Documentos de Académico
Documentos de Profesional
Documentos de Cultura
© 2015 - 2021 Cisco y/o sus afiliados. Todos reghts reservados. Público de Cisco. Página 1 De 22 www.netacad.com
Laboratorio - Asegurar el router para el acceso administrativo
Tabla de direccionamiento IP
Puerta de Puerto de
Máscara de enlace conmutación
Dispositivo Interfaz Dirección IP subred predeterminada
Objetivos
Parte 1: Configurar la configuración básica del dispositivo
Cablee la red tal y como se muestra en de la topología.
Configure el DIRECCIONAMIENTO IP básico para routers y PC.
Configure el ruteo OSPF.
Configure los hosts de PC.
Verifique la conectividad entre los hosts y el Routers.
Parte 2: Control del acceso administrativo para routers
Configure y cifre todas las contraseñas.
Configure un banner de advertencia de inicio de sesión.
Configure la seguridad mejorada de la contraseña del nombre de usuario.
Configure un servidor SSH en un router.
Configure un cliente SSH y compruebe la conectividad.
Configure un servidor SCP en un router.
Parte 3: Configurar roles administrativos
Cree varias vistas de rol y conceda privilegios variables.
Verifique y contraste las vistas.
Parte 4: Configure la resiliencia del Cisco IOS y los informes de administración
Asegure la imagen del Cisco IOS y los archivos deconfiguración.
Configure la seguridad SNMPv3 mediante una ACL.
Configure un router como fuente de tiempo sincronizada para otros dispositivos usando NTP.
Configure el soporte de syslog en un router.
Instale un servidor syslog en un PC y habilítelo.
© 2015 - 2021 Cisco y/o sus afiliados. Todos los derechos reservados. Público de Cisco. Página 2 De 22 www.netacad.com
Laboratorio - Asegurar el router para el acceso administrativo
Antecedentes / Escenario
El router es un componente crítico en cualquier red. Controla el movimiento de datos dentro y fuera de la
red y entre dispositivos dentro de la red. Es particularmente importante proteger a los enrutadores de red
porque el error de un dispositivo de ruteo podría hacer que las secciones de la red,o toda la red, sean
inaccesibles. Controlar el acceso a los enrutadores y habilitar la generación de informes sobre los
enrutadores es fundamental para la seguridad de la red y debe formar parte de una política de seguridad
completa.
En este laboratorio, construirá una red multi-router y configurará el Routers y los hosts. Use varias
herramientas cli para proteger el acceso local y remoto a los routers, analizar vulnerabilidades potenciales, y
tomar medidas para mitigarlos. Informesde administración de Enable para monitorear los cambios de
configuración del router.
Los comandos del router y la salida en este laboratorio son de un Cisco 1941 Router usando el Cisco IOS
Software, versión 15. 4(3)M2 (con una licencia de paquete de tecnología deseguridad). Otros Routers y las
versiones del Cisco IOS se pueden utilizar. Vea el resumen de la interfaz del router Tcapaz al final del
laboratorio para determinarqué dentificadores de la interfaz iutilizar en función del equipo en ellaboratorio.
Dependiendo del modelo del router, los comandos disponibles y de salida producidos pueden variar de lo
que se muestra en este laboratorio.
Note: Antes de que usted comience, enasegúrese de que el Routers y el Switches han sido borrados y no
tienen configuraciones de inicio.
Recursos necesarios
3 Routers (Cisco 1941 con el Cisco IOS Release 15. Imagen de 4(3) M2 con una licencia de paquete de
tecnología de seguridad)
2 Brujas S(Cisco 2960 o comparable) (no requerido)
2 PC (Windows 7 u 8.1,clienteSSH, servidor syslog)
Cables seriales y Ethernet como se muestra en la topología
Cables de consola para configurar dispositivos de red de Cisco
© 2015 - 2021 Cisco y/o sus afiliados. Todos los derechos reservados. Público de Cisco. Página 3 De 22 www.netacad.com
Laboratorio - Asegurar el router para el acceso administrativo
d. Para evitar que el router intente traducir incorrectamente los comandos introducidos como si fueran
nombres de host, deshabilite la búsqueda deDNS. R1 se muestra aquí como un ejemplo.
R1(config)# no ip domain-lookup
b. Publique el comando show ip route de verificar que todas las redes visualicen en la tabla de ruteo en
todos los Routers.
R1# show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
© 2015 - 2021 Cisco y/o sus afiliados. Todos los derechos reservados. Público de Cisco. Página 4 De 22 www.netacad.com
Laboratorio - Asegurar el router para el acceso administrativo
© 2015 - 2021 Cisco y/o sus afiliados. Todos los derechos reservados. Público de Cisco. Página 5 De 22 www.netacad.com
Laboratorio - Asegurar el router para el acceso administrativo
Step 1: Configure una longitud de contraseña mínima para todas las contraseñas del router.
Utilice el comando security passwords para establecer una longitud mínima de contraseña de 10
caracteres.
R1(config)# security passwords min-length 10
¿Cómo la configuración de una contraseña secreta de habilitación ayuda a proteger a un router de verse
comprometido por un ataque?
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
Step 3: Configure las líneas básicas de consola, puerto auxiliar y acceso virtual.
Nota: Las contraseñas de esta tarea se establecen en un mínimo de 10 caracteres, pero son relativamente
simples para la ventaja de realizar el laboratorio. Se recomiendan contraseñas más complejas en una red de
producción.
a. Configure una contraseña de consola y habilite el inicio de sesión para los routers. Para mayor
seguridad, el comando exec-timeout hace que la línea cierre sesión después de 5 minutos de
inactividad. El comando sincrónico de registro impide que los mensajes de consola interrumpan la
entrada de comandos.
Nota:To evitar los inicios de sesión repetitivos durante este laboratorio, el comando exec-timeout se
puede fijar a 0 0, lo que impide que caduque. Sin embargo, esto no se considera una buena práctica de
seguridad.
R1(config)# line console 0
R1(config-line)# password ciscocon
R1(config-line)# exec-timeout 5 0
R1(config-line)# login
R1(config-line)# logging synchronous
© 2015 - 2021 Cisco y/o sus afiliados. Todos los derechos reservados. Público de Cisco. Página 6 De 22 www.netacad.com
Laboratorio - Asegurar el router para el acceso administrativo
d. Telnet de R2 a R1.
R2> telnet 10.1.1.1
¿Pudiste iniciar sesión? Explicar.
____________________________________________________________________________________
____________________________________________________________________________________
¿Qué mensajes se mostraron?
____________________________________________________________________________________
____________________________________________________________________________________
e. Configure la contraseña en las líneas vty para el router R1.
R1(config)# line vty 0 4
R1(config-line)# password ciscovtypass
R1(config-line)# exec-timeout 5 0
R1(config-line)# transport input telnet
R1(config-line)# login
Nota:El valor predeterminado para las líneas vty ahora es la entrada de transporte ninguna.
Telnet de R2 a R1 otra vez. ¿Pudiste iniciar sesión esta vez?
____________________________________________________________________________________
f. En el router 1: Ingrese el modo EXEC privilegiado y publique el comando show run. ¿Puede leer la
contraseña secreta de habilitación? Explícale.
____________________________________________________________________________________
____________________________________________________________________________________
¿Puede leer las contraseñas de consola, aux y vty? Explícale.
____________________________________________________________________________________
____________________________________________________________________________________
g. Repita la parte de configuración de los pasos 3a a 3g en el router R3.
© 2015 - 2021 Cisco y/o sus afiliados. Todos los derechos reservados. Público de Cisco. Página 7 De 22 www.netacad.com
Laboratorio - Asegurar el router para el acceso administrativo
b. Publique el comando show run. ¿Puede leer las contraseñas de consola, aux y vty? Explícale.
____________________________________________________________________________________
____________________________________________________________________________________
¿En qué nivel (número) está cifrado la contraseña secreta de activación predeterminada?
______________
¿En qué nivel (número) se cifran las otras contraseñas? ______________
¿Qué nivel de cifrado es más difícil de descifrar y por qué?
____________________________________________________________________________________
____________________________________________________________________________________
Step 1: Configure un mensaje de advertencia para mostrar antes del inicio de sesión.
a. Configure una advertencia a usuarios no autorizados con un banner de mensaje del día (MOTD)
mediante el comando banner motd . Cuando un usuario conecta con uno de los routers, el banner
MOTD aparece antes del prompt de inicio de sesión. En este ejemplo, el signo de dólar ($) se utiliza para
iniciar y finalizar el mensaje.
R1(config)# banner motd $Unauthorized access strictly prohibited!$
R1(config)# exit
Step 2: Cree una nueva cuenta de usuario con una contraseña secreta.
a. Cree una nueva cuenta de usuario con hashing SCRYPT para cifrar la contraseña.
R1(config)# username user01 algorithm-type scrypt secret user01pass
© 2015 - 2021 Cisco y/o sus afiliados. Todos los derechos reservados. Público de Cisco. Página 8 De 22 www.netacad.com
Laboratorio - Asegurar el router para el acceso administrativo
b. Salga a la pantalla inicial del router que muestra: R1 con0 ya está disponible, pulse RETURN para
empezar.
c. Inicie sesión utilizando el usuario de nombre de usuario previamente user01 y la contraseña
user01pass.
¿Cuál es la diferencia entre iniciar sesión en la consola ahora y antes?
____________________________________________________________________________________
____________________________________________________________________________________
d. Después de iniciar sesión, publique el comando show run. ¿Pudiste emitir el comando? Explícale.
____________________________________________________________________________________
____________________________________________________________________________________
e. Introduzca el modo EXEC con privilegios mediante el comando enable. ¿Le pidieron una
contraseña? Explícale.
____________________________________________________________________________________
____________________________________________________________________________________
Step 4: Pruebe la nueva cuenta iniciando sesión desde una sesión telnet.
a. Del PC-A, establezca una sesión Telnet con el R1. Telnet está deshabilitado de forma predeterminada
en Windows 7. Si es necesario, busque en línea los pasos para habilitar Telnet en Windows 7.
PC-A> telnet 192.168.1.1
¿Se le pidió una cuenta de usuario? Explícale.
____________________________________________________________________________________
____________________________________________________________________________________
b. Establezca las líneas vty para utilizar las cuentas de inicio de sesión definidas localmente.
R1(config)# line vty 0 4
R1(config-line)# login local
© 2015 - 2021 Cisco y/o sus afiliados. Todos los derechos reservados. Público de Cisco. Página 9 De 22 www.netacad.com
Laboratorio - Asegurar el router para el acceso administrativo
Step 2: Configure a un usuario con privilegios para iniciar sesión desde el cliente SSH.
a. Utilice el comando username para crear el ID de usuario con el nivel de privilegio más alto posible y
una contraseña secreta.
R1(config)# username admin privilege 15 algorithm-type scrypt secret
cisco12345
© 2015 - 2021 Cisco y/o sus afiliados. Todos los derechos reservados. Público de Cisco. Página 10 De 22 www.netacad.com
Laboratorio - Asegurar el router para el acceso administrativo
Nota:El comando local de inicio de sesión debe haberse configurado en un paso anterior. Se incluye aquí
para proporcionar todos los comandos,si usted está haciendo esto por primera vez.
Nota: Si usted agrega la palabra clave telnet al comando transport input, los usuarios pueden iniciar
sesión usando Telnet así como SSH, sin embargo, el router será menos seguro. Si solo se especifica SSH,
el host de conexión debe tener instalado un cliente SSH.
Nota:Si no existen claves, usted pudo recibir este mensaje: % ninguna clave RSA de la firma encontrada en
la configuración.
R1(config)#
*Dec 16 21:24:16.175: %SSH-5-ENABLED: SSH 1.99 has been enabled
© 2015 - 2021 Cisco y/o sus afiliados. Todos los derechos reservados. Público de Cisco. Página 11 De 22 www.netacad.com
Laboratorio - Asegurar el router para el acceso administrativo
© 2015 - 2021 Cisco y/o sus afiliados. Todos los derechos reservados. Público de Cisco. Página 12 De 22 www.netacad.com
Laboratorio - Asegurar el router para el acceso administrativo
© 2015 - 2021 Cisco y/o sus afiliados. Todos los derechos reservados. Público de Cisco. Página 13 De 22 www.netacad.com
Laboratorio - Asegurar el router para el acceso administrativo
b. Utilice el comando aaa authentication de utilizar la base de datos local como método de
autenticación de inicio de sesión predeterminado.
R1(config)# aaa authentication login default local
c. Utilice el comando aaa authorization de utilizar la base de datos local como autorización de comando
predeterminada.
R1(config)# aaa authorization exec default local
© 2015 - 2021 Cisco y/o sus afiliados. Todos los derechos reservados. Público de Cisco. Página 14 De 22 www.netacad.com
Laboratorio - Asegurar el router para el acceso administrativo
Step 3: Utilice el comando SCP en el R3 para extraer el archivo de configuración del R1.
a. Utilice SCP para copiar el archivo de configuración que creó en Paso 2a a R3.
R3# copy scp: flash:
Address or name of remote host []? 10.1.1.1
Source username [R3]? admin
Source filename []? R1-Config
Destination filename [R1-Config]? [Enter]
Password: cisco12345
!
2007 bytes copied in 9.056 secs (222 bytes/sec)
© 2015 - 2021 Cisco y/o sus afiliados. Todos los derechos reservados. Público de Cisco. Página 15 De 22 www.netacad.com
Laboratorio - Asegurar el router para el acceso administrativo
Task 2: Cree nuevas vistas para los roles Admin1, Admin2 y Tech en R1 y R3.
Nota: Para eliminar una vista, utilice el comando no parser view viewname.
© 2015 - 2021 Cisco y/o sus afiliados. Todos los derechos reservados. Público de Cisco. Página 16 De 22 www.netacad.com
Laboratorio - Asegurar el router para el acceso administrativo
c. Revise los comandos que se pueden configurar en lavista dmin1. Use los comandos ? para ver los
comandos disponibles. Acontinuación se muestra una lista parcial de los comandos disponibles.
R1(config-view)# commands ?
RITE-profile Router IP traffic export profile command mode
RMI Node Config Resource Policy Node Config mode
RMI Resource Group Resource Group Config mode
RMI Resource Manager Resource Manager Config mode
RMI Resource Policy Resource Policy Config mode
SASL-profile SASL profile configuration mode
aaa-attr-list AAA attribute list config mode
aaa-user AAA user definition
accept-dialin VPDN group accept dialin configuration mode
accept-dialout VPDN group accept dialout configuration mode
address-family Address Family configuration mode
<output omitted>
d. Agregue todos los comandos config, showy debug a la vista admin1 y, a continuación, salga del
modo de configuración de la vista.
R1(config-view)# commands exec include all show
R1(config-view)# commands exec include all config terminal
R1(config-view)# commands exec include all debug
R1(config-view)# end
© 2015 - 2021 Cisco y/o sus afiliados. Todos los derechos reservados. Público de Cisco. Página 17 De 22 www.netacad.com
Laboratorio - Asegurar el router para el acceso administrativo
Nota:Puede haber más comandos EXEC disponibles de los que se muestran. Esto dependede su
dispositivo y de la imagen de IOS utilizada.
g. Examine los comandos show disponibles en la vista admin1.
R1# show ?
aaa Show AAA values
access-expression List access expression
access-lists List access lists
acircuit Access circuit info
adjacency Adjacent nodes
aliases Display alias commands
alignment Show alignment information
appfw Application Firewall information
archive Archive functions
arp ARP table
<output omitted>
e. Agregue todos los comandos show a la vistay, a continuación, exit del modo de configuración de la
vista.
R1(config-view)# commands exec include all show
R1(config-view)# end
© 2015 - 2021 Cisco y/o sus afiliados. Todos los derechos reservados. Público de Cisco. Página 18 De 22 www.netacad.com
Laboratorio - Asegurar el router para el acceso administrativo
Nota:Puede haber máscomandosE XEC disponibles de los que se muestran. Esto dependede su
dispositivo y de la imagen de IOS utilizada.
¿Qué falta en la lista de comandos admin2 que está presente en los comandos admin1?
____________________________________________________________________________________
e. Agregue los siguientes comandos show a la vista y, a continuación, exit del modo de configuración
de la vista.
R1(config-view)# commands exec include show version
R1(config-view)# commands exec include show interfaces
R1(config-view)# commands exec include show ip interface brief
R1(config-view)# commands exec include show parser view
R1(config-view)# end
© 2015 - 2021 Cisco y/o sus afiliados. Todos los derechos reservados. Público de Cisco. Página 19 De 22 www.netacad.com
Laboratorio - Asegurar el router para el acceso administrativo
Nota:Puede haber máscomandosE XEC disponibles de los que se muestran. Esto dependede su
dispositivo y de la imagen de IOS utilizada.
h. Examine los comandos show disponibles en la vista de tecnología.
R1# show ?
banner Display banner information
flash0: display information about flash0: file system
flash1: display information about flash1: file system
flash: display information about flash: file system
interfaces Interface status and configuration
ip IP information
parser Display parser information
usbflash0: display information about usbflash0: file system
version System hardware and software status
Nota:Puede haber máscomandosE XEC disponibles de los que se muestran. Esto dependede su
dispositivo y de la imagen de IOS utilizada.
i. Publique el comando show ip interface brief. ¿Fue capaz de hacerlo como usuario de tecnología?
Explícale.
____________________________________________________________________________________
____________________________________________________________________________________
j. Publique el comando show ip route. ¿Fue capaz de hacerlo como usuario de tecnología?
____________________________________________________________________________________
____________________________________________________________________________________
k. Vuelva a la vista raíz con el comando enable view.
R1# enable view
Password: cisco12345
l. Publique el comando show run de ver las vistas que usted creó. Para la vista de tecnología, ¿por qué
se enumeran los comandos show y show ip, así como show ip interface y show ip interface brief?
____________________________________________________________________________________
____________________________________________________________________________________
© 2015 - 2021 Cisco y/o sus afiliados. Todos los derechos reservados. Público de Cisco. Página 20 De 22 www.netacad.com
Laboratorio - Asegurar el router para el acceso administrativo
Reflexión
1. Explicar la importancia de asegurar el acceso del router y supervisar los dispositivos de red.
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
2. ¿Qué ventajas tiene SSH sobre Telnet?
_______________________________________________________________________________________
_______________________________________________________________________________________
3. ¿Porque es mejor tener servidores de registro centralizados en lugar de tener el Routers sólo registrar
localmente?
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
© 2015 - 2021 Cisco y/o sus afiliados. Todos los derechos reservados. Público de Cisco. Página 21 De 22 www.netacad.com
Laboratorio - Asegurar el router para el acceso administrativo
1800 Fast Ethernet 0/0 Fast Ethernet 0/1 Serie 0/0/0 (S0/0/0) Serie 0/0/1 (S0/0/1)
(F0/0) (F0/1)
1900 Gigabit Ethernet 0/0 Gigabit Ethernet 0/1 Serie 0/0/0 (S0/0/0) Serie 0/0/1 (S0/0/1)
(G0/0) (G0/1)
2801 Fast Ethernet 0/0 Fast Ethernet 0/1 Serie 0/1/0 (S0/1/0) Serie 0/1/1 (S0/1/1)
(F0/0) (F0/1)
2811 Fast Ethernet 0/0 Ethernet rápido 0/1 Serie 0/0/0 (S0/0/0) Serie 0/0/1 (S0/0/1)
(F0/0) (F0/1)
2900 Gigabit Ethernet 0/0 Gigabit Ethernet 0/1 Serie 0/0/0 (S0/0/0) Serie 0/0/1 (S0/0/1)
(G0/0) (G0/1)
Nota: Para averiguar cómo se configura al router, mire las interfaces para identificar el tipo de router y cuántas
interfaces tiene el router. No hay manera de enumerar eficazmente todas las combinaciones de configuraciones
para cada clase de router. Esta tabla incluye identificadores para las combinaciones posibles de Ethernet e
interfaces seriales en el dispositivo. La tabla no incluye ningún otro tipo de interfaz, aunque un router específico
pueda contener uno. Un ejemplo de esto podría ser una interfaz BRI ISDN. La cadena entre paréntesis es la
abreviatura legal que se puede utilizar enlas comas del Cisco IOS para representar lainterfaz.
© 2015 - 2021 Cisco y/o sus afiliados. Todos los derechos reservados. Público de Cisco. Página 22 De 22 www.netacad.com