Laboratorio Sesion2 Ccnasecurity

Seguridad del CCNA
Laboratorio - Asegurar el router para el acceso administrativo

Topología
Nota:Los dispositivos ISR G1 utilizan interfaces FastEthernet en lugar de interfaces GigabitEthernet.
© 2015 - 2021 Cisco y/o sus afiliados. Todos reghts reservados. Público de Cisco. Página 1 De 22 www.netacad.com
Tabla de direccionamiento IP
Puerta de Puerto de
Máscara de enlace conmutación
Dispositivo Interfaz Dirección IP subred predeterminada
G0/1 192.168.1.1 255.255.255.0 N/A S1 F0/5

R1
S0/0/0 (DCE) 10.1.1.1 255.255.255.252 N/A N/A
S0/0/0 10.1.1.2 255.255.255.252 N/A N/A
R2
S0/0/1 (DCE) 10.2.2.2 255.255.255.252 N/A N/A
G0/1 192.168.3.1 255.255.255.0 N/A S3 F0/5
R3
S0/0/1 10.2.2.1 255.255.255.252 N/A N/A
PC-A Nada 192.168.1.3 255.255.255.0 192.168.1.1 S1 F0/6
PC-C Nada 192.168.3.3 255.255.255.0 192.168.3.1 S3 F0/18
Objetivos
Parte 1: Configurar la configuración básica del dispositivo
 Cablee la red tal y como se muestra en de la topología.
 Configure el DIRECCIONAMIENTO IP básico para routers y PC.
 Configure el ruteo OSPF.
 Configure los hosts de PC.
 Verifique la conectividad entre los hosts y el Routers.
Parte 2: Control del acceso administrativo para routers
 Configure y cifre todas las contraseñas.
 Configure un banner de advertencia de inicio de sesión.
 Configure la seguridad mejorada de la contraseña del nombre de usuario.
 Configure un servidor SSH en un router.
 Configure un cliente SSH y compruebe la conectividad.
 Configure un servidor SCP en un router.
Parte 3: Configurar roles administrativos
 Cree varias vistas de rol y conceda privilegios variables.
 Verifique y contraste las vistas.
Parte 4: Configure la resiliencia del Cisco IOS y los informes de administración
 Asegure la imagen del Cisco IOS y los archivos deconfiguración.
 Configure la seguridad SNMPv3 mediante una ACL.
 Configure un router como fuente de tiempo sincronizada para otros dispositivos usando NTP.
 Configure el soporte de syslog en un router.
 Instale un servidor syslog en un PC y habilítelo.
© 2015 - 2021 Cisco y/o sus afiliados. Todos los derechos reservados. Público de Cisco. Página 2 De 22 www.netacad.com
 Realice los cambios al router y supervise los resultados de Syslog en el PC.

Parte 5: Asegure el plano de control
 Configure la autenticación OSPF usando SHA256
 Verificar la autenticación OSPF
Parte 6: Configurar características de seguridad automatizadas
 Bloquee un router usando autosecure y verifique la configuración.
 Contraste mediante AutoSecure con el aseguramiento manual de un router utilizando la línea de
comandos.
Antecedentes / Escenario
El router es un componente crítico en cualquier red. Controla el movimiento de datos dentro y fuera de la
red y entre dispositivos dentro de la red. Es particularmente importante proteger a los enrutadores de red
porque el error de un dispositivo de ruteo podría hacer que las secciones de la red,o toda la red, sean
inaccesibles. Controlar el acceso a los enrutadores y habilitar la generación de informes sobre los
enrutadores es fundamental para la seguridad de la red y debe formar parte de una política de seguridad
completa.
En este laboratorio, construirá una red multi-router y configurará el Routers y los hosts. Use varias
herramientas cli para proteger el acceso local y remoto a los routers, analizar vulnerabilidades potenciales, y
tomar medidas para mitigarlos. Informesde administración de Enable para monitorear los cambios de
configuración del router.
Los comandos del router y la salida en este laboratorio son de un Cisco 1941 Router usando el Cisco IOS
Software, versión 15. 4(3)M2 (con una licencia de paquete de tecnología deseguridad). Otros Routers y las
versiones del Cisco IOS se pueden utilizar. Vea el resumen de la interfaz del router Tcapaz al final del
laboratorio para determinarqué dentificadores de la interfaz iutilizar en función del equipo en ellaboratorio.
Dependiendo del modelo del router, los comandos disponibles y de salida producidos pueden variar de lo
que se muestra en este laboratorio.
Note: Antes de que usted comience, enasegúrese de que el Routers y el Switches han sido borrados y no
tienen configuraciones de inicio.
Recursos necesarios
 3 Routers (Cisco 1941 con el Cisco IOS Release 15. Imagen de 4(3) M2 con una licencia de paquete de
tecnología de seguridad)
 2 Brujas S(Cisco 2960 o comparable) (no requerido)
 2 PC (Windows 7 u 8.1,clienteSSH, servidor syslog)
 Cables seriales y Ethernet como se muestra en la topología
 Cables de consola para configurar dispositivos de red de Cisco
Part 1: Configurar la configuración básica del dispositivo

En la parte 1, configure la topología de red y configure los valores básicos, como las direcciones IP de la
interfaz.
Step 1: Cablee la red.

Conecte losdispositivos, tal y como se muestra en del diagrama de topología, y el cable según sea necesario.
Step 2: Configure los ajustes básicos para cada router.

a. Configure los nombres de host como se muestra en la topología.
b. Configure las direcciones IP de la interfaz tal y como se muestra en de la tabla del IP Addressing.
c. Configure una velocidad de reloj para el Routers con un cable serie DCE conectado a su interfaz
serial. R1 se muestra aquí como un ejemplo.
R1(config)# interface S0/0/0
R1(config-if)# clock rate 64000
d. Para evitar que el router intente traducir incorrectamente los comandos introducidos como si fueran
nombres de host, deshabilite la búsqueda deDNS. R1 se muestra aquí como un ejemplo.
R1(config)# no ip domain-lookup
Step 3: Configure el ruteo OSPF en el Routers.

a. Utilice el comando router ospf en el modo de configuración global para habilitar el OSPF en el r1.
R1(config)# router ospf 1
b. Configure las instrucciones de red para las redes en R1. Utilice un ID de área de 0.
R1(config-router)# network 192.168.1.0 0.0.0.255 area 0
R1(config-router)# network 10.1.1.0 0.0.0.3 area 0
c. Configure el OSPF en el r2 y el r3.

d. Publique el comando passive-interface de cambiar la interfaz G0/1 en el R1 y el R3 al pasivo.
R1(config-router)# passive-interface g0/1

R3(config-router)# passive-interface g0/1
Step 4: Verifique los vecinos OSPF y la información de ruteo.

a. Publique el comando show ip ospf neighbor de verificar que cada router enumera al otro Routers
en la red como vecinos.
R1# show ip ospf neighbor
Neighbor ID Pri State Dead Time Address Interface

10.2.2.2 0 FULL/ - 00:00:31 10.1.1.2 Serial0/0/0
b. Publique el comando show ip route de verificar que todas las redes visualicen en la tabla de ruteo en
todos los Routers.
R1# show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
a - application route
+ - replicated route, % - next hop override
Gateway of last resort is not set
10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks

C 10.1.1.0/30 is directly connected, Serial0/0/0
L 10.1.1.1/32 is directly connected, Serial0/0/0
O 10.2.2.0/30 [110/128] via 10.1.1.2, 00:03:03, Serial0/0/0
192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.1.0/24 is directly connected, GigabitEthernet0/1
L 192.168.1.1/32 is directly connected, GigabitEthernet0/1
O 192.168.3.0/24 [110/129] via 10.1.1.2, 00:02:36, Serial0/0/0
Step 5: Configure los ajustes ip del host del PC.

Configure una dirección IP estática, una máscara de subred y una puerta de enlace predeterminada para PC-
A y PC-C tal y como se muestra en de la tabla ip addressing.
Step 6: Verifique la conectividad entre pc-A y PC-C.

a. Ping de R1 a R3.
Si los pings no son acertados, resuelva problemas las configuraciones básicas del dispositivo antes de
continuar.
b. Haga ping del PC-A,en el R1 LAN, al PC-C,en el R3 LAN.
Si los pings no son acertados, resuelva problemas las configuraciones básicas del dispositivo antes de
continuar.
Nota:Si usted puede hacer ping del PC-A al PC-C usted ha demostrado que el ruteo OSPF está configurado
y funcionando correctamente. Si usted no puede hacer ping pero las interfaces del dispositivo están arriba y
las direcciones IP son correctas, utilice la ejecución de la demostración,el vecino del ospf del ip de la
demostración, y los comandos show ip route de ayudar a identificar los problemas relacionados con el
Routing Protocol.
Step 7: Guarde la configuración básica de funcionamiento para cada router.

Guarde la configuración básica de funcionamiento para el routers como archivos de texto en suPC.
Losarchivos de texto se se pueden utilizar para restaurarlas uraciones de configuración más adelante en
ellaboratorio.
Part 2: Control de acceso administrativo para routers

En la Parte 2, usted:
 Configurar y cifrar contraseñas.
 Configure un banner de advertencia de inicio de sesión.
 Configure la seguridad dela contraseña del nombre de usuario de e nhanced.
 Configure laseguridad de inicio de sesión virtual de e nhanced.
 Configure un servidor SSH en R1.

 Investigue el software cliente de emulación de terminal y configure el cliente SSH.
 Configure un servidor SCP en el R1.
Nota:Realice todas las tareas en R1 y R3. Los procedimientos y la salida para el R1 se muestran aquí.
Task 1: Configure y cifre contraseñas en los routers R1 y R3.
Step 1: Configure una longitud de contraseña mínima para todas las contraseñas del router.
Utilice el comando security passwords para establecer una longitud mínima de contraseña de 10
caracteres.
R1(config)# security passwords min-length 10
Step 2: Configure la contraseña secreta de la habilitación.

Configure la contraseña cifrada secreta del permiso en ambos routers. Utilice el tipo 9 (SCRYPT) hashing
algorithm.
R1(config)# enable algorithm-type scrypt secret cisco12345
¿Cómo la configuración de una contraseña secreta de habilitación ayuda a proteger a un router de verse
comprometido por un ataque?
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
Step 3: Configure las líneas básicas de consola, puerto auxiliar y acceso virtual.
Nota: Las contraseñas de esta tarea se establecen en un mínimo de 10 caracteres, pero son relativamente
simples para la ventaja de realizar el laboratorio. Se recomiendan contraseñas más complejas en una red de
producción.
a. Configure una contraseña de consola y habilite el inicio de sesión para los routers. Para mayor
seguridad, el comando exec-timeout hace que la línea cierre sesión después de 5 minutos de
inactividad. El comando sincrónico de registro impide que los mensajes de consola interrumpan la
entrada de comandos.
Nota:To evitar los inicios de sesión repetitivos durante este laboratorio, el comando exec-timeout se
puede fijar a 0 0, lo que impide que caduque. Sin embargo, esto no se considera una buena práctica de
seguridad.
R1(config)# line console 0
R1(config-line)# password ciscocon
R1(config-line)# exec-timeout 5 0
R1(config-line)# login
R1(config-line)# logging synchronous
Cuando configuró la contraseña para la línea de consola, ¿qué mensaje se mostró?

____________________________________________________________________________________
____________________________________________________________________________________
b. Configure una nueva contraseña de ciscoconpass para la consola.
c. Configure una contraseña para el puerto AUX para el router R1.
R1(config)# line aux 0
R1(config-line)# password ciscoauxpass
d. Telnet de R2 a R1.
R2> telnet 10.1.1.1
¿Pudiste iniciar sesión? Explicar.
____________________________________________________________________________________
____________________________________________________________________________________
¿Qué mensajes se mostraron?
____________________________________________________________________________________
____________________________________________________________________________________
e. Configure la contraseña en las líneas vty para el router R1.
R1(config)# line vty 0 4
R1(config-line)# password ciscovtypass
R1(config-line)# transport input telnet
Nota:El valor predeterminado para las líneas vty ahora es la entrada de transporte ninguna.
Telnet de R2 a R1 otra vez. ¿Pudiste iniciar sesión esta vez?
____________________________________________________________________________________
f. En el router 1: Ingrese el modo EXEC privilegiado y publique el comando show run. ¿Puede leer la
contraseña secreta de habilitación? Explícale.
____________________________________________________________________________________
____________________________________________________________________________________
¿Puede leer las contraseñas de consola, aux y vty? Explícale.
____________________________________________________________________________________
____________________________________________________________________________________
g. Repita la parte de configuración de los pasos 3a a 3g en el router R3.
Step 4: Cifre las contraseñas de texto sin cifrar.

a. Utilice el comando service password-encryption para cifrar las contraseñas de consola, aux y vty.
R1(config)# service password-encryption
b. Publique el comando show run. ¿Puede leer las contraseñas de consola, aux y vty? Explícale.
____________________________________________________________________________________
____________________________________________________________________________________
¿En qué nivel (número) está cifrado la contraseña secreta de activación predeterminada?
______________
¿En qué nivel (número) se cifran las otras contraseñas? ______________
¿Qué nivel de cifrado es más difícil de descifrar y por qué?
____________________________________________________________________________________
____________________________________________________________________________________
Task 2: Configure un banner de advertencia de inicio de sesión en los routers R1 y R3.
Step 1: Configure un mensaje de advertencia para mostrar antes del inicio de sesión.
a. Configure una advertencia a usuarios no autorizados con un banner de mensaje del día (MOTD)
mediante el comando banner motd . Cuando un usuario conecta con uno de los routers, el banner
MOTD aparece antes del prompt de inicio de sesión. En este ejemplo, el signo de dólar ($) se utiliza para
iniciar y finalizar el mensaje.
R1(config)# banner motd $Unauthorized access strictly prohibited!$
R1(config)# exit
b. Publique el comando show run. ¿A qué se convierte el $ en la salida?

____________________________________________________________________________________
____________________________________________________________________________________
Task 3: Configure la seguridad mejorada de la contraseña del nombre de usuario en los

routers R1 y R3.
Step 1: Investigue las opciones para el comando username.

En el modo de configuración global, escriba el siguiente comando:
R1(config)# username user01 algorithm-type ?
¿Qué opciones están disponibles?
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
Step 2: Cree una nueva cuenta de usuario con una contraseña secreta.
a. Cree una nueva cuenta de usuario con hashing SCRYPT para cifrar la contraseña.
R1(config)# username user01 algorithm-type scrypt secret user01pass
b. Salga del modo de configuración global y guarde la configuración.

c. Muestre la configuración en ejecución. ¿Qué método hash se utiliza para la contraseña?
____________________________________________________________________________________
____________________________________________________________________________________
Step 3: Pruebe la nueva cuenta iniciando sesión en la consola.

a. Establezca la línea de consola para utilizar las cuentas de inicio de sesión definidas localmente.
R1(config)# line console 0
R1(config-line)# login local
R1(config-line)# end
R1# exit
b. Salga a la pantalla inicial del router que muestra: R1 con0 ya está disponible, pulse RETURN para
empezar.
c. Inicie sesión utilizando el usuario de nombre de usuario previamente user01 y la contraseña
user01pass.
¿Cuál es la diferencia entre iniciar sesión en la consola ahora y antes?
____________________________________________________________________________________
____________________________________________________________________________________
d. Después de iniciar sesión, publique el comando show run. ¿Pudiste emitir el comando? Explícale.
____________________________________________________________________________________
____________________________________________________________________________________
e. Introduzca el modo EXEC con privilegios mediante el comando enable. ¿Le pidieron una
contraseña? Explícale.
____________________________________________________________________________________
____________________________________________________________________________________
Step 4: Pruebe la nueva cuenta iniciando sesión desde una sesión telnet.
a. Del PC-A, establezca una sesión Telnet con el R1. Telnet está deshabilitado de forma predeterminada
en Windows 7. Si es necesario, busque en línea los pasos para habilitar Telnet en Windows 7.
PC-A> telnet 192.168.1.1
¿Se le pidió una cuenta de usuario? Explícale.
____________________________________________________________________________________
____________________________________________________________________________________
b. Establezca las líneas vty para utilizar las cuentas de inicio de sesión definidas localmente.
c. Del PC-A, telnet a R1 otra vez.

PC-A> telnet 192.168.1.1
¿Se le pidió una cuenta de usuario? Explícale.

____________________________________________________________________________________
____________________________________________________________________________________
d. Inicie sesión como user01 con una contraseña de user01pass.
e. Durante la sesión Telnet al R1, acceda el modo EXEC privilegiado con el comando enable.
¿Qué contraseña usaste?
____________________________________________________________________________________
f. Para mayor seguridad, establezca el puerto AUX para utilizar las cuentas de inicio de sesión definidas
localmente.
R1(config)# line aux 0
g. Termine la sesión Telnet con el comando exit.
Task 4: Configure el servidor SSH en el router R1 y elr3.

En esta tarea, use el CLI para configurar al router para ser manejado de forma segura usando SSH en vez
de Telnet. Secure Shell (SSH) es un protocolo de red que establece una conexión de emulación de terminal
segura a un enrutador u otro dispositivo de red. SSH cifra toda la información que pasa a través del vínculo
de red y proporciona autenticación del equipo remoto. SSH está reemplazando rápidamente Telnet como la
herramienta de inicio de sesión remota de elección para los profesionales de red.
Nota:Para que un router admita el SSH, se debe configurar con la autenticación local, (servicios AAA, o
nombre de usuario) o la autenticación de contraseña. En esta tarea, usted configura un nombre de usuario
SSH y la autenticación local.
Step 1: Configure un nombre de dominio.

Introduzca el modo de configuración global y establezca el nombre de dominio.
R1# conf t
R1(config)# ip domain-name ccnasecurity.com
Step 2: Configure a un usuario con privilegios para iniciar sesión desde el cliente SSH.
a. Utilice el comando username para crear el ID de usuario con el nivel de privilegio más alto posible y
una contraseña secreta.
R1(config)# username admin privilege 15 algorithm-type scrypt secret
cisco12345
Nota:Los nombres de usuario no distinguen entre mayúsculas y minúsculas de forma predeterminada.

Aprenderá a hacer que los nombres de usuario sean sensibles a mayúsculas y minúsculas en el Capítulo
3.
b. Salga a la pantalla de inicio de sesión inicial delrouter. Log in con el administrador del nombre de
usuario y la contraseña asociada. ¿Cuál fue el prompt del router después de que usted entró la
contraseña?
____________________________________________________________________________________
____________________________________________________________________________________
Step 3: Configure las líneas vty entrantes.

Especifique un nivel de privilegio de 15 para que un usuario con el nivel de privilegios más alto (15) de forma
predeterminada en modo EXEC con privilegios al acceder a las líneas vty. Otros usuarios pasarán de forma
predeterminada al modo EXEC del usuario. Utilice las cuentas de usuario local para el inicio de sesión y la
validación obligatorios y acepte solo conexiones SSH.
R1(config-line)# privilege level 15
R1(config-line)# transport input ssh
R1(config-line)# exit
Nota:El comando local de inicio de sesión debe haberse configurado en un paso anterior. Se incluye aquí
para proporcionar todos los comandos,si usted está haciendo esto por primera vez.
Nota: Si usted agrega la palabra clave telnet al comando transport input, los usuarios pueden iniciar
sesión usando Telnet así como SSH, sin embargo, el router será menos seguro. Si solo se especifica SSH,
el host de conexión debe tener instalado un cliente SSH.
Step 4: Borre los pares de claves existentes en el router.

R1(config)# crypto key zeroize rsa
Nota:Si no existen claves, usted pudo recibir este mensaje: % ninguna clave RSA de la firma encontrada en
la configuración.
Step 5: Genere el par de claves de cifrado RSA para el router.

El router utiliza el par de claves RSA para la autenticación y el cifrado de los datos SSH transmitidos.
a. Configure las claves RSA con 1024 para el número de bits del módulo. El valor predeterminado es
512, y el rango es de 360 a 2048.
R1(config)# crypto key generate rsa general-keys modulus 1024
The name for the keys will be: R1.ccnasecurity.com
% The key modulus size is 1024 bits

% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
R1(config)#
*Dec 16 21:24:16.175: %SSH-5-ENABLED: SSH 1.99 has been enabled
b. Publique el comando ip ssh versión 2 de forzar el uso de SSH versión 2.

R1(config)# ip ssh version 2
R1(config)# exit
Nota: Los detalles de los métodos de cifrado se tratan en el Capítulo 7.
Step 6: Verifique la configuración SSH.

a. Utilice el comando show ip ssh de ver las configuraciones actuales.
R1# show ip ssh
b. Rellene la siguiente información basada en la salida del comando show ip ssh.

Versión SSH habilitada: _________________________
Tiempo de espera de autenticación: ___________________
Reintentos de autenticación: ___________________
Step 7: Configure los tiempos de espera SSH y los parámetros de autenticación.

Los tiempos de espera y los parámetros de autenticación predeterminados de SSH se pueden modificar para
que sean más restrictivos mediante los siguientes comandos.
R1(config)# ip ssh time-out 90
R1(config)# ip ssh authentication-retries 2
Step 8: Guarde la configuración en ejecución en la configuración de inicio.

R1# copy running-config startup-config
Task 5: Investigue el cliente de emulación de terminal Software y configure el cliente

SSH.
Step 1: Investigue el software cliente de emulación de terminal.

Realice una búsqueda web de software cliente de emulación de terminal freeware, como TeraTerm o
PuTTy. ¿Cuáles son algunas de las capacidades de cada una?
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
Step 2: Instale un cliente SSH en PC-A y PC-C.

a. Si el cliente SSH aún no está instalado, descargue TeraTerm o PuTTY.
b. Guarde la aplicación en el escritorio.
Nota:El procedimiento descrito aquí es para PuTTY y pertenece a PC-A.
Step 3: Verifique la conectividad SSH al R1 del PC-A.

a. Inicie PuTTY haciendo doble clic en el icono .exe masilla.
b. Introduzca la dirección IP R1 F0/1 1 192.168.1.1 en el campo Nombre de host (odirección IP).
c. Verifique que el botón de radio SSH esté seleccionado.
d. Haga clic en Abrir.

e. En la ventana Alerta de seguridad de PuTTY, haga clic en Sí.
f. Ingrese el nombre de usuario admin y la contraseña cisco12345 en la ventana putty.
g. En el prompt exec con privilegios R1, ingrese el comando show users .

R1# show users
¿Qué usuarios están conectados al router R1 en este momento?

____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
h. Cierre la ventana de sesión de PuTTY SSH.

i. Intente abrir una sesión Telnet a su router desde PC-A. ¿Pudiste abrir la sesión telnet? Explícale.
____________________________________________________________________________________
____________________________________________________________________________________
j. Abra una sesión de PuTTY SSH al router del PC-A. Ingrese el usuario01 nombre de usuario y
contraseña user01pass en la ventana putty para intentar conectar para un usuario que no tiene el nivel
de privilegio de 15.
Si pudo iniciar sesión, ¿cuál fue el mensaje?
____________________________________________________________________________________
____________________________________________________________________________________
k. Utilice el comando enable para entrar en el modo EXEC del privilegio y ingrese la contraseña secreta
del permiso cisco12345.
Task 6: Configure un servidor SCP en el R1.

Ahora que el SSH se configura en el router, configure al router R1 como servidor de la copia segura(SCP).
Step 1: Utilice la autenticación AAA y los valores predeterminados de la autorización en el R1.

Fije los valores predeterminados de autenticación y autorización AAA en el R1 para utilizar la base de datos
local para los inicios de sesión.
Nota:SCP requiere que el usuario tenga acceso de nivel de privilegio 15.
a. Habilite aaa en el router.
R1(config)# aaa new-model
b. Utilice el comando aaa authentication de utilizar la base de datos local como método de
autenticación de inicio de sesión predeterminado.
R1(config)# aaa authentication login default local
c. Utilice el comando aaa authorization de utilizar la base de datos local como autorización de comando
predeterminada.
R1(config)# aaa authorization exec default local
d. Habilite el servidor SCP en el r1.

R1(config)# ip scp server enable
Nota: Aaa está cubierto en el Capítulo 3.
Step 2: Copie la configuración en ejecución en R1 para parpadear.

El servidor SCP permite copiar archivos desde y hacia el flash de un router. En estepaso, creará una copia
de la configuración en ejecución en R1 para flashear. A continuación, utilizará SCP para copiar ese archivo
en R3.
a. Guarde la configuración en ejecución en R1 en un archivo en flash llamado R1-Config.
R1# copy running-config R1-Config
b. Compruebe que el nuevo archivo R1-Config está en flash.

R1# show flash
-#- --length-- -----date/time------ path
1 75551300 Feb 16 2015 15:19:22 +00:00 c1900-universalk9-mz.SPA.154-3.M2.bin
2 1643 Feb 17 2015 23:30:58 +00:00 R1-Config
181047296 bytes available (75563008 bytes used)
Step 3: Utilice el comando SCP en el R3 para extraer el archivo de configuración del R1.
a. Utilice SCP para copiar el archivo de configuración que creó en Paso 2a a R3.
R3# copy scp: flash:
Address or name of remote host []? 10.1.1.1
Source username [R3]? admin
Source filename []? R1-Config
Destination filename [R1-Config]? [Enter]
Password: cisco12345
!
2007 bytes copied in 9.056 secs (222 bytes/sec)
b. Compruebe que el archivo se ha copiado en el flash de R3.

R3# show flash
-#- --length-- -----date/time------ path
1 75551300 Feb 16 2015 15:21:38 +00:00 c1900-universalk9-mz.SPA.154-3.M2.bin
2 1338 Feb 16 2015 23:46:10 +00:00 pre_autosec.cfg
3 2007 Feb 17 2015 23:42:00 +00:00 R1-Config
181043200 bytes available (75567104 bytes used)
c. Publique el comando más para ver el contenido del archivo R1-Config.

R3# more R1-Config
!
version 15.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
<Output omitted>
!
end
Step 4: Guarde la configuración.

Guarde la configuración en ejecución en la configuración de inicio desde la solicitud EXEC con privilegios.
R1# copy running-config startup-config
Part 3: Configurar funciones administrativas

En la Parte 3 de este laboratorio, usted:
 Cree varios rolesadministrativos, o vistas, en los routers R1 y R3.
 Conceda a cada vista privilegios variables.
 Verifique y contraste las vistas.
La característica de acceso CLI basada en roles permite al administrador de red definir las vistas, que son un
conjunto de comandos operativos y capacidades de configuración que proporcionan acceso selectivo o
parcial a los comandos cisco IOS EXEC y configuration (config) mode. Las vistas restringen el acceso del
usuario al Cisco IOS CLI y a la información de configuración. Una vista puede definir qué comandos se
aceptan y qué información de configuración está visible.
Nota:Realice todas las tareas en R1 y R3. Los procedimientos y la salida para el R1 se muestran aquí.
Task 1: Habilite la vista raíz en R1 y R3.

Si un administrador desea configurar otra vista al sistema, el sistema debe estar en vista raíz. Cuando un
sistema está en vista raíz, el usuario tiene los mismos privilegios de acceso que un usuario que tiene
privilegios de nivel 15, pero el usuario de vista raíz también puede configurar una nueva vista y agregar o
quitar comandos de la vista. Cuando usted está en una vista cli, usted tiene acceso solamente a los
comandos que han sido agregados a esa vista por el usuario de la vista raíz.
Step 1: Habilite aaa en el router R1.

Para definir vistas, asegúrese de que aaa se habilitó con el comando aaa new-model en la parte 2.
Step 2: Habilite la vista raíz.

Utilice el comando enable view para habilitar la vista raíz. Utilice la contraseña secreta del permiso
cisco12345. Si el router no tiene una contraseña secreta de permiso, cree una ahora.
R1# enable view
Task 2: Cree nuevas vistas para los roles Admin1, Admin2 y Tech en R1 y R3.
Step 1: Cree la vista admin1, establezca una contraseña y asigneprivilegios.

a. El usuario admin1 es el usuario de nivel superior abajo raíz que se permite acceder a este router.
Tiene la mayor autoridad. El usuario admin1 puede utilizar todos los comandos show, configy debug.
Utilice el siguiente comando para crear la vista admin1 mientras está en la vista raíz.
R1(config)# parser view admin1
R1(config-view)#
Nota: Para eliminar una vista, utilice el comando no parser view viewname.
b. Asocie la vista admin1 con unacontraseñan cifrada.

R1(config-view)# secret admin1pass
R1(config-view)#
c. Revise los comandos que se pueden configurar en lavista dmin1. Use los comandos ? para ver los
comandos disponibles. Acontinuación se muestra una lista parcial de los comandos disponibles.
R1(config-view)# commands ?
RITE-profile Router IP traffic export profile command mode
RMI Node Config Resource Policy Node Config mode
RMI Resource Group Resource Group Config mode
RMI Resource Manager Resource Manager Config mode
RMI Resource Policy Resource Policy Config mode
SASL-profile SASL profile configuration mode
aaa-attr-list AAA attribute list config mode
aaa-user AAA user definition
accept-dialin VPDN group accept dialin configuration mode
accept-dialout VPDN group accept dialout configuration mode
address-family Address Family configuration mode
<output omitted>
d. Agregue todos los comandos config, showy debug a la vista admin1 y, a continuación, salga del
modo de configuración de la vista.
R1(config-view)# commands exec include all show
R1(config-view)# commands exec include all config terminal
R1(config-view)# commands exec include all debug
R1(config-view)# end
e. Compruebe la vista admin1.

R1# enable view admin1
Password: admin1pass
R1# show parser view

Current view is ‘admin1’
f. Examine los comandos disponibles en la vista admin1.

R1# ?
Exec commands:
<0-0>/<0-4> Enter card slot/sublot number
configure Enter configuration mode
debug Debugging functions (see also 'undebug')
do-exec Mode-independent "do-exec" prefix support
enable Turn on privileged commands
exit Exit from the EXEC
show Show running system
Nota:Puede haber más comandos EXEC disponibles de los que se muestran. Esto dependede su
dispositivo y de la imagen de IOS utilizada.
g. Examine los comandos show disponibles en la vista admin1.
R1# show ?
aaa Show AAA values
access-expression List access expression
access-lists List access lists
acircuit Access circuit info
adjacency Adjacent nodes
aliases Display alias commands
alignment Show alignment information
appfw Application Firewall information
archive Archive functions
arp ARP table
<output omitted>
Step 2: Cree la vista admin2, establezca una contraseña y asigneprivilegios.

a. El usuario admin2 es un administrador junior en el entrenamiento que se le permite ver todas las
configuraciones, pero no se le permite configurar el Routers o utilizar los comandos debug.
b. Utilice el comando enable view de habilitar la vista raíz, y ingrese la contraseña secreta del permiso
cisco12345.
R1# enable view
c. Utilice el siguiente comando para crear la vista admin2.

R1(config)# parser view admin2
R1(config-view)#
d. Asocie admin2 view a una contraseña.

R1(config-view)# secret admin2pass
R1(config-view)#
e. Agregue todos los comandos show a la vistay, a continuación, exit del modo de configuración de la
vista.
R1(config-view)# commands exec include all show
f. Verifique la vista admin2.

R1# enable view admin2
Password: admin2pass

Current view is ‘admin2’
g. Examine los comandos disponibles en la vista admin2.

R1# ?
Exec commands:
show Show running system information
Nota:Puede haber máscomandosE XEC disponibles de los que se muestran. Esto dependede su
¿Qué falta en la lista de comandos admin2 que está presente en los comandos admin1?
____________________________________________________________________________________
Step 3: Cree la vista tecnológica, establezca una contraseña y asigneprivilegios.

a. El usuario técnico normalmente instala dispositivos de usuario final y cableado. Los usuarios
tecnológicos solo pueden utilizar los comandos show seleccionados.
b. Utilice el comando enable view de habilitar la vista raíz, y ingrese la contraseña secreta del permiso
cisco12345.
R1# enable view
c. Utilice el siguiente comando para crear la vista de tecnología.

R1(config)# parser view tech
R1(config-view)#
d. Asocie la vista de tecnología con una contraseña.

R1(config-view)# secret techpasswd
R1(config-view)#
e. Agregue los siguientes comandos show a la vista y, a continuación, exit del modo de configuración
de la vista.
R1(config-view)# commands exec include show version
R1(config-view)# commands exec include show interfaces
R1(config-view)# commands exec include show ip interface brief
R1(config-view)# commands exec include show parser view
f. Verifique la vista de tecnología.

R1# enable view tech
Password: techpasswd

Current view is ‘tech’
g. Examine los comandos disponibles en la vista de tecnología.

R1# ?
Exec commands:
show Show running system information
h. Examine los comandos show disponibles en la vista de tecnología.
R1# show ?
banner Display banner information
flash0: display information about flash0: file system
flash1: display information about flash1: file system
flash: display information about flash: file system
interfaces Interface status and configuration
ip IP information
parser Display parser information
usbflash0: display information about usbflash0: file system
version System hardware and software status
i. Publique el comando show ip interface brief. ¿Fue capaz de hacerlo como usuario de tecnología?
Explícale.
____________________________________________________________________________________
____________________________________________________________________________________
j. Publique el comando show ip route. ¿Fue capaz de hacerlo como usuario de tecnología?
____________________________________________________________________________________
____________________________________________________________________________________
k. Vuelva a la vista raíz con el comando enable view.
R1# enable view
l. Publique el comando show run de ver las vistas que usted creó. Para la vista de tecnología, ¿por qué
se enumeran los comandos show y show ip, así como show ip interface y show ip interface brief?
____________________________________________________________________________________
____________________________________________________________________________________
Step 4: Guarde la configuración en los routers R1 y R3.

Guarde la configuración en ejecución en la configuración de inicio desde la solicitud EXEC con privilegios.
Reflexión
1. Explicar la importancia de asegurar el acceso del router y supervisar los dispositivos de red.
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
2. ¿Qué ventajas tiene SSH sobre Telnet?
_______________________________________________________________________________________
_______________________________________________________________________________________
3. ¿Porque es mejor tener servidores de registro centralizados en lugar de tener el Routers sólo registrar
localmente?
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
Tabla de resumen de la interfaz del router
Resumen de la interfaz del router
Modelo de Interfaz Ethernet #1 Interfaz Ethernet #2 Interfaz serial #1 Interfaz serial #2

router
1800 Fast Ethernet 0/0 Fast Ethernet 0/1 Serie 0/0/0 (S0/0/0) Serie 0/0/1 (S0/0/1)
(F0/0) (F0/1)
1900 Gigabit Ethernet 0/0 Gigabit Ethernet 0/1 Serie 0/0/0 (S0/0/0) Serie 0/0/1 (S0/0/1)
(G0/0) (G0/1)
2801 Fast Ethernet 0/0 Fast Ethernet 0/1 Serie 0/1/0 (S0/1/0) Serie 0/1/1 (S0/1/1)
(F0/0) (F0/1)
2811 Fast Ethernet 0/0 Ethernet rápido 0/1 Serie 0/0/0 (S0/0/0) Serie 0/0/1 (S0/0/1)
(F0/0) (F0/1)
2900 Gigabit Ethernet 0/0 Gigabit Ethernet 0/1 Serie 0/0/0 (S0/0/0) Serie 0/0/1 (S0/0/1)
(G0/0) (G0/1)
Nota: Para averiguar cómo se configura al router, mire las interfaces para identificar el tipo de router y cuántas
interfaces tiene el router. No hay manera de enumerar eficazmente todas las combinaciones de configuraciones
para cada clase de router. Esta tabla incluye identificadores para las combinaciones posibles de Ethernet e
interfaces seriales en el dispositivo. La tabla no incluye ningún otro tipo de interfaz, aunque un router específico
pueda contener uno. Un ejemplo de esto podría ser una interfaz BRI ISDN. La cadena entre paréntesis es la
abreviatura legal que se puede utilizar enlas comas del Cisco IOS para representar lainterfaz.

Laboratorio Sesion2 Ccnasecurity

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Laboratorio Sesion2 Ccnasecurity

Cargado por

Copyright:

Formatos disponibles

Seguridad del CCNA

Laboratorio - Asegurar el router para el acceso administrativo

Nota:Los dispositivos ISR G1 utilizan interfaces FastEthernet en lugar de interfaces GigabitEthernet.

G0/1 192.168.1.1 255.255.255.0 N/A S1 F0/5

 Realice los cambios al router y supervise los resultados de Syslog en el PC.

Part 1: Configurar la configuración básica del dispositivo

Step 1: Cablee la red.

Step 2: Configure los ajustes básicos para cada router.

Step 3: Configure el ruteo OSPF en el Routers.

c. Configure el OSPF en el r2 y el r3.

R3(config)# router ospf 1

Step 4: Verifique los vecinos OSPF y la información de ruteo.

Neighbor ID Pri State Dead Time Address Interface

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

Gateway of last resort is not set

10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks

Step 5: Configure los ajustes ip del host del PC.

Step 6: Verifique la conectividad entre pc-A y PC-C.

Step 7: Guarde la configuración básica de funcionamiento para cada router.

Part 2: Control de acceso administrativo para routers

 Configure un servidor SSH en R1.

Task 1: Configure y cifre contraseñas en los routers R1 y R3.

Step 2: Configure la contraseña secreta de la habilitación.

Cuando configuró la contraseña para la línea de consola, ¿qué mensaje se mostró?

Step 4: Cifre las contraseñas de texto sin cifrar.

Task 2: Configure un banner de advertencia de inicio de sesión en los routers R1 y R3.

b. Publique el comando show run. ¿A qué se convierte el $ en la salida?

Task 3: Configure la seguridad mejorada de la contraseña del nombre de usuario en los

Step 1: Investigue las opciones para el comando username.

b. Salga del modo de configuración global y guarde la configuración.

Step 3: Pruebe la nueva cuenta iniciando sesión en la consola.

c. Del PC-A, telnet a R1 otra vez.

¿Se le pidió una cuenta de usuario? Explícale.

g. Termine la sesión Telnet con el comando exit.

Task 4: Configure el servidor SSH en el router R1 y elr3.

Step 1: Configure un nombre de dominio.

Nota:Los nombres de usuario no distinguen entre mayúsculas y minúsculas de forma predeterminada.

Step 3: Configure las líneas vty entrantes.

Step 4: Borre los pares de claves existentes en el router.

Step 5: Genere el par de claves de cifrado RSA para el router.

% The key modulus size is 1024 bits

b. Publique el comando ip ssh versión 2 de forzar el uso de SSH versión 2.

Nota: Los detalles de los métodos de cifrado se tratan en el Capítulo 7.

Step 6: Verifique la configuración SSH.

b. Rellene la siguiente información basada en la salida del comando show ip ssh.

Step 7: Configure los tiempos de espera SSH y los parámetros de autenticación.

Step 8: Guarde la configuración en ejecución en la configuración de inicio.

Task 5: Investigue el cliente de emulación de terminal Software y configure el cliente

Step 1: Investigue el software cliente de emulación de terminal.

Step 2: Instale un cliente SSH en PC-A y PC-C.

Step 3: Verifique la conectividad SSH al R1 del PC-A.

c. Verifique que el botón de radio SSH esté seleccionado.

d. Haga clic en Abrir.

g. En el prompt exec con privilegios R1, ingrese el comando show users .

¿Qué usuarios están conectados al router R1 en este momento?

h. Cierre la ventana de sesión de PuTTY SSH.

Task 6: Configure un servidor SCP en el R1.

Step 1: Utilice la autenticación AAA y los valores predeterminados de la autorización en el R1.

d. Habilite el servidor SCP en el r1.

Nota: Aaa está cubierto en el Capítulo 3.

Step 2: Copie la configuración en ejecución en R1 para parpadear.

b. Compruebe que el nuevo archivo R1-Config está en flash.

181047296 bytes available (75563008 bytes used)