InstructivonActividadndenapropiacinnnn3 44618c3af255229

CENTRO DE GESTIÓN Y DESARROLLO SOSTENIBLE
SURCOLOMBIANO
INSTRUCTIVO PARA LA EJECUCIÓN DE LA FPI
TECNÓLOGO EN GESTIÓN DE REDES DE DATOS

ID 2186843
Competencia: 220501014-Administrar hardware y software de seguridad en la red a partir

de normas internacionales.
Resultado de Aprendizaje: Implementar el plan de seguridad en la organización aplicando
estándares y normas internacionales de seguridad vigentes.
Actividad de Aprendizaje 2: Implementar seguridad en dispositivos Cisco y

routerboard mikrotik
Presentación
En Cisco IOS tiene múltiples formas de asegurar el acceso a los dispositivos Cisco como
router, switches, AP, etc.
Además, hay algunos pasos simples que se deben seguir que se aplican a la mayoría de los
sistemas operativos:
Los nombres de usuario y contraseñas predeterminados deben cambiarse de inmediato.
El acceso a los recursos del sistema debe restringirse solo a las personas que están
autorizadas a usar esos recursos.
Todos los servicios y aplicaciones innecesarios deben apagarse y desinstalarse cuando sea
posible.
A menudo, los dispositivos enviados por el fabricante han estado almacenados en un

almacén durante un período de tiempo y no tienen instalados los parches más actualizados.
Es importante actualizar cualquier software e instalar cualquier parche de seguridad antes
de la implementación.
Contraseñas
Para proteger los dispositivos de red, es importante utilizar contraseñas seguras. Aquí hay
pautas estándar a seguir:
Usa una contraseña de al menos ocho caracteres, preferiblemente 10 o más caracteres.

Una contraseña más larga es una contraseña más segura.
Realiza las contraseñas complejas. Incluye una combinación de letras mayúsculas y

minúsculas, números, símbolos y espacios, si está permitido.
Documento no Controlado FPI-FO-01 - V 1

SURCOLOMBIANO
Evita las contraseñas basadas en la repetición, palabras comunes del diccionario,

secuencias de letras o números, nombres de usuario, nombres relativos o de mascotas,
información biográfica, como fechas de nacimiento, números de identificación, nombres de
antepasados u otra información fácilmente identificable.
Cambia las contraseñas con frecuencia. Si una contraseña se ve comprometida sin saberlo,
la oportunidad para que el actor de la amenaza use la contraseña es limitada.
No escribe las contraseñas y las deje en lugares obvios, como en el escritorio o el monitor.
En los routers Cisco, los espacios iniciales se ignoran para las contraseñas, pero los
espacios después del primer carácter no. Por lo tanto, un método para crear una contraseña
segura es usar la barra espaciadora y crear una frase compuesta de muchas palabras. Esto
se llama una frase de contraseña. Una frase de contraseña suele ser más fácil de recordar
que una contraseña simple. También es más largo y más difícil de adivinar.
Seguridad de Contraseña Adicional
Las contraseñas seguras solo son útiles si son secretas. Hay varios pasos que se pueden
tomar para ayudar a garantizar que las contraseñas permanezcan secretas en un Router y
Switch Cisco, incluidas estas:
 Cifrar todas las contraseñas de texto sin formato

 Establecer una longitud de contraseña mínima aceptable
 Disuadir ataques de adivinación de contraseña de fuerza bruta
 Deshabilitar un acceso inactivo al modo EXEC privilegiado después de un período de
tiempo especificado.

SURCOLOMBIANO
Como se muestra en la configuración de muestra, el comando de configuración global

service password-encryption evita que personas no autorizadas vean contraseñas de
texto sin formato en el archivo de configuración. Este comando encripta todas las
contraseñas de texto sin formato. Observa en el ejemplo que la contraseña «cisco» se ha
cifrado como «03095A0F034F«.
Para garantizar que todas las contraseñas configuradas son un mínimo de una longitud
especificada, utiliza el comando security passwords min-length longitud en el modo de
configuración global. En el ejemplo, cualquier contraseña nueva configurada debería tener
una longitud mínima de ocho caracteres.
Los actores de amenazas pueden usar un software para descifrar contraseñas para llevar a
cabo un ataque de fuerza bruta en un dispositivo de red.
Autenticación de usuarios
Se recomienda tener una base de datos local en el router con los nombres de los usuarios y
contraseñas que pueden acceder a la configuración del router. Pueden utilizarse dos
comandos: username _ secret _ o username_ password _. El comando login local en la
configuración de línea habilita la base de datos local para la autenticación.

SURCOLOMBIANO
Ejemplo:
username tula1 secret passusertula1

line con 0
login local
Comando login block-for
El comando login block- for # attempts # swithin permite aumentar la seguridad del router
ya que automáticamente bloquea nuevos intentos de inicio de sesión que pudieran ser
resultado de un ataque de fuerza bruta o de “diccionario”. Habilitando esta opción, login
block-for seconds attempts tries within seconds, y tras varios intentos fallidos de conexión
detectados se activarán periodos de calma para proteger el router de un ataque de
denegación de servicio.
Ejemplo:
login block-for 15 attempts 5within 60
Los intentos de conexión legítima son permitidos en el periodo de calma a través de la

configuración de listas de acceso, direcciones IP asociadas al administrador del sistema: ip
access-list standard administrator.
Ejemplo:
ip access-list standard admin
permit 192.168.10.10
Retraso en inicio de sesión
El comando login delay seconds igualmente permite proteger al router de ataques de

denegación de servicio ya que configura un tiempo de retraso entre los intentos sucesivos
de inicio de sesión.
Ejemplo:
login delay 10
Los administradores de red pueden distraerse y accidentalmente dejar abierta una sesión de
modo EXEC privilegiado en un terminal. Esto podría permitir que un actor interno de
amenazas acceda a cambiar o borrar la configuración del dispositivo.
Por defecto, los routers Cisco cerrarán sesión en una sesión EXEC después de 10 minutos
de inactividad. Sin embargo, puede reducir esta configuración utilizando el comando de
configuración de línea exec-timeout minutos segundos. Este comando puede aplicarse a
las líneas de consola, auxiliares y vty. En el ejemplo, le estamos diciendo al dispositivo
Cisco que desconecte automáticamente a un usuario inactivo en una línea vty después de
que el usuario haya estado inactivo durante 5 minutos y 30 segundos.

SURCOLOMBIANO
Comando banner login # banner#
Permite configurar un mensaje de entrada para todas terminales conectadas. Ejemplo:

banner login #BIENVENIDO#
Comando banner motd #banner#
Banner motd configura y permite el envío de mensajes que afectan a los usuarios de la red.
Ejemplo:
banner motd #VIERNES 5 DE NOVIEMBRE, JUNTA DE DEPARTAMENTO#
Configurar acceso remoto seguro
Para configurar un acceso remoto seguro debe seguirse este procedimiento:
Revisar que el router tenga una versión que soporte SSH2 (superior a k8)
Para obtener este dato, (# show version)
Revisar que los routers tengan un nombre único

Usar el comando show run para verificarlo.
Configurar un mismo nombre de dominio para la red
El comando ip domain-name name define un nombre de dominio que se utiliza para

nombres de host no cualificados.
Ejemplo:
ip domain-name yamboro.edu
Generar claves
Crypto key generate rsa permite generar una llave RSA3 en el modo de configuración
global. Se sugiere elegir 1024 bits.
Configurar versión SSH

Ejemplo:
ip ssh versión 2
Elegir línea de conexión y habilitar protocolo
Una vez elegida la línea de conexión, el comando transport input definirá qué protocolo será
usado para conectar la línea específica del router.

SURCOLOMBIANO
Ejemplo:
line vty 0 15
transport input SSH
Para acceder remotamente puede tomarse en cuenta el ejemplo siguiente:
ssh -l usuariossh IP del equipo donde se quiere ingresar.
Establecida la conexión, deberá ingresarse la contraseña del usuario.
Habilitar SSH
Telnet simplifica el acceso a dispositivos remotos, pero no es seguro. Los datos contenidos
en un paquete Telnet se transmiten sin cifrar. Por esta razón, se recomienda
encarecidamente habilitar Secure Shell (SSH) en dispositivos para acceso remoto seguro.
Es posible configurar un dispositivo Cisco para admitir SSH mediante los siguientes seis
pasos:
1. Configurar un nombre de host de dispositivo único. Un dispositivo debe tener un

nombre de host único que no sea el predeterminado.
2. Configurar el nombre de dominio IP. Configura el nombre de dominio IP de la red
mediante el comando del modo de configuración global ip-domain name.
3. Genera una clave para encriptar el tráfico SSH. SSH cifra el tráfico entre el origen y
el destino. Sin embargo, para hacerlo, se debe generar una clave de autenticación
única utilizando el comando de configuración global crypto key generate rsa
general-keys modulus bits. Los bits de módulo determinan el tamaño de la clave y
se pueden configurar de 360 bits a 2048 bits. Cuanto mayor sea el valor de bit, más
segura será la clave. Sin embargo, los valores de bits más grandes también tardan
más en cifrar y descifrar información. La longitud mínima recomendada del módulo
es de 1024 bits.
4. Verifica o crea una entrada de base de datos local. Cree una entrada de nombre de
usuario de la base de datos local utilizando el comando de configuración global de
nombre de usuario. En el ejemplo, el parámetro secret se usa para que la
contraseña se cifre con MD5.
5. Autenticar contra la base de datos local. Usa el comando de configuración de línea
login local para autenticar la línea vty en la base de datos local.
6. Habilitar las sesiones vty SSH entrantes. Por defecto, no se permite ninguna sesión
de entrada en las líneas vty. Puedes especificar múltiples protocolos de entrada,
incluidos Telnet y SSH, utilizando el comando transport input [ssh | telnet].
Como se muestra en el ejemplo, el Router R1 está configurado en el dominio span.com.

Esta información se usa junto con el valor de bit especificado en el comando crypto key

SURCOLOMBIANO
generate rsa general-keys modulus para crear una clave de cifrado.
A continuación, se crea una entrada de base de datos local para un usuario llamado Bob.
Finalmente, las líneas vty están configuradas para autenticarse en la base de datos local y
para aceptar solo sesiones SSH entrantes.
Deshabilitar Servicios No Utilizados
Los routers y switches de Cisco comienzan con una lista de servicios activos que pueden o
no ser necesarios en su red. Desactive los servicios no utilizados para preservar los
recursos del sistema, como los ciclos de CPU y la RAM, y evite que los actores de
amenazas exploten estos servicios. El tipo de servicios que están activados de manera
predeterminada variará según la versión del IOS. Por ejemplo, IOS-XE generalmente solo
tendrá abiertos los puertos HTTPS y DHCP. Puedes verificar esto con el comando show ip
ports all, como se muestra en el ejemplo.

SURCOLOMBIANO
Las versiones de IOS anteriores a IOS-XE usan el comando show control-plane host open-
ports. Mencionamos este comando porque puedes verlo en dispositivos más antiguos. La
salida es similar. Sin embargo, ten en cuenta que este Router anterior tiene un servidor
HTTP inseguro y Telnet en ejecución. Ambos servicios deben estar deshabilitados. Como se
muestra en el ejemplo, deshabilita HTTP con el comando de configuración global no ip http
server. Deshabilita Telnet especificando solo SSH en el comando de configuración de línea,
transport input ssh.
Niveles de acceso
La línea de comando de Cisco CLI (Command line interface) utiliza niveles jerárquicos de
acceso, que son modo EXEC usuario y modo EXEC privilegiado.
Por defecto, no se requiere autenticación. Si conecta un cable de consola Cisco a nuestro

switch o router, esto es lo que sucede:
Switch con 0 is now available

Press RETURN to get started.
Switch>

SURCOLOMBIANO
Una vez que presionamos el botón Intro de nuestro teclado, terminamos en el modo de
usuario de inmediato. No hay contraseña ni nada. Lo mismo se aplica al modo enable:
Switch>enable
Switch#
El acceso a modo privilegiado podemos bloquearla utilizando una clave encriptada por
medio del siguiente comando.
Switch(config)# enable secret [clave]
Seguridad del modo de usuario
Clave simple:
La opción más simple para proteger el modo de usuario es agregar una contraseña, como
sigue:
Switch(config)#line console 0
Switch(config-line)#password cisco
Switch(config-line)#login
Username y Password:
En lugar de una sola contraseña, también es posible usar nombres de usuario y

contraseñas. Esta es una mejor opción, si tenemos varias personas que necesitan acceder
a un switch o router. Aquí se explica cómo hacer esto:
Switch(config)#line console 0
Switch(config-line)#login local
Switch(config-line)#exit
Switch(config)#username admin privilege 15 secret adminpass
Nivel de privilegio 15: incluye todos los comandos de nivel de habilitación en la petición de
entrada router#.
El comando “login local” le indica al switch que consulte una base de datos local de nombres
de usuarios y contraseñas.
El comando “username [user] privilege [nivel] secret [clave]”, indica el nombre del usuario, el
nivel de privilegio del usuario y una clave secreta encriptada.
Cisco IOS permite configurar 16 niveles de usuario diferente (0 a 15).

SURCOLOMBIANO
Usuario nivel 0 – Sólo accede a modo usuario.
Usuario nivel 1 a 14 – Se pueden asignar diferentes comandos para cada nivel.
Usuario nivel 15 – Acceso a modo privilegiado completo.
La próxima vez que abra la consola, esto es lo que ve:
Switch con0 is now available

Press RETURN to get started.
User Access Verification
Username: admin
Password:
Switch>
Para configurar el servicio SSH en shwitch cisco primero se debe adicionar una dirección IP
a la interfaz de vlan que se desee para el caso de estudio se va a trabajar con la vlan 1 que
es al de defecto que viene configurada en todos los dispositivos capa 2.
Problema
Se recomienda que todos los dispositivos de red se configuren, al menos, con un conjunto
mínimo de comandos de seguridad conforme a las prácticas recomendadas. Esto incluye
dispositivos para usuarios finales, servidores y dispositivos de red, como routers y switches.
En esta práctica de laboratorio, configurará los dispositivos de red en la topología a fin de

que acepten sesiones de SSH para la administración remota. También utilizará la CLI del
IOS para configurar medidas de seguridad básicas conforme a las prácticas recomendadas.
Luego, probará las medidas de seguridad para verificar que estén implementadas de
manera apropiada y que funcionen correctamente.
Nota: los routers que se utilizan en las prácticas de laboratorio de son Cisco 2901, switches
que se utilizan son Cisco Catalyst 2960s con Cisco IOS versión 15.0(2) (imagen de
lanbasek9). Pueden utilizarse otros routers, switches y versiones de Cisco IOS. Según el
modelo y la versión de Cisco IOS, los comandos disponibles y los resultados obtenidos
pueden diferir de los que se muestran en las prácticas de laboratorio.
Nota: asegúrese de que los routers y los switches se hayan borrado y no tengan
configuraciones de inicio. Si no está seguro, consulte con el instructivo suministrado.

SURCOLOMBIANO
Recursos necesarios
 1 router Cisco 2901

 2 switch Cisco 2960 con Cisco IOS, versión 15.0(2)
 PC (Windows 7, 8 o 10 con un programa de emulación de terminal, por ejemplo,
putty)
 Cliente SSH por ejempolo WInSCP
 1 servidor web para validar la conectividad con xammp como servidor web.
 Cables de consola para configurar los dispositivos Cisco IOS mediante los puertos
de consola
 Cables Ethernet, como se muestra en la topología.
Acorde a la topología anterior usted debe configurar conectividad entre todos los
dispositivos.
Datos router
 Nombre: RO-1
 G0/0 IP 192.168.0.1
 G0/1 IP 192.168.10.1
 Configurar clave de acceso enable secret cisco1
 Dominio yamboro.edu
 Crypto key 1024
 Configurar SSH v2 usuario routerssh clave cisco

SURCOLOMBIANO
Datos switch1
 Nombre: SW-1
 IP 192.168.0.2 interfaz vlan 1
 Default-gateway 192.168.0.1
 Crypto key 1024
 Configurar SSH v2 usuario sw1ssh clave cisco
Datos switch2
 Nombre: SW-2
 IP 192.168.10.2 interfaz vlan 1
 Default-gateway 192.168.10.1
 Crypto key 1024
 Configurar SSH v2 usuario sw1ssh clave cisco
///configuraciones
Router
Building configuration...
Current configuration : 1099 bytes

!
version 15.1
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname RO-1
!
login block-for 120 attempts 3 within 20
!
!
enable secret 5 $1$mERr$q.MA2tj.WFptzvbifq/1i.
enable password cisco
!

SURCOLOMBIANO
!
!
!
!
!
ip cef
no ipv6 cef
!
!
!
username routerssh privilege 15 secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0
!
!
license udi pid CISCO2901/K9 sn FTX1524SQ4L-
!
!
!
!
!
!
!
!
!
ip ssh version 2
!
!
spanning-tree mode pvst
!
!
!
!
!
!
interface GigabitEthernet0/0
ip address 192.168.0.1 255.255.255.0
duplex auto
speed auto
!
ip address 192.168.10.1 255.255.255.0
duplex auto
speed auto

SURCOLOMBIANO
!
interface Vlan1
no ip address
shutdown
!
ip classless
!
ip flow-export version 9
!
!
ip access-list extended sl_def_acl
deny tcp any any eq telnet
deny tcp any any eq www
deny tcp any any eq 22
permit tcp any any eq 22
!
!
!
!
!
!
line con 0
password pws
login
!
line aux 0
!
line vty 0 4
login local
transport input ssh
line vty 5 15
login local
transport input ssh
!
!
!
end
///configuración switch
Building configuration...

SURCOLOMBIANO
Current configuration : 1410 bytes

!
version 15.0
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname SW-1
!
enable secret 5 $1$mERr$q.MA2tj.WFptzvbifq/1i.
enable password cisco
!
!
!
ip ssh version 2
!
username usuariossh secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0
!
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!
interface FastEthernet0/1
!
!
!
!
!
!
!
!
!

SURCOLOMBIANO
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface Vlan1
ip address 192.168.0.2 255.255.255.0
!
ip default-gateway 192.168.0.1
!
!
!
!
line con 0

SURCOLOMBIANO
password cisco
login
!
line vty 0 4
password cisco
login local
transport input ssh
line vty 5 15
password cisco
login local
transport input ssh
!
!
!
!
End
Como segunda practica se debe adecuar una routerboard mikritik en máquina virtual y
realizar las siguientes configuraciones.
 Realizando la configuración de la tarjeta de red modo puente.

 Ingresar con la herramienta winbox a la rb.
 Cambiar el usuario por defecto, desactivando el admin y creando uno nuevo
 Cambiar el puerto de acceso winbox
 Cambiar el puerto de acceso www.
Listado de  Instructivo Actividad implementar seguridad en dispositivos

recursos,
Cisco.
materiales,
equipos,  Equipo de cómputo o dispositivo móvil.
herramientas  Internet
No produce
Desempeñ Conocimien Product
Tipo de Evidencia X entrega de
o to o
evidencia
Producto y Forma
de Entrega Producto: Documento escrito en el procesador de texto Word, que
debe contener una portada de presentación, objetivo y cuerpo del
trabajo que soluciona todas las preguntas planteadas.
Forma de Entrega: Plataforma Territorium, en caso de no poder
acceder a dicha plataforma, puede enviar la evidencia por correo

SURCOLOMBIANO
electrónico o la aplicación de mensajería instantánea WhatsApp

Fecha de Inicio: 10/11/2021
Fecha de Fin: 21/11/2021
Intensidad
/duración
10 horas

InstructivonActividadndenapropiacinnnn3 44618c3af255229

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

InstructivonActividadndenapropiacinnnn3 44618c3af255229

Cargado por

Copyright:

Formatos disponibles

CENTRO DE GESTIÓN Y DESARROLLO SOSTENIBLE

INSTRUCTIVO PARA LA EJECUCIÓN DE LA FPI

TECNÓLOGO EN GESTIÓN DE REDES DE DATOS

Competencia: 220501014-Administrar hardware y software de seguridad en la red a partir

Actividad de Aprendizaje 2: Implementar seguridad en dispositivos Cisco y

Los nombres de usuario y contraseñas predeterminados deben cambiarse de inmediato.

A menudo, los dispositivos enviados por el fabricante han estado almacenados en un

Usa una contraseña de al menos ocho caracteres, preferiblemente 10 o más caracteres.

Realiza las contraseñas complejas. Incluye una combinación de letras mayúsculas y

Documento no Controlado FPI-FO-01 - V 1

INSTRUCTIVO PARA LA EJECUCIÓN DE LA FPI

Evita las contraseñas basadas en la repetición, palabras comunes del diccionario,

Seguridad de Contraseña Adicional

 Cifrar todas las contraseñas de texto sin formato

Documento no Controlado FPI-FO-01 - V 1

INSTRUCTIVO PARA LA EJECUCIÓN DE LA FPI

Como se muestra en la configuración de muestra, el comando de configuración global

Documento no Controlado FPI-FO-01 - V 1

INSTRUCTIVO PARA LA EJECUCIÓN DE LA FPI

username tula1 secret passusertula1

Comando login block-for

Los intentos de conexión legítima son permitidos en el periodo de calma a través de la

ip access-list standard admin

Retraso en inicio de sesión

El comando login delay seconds igualmente permite proteger al router de ataques de

Documento no Controlado FPI-FO-01 - V 1

INSTRUCTIVO PARA LA EJECUCIÓN DE LA FPI

Comando banner login # banner#

Permite configurar un mensaje de entrada para todas terminales conectadas. Ejemplo:

Comando banner motd #banner#

banner motd #VIERNES 5 DE NOVIEMBRE, JUNTA DE DEPARTAMENTO#

Configurar acceso remoto seguro

Para configurar un acceso remoto seguro debe seguirse este procedimiento:

Revisar que los routers tengan un nombre único

Configurar un mismo nombre de dominio para la red

El comando ip domain-name name define un nombre de dominio que se utiliza para

Configurar versión SSH

Elegir línea de conexión y habilitar protocolo

Documento no Controlado FPI-FO-01 - V 1

INSTRUCTIVO PARA LA EJECUCIÓN DE LA FPI

transport input SSH

Para acceder remotamente puede tomarse en cuenta el ejemplo siguiente:

ssh -l usuariossh IP del equipo donde se quiere ingresar.

Establecida la conexión, deberá ingresarse la contraseña del usuario.

1. Configurar un nombre de host de dispositivo único. Un dispositivo debe tener un

Como se muestra en el ejemplo, el Router R1 está configurado en el dominio span.com.

Documento no Controlado FPI-FO-01 - V 1

INSTRUCTIVO PARA LA EJECUCIÓN DE LA FPI

generate rsa general-keys modulus para crear una clave de cifrado.

Deshabilitar Servicios No Utilizados

Documento no Controlado FPI-FO-01 - V 1

INSTRUCTIVO PARA LA EJECUCIÓN DE LA FPI

Por defecto, no se requiere autenticación. Si conecta un cable de consola Cisco a nuestro

Switch con 0 is now available

Documento no Controlado FPI-FO-01 - V 1

INSTRUCTIVO PARA LA EJECUCIÓN DE LA FPI

Switch(config)# enable secret [clave]

Seguridad del modo de usuario

En lugar de una sola contraseña, también es posible usar nombres de usuario y

Switch(config)#username admin privilege 15 secret adminpass

Cisco IOS permite configurar 16 niveles de usuario diferente (0 a 15).

Documento no Controlado FPI-FO-01 - V 1

INSTRUCTIVO PARA LA EJECUCIÓN DE LA FPI