda a las líneas vty. Otros usuarios utilizarán el
modo EXEC de usuario de forma predeterminada. Utilice las cuentas de usuario locales para el inicio de
sesión y la validación obligatorios y acepte solo conexiones SSH.
R1 (config-line) # nivel de
privilegio 15 R1 (config-line) #
iniciar sesión local R1 (config-
line) # transporte entrada ssh R1
(config-line) # salir
Nota: El comando de inicio de sesión local debería haberse configurado en un paso anterior. Se incluye
aquí para proporcionar todos los comandos, si lo hace por primera vez.
Nota: Si agrega la palabra clave telnet al comando de entrada de transporte, los usuarios pueden iniciar sesión
usando Telnet y SSH, sin embargo, el enrutador será menos seguro. Si solo se especifica SSH, el host de
conexión debe tener instalado un cliente SSH.
Paso 4: borre los pares de claves existentes en el enrutador.

R1 (config) # crypto key zeroize rsa
Nota: Si no existen claves, es posible que reciba este mensaje: % No se encontraron claves RSA
de firma en la configuración.
Paso 5: Genere el par de claves de cifrado RSA para el enrutador.

El enrutador utiliza el par de claves RSA para la autenticación y el cifrado de los datos SSH transmitidos.
a. Configure las claves RSA con 1024 para el número de bits de módulo. El valor predeterminado es
512 y el rango es de 360 a 2048.
R1 (configuración) # clave criptográfica generar claves generales rsa módulo
1024
El nombre de las claves será: R1.ccnasecurity.com
% El tamaño del módulo clave es 1024 bits

% Generando claves RSA de 1024 bits, las claves no serán exportables ... [OK]
R1 (configuración) #
* 16 de diciembre 21: 24: 16.175:% SSH-5-ENABLED: SSH 1.99 ha sido habilitado
b. Emita el comando ip ssh versión 2 para forzar el uso de SSH versión 2.
R1 (config) # ip ssh versión 2
R1 (config) # salir
Nota: Los detalles de los métodos de cifrado se tratan en el Capítulo 7.
Paso 6: Verifique la configuración de SSH.

a. Utilice el comando show ip ssh para ver la configuración actual.
R1 # show ip ssh
b. Complete la siguiente información según el resultado del comando show ip ssh.
versión ssh habilitado: versión 1.99 tiempo de espera de autenticación: 120

segundos
c. autenticación reintentos: 3
Paso 7: configurar los tiempos de espera de SSH y los parámetros de autenticación.

Los parámetros de autenticación y los tiempos de espera de SSH predeterminados se pueden
modificar para que sean más restrictivos mediante los siguientes comandos.
R1 (config) # ip ssh time-out 90
R1 (config) # ip ssh autenticación-reintentos 2
Paso 8: guarde la configuración en ejecución en la configuración de inicio.

R1 # copiar running-config startup-config
Tarea 5: Investigar el software de cliente de emulación de terminal y configurar el cliente

SSH.
Paso 1: Investigue el software cliente de emulación de terminal.

Realice una búsqueda web de software cliente de emulación de terminal gratuito, como TeraTerm o PuTTy.
¿Cuáles son algunas de las capacidades de cada uno?
 Teraterm: este cliente telnet proporciona emulación vt100, emulación
vt200 / 300 seleccionada, emulación tek4010 y protocolos de
transferencia de archivos kermit, xmodem, zmodem, bplus y quick-van.
también ofrece la capacidad de conectarse a hosts ssh2, un servidor
web integrado para comandos de paso a través de http y capacidades
de lenguaje de macros, incluido el soporte odbc, comandos
recurrentes y operación independiente de directorio .
 Putty: un emulador de terminal de código abierto, una consola serial y una
aplicación de transferencia de archivos de red. admite varios protocolos de red,
incluyendo scp, ssh, telnet y rlogin
 Paso 2: Instale un cliente SSH en la PC-A y la PC-C.
a. Si el cliente SSH aún no está instalado, descargue TeraTerm o PuTTY.
b. Guarde la aplicación en el escritorio.
Nota: El procedimiento que se describe aquí es para PuTTY y pertenece a la PC-A.
Paso 3: Verifique la conectividad SSH al R1 desde la PC-A.
a. Inicie PuTTY haciendo doble clic en el icono de putty.exe.
b. Ingrese la dirección IP 192.168.1.1 de R1 F0 / 1 en el campo Nombre de host (o dirección IP).
c. Verifique que el botón de opción SSH esté seleccionado.
d. Haga clic en Abrir.

e. En la ventana Alerta de seguridad de PuTTY, haga clic en Sí.
f. Ingrese el nombre de usuario y la contraseña del administrador cisco12345 en la ventana PuTTY.
g. En el indicador EXEC privilegiado de R1, ingrese el comando show users.

R1 # mostrar usuarios
¿Qué usuarios están conectados al enrutador R1 en este momento?
h. Cierre la ventana de sesión PuTTY SSH.

i. Intente abrir una sesión Telnet a su enrutador desde la PC-A. ¿Pudiste abrir la sesión Telnet?
Explique.
j. Abra una sesión PuTTY SSH al enrutador desde la PC-A. Ingrese el nombre de usuario y la contraseña de
user01
user01pass en la ventana PuTTY para intentar conectarse para un usuario que no tiene el nivel de
privilegios de 15. Si pudo iniciar sesión, ¿cuál fue el mensaje?
k. Use el comando enable para ingresar al modo EXEC privilegiado e ingrese la contraseña secreta enable
cisco12345.
Tarea 6: Configurar un servidor SCP en R1.

Ahora que SSH está configurado en el enrutador, configure el enrutador R1 como un servidor de copia segura
(SCP).
Paso 1: Utilice los valores predeterminados de autenticación y autorización AAA en el R1.

Configure los valores predeterminados de autenticación y autorización AAA en el R1 para utilizar la base de
datos local para los inicios de sesión.
Nota: SCP requiere que el usuario tenga acceso de nivel de privilegio 15.
a. Habilite AAA en el enrutador.
R1 (config) # aaa nuevo modelo
b. Utilice el comando de autenticación aaa para utilizar la base de datos local como método de
autenticación de inicio de sesión predeterminado.
R1 (config) # aaa autenticación inicio de sesión predeterminado local
c. Utilice el comando de autorización aaa para utilizar la base de datos local como autorización de comando
predeterminada.
R1 (config) # aaa autorización exec predeterminado local
d. Habilite el servidor SCP en R1.
R1 (config) # habilitación del servidor scp ip
Nota: AAA se trata en el Capítulo 3.
Paso 2: Copie la configuración en ejecución en R1 para flashear.

El servidor SCP permite que los archivos se copien desde y hacia la memoria flash de un enrutador. En
este paso, creará una copia de la configuración en ejecución en R1 para flashear. Luego, usará SCP
para copiar ese archivo a R3.
a. Guarde la configuración en ejecución en R1 en un archivo en flash llamado R1-Config.
R1 # copiar running-config R1-Config
b. Verifique que el nuevo archivo de configuración R1 esté en flash.
R1 # mostrar flash
-#- --longitud-- ----- fecha / ruta de tiempo
175551300 16 de febrero de 2015 15:19:22 +00: 00 c1900-universalk9-mz.SPA.154-3.M2.bin
21643 17 de febrero de 2015 23:30:58 +00: 00 Configuración R1
181047296 bytes disponibles (75563008 bytes usados)
Paso 3: use el comando SCP en el R3 para extraer el archivo de
configuración del R1.
a. Utilice SCP para copiar el archivo de configuración que creó en Step2a a R3.
R3 # copiar scp: flash:
¿Dirección o nombre del host remoto []? 10.1.1.1
Nombre de usuario de origen [R3]? administración
Nombre de archivo de origen []? Configuración R1
Nombre de archivo de destino [R1-Config]?
[Ingresar] Contraseña: cisco12345
!
2007 bytes copiados en 9.056 segundos (222 bytes / segundo)
b. Verifique que el archivo se haya copiado en la memoria flash de R3.

R3 # mostrar flash
- -- -----fecha y camino
# longitud hora------
- --
1 75551300 f d 20 15:21: +00: c1900-universalk9-mz.SPA.154-
e i 15 38 00 3.M2.bin
b e
c
i
s
é
i
s
2 1338 f d 20 23:46: +00: pre_autosec.cfg
e i 15 10 00
b e
c
i
s
é
i
s
3 2007 f 1 20 23:42: +00: Configuración R1
e 7 15 00 00
b
c. Emita el comando more para ver el contenido del archivo de configuración R1.
R3 # más R1-Config
!
versión 15.4
marcas de tiempo del servicio debug
datetime msec marcas de tiempo del
servicio registrar datetime msec sin
servicio cifrado de contraseña
!
nombre de host R1
!
<Salida omitida>
!
fin
Paso 4: guarde la configuración.
Guarde la configuración en ejecución en la configuración de inicio desde el indicador EXEC privilegiado.
R1 # copiar running-config startup-config
Parte 3: configurar roles administrativos

En la Parte 3 de esta práctica de laboratorio:
 Cree múltiples funciones o vistas administrativas en los enrutadores R1 y R3.
 Otorgue privilegios variables a cada vista.
 Verifica y contrasta las vistas.
La función de acceso CLI basada en roles permite al administrador de la red definir vistas, que son un
conjunto de comandos operativos y capacidades de configuración que brindan acceso selectivo o parcial a
los comandos del modo de configuración (config) y de Cisco IOS EXEC. Las vistas restringen el acceso del
usuario a la CLI de Cisco IOS y
información de configuración. Una vista puede definir qué comandos se aceptan y qué información de
configuración es visible.
Nota: Realice todas las tareas tanto en R1 como en R3. Los procedimientos y la salida para R1 se muestran
aquí.
Tarea 1: Habilite la vista raíz en R1 y R3.

Si un administrador desea configurar otra vista del sistema, el sistema debe estar en la vista raíz. Cuando un
sistema está en la vista raíz, el usuario tiene los mismos privilegios de acceso que un usuario con privilegios
de nivel 15, pero el usuario de la vista raíz también puede configurar una nueva vista y agregar o eliminar
comandos de la vista. Cuando se encuentra en una vista CLI, solo tiene acceso a los comandos que el
usuario de la vista raíz ha agregado a esa vista.
Paso 1: habilite AAA en el enrutador R1.

Para definir vistas, asegúrese de que AAA esté habilitado con el comando aaa new-model en la Parte 2.
Paso 2: habilita la vista raíz.

Utilice el comando enable view para habilitar la vista raíz. Utilice la contraseña secreta enable cisco12345.
Si el enrutador no tiene una contraseña secreta de habilitación, cree una ahora.
R1 # habilitar vista
Contraseña: cisco12345
Tarea 2: Cree nuevas vistas para los roles Admin1, Admin2 y Tech en R1 y R3.
Paso 1: Cree la vista admin1, establezca una contraseña y asigne privilegios.

a. El usuario admin1 es el usuario de nivel superior debajo de la raíz que tiene permiso para acceder
a este enrutador. Tiene la mayor autoridad. El usuario admin1 puede usar todos los comandos
show, config y debug. Utilice el siguiente comando para crear la vista admin1 mientras está en la
vista raíz.
R1 (config) # analizador ver admin1
R1 (vista de configuración) #
Nota: Para eliminar una vista, use el comando no parser view viewname.
b. Asocie la vista admin1 con una contraseña cifrada.
R1 (vista de configuración) # admin1pass secreto
c. Revise los comandos que se pueden configurar en la vista admin1. ¿Usar los comandos? comando
para ver los comandos disponibles. La siguiente es una lista parcial de los comandos disponibles.
R1 (config-view) # comandos?
Comando de perfil de exportación de tráfico IP RITE-profileRouter
modo Nodo RMI ConfigResource Policy Node
Config modo
Recurso RMI RMI del modo de configuración del grupo
de GroupResource Recurso Administrador de
recursos Administrador modo de configuración RMI
Recurso Configuración de la política PolicyResource
modo
Perfil SASL Configuración del perfil SASL modo aaa-
attr-listAAA lista de atributos modo de configuración
aaa-usuarioAAA usuario definición
aceptar-marcar en el grupo VPDN aceptar el modo de configuración de
marcación aceptar-marcar en el grupo VPDN aceptar la configuración
de marcación modo address-familyAddress
Configuración de la familia modo
<salida omitida>
d. Agregue todos los comandos config, show y debug a la vista admin1 y luego salga del modo de
configuración de vista.
R1 (config-view) # los comandos exec incluyen todos los programas
R1 (config-view) # los comandos exec incluyen todos los
terminales de configuración R1 (config-view) # los
comandos exec incluyen todos los debug R1 (config-view) #
end
e. Verifique la vista admin1.
R1 # habilitar vista admin1
Contraseña: admin1pass
R1 # mostrar la vista del analizador

La vista actual es 'admin1'
f. Examine los comandos disponibles en la vista admin1.
R1 #?
Comandos de ejecución:
<0-0> / <0-4> Ingrese la ranura de la
tarjeta / número de sublote configure
Ingrese la configuración modo
debugDebugging funciones (ver también 'undebug') do-
execMode-independiente prefijo "do-exec" soporte
enableTurn on privileged comandos
salir Salir del EXEC
showShow corriendo sistema
Nota: Puede haber más comandos EXEC disponibles de los que se muestran. Esto depende de su
dispositivo y de la imagen de IOS utilizada.
g. Examine los comandos show disponibles en la vista admin1.
R1 # mostrar?
aaaMostrar AAA valores
Access-expressionList expresión de acceso
access-listsList access liza
circuito de acceso info
adyacencia nodos
alias Mostrar alias comandos
alineación Mostrar alineación información
firewall de aplicaciones información
archiveArchive funciones
arpARP mesa
<salida omitida>
Paso 3: Cree la vista técnica, establezca una contraseña y asigne privilegios.
a. El usuario de tecnología generalmente instala los dispositivos y el cableado del usuario final. Los usuarios
de tecnología solo pueden usar seleccionados
show commandos.
b. Use el comando enable view para habilitar la vista raíz e ingrese la contraseña secreta enable
cisco12345.
c. Utilice el siguiente comando para crear la vista técnica.
R1 (config) # parser view tech
d. Asocie la vista técnica con una contraseña.
R1 (vista de configuración) # techpasswd secreto
e. Agregue los siguientes comandos show a la vista y luego salga del modo de configuración de la vista.
R1 (config-view) # los comandos exec incluyen show version
R1 (config-view) # comandos exec incluyen show interfaces R1
(config-view) # comandos exec incluyen show ip interface brief
R1 (config-view) # comandos exec incluyen show parser view R1
(config-view) # end
f. Verifique la vista técnica.
R1 # habilitar ver tecnología
Contraseña: techpasswd

La vista actual es 'tecnología'
g. Examine los comandos disponibles en la vista técnica.
R1 #?
<0-0> / <0-4> Ingrese la ranura de la tarjeta / sublot número
do-execMode-independiente de soporte de prefijo "do-
exec" enableTurn on privileged comandos
showMostrar sistema en ejecución información
h. Examine los comandos show disponibles en la vista técnica.
R1 # mostrar?
banner de visualización información
flash0: muestra información sobre flash0: archivo system
flash1: muestra información sobre flash1: archivo flash
del sistema: muestra información sobre flash: interfaces
del sistema de archivos Estado de la interfaz y
configuración
ipIP información
parserDisplay parser información
usbflash0: muestra información sobre usbflash0: archivo
versión del sistema Hardware y software del sistema
estado
i. Publique el comando show ip interface brief. ¿Pudiste hacerlo como usuario de tecnología? Explique.
sí, es uno de los comandos permitidos
j. Ejecute el comando show ip route. ¿Pudiste hacerlo como usuario de tecnología?
No, es uno de los comandos permitidos
k. Regrese a la vista raíz con el comando enable view.
l. Emita el comando show run para ver las vistas que creó. Para la vista técnica, ¿por qué se enumeran
los comandos show y show ip, así como el resumen de show ip interface y show ip interface?
todas las partes del comando deben estar listadas para que funcionen los parámetros más
específicos
Paso 2: Cree la vista admin2, establezca una contraseña y asigne privilegios.

a. El usuario admin2 es un administrador junior en formación que puede ver todas las configuraciones,
pero no puede configurar los enrutadores ni usar comandos de depuración.
b. Use el comando enable view para habilitar la vista raíz e ingrese la contraseña secreta enable
cisco12345.
c. Utilice el siguiente comando para crear la vista admin2.
R1 (config) # analizador ver admin2
d. Asocie la vista admin2 con una contraseña.
R1 (vista de configuración) # admin2pass secreto
e. Agregue todos los comandos show a la vista y luego salga del modo de configuración de la vista.
R1 (config-view) # los comandos exec incluyen todos los programas
R1 (config-view) # end
f. Verifique la vista admin2.
R1 # habilitar vista admin2
Contraseña: admin2pass

La vista actual es 'admin2'
g. Examine los comandos disponibles en la vista admin2.
R1 #?
<0-0> / <0-4> Ingrese la ranura de la tarjeta / sublot número
do-execMode-independiente de soporte de prefijo "do-
exec" enableTurn on privileged comandos
showMostrar sistema en ejecución información
¿Qué falta en la lista de comandos admin2 que está presente en los comandos admin1?
DE ADMIN1 CONFIGURACIÓN Y DEPURACIÓN
Paso 4: guarde la configuración en los enrutadores R1 y R3.

Parte 4: Configurar informes de gestión y resiliencia de IOS

En la parte 4 de esta práctica de laboratorio:
 Proteja los archivos de configuración e imagen de Cisco IOS.
 Configure la seguridad SNMPv3 mediante una ACL.
 Con NTP, configure un enrutador como fuente de hora sincronizada para otros dispositivos.
 Configure la compatibilidad con syslog en un enrutador.
 Instale un servidor syslog en una PC y habilítelo.
 Configure el nivel de captura de registro en un enrutador.
 Realice cambios en el enrutador y supervise los resultados de syslog en la PC.
Nota: Realice todas las tareas tanto en R1 como en R3. El procedimiento y la salida para R1 se muestran aquí.
Tarea 1: Proteger los archivos de configuración e imagen de Cisco IOS en R1 y R3.

La función de configuración resistente de Cisco IOS permite que un enrutador asegure la imagen en
ejecución y mantenga una copia de trabajo de la configuración. Esto asegura que esos archivos puedan
resistir intentos maliciosos de borrar el contenido del almacenamiento persistente (NVRAM y flash). Esta
función protege el conjunto de archivos de trabajo más pequeño para preservar el espacio de
almacenamiento persistente. No se requiere espacio adicional para proteger el archivo de imagen de Cisco
IOS principal. En esta tarea, configura la función de configuración resistente de Cisco IOS.
Nota: La función de configuración resistente de Cisco IOS no está disponible en el router Cisco 1921.
Nota: La salida de los comandos en esta Tarea son solo para fines de ejemplo. Tu salida será diferente.
Paso 1: Visualice los archivos en la memoria flash para R1.

El comando show flash: muestra el contenido de los subdirectorios. El comando dir solo muestra el
contenido del directorio actual.
R1 # muestra flash:
175551300 5 de febrero de 2015 16:53:34 +00: 00 c1900-universalk9-mz.SPA.154-
20 de enero de 2009 01:28:44 +00: 00 ipsdir
3.M2.bin
3334531 6 de enero de 2009 01:35:40 +00: 00 ipsdir / R1-sigdef-default.xml
4461 6 de enero de 2009 01:37:42 +00: 00 ipsdir / R1-sigdef-delta.xml
58509 6 de enero de 2009 01:33:42 +00: 00 ipsdir / R1-sigdef-typedef.xml
638523 6 de enero de 2009 01:33:46 +00: 00 ipsdir / R1-sigdef-category.xml
7304 6 de enero de 2009 01:31:48 +00: 00 ipsdir / R1-seap-delta.xml
8491 6 de enero de 2009 01:31:48 +00: 00 ipsdir / R1-seap-typedef.xml
91410 26 de octubre de 2014 04:44:08 +00: 00 pre_autosec.cfg
R1 # dir
Directorio de flash: /
1-rw-75551300 5 de febrero de 2015 16:53:34 +00: 00 c1900-universalk9-

mz.SPA.154-
3.M2.bin
2drw-0 6 de enero de 2009 01:28:44 +00: 00ipsdir
9-rw-1410 26 de octubre de 2014 04:44:08 +00:

00pre_autosec.cfg
256487424 bytes en total (180221889 bytes libres)
Paso 2: Asegure la imagen del IOS de Cisco y archive una copia de la configuración en ejecución.
a. El comando secure boot-image habilita la resistencia de la imagen del IOS de Cisco, que oculta el
archivo del comando dir y los comandos show. El archivo no se puede ver, copiar, modificar ni eliminar
mediante los comandos del modo EXEC. (Se puede ver en modo ROMMON). Cuando se enciende por
primera vez, la imagen en ejecución está protegida.
R1 (config) # imagen de arranque segura
.Feb 11 25: 40: 13.170:% IOS_RESILIENCE-5-IMAGE_RESIL_ACTIVE: Imagen en ejecución
asegurada con éxito
b. El comando secure boot-config toma una instantánea de la configuración en ejecución del enrutador
y la archiva de forma segura en un almacenamiento persistente (flash).
R1 (config) # configuración de arranque segura
.Feb 11 25: 42: 18.691:% IOS_RESILIENCE-5-CONFIG_RESIL_ACTIVE: Archivo de
configuración protegido con éxito [flash: .runcfg-20150211-224218.ar]
Paso 3: Verifique que su imagen y configuración estén seguras.

Puede usar solo el comando show secure bootset para mostrar el nombre del archivo archivado. Muestra el
estado de la resistencia de la configuración y el nombre de archivo del conjunto de arranque principal.
R1 # mostrar bootset seguro
Id. De enrutador de resiliencia IOS FTX1111W0QF
Resiliencia de imagen de IOS versión 15.4 activada a las 25:40:13 UTC Mié, 11
de febrero de 2015 Flash de archivo seguro: c1900-universalk9-mz.SPA.154-
3.M2.bin tipo es imagen (elf) []
el tamaño del archivo es 75551300 bytes, el tamaño de
ejecución es 75730352 bytes Imagen ejecutable, punto de
entrada 0x8000F000, ejecución desde ram
Resiliencia de configuración de IOS versión 15.4 activada a las 25:42:18 UTC Mié 11 de
febrero de 2015 Flash de archivo seguro: .runcfg-20150211-224218.ar tipo es config
tamaño del archivo de configuración 3293 bytes
¿Cuál es el nombre del archivo de configuración en ejecución archivado y en qué se basa el nombre?
RUNCFG-20081217-54218.AR SE BASA EN LA FECHA Y HORA

ARCHIVADA POR EL COMANDO SECURE BOOT-CONFIG
Paso 4: Visualice los archivos en la memoria flash para R1.
a. Visualice el contenido de flash usando el comando show flash.
R1 # muestra flash:
2 0 e 20 01:28: +00: ipsdir
n 09 44 00
e
3 334531 e 20 01:35: +00: ipsdir / R1-sigdef-
n 09 40 00 default.xml
e
4 461 e 20 01:37: +00: ipsdir / R1-sigdef-
n 09 42 00 delta.xml
e
5 8509 e 20 01:33: +00: ipsdir / R1-sigdef-
n 09 42 00 typedef.xml
e
6 38523 e 20 01:33: +00: ipsdir / R1-sigdef-
n 09 46 00 category.xml
e
7 304 e 20 01:31: +00: ipsdir / R1-seap-delta.xml
n 09 48 00
e
8 491 e 20 01:31: +00: ipsdir / R1-seap-
n 09 48 00 typedef.xml
e
¿Aparece la imagen de Cisco IOS o el archivo de configuración en ejecución archivado?
no, están ocultas

b. ¿Cómo puede saber que la imagen de Cisco IOS todavía está ahí?
los bytes disponibles y los bytes utilizados son aproximadamente los

mismos que antes (menos el espacio ocupado por el archivo de
configuración en ejecución archivado)
Paso 5: Desactive la función de configuración resistente de IOS.

a. Desactive la función de configuración resistente para la imagen de Cisco IOS.
R1 # config t
R1 (config) # sin imagen de arranque segura
.Feb 11 25: 48: 23.009:% IOS_RESILIENCE-5-IMAGE_RESIL_INACTIVE: Deshabilitado
seguro
archivo de imágenes
b. Desactive la función de configuración resistente para el archivo de configuración en ejecución.
R1 (config) # sin configuración de arranque segura
.Feb 11 25: 48: 47.972:% IOS_RESILIENCE-5-CONFIG_RESIL_INACTIVE: Deshabilitado
archivo de configuración segura [flash eliminado: .runcfg-20150211-224218.ar]
Paso 6: Verifique que la imagen de Cisco IOS ahora sea visible en flash.
Utilice el comando show flash: para mostrar los archivos en flash.
R1 # muestra flash:
1 75551300 f 20 16:53: +00: c1900-universalk9-mz.SPA.154-
e 15 34 00 3.M2.bin
b
2 0 e 20 01:28: +00: ipsdir
n 09 44 00
e
3 334531 e 20 01:35: +00: ipsdir / R1-sigdef-default.xml
n 09 40 00
e
4 461 e 20 01:37: +00: ipsdir / R1-sigdef-delta.xml
n 09 42 00
e
5 8509 e 20 01:33: +00: ipsdir / R1-sigdef-typedef.xml
n 09 42 00
e
6 38523 e 20 01:33: +00: ipsdir / R1-sigdef-category.xml
n 09 46 00
e
7 304 e 20 01:31: +00: ipsdir / R1-seap-delta.xml
n 09 48 00
e
8 491 e 20 01:31: +00: ipsdir / R1-seap-typedef.xml
n 09 48 00
e
Paso 7: guarde la configuración en ambos enrutadores.

Tarea 2: Configurar la seguridad SNMPv3 mediante una ACL.

El Protocolo simple de administración de red (SNMP) permite a los administradores de red monitorear el
rendimiento de la red, administrar los dispositivos de red y solucionar problemas de red. SNMPv3
proporciona acceso seguro al autenticar y cifrar los paquetes de administración SNMP a través de la red.
Configurará SNMPv3 mediante una ACL en el R1.
Paso 1: Configure una ACL en el R1 que restringirá el acceso a SNMP en la LAN 192.168.1.0.
a. Cree una lista de acceso estándar denominada PERMIT-SNMP.
R1 (config) # estándar de lista de acceso ip PERMIT-SNMP
b. Agregue una declaración de permiso para permitir solo paquetes en la LAN de R1.
R1 (config-std-nacl) # permiso 192.168.1.0 0.0.0.255
R1 (config-std-nacl) # salir
Paso 2: configurar la vista SNMP.

Configure una vista SNMP llamada SNMP-RO para incluir la familia ISO MIB.
R1 (config) # snmp-server view SNMP-RO iso incluido
Paso 3: configurar el grupo SNMP.

Llame al nombre del grupo SNMP-G1 y configure el grupo para que utilice SNMPv3 y requiera tanto
autenticación como cifrado mediante la palabra clave priv. Asocie la vista que creó en el Paso 2 al grupo,
otorgándole acceso de solo lectura con el parámetro de lectura. Por último, especifique ACL PERMIT-SNMP,
configurado en el Paso 1, para restringir el acceso SNMP a la LAN local.
R1 (configuración) # snmp-server group SNMP-G1 v3 priv read SNMP-RO access
PERMIT-SNMP
Paso 4: configurar el usuario SNMP.

Configure un usuario SNMP-Admin y asocie el usuario al grupo SNMP-G1 que configuró en el Paso 3.
Establezca el método de autenticación en SHA y la contraseña de autenticación en Authpass. Utilice AES-
128 para el cifrado con una contraseña de Encrypass.
R1 (configuración) # usuario del servidor snmp SNMP-Admin SNMP-G1 v3 auth sha
Authpass priv aes
128 cifrado
R1 (config) # final
Paso 5: Verifique su configuración SNMP.

a. Utilice el comando show snmp group en el modo EXEC privilegiado para ver la configuración del
grupo SNMP. Verifique que su grupo esté configurado correctamente.
Nota: Si necesita realizar cambios en el grupo, use el comando no snmp group para eliminar el grupo de
la configuración y luego vuelva a agregarlo con los parámetros correctos.
R1 # mostrar grupo snmp
Nombre del grupo: Modelo de ILMIsecurity: v1 contextname: <no
contexto especificado> tipo de almacenamiento: vista de lectura
permanente : * ilmiwriteview: *
ilmi
NoticeView: <No Notifyview Specified>
Estado de la fila: activo
Nombre del grupo: Modelo de seguridad de ILMI: nombre de contexto

v2c: <no contexto especificado>
tipo de almacenamiento: vista de lectura permanente : *
ilmiwriteview: * ilmi noticeview: <sin notificación especificado>
estado de la fila: activo
nombre de grupo: SNMP-G1 modelo de seguridad:v3

priv contextname: <sin contexto especificado> tipo de almacenamiento:
No volátil
vista de lectura: SNMP-RO vista de escritura: <sin vista de
escritura especificado> vista de notificación: <vista de notificación no
especificada>
estado de la fila: activeaccess-list: PERMISO-SNMP
b. Utilice el comando show snmp user para ver la información del usuario SNMP.
Nota: El comando de usuario snmp-server está oculto a la vista en la configuración por razones de
seguridad. Sin embargo, si necesita realizar cambios en un usuario SNMP, puede emitir el comando
no snmp-server user para eliminar al usuario de la configuración y luego volver a agregarlo con los
nuevos parámetros.
R1 # mostrar usuario snmp
Nombre de usuario: SNMP-Admin

ID del motor: 80000009030030F70DA30DA0
tipo de almacenamiento: No
volátil activo
Protocolo de autenticación:
Protocolo de privacidad SHA:
AES128
Nombre de grupo: SNMP-G1
Tarea 3: Configurar una fuente de tiempo sincronizada mediante NTP.

R2 será la fuente de reloj NTP maestra para los enrutadores R1 y R3.
Nota: R2 también podría ser la fuente de reloj maestro para los switches S1 y S3, pero no es necesario
configurarlos para esta práctica de laboratorio.
Paso 1: Configure el maestro NTP mediante los comandos de Cisco IOS.
R2 es el servidor NTP maestro en esta práctica de laboratorio. Todos los demás enrutadores y conmutadores
aprenden el tiempo de él, ya sea directa o indirectamente. Por esta razón, debe asegurarse de que R2 tenga
configurado el Tiempo universal coordinado correcto.
a. Utilice el comando show clock para mostrar la hora actual configurada en el enrutador.
R2 # mostrar reloj
* 19: 48: 38.858 UTC Mié, 18 de febrero de 2015
b. Para configurar la hora en el enrutador, use el comando clock set time.
R2 # reloj ajustado 20:12:00 17 de diciembre de 2014
R2 #
* 17 de diciembre 20: 12: 18.000:% SYS-6-CLOCKUPDATE: El reloj del sistema se
ha actualizado desde las 01:20:26 UTC del lunes 15 de diciembre de 2014 a las
20:12:00 UTC del miércoles 17 de diciembre de 2014, configurado desde la
consola por el administrador en consola.
c. Configure la autenticación NTP definiendo el número de clave de autenticación, el tipo de hash y la
contraseña que se utilizarán para la autenticación. La contraseña distingue entre mayúsculas y
minúsculas.
R2 # config t
R2 (config) # ntp clave de autenticación 1 md5 NTPpassword
d. Configure la clave de confianza que se utilizará para la autenticación en R2.
R2 (config) # ntp clave de confianza 1
e. Habilite la función de autenticación NTP en R2.
R2 (config) # ntp autenticar
f. Configure R2 como maestro NTP mediante el comando ntp master stratum-number en el modo de
configuración global. El número de estrato indica la distancia desde la fuente original. Para esta práctica
de laboratorio, use un estrato número 3 en R2. Cuando un dispositivo aprende la hora de una fuente
NTP, su número de estrato se vuelve uno mayor que el número de estrato de su fuente.
R2 (config) # ntp maestro 3
Paso 2: Configure R1 y R3 como clientes NTP usando la CLI.

a. Configure la autenticación NTP definiendo el número de clave de autenticación, el tipo de hash y la
contraseña que se utilizarán para la autenticación.
R1 # config t
R1 (config) # ntp clave de autenticación 1 md5 NTPpassword
b. Configure la clave de confianza que se utilizará para la autenticación. Este comando brinda protección
contra la sincronización accidental del dispositivo con una fuente de tiempo que no es confiable.
R1 (config) # ntp clave de confianza 1
c. Habilite la función de autenticación NTP.
R1 (config) # ntp autenticar
d. R1 y R3 se convertirán en clientes NTP de R2. Utilice el comando ntp server hostname. El nombre de
host también puede ser una dirección IP. El comando ntp update-calendar actualiza periódicamente el
calendario con la hora NTP.
Servidor R1 (config) # ntp 10.1.1.2
R1 (config) # ntp update-calendar
e. Verifique que R1 haya hecho una asociación con R2 con el comando show ntp association. También
puede usar la versión más detallada del comando agregando el argumento de detalle. Es posible que la
asociación NTP tarde algún tiempo en formarse.
R1 # mostrar asociaciones ntp
habla a ref reloj stwhen alc retraso disp

encuesta anz
ar
~ 127.127.1. 314 64 3
0,000-280073 3939
10.1.1. 1 ,7
2
* sys.peer, # seleccionado, + candidato, -outlyer, x falseticker, ~ configurado
f. Emita el comando debug ntp all para ver la actividad de NTP en R1 mientras se sincroniza con R2.
R1 # depurar ntp todo
La depuración de eventos NTP está activada
La depuración de mensajes centrales NTP está activada
La depuración de los ajustes del
reloj NTP está activada La depuración
de los relojes de referencia NTP está
activada La depuración de los
paquetes NTP está activada
17 de diciembre 20.12: 18.554: Mensaje NTP enviado a 10.1.1.2, desde la interfaz
'Serial0 / 0/0' (10.1.1.1).
17 de diciembre 20.12: 18.574: Mensaje NTP recibido de 10.1.1.2 en la interfaz
'Serial0 / 0/0' (10.1.1.1).
17 de diciembre 20: 12: 18.574: NTP Core (DEBUG): ntp_receive: mensaje recibido
17 de diciembre 20: 12: 18.574: NTP Core (DEBUG): ntp_receive: peer es 0x645A3120, la
siguiente acción es 1.
17 de diciembre 20: 12: 18.574: NTP Core (DEBUG): recepción: paquete entregado
a process_packet 17 de diciembre 20: 12: 18.578: NTP Core (INFO): evento del
sistema 'event_peer / strat_chg' (0x04) status 'sync_alarm, sync_ntp, 5
eventos, event_clock_reset '(0xC655)
17 de diciembre 20: 12: 18.578: NTP Core (INFO): sincronizado con 10.1.1.2, estrato 3
17 de diciembre 20: 12: 18.578: NTP Core (INFO): estado de evento del sistema
'event_sync_chg' (0x03) 'leap_none, sync_ntp, 6 eventos, event_peer / strat_chg'
(0x664)
17 de diciembre 20: 12: 18.578: NTP Core (AVISO): El reloj está sincronizado.
17 de diciembre 20: 12: 18.578: NTP Core (INFO): evento del sistema 'event_peer /
strat_chg' (0x04) estado 'leap_none, sync_ntp, 7 eventos, event_sync_chg' (0x673)
17 de diciembre 20: 12: 23.554: NTP: Calendario actualizado.
g. Emita el comando undebug all o no debug ntp all para desactivar la depuración.
R1 # desinstalar todo
h. Verifique la hora en R1 después de que se haya asociado con R2.
R1 # mostrar reloj
* 20: 12: 24.859 UTC miércoles 17 de diciembre de 2014
Tarea 4: Configurar la compatibilidad con syslog en R1 y PC-A.
Paso 1: Instale el servidor syslog.

Las versiones gratuitas o de prueba del servidor syslog se pueden descargar de Internet. Utilice un
navegador web para buscar “servidor syslog gratuito de Windows” y consulte la documentación del software
para obtener más información. Su instructor también puede recomendar un servidor syslog adecuado para
uso en el aula.
Si un servidor syslog no está instalado actualmente en el host, descargue un servidor syslog e instálelo en
la PC-A. Si ya está instalado, vaya al Paso 2.
Paso 2: Configure el R1 para registrar mensajes en el servidor syslog mediante la CLI.

a. Inicie el servidor de syslog.
b. Verifique que tenga conectividad entre el R1 y la PC-A haciendo ping a la dirección IP 192.168.1.1
de la interfaz R1 G0 / 1. Si no tiene éxito, solucione el problema según sea necesario antes de
continuar.
c. NTP se configuró en la Tarea 2 para sincronizar la hora en la red. Mostrar la hora y fecha correctas en
los mensajes de syslog es vital cuando se usa syslog para monitorear una red. Si no se conoce la fecha
y hora correctas de un mensaje, puede resultar difícil determinar qué evento de red causó el mensaje.
Verifique que el servicio de marca de tiempo para el registro esté habilitado en el enrutador mediante el
comando show run. Utilice el siguiente comando si el servicio de marca de tiempo no está habilitado.
R1 (config) # registro de marcas de tiempo del servicio fecha y hora mseg
d. Configure el servicio syslog en el enrutador para enviar mensajes syslog al servidor syslog.
R1 (config) # host de registro 192.168.1.3
Paso 3: configurar el nivel de gravedad del registro en el R1.
Se pueden configurar trampas de registro para admitir la función de registro. Una trampa es un umbral que,
cuando se alcanza, activa un mensaje de registro. El nivel de mensajes de registro se puede ajustar para
permitir que el administrador determine qué tipos de mensajes se envían al servidor de syslog. Los
enrutadores admiten diferentes niveles de registro. Los ocho niveles van desde 0 (emergencias), que indica
que el sistema es inestable, hasta 7 (depuración), que envía mensajes que incluyen información del
enrutador.
Nota: El nivel predeterminado para syslog es 6, registro informativo. El valor predeterminado para el registro
de la consola y el monitor es 7, depuración.
a. Utilice el comando de captura de registro para determinar las opciones del comando y los distintos
niveles de captura disponibles.
R1 (config) # trampa de registro?
<0-7> Severidad de registro nivel
alertas inmediatas acción
necesario (gravedad = 1) Crítico Crítico condiciones
(gravedad = 2)
depuración mensajes (gravedad = 7)
emergenciasSistema es inutilizable (gravedad = 0)
errores Error condiciones (gravedad =
3) informativo Informativo mensajes (gravedad =
6) notificaciones Condiciones normales pero significativas
(gravedad = 5) advertencias Advertencia condiciones (gravedad
= 4)
<cr>
b. Defina el nivel de gravedad de los mensajes enviados al servidor syslog. Para configurar los niveles de
gravedad, utilice la palabra clave o el número de nivel de gravedad (0–7).
Nivel de Palabra clave Sentido
severidad
0 emergencias El sistema es inutilizable
1 alertas Se requiere acción inmediata
2 crítico Condiciones criticas
3 errores Condiciones de error
4 advertencias Condiciones de advertencia
5 notificaciones Condición normal pero
significativa
6 informativo Mensajes informativos
7 depuración Depurar mensajes
Nota: El nivel de gravedad incluye el nivel especificado y cualquier cosa con un número de gravedad
más bajo. Por ejemplo, si establece el nivel en 4 o usa las advertencias de palabras clave, captura los
mensajes con nivel de gravedad 4, 3, 2, 1 y 0.
c. Utilice el comando logging trap para establecer el nivel de gravedad para R1.
Advertencias de trampa de registro de R1 (config) #
d. ¿Cuál es el problema de establecer el nivel de gravedad demasiado alto o demasiado bajo?
configurarlo demasiado alto (número de nivel más bajo) podría generar registro
que pierdan algunos mensajes muy útiles, pero no críticos. configurarlo
demasiado bajo (número de nivel más alto) podría generar un gran número de
mensajes y llenar los registros con información innecesaria
e. Si se emitiera la trampa crítica de registro de comandos, ¿qué niveles de gravedad de los mensajes se
registrarían?
emergencias, alertas y mensajes críticos
Paso 4: muestra el estado actual del registro para R1.

Utilice el comando show logging para ver el tipo y nivel de registro habilitado.
R1 # mostrar registro
Registro de Syslog: habilitado (0 mensajes eliminados, 3 mensajes con velocidad
limitada, 0 descargas, 0 desbordamientos, xml deshabilitado, filtrado
deshabilitado)
Sin discriminador de mensajes activo.
Sin discriminador de mensajes inactivos.
Registro de consola: depuración de nivel, 72 mensajes registrados,

xml deshabilitado, filtrado deshabilitado
Monitor de registro: nivel de depuración, 0 mensajes registrados, xml
deshabilitado, filtrado deshabilitado
Buffer registro: depuración de nivel, 72 mensajes registrados, xml
desactivado, filtrado desactivado
Registro de excepciones: tamaño (4096 bytes)
Mensajes de registro de cuenta y marca de
tiempo: desactivado Registro persistente:
desactivado
No hay módulos de filtro activos.
Registro de trampas: advertencias de nivel, 54 líneas de

mensajes registradas Registro en 192.168.1.13 (puerto
udp 514, auditoría discapacitado,
vincularse),
3 líneas de mensaje registradas,
0 líneas de mensajes con velocidad limitada,
0 líneas de mensaje eliminadas por MD,
xml deshabilitado, número de secuencia
deshabilitado filtrado deshabilitado
Iniciar sesión en 192.168.1.3 (puerto udp 514,
auditoría deshabilitada, enlace arriba),
3 líneas de mensaje registradas,
0 líneas de mensajes con velocidad limitada,
0 líneas de mensaje eliminadas por MD,
xml deshabilitado, número de secuencia
deshabilitado filtrado deshabilitado
Inicio sesión Interfaz de fuente: VRF Nombre:
<salida omitida>
¿a qué nivel está habilitado el registro de la consola?

nivel 7 - depuración
¿a qué nivel está habilitado el registro de trampas?

nivel 4-advertencias
¿cuál es la dirección ip del servidor syslog?
ip:192.168.1.3
¿qué puerto está usando syslog?
puerto udp 514
Parte 5: Asegurar el plano de control

En la parte 5 de esta práctica de laboratorio, hará lo siguiente:
 Configure la autenticación del protocolo de enrutamiento OSPF mediante SHA256.
 Verifique que la autenticación del protocolo de enrutamiento OSPF esté funcionando.
Tarea 1: Configurar la autenticación del protocolo de enrutamiento OSPF mediante el

hash SHA256.
Paso 1: Configure un llavero en los tres enrutadores.

a. Asigne un nombre y un número de llavero.
R1 (config) # llavero NetAcad
R1 (config-keychain) # clave 1
b. Asigne la cadena de la clave de autenticación.
R1 (config-keychain-key) # key-string CCNASkeystring
c. Configure el algoritmo de cifrado que se utilizará para la autenticación, utilice el cifrado SHA256.
R1 (config-keychain-key) # algoritmo-criptográfico hmac-sha-256
Paso 2: Configure las interfaces seriales para usar la autenticación OSPF.

a. Utilice el comando de autenticación ip ospf para asignar el llavero a la interfaz serial en R1 y R3.
R1 (config) # interfaz s0 / 0/0
R1 (config-if) # ip ospf autenticación cadena de claves NetAcad
17 de febrero 21: 24: 45.309:% OSPF-5-ADJCHG: Proceso 1, N ° 10.2.2.2 en Serial0 /
0/0 de COMPLETO a ABAJO, Vecino caído: El temporizador muerto expiró

R3 (config-if) # ip ospf autenticación cadena de claves NetAcad
* 17 de febrero 21: 23: 14.078:% OSPF-5-ADJCHG: Proceso 1, número 10.2.2.2 en
Serial0 / 0/1 de COMPLETO a ABAJO, vecino caído: temporizador muerto expiró
b. Utilice el comando de autenticación ip ospf para asignar el llavero a ambas interfaces seriales en R2.
R2 (config-if) # ip ospf cadena de claves de autenticación NetAcad
R2 (config) # interfaz serial 0/0/1
R2 (config-if) # ip ospf cadena de claves de autenticación NetAcad
R2 (config-if) #
0/0 de LOADING a FULL, Loading Done
0/1 de LOADING a FULL, Loading Done
Paso 3: Verifique que el enrutamiento y la autenticación OSPF sean correctos.

a. Emita el comando show ip ospf interface para verificar que la clave de autenticación se haya
asignado a las interfaces seriales en todos los routers.
R1 # muestre la interfaz ip ospf s0 / 0/0
Serial0 / 0/0 está activo, el protocolo de línea está activo
Dirección de Internet 10.1.1.1/30, Área 0, adjunta a través de la
declaración de red ID de proceso 1, ID de enrutador 192.168.1.1, tipo de
red POINT_TO_POINT, costo: 64 Topología-MTIDCostDisabledShutdownTopology
Nombre
064nono Base
El retardo de transmisión es de 1 segundo, estado
POINT_TO_POINT
Intervalos de temporizador configurados, Hola 10, Muerto 40, Espera 40, Retransmisión
5
oob-resinc timeout 40
Hola, vence en
00:00:02
Admite señalización local de enlace
(LLS) Compatibilidad con el
ayudante de Cisco NSF habilitada
Compatibilidad con el ayudante de
IETF NSF habilitada Índice 2/2,
longitud de la cola de inundación 0
Siguiente 0x0 (0) / 0x0 (0)
La última longitud del escaneo de inundación es 1, el máximo es 1
El tiempo de la última exploración de inundación
es 0 ms, el máximo es 0 ms El recuento de vecinos
es 1, el recuento de vecinos adyacentes es 1
Adyacente al vecino 10.2.2.2
Suprimir saludo para 0 vecino (s)
Autenticación criptográfica
habilitada
Envío de SA: clave 1, algoritmo HMAC-SHA-256 - llavero NetAcad
b. Emita el comando show ip ospf Neighbor para verificar que cada enrutador enumere los demás
enrutadores de la red como vecinos.
R2 # muestre al vecino del ospf del IP
ID de Pri Esta Tiempo Habla a Interfaz

vecino do muerto
192.168.3.1 0 COMP -00: 00: 39 10.2.2.1 Serial0 /
LETO 0/1
/
192.168.1.1 0 COMP -00: 00: 37 10.1.1.1 Serie0 /
LETO 0/0
/
R2 #
c. Emita el comando show ip route para verificar que todas las redes se muestren en la tabla de enrutamiento
en todos los enrutadores.
R3 # mostrar ruta IP
Códigos: L - local, C - conectado, S - estático, R - RIP, M - móvil, B -
BGP D - EIGRP, EX - EIGRP externo, O - OSPF, IA - OSPF entre áreas
N1 - OSPF NSSA tipo externo 1, N2 - OSPF NSSA externo tipo 2
E1 - OSPF externo tipo 1, E2 - OSPF externo tipo 2
i - IS-IS, su - Resumen de IS-IS, L1 - IS-IS nivel-1, L2 - IS-IS nivel-
2 ia - IS-IS entre áreas, * - candidato predeterminado, U - ruta
estática por usuario o - ODR, P - ruta estática descargada
periódicamente, H - NHRP, l - LISP
a - ruta de aplicación
+ - ruta replicada,% - anulación del siguiente salto
Gateway de último recurso no está configurado
10.0.0.0/8 tiene subredes variables, 3 subredes, 2 máscaras

O 10.1.1.0/30 [110/1562] a través de 10.2.2.2, 00:01:56,
Serial0 / 0/1
C 10.2.2.0/30 está conectado directamente, Serial0 / 0/1
L 10.2.2.1/32 está conectado directamente, Serial0 / 0/1
O 192.168.1.0/24 [110/1563] a través de 10.2.2.2, 00:01:46,
Serial0 / 0/1
192.168.3.0/24 tiene subredes variables, 2 subredes, 2
máscaras
C 192.168.3.0/ está conectado directamente,
L 192.168.3.1/ está conectado directamente,
d. Utilice el comando ping para verificar la conectividad entre la PC-A y la
PC-C. Si los pings no tienen éxito, solucione el problema antes de
continuar.
Parte 6: configurar las funciones de seguridad automatizadas

En la parte 6 de esta práctica de laboratorio, hará lo siguiente:
 Utilice AutoSecure para proteger R3.
 Revise las configuraciones de seguridad del enrutador con CLI.
Tarea 1: Utilice AutoSecure para proteger R3.

Al usar un solo comando en el modo CLI, la función AutoSecure le permite deshabilitar servicios IP
comunes que pueden explotarse para ataques de red. También puede habilitar servicios y funciones de IP
que pueden ayudar en la defensa de una red cuando está bajo ataque. AutoSecure simplifica la
configuración de seguridad de un enrutador y fortalece la configuración del enrutador.
Paso 1: Utilice la función AutoSecure Cisco IOS.

a. Ingrese al modo EXEC privilegiado usando el comando enable.
b. Emita el comando de seguridad automática en R3 para bloquear el enrutador. R2 representa un
enrutador ISP, así que suponga que R3 S0 / 0/1 está conectado a Internet cuando las preguntas de
AutoSecure lo soliciten. Responda a las preguntas de AutoSecure como se muestra en el siguiente
resultado. Las respuestas están en negrita.
R3 # auto seguro
--- Configuración de AutoSecure ---
*** La configuración AutoSecure mejora la seguridad del

enrutador, pero no lo hará absolutamente resistente a
todos los ataques de seguridad ***
AutoSecure modificará la configuración de su dispositivo.

Se mostrarán todos los cambios de configuración. Para obtener
una explicación detallada de cómo los cambios de configuración
mejoran la seguridad y los posibles efectos secundarios,
consulte Cisco.com para obtener la documentación de
Autoseguro.
En cualquier momento, puede ingresar '?' por ayuda.
Use ctrl-c para abortar esta sesión en cualquier
mensaje. Recopilación de información sobre el
enrutador para AutoSecure

¿Este enrutador está conectado a Internet? [no si
Ingrese el número de interfaces frente a Internet [1]: [Enter]
Interfaz Dirección IP OK? Método Estado

Protocolo Embedded-Service-Engine0 / 0 no asignadoYES
NVRAM administrativamente abajo GigabitEthernet0 / 0 no
asignadoYES manual administrativamente abajo GigabitEthernet0 / 1192.168.3.1YES
manual upup Serial0 / 0 / 0unassignedYES NVRAM

administrativamente inactiva abajo
Serial0 / 0 / 110.2.2.1YES manual Subir Subir
Ingrese el nombre de la interfaz que está frente a Internet: Serial0 / 0/1
Asegurando los servicios del plano de
gestión ... Deshabilitando el dedo de
servicio
Deshabilitar la plataforma de servicio
Desactivación de servidores pequeños
udp y tcp Activación del cifrado de
contraseña de servicio Activación
del servicio tcp-keepalives-in
Activación del servicio tcp-
keepalives-out Desactivación del
protocolo cdp
Deshabilitar el servidor
bootp Deshabilitar el
servidor http Deshabilitar
el servicio de dedo
Deshabilitar el enrutamiento
de origen Deshabilitar arp
gratuito
A continuación se muestra un cartel de seguridad de muestra

en cada acceso al dispositivo. Modifíquelo para
adaptarlo a los requisitos de su empresa.
Solo acceso autorizado

Este sistema es propiedad de So - & - So-
Enterprise. EL ACCESO NO AUTORIZADO A ESTE
DISPOSITIVO ESTÁ PROHIBIDO.
Debe tener permiso explícito para acceder a este
dispositivo. Todas las actividades realizadas en
este dispositivo
están registrados. Cualquier violación de la política
de acceso resultará en una acción disciplinaria.
Ingrese el banner de seguridad {Coloque el banner

entre k y k, donde k es cualquier carácter}:
# Acceso no autorizado prohibido #
Ingrese la nueva contraseña habilitada:
cisco67890 Confirme la contraseña
habilitada: cisco67890 Configuración de la
autenticación local AAA Configuración de la
consola, líneas auxiliares y vty para
autenticación local, tiempo de espera de
ejecución, transporte
Protección del dispositivo contra
ataques de inicio de sesión Configure
los siguientes parámetros
Período de bloqueo cuando se detectó un ataque de inicio de sesión: 60
Número máximo de errores de inicio de sesión con el dispositivo: 2
Período máximo de tiempo para cruzar los intentos fallidos de inicio de sesión:
30
¿Configurar el servidor SSH? [sí]: [Entrar]
Configuración de servicios AutoSecure específicos de

la interfaz Desactivación de los siguientes servicios
IP en todas las interfaces:
sin
redirecciones
de IP sin
proxy-arp de IP
no ip inaccesible
no ip dirigida-broadcast
no ip máscara-respuesta
Desactivación de la mop en las
interfaces Ethernet Asegurando los
servicios del plano de reenvío ...
Habilitar rpf unicast en todas las interfaces

conectadas a Internet
¿Configurar la función de cortafuegos CBAC? [sí / no]: no
Esta es la configuración generada:
sin dedo de servicio

sin plataforma de servicio
sin servicio udp-small-
servers sin servicio tcp-
small-servers service
servicio de cifrado de
contraseña tcp-keepalives-in
service tcp-keepalives-out
sin cdp run
sin servidor ip
bootp sin ip
servidor http sin
ip finger
sin ruta de origen ip
sin ip gratuito-arps
sin ip identd
banner motd ^ CUna Acceso autorizado prohibido
^ C tasa de error de
autenticación de seguridad 10 contraseña de
habilitación de registro 7 121A0C0411045A53727274
aaa nuevo modelo
aaa autenticación iniciar sesión
local_auth línea local consola 0
autenticación de inicio de
sesión local_auth exec-timeout
5 0
salida de transporte
telnet line aux 0
10 0
salida de transporte
línea telnet vty 0 4
sesión local_auth transporte
entrada telnet
línea tty 1 2
15 0
bloqueo de inicio de sesión para 60 intentos 2 dentro de 30
clave criptográfica genera rsa general-keys
módulo 1024 ip ssh time-out 60
reintentos de autenticación ip
ssh 2 línea vty 0 4
transporte entrada ssh telnet
marcas de tiempo del servicio depurar fecha y hora mseg
localtime show-timezone marcas de tiempo del servicio registro
datetime msec localtime show-timezone instalación de registro
local2
trampa de registro
servicio de depuración
números de secuencia
consola de registro
registro crítico
almacenado en búfer
interfaz Embedded-Service-Engine0 / 0
sin redireccionamientos ip
sin ip proxy-arp
no ip inaccesible
sin fregona habilitada
interfaz GigabitEthernet0 /
0 sin redireccionamientos
ip
sin ip proxy-arp
no ip inaccesible
interfaz GigabitEthernet0 /
1 sin redireccionamientos
ip
sin ip proxy-arp
no ip inaccesible
interfaz Serial0 /
0/0 sin
redirecciones ip
sin ip proxy-arp
no ip inaccesible
interfaz Serial0 /
0/1 sin
redirecciones ip
sin ip proxy-arp
no ip inaccesible
access-list 100 permiso udp cualquiera
cualquier eq interfaz bootpc Serial0 / 0/1
ip verificar fuente de unidifusión accesible a través de rx allow-default 100
!
fin
¿Aplicar esta configuración a running-config? [sí]: [Entrar]
Aplicar la configuración generada a running-config

% Ya tiene claves RSA definidas con el nombre R3.ccnasecurity.com.
% Serán reemplazados.
% El tamaño del módulo clave es 1024 bits

% Generando claves RSA de 1024 bits, las claves no serán
exportables ... [OK] (el tiempo transcurrido fue de 1 segundo)
* 18 de febrero 20: 29: 18.159:% SSH-5-DISABLED: SSH 2.0 ha sido

deshabilitado R3 #
000066: * 18 de febrero 20: 29: 21.023 UTC:% AUTOSEC-1-MODIFIED: Se ha modificado la
configuración de AutoSecure en este dispositivo
Nota: Las preguntas formuladas y el resultado pueden variar según las funciones de la imagen y el
dispositivo IOS.
Paso 2: Establezca una conexión SSH desde la PC-C al R3.
a. Inicie PuTTy u otro cliente SSH e inicie sesión con la cuenta de administrador y la contraseña que
cisco12345 creó cuando se ejecutó AutoSecure. Ingrese la dirección IP de la interfaz R3 G0 / 1
192.168.3.1.
b. Debido a que SSH se configuró usando AutoSecure en R3, recibirá una advertencia de seguridad PuTTY.
Hacer clic
si para conectarse de todos modos.
c. Ingrese al modo EXEC privilegiado y verifique la configuración de R3 con el comando show run.
d. Publique el comando show flash. ¿Existe algún archivo que pueda estar relacionado con AutoSecure?
De ser así, ¿cuál es su nombre y cuándo se creó?
sí, el nombre de archivo es pre-autosec.cfg es un archivo de respaldo que se creó
cuando autosecure ran
e. Ejecute el comando more flash: pre_autosec.cfg. ¿Cuál es el contenido de este archivo y cuál es
su propósito?
este archivo es un archivo guardado que contiene la configuración r3 antes de

autosecure ran
f. ¿Cómo restauraría este archivo si AutoSecure no produjera los resultados deseados?

copiar este archivo desde flash a startup-config utilizando el comando copiar
flash: pre_autosec.cfg inicio y emite el comando de recargar para reiniciar el
router.
Paso 3: Compare la configuración generada por AutoSecure de R3 con la configuración manual
de R1.
a. ¿Qué cambios de configuración relacionados con la seguridad se realizaron en R3 por
AutoSecure que no se realizaron en las secciones anteriores del laboratorio en R1?
autesecure habilita aaa y crea una lista de autenticación con nombre (local_auth). los
ingresos a consola, aux y vty están configurados para la autenticación local. se ha
añadido el comando de registro tasa 10 de falla de autenticación de seguridad. se ha
habilitado la función de intercepto de tcp ip http server se deshabilitó cdp se
deshabilitó, la longitud mínima de la contraseña de seguridad se cambió de 8 a 6. se
habilitó la depuración de trampa de registro. se habilitaron el búfer de registro y la
consola de registro crítica
b. ¿Qué cambios de configuración relacionados con la seguridad se realizaron en secciones anteriores del
laboratorio que no fueron realizados por Autoseguro?
el acceso a telnet fue excluido de la entrada de transporte de vty se crearon cuentas
adicionales
c. Identifique al menos cinco servicios innecesarios que fueron bloqueados por AutoSecure y al menos
tres medidas de seguridad aplicadas a cada interfaz.
Nota: Es posible que algunos de los servicios enumerados como desactivados en el resultado de
AutoSecure anterior no aparezcan en el resultado de show running-config porque ya están desactivados
de forma predeterminada para este router y la versión de Cisco IOS.
Los servicios para discapacitados incluyen:
no service finger
no service pad
no service udp-small-servers
no service tcp-small-servers
no cdp run
no ip bootp server
no ip http server
no ip finger
no ip source-router
no ip gratuitous-arps
no ip identd
Para cada interfaz, se deshabilitó lo siguiente:
 no ip redirects
 no ip proxy-arp
 no ip unreachebles
 no ip directed-broadcast
 no ip mask-reply
Paso 4: probar la conectividad.

Haga ping desde la PC-A en la LAN R1 a la PC-C en la LAN R3 del enrutador. Si los pings de la PC-A a la
PC-C no funcionan, solucione el problema antes de continuar.
Reflexión
1. Explique la importancia de proteger el acceso al enrutador y monitorear los dispositivos de red.
existen muchas vulnerabilidades potenciales del router que pueden ser explotadas.
asegurar estos dispositivos es una parte muy importante del trabajo de un
administrador de red y de la política de seguridad de una organización
2. ¿Qué ventajas tiene SSH sobre Telnet?
ssh cifra todos los dat y es mucho más seguro que telnet. los datos de telnet se
tranmiten en texto claro, por lo que la información de la contraseña puede
comprometerse fácilmente
3. ¿Qué tan escalable es la configuración de nombres de usuario y el uso de la base de datos local para la
autenticación?
debido a que nombre de usuario necesita configurar ningún dispositivo que utiliza la base de
datos del enrutador local para la autenticación no escala bien.aaa con un servidor centralizado
externo es una solución mucho más escalable.aaa está cubierto en netx chaper
4. ¿Por qué es mejor tener servidores de registro centralizados en lugar de que los enrutadores solo registren
localmente?
es mejor utilizar servidores de registro centralizados porque es mucho más fácil
gestionar y seguir eventos. en las organizaciones más grandes es casi imposible hacer
un seguimiento de los eventos de cada router individual sin tener una forma
centralizada de ver la información
5. ¿Cuáles son algunas de las ventajas de utilizar Autoseguro?
estas herramientas captan vulnerabilidades de seguridad que muchos
administradores de red podrían pasar por observado o descubrir. estas herramientas
pueden bloquear un enrutador mucho más rápido que introducir un comando a la
vez y las herramientas resultan en menos posibilidades de errores de entrada.
también, las herramientas evitan la necesidad de usar comandos y procedimientos
complejos de cisco ios
Tabla de resumen de la interfaz del enrutador
Resumen de la interfaz
del enrutador
Modelo de Interfaz Ethernet n. Interfaz Ethernet n. Interfaz serial n. ° Interfaz serial n. °
enrutador °1 °2 1 2
1800 Fast Ethernet 0/0 Fast Ethernet 0/1 Serie 0/0/0 (S0 / Serie 0/0/1 (S0 /
(F0 / 0) (F0 / 1) 0/0) 0/1)
1900 Gigabit Ethernet Gigabit Ethernet 0/1 Serie 0/0/0 (S0 / Serie 0/0/1 (S0 /
0/0 (G0 / 0) (G0 / 1) 0/0) 0/1)
(F0 / 0) (F0 / 1) 1/0) 1/1)
(F0 / 0) (F0 / 1) 0/0) 0/1)
2900 Gigabit Ethernet Gigabit Ethernet 0/1 Serie 0/0/0 (S0 / Serie 0/0/1 (S0 /
0/0 (G0 / 0) (G0 / 1) 0/0) 0/1)
Nota: Para averiguar cómo está configurado el enrutador, observe las interfaces para identificar el tipo de
enrutador y cuántas interfaces tiene. No hay forma de enumerar efectivamente todas las combinaciones de
configuraciones para cada clase de enrutador. Esta tabla incluye identificadores para las posibles
combinaciones de interfaces Ethernet y serie en el dispositivo. La tabla no incluye ningún otro tipo de interfaz,
aunque un enrutador específico puede contener una. Un ejemplo de esto podría ser una interfaz BRI ISDN. La
cadena entre paréntesis es la abreviatura legal que se puede utilizar en los comandos de Cisco IOS para
representar la interfaz.

2.6.1.2 Lab - Securing The Router For Administrative Access-Español

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

2.6.1.2 Lab - Securing The Router For Administrative Access-Español

Cargado por

Copyright:

Formatos disponibles

Práctica de laboratorio: Protección del enrutador

para acceso administrativo

Disposi Interfaz Dirección IP Máscara de Puerta de Puerto del

Parte 1: configurar los ajustes básicos del dispositivo

Paso 1: Cablee la red.

Paso 2: Configure los ajustes básicos para cada

Paso 3: Configure el enrutamiento OSPF en los enrutadores.

R3 (config) # enrutador ospf 1

Paso 4: Verificar los vecinos OSPF y la información de enrutamiento.

ID de Pri Estado Tiempo Habla a Interfaz

siguiente salto La puerta de enlace de último

10.0.0.0/8 tiene subredes variables, 3 subredes, 2 máscaras

Paso 5: Configure los ajustes de IP del host de la PC.

Paso 6: Verifique la conectividad entre la PC-A y la PC-C.

Paso 7: guarde la configuración básica en ejecución para cada enrutador.

Parte 2: Controlar el acceso administrativo para enrutadores

Tarea 1: Configurar y cifrar contraseñas en los enrutadores R1 y R3.

Que la persona que está haciendo el ataque se pueda acceder y mantenga el

% password too short - must be at least 10 characters. password not configured.

b. Configure una nueva contraseña de ciscoconpass para la consola.

¿Pudiste iniciar sesión? Explique.

si, me pide la contraseña del puerto

Paso 4: cifre las contraseñas de texto sin cifrar.

9, debido a que el algoritmo es más fuerte que el 7 y 8, el tipo 9 (scrypt) es actualmente

Tarea 2: Configurar un cartel de advertencia de inicio de sesión en los enrutadores R1 y

Paso 1: Investigue las opciones para el comando de nombre de usuario.

• md5 codifica la contraseña usando el algoritmo md5

• scrypt codifica la contraseña utilizando el algoritmo hash scrypt

Paso 3: pruebe la nueva cuenta iniciando sesión en la consola.

 no, requiere nivel exec privilegiado

 la contraseña secreta habilitar cisco12345

Tarea 4: Configurar el servidor SSH en el enrutador R1 y R3.

Paso 1: configurar un nombre de dominio.

Paso 3: Configure las líneas vty entrantes.

Paso 4: borre los pares de claves existentes en el enrutador.

Paso 5: Genere el par de claves de cifrado RSA para el enrutador.

% El tamaño del módulo clave es 1024 bits

Paso 6: Verifique la configuración de SSH.

versión ssh habilitado: versión 1.99 tiempo de espera de autenticación: 120

Paso 7: configurar los tiempos de espera de SSH y los parámetros de autenticación.

Paso 8: guarde la configuración en ejecución en la configuración de inicio.

Tarea 5: Investigar el software de cliente de emulación de terminal y configurar el cliente

Paso 1: Investigue el software cliente de emulación de terminal.

d. Haga clic en Abrir.

g. En el indicador EXEC privilegiado de R1, ingrese el comando show users.

h. Cierre la ventana de sesión PuTTY SSH.

Tarea 6: Configurar un servidor SCP en R1.

Paso 1: Utilice los valores predeterminados de autenticación y autorización AAA en el R1.

Paso 2: Copie la configuración en ejecución en R1 para flashear.

b. Verifique que el archivo se haya copiado en la memoria flash de R3.

181043200 bytes disponibles (75567104 bytes usados)

Parte 3: configurar roles administrativos

Tarea 1: Habilite la vista raíz en R1 y R3.

Paso 1: habilite AAA en el enrutador R1.

Paso 2: habilita la vista raíz.

Paso 1: Cree la vista admin1, establezca una contraseña y asigne privilegios.

R1 # mostrar la vista del analizador

R1 # mostrar la vista del analizador

Paso 2: Cree la vista admin2, establezca una contraseña y asigne privilegios.

R1 # mostrar la vista del analizador

Paso 4: guarde la configuración en los enrutadores R1 y R3.

Parte 4: Configurar informes de gestión y resiliencia de IOS

Tarea 1: Proteger los archivos de configuración e imagen de Cisco IOS en R1 y R3.