Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Atajos de Teclado
Modos Consola
Modo usuario permite al usuario ver información y verificar el estado del router. no permite
ningún comando que pueda cambiar la configuración del router
Modo privilegiado da acceso a todos los comandos del router. comandos de configuración y
administración requieren que el administrador de red se encuentre en ese modo. Sólo usuarios
autorizados deben tener acceso a los comandos de configuración de router
Modo de configuración global se hacen todos los cambios de configuración que afectan al
sistema para entrar es con configure terminal
Otros Comandos
Banner motd #mensaje#
Traceroute 192.168.5.2 (Trazado de paquetes = seguir las rutas por donde pasa la comunicación)
Enable secret cisco123 (coloca la contraseña en el modo privilegiado [es superior a enable
password])
Configurar interfaz
(config-if) duplex full (modo dúplex completo [enviar y recibir mensajes simultáneamente en la
interfaz – comunicación bidireccional])
mdix auto (configurar automáticamente una interfaz para utilizar un cable directo o cruzado.)
show mac-address-table (MAC de las interfaces directamente conectadas)
SSH
Es importante configurar contraseña en: consola, privilegiado, líneas vty
Configuracion Router
Line vty 0 4
Login local
Default-gateway 192.168.20.1
Line vty 0 15
Login local
Otros Parametros
general-keys modulus 1024 (coloca un par de claves de host RSA en la memoria flash y habilita SSH
en el dispositivo)
Exec-timeout 5 30 (El dispositivo esperara 120 segundos antes de permitir el acceso nuevamente)
DHCP IPv4
Ip dhcp pool Sistemas
Default-router 192.168.10.1
Dns-server 192.168.10.252
Ipv6 unicast-routing (habilitar el routing IPv6 - para que el router origine los mensajes RA ICMPv6)
Se vincula el conjunto de DHCPv6 con la interfaz. El router responde a las solicitudes de DHCPv6
sin estado en esta interfaz con la información incluida en el pool.
ipv6 nd other-config-flag
Otros Parametros
Int g0/0
Ipv6 enable
VLAN
Troncal sirve para que el switch conecte el host con la red VLAN.
Vlan 10
Name Sistemas
Sh vlan
Encapsulation dot1q (encapsula el protocolo IEEE 802.1Q, también conocido como dot1Q que
permite que el router configure enrutamiento IP en una subinterfaz.)
ETHERCHANNEL
Channel-protocol LACP
No switchport (Capa 3)
interface port-channel 1
switchport mode trunk
Ip add 192.168.10.1
Configurar Interfaces
interface vlan 10
int vlan 20
interface GigabitEthernet1/0/6
interface GigabitEthernet1/0/18
Int g0/0
OSPFv4
STP
La prioridad por defecto es: 32768
Spanning-tree vlan vlan-id root secondary (Configurar prioridad a 28678 por si falla el primario)
Show spanning-tree
HSRP
Es la redundancia del primer salto permite tener otra alternativa ante una falla del Gateway
predeterminado asignado uno virtual.
Seguridad
Port-Security
evitar saturación de la table MAC por la herramienta macof
switchport port-security mac-address 0001.96A9.3311 (Configurar MAC estática, solo esa MAC
puede conectarse al Puerto)
show port-security int fa0/1 (verifica que la seguridad del puerto esté habilitada)
Si el switch es reiniciado el puerto tendrá que re-aprender la direccion MAC del dispositivo.
Absoluto - Las direcciones seguras en el puerto se eliminan después del tiempo de caducidad
especificado.
Inactivo - Las direcciones seguras en el puerto se eliminan solo si están inactivas (se vencen solo si
no hay tráfico desde la dirección segura de origen) durante el tiempo de caducidad especificado.
Restrict: El puerto bota los paquetes con direcciones MAC de origen desconocidas hasta que usted
remueva un número suficiente de direcciones MAC seguras para llegar debajo del máximo valor o
incremente el máximo valor Este modo causa que el contador de violación de seguridad
incremente y genere un mensaje syslog.
Protect: No se realiza el tráfico de puertos los paquetes con direcciones MAC de origen
desconocidas hasta que usted remueva un número suficiente de direcciones MAC seguras para
llegar debajo del valor máximo o o incremente el máximo valor No se envía ningún mensaje
syslog.
DHCP indagación
Ataques de Inanición: Gobbler realiza un DoS para realizar un ataque de agotamiento de IP, pero
solo usa una única dirección MAC de origen, entonces puede ser mitigado por bloqueo de puerto y
además Gobbler usa una MAC única
Ataques DHCP de suplantación de identidad: Gobbler configura una MAC de la NIC real como
origen. La MAC seria legitima y se mitiga mediante el uso de detección DHCP
DHCP Snooping
determina si los mensajes de DHCP vienen de una fuente configurada administrativamente como
confiable o no confiable, filtra los mensajes de DHCP y limita la velocidad del tráfico DHCP
viniendo desde fuentes no confiables.
Confiable: Dispositivos que estén bajo su control administrativo, enlaces troncales y puertos
conectados directamente a un servidor DHCP legitimo
No confiable: Cualquier dispositivo más allá del cortafuegos fuera de su red y todos los puertos
de acceso
ip dhcp snooping limit rate (limitar cantidad de paquetes de mensajes de descubrimiento DHCP)
ARP
Se envia una respuesta ARP no solicitada con la MAC del atacante y la IP del gateway. Suplantacion
y envenenamiento por ARP.
DAI (Dinamic ARP inspection) medida de seguridad que valida los paquetes ARP de la red utiliza la
tabla de asociaciones IP-MAC generada por DHCP Snooping.
S1(config)# ip arp inspection validate (configurar DAI para descartar paquetes ARP cuando las
direcciones IP no son válidas)
S1(config)# ip arp inspection validate src-mac
S1(config)# ip arp inspection validate dst-mac
S1(config)# ip arp inspection validate ip
S1(config)# do show run | include validate
S1(config)# ip arp inspection validate src-mac dst-mac ip
S1(config)# do show run | include validate
STP
Manipulan STP falsificando el puente raíz para mitigar se usa Portfast y la Unidad de datos de
protocolo de puente (BPDU) Guard.
ssh -l raul 192.168.1.1
PortFast omite los estados de escucha y aprendizaje de STP para minimizar el tiempo que los
puertos de acceso deben esperar a que STP converja.
Si habilita PortFast en un puerto que se conecta a otro switch, corre el riesgo de crear un bucle STP
spanning-tree portfast (Habilitar PortFast) es una función que permite a las estaciones de usuarios
finales obtener acceso inmediato a la red de capa 2.
Configuración DAI
S1(config)# ip dhcp snooping S1(config)# ip dhcp snooping vlan 10 S1(config)# ip arp inspection
vlan 10 S1(config)# interface fa0/24 S1(config-if)# ip dhcp snooping trust S1(config-if)# ip arp
inspection trust
ENRUTAMIENTO
Comprobar errores de enrutamiento
ping
traceroute
show ip route
RIP en IPv4
Router rip
Version 2
Network 192.168.10.0 (redes directamente conectadas)
Network 192.168.100.0
RIP IPv6
Ipv6 router rip CISCO
Estatico IPv6
Estatico IPv4
Flotantes IPv4
Flotantes IPv6
OSPFv2
Show ip ospf neighbor (Ver adyacencias)
OSPFv3
R1> Por interfaz –
Router-id 1.1.1.1
Cuando tenemos que crear las rutas hacia internet debemos agregar 0.0.0.0 porque esto significa
todas las redes con la máscara 0.0.0.0 que complementa el valor
no podríamos agregar una ruta para cada red que existe en internet porque son miles entonces
nunca
terminaríamos de crear todas las rutas hacia internet para eso existe la red la dirección para
referirse a
todas las redes, esto se denomina ruta predeterminada o ruta de último recurso.
Autenticacion OSPF
r1 establece enrutamiento y agrega la de la dirección para que pueda llegar a la dirección 192 168
10 10
router recibe esta actualización la cual es falsa y actualiza su tabla de enrutamiento luego vemos
que la pc 192 168 30 10 envía un paquete hacia la dirección 192 168 10.10 cuando el paquete llega
a r 1 uno debería reenviar el paquete hacia el host hasta las 122 168 10 10 pero como el atacante
ha agregado una nueva entrada diciendo la r1 que a través de r2 se puede llegar a la dirección 192
168 1010 lo que hace r1 es que envía el paquete hacia r2 pero como r2 sabe que para llegar a la
dirección 192 168 1010 es a través de r1 el vuelve otra vez a enviar el paquete y lo que ocasiona es
un bucle entre estos dos router entonces esta es una de las formas en la que se puede atacar una
red o un protocolo de routing mediante la falsificación de actualizaciones de routing
para para mitigar los ataques a los protocolos de routing OSPF admite 3 tipos de autenticación:
el router combina el mensaje de routing con la clave secreta previamente compartida y calcula la
firma (hash) con el algoritmo MD5
ip ospf message-digest-key 1 md5 CISCO-123 (Para habilitar la autenticación MD5 de OSPF
globalmente)
ip ospf authentication message-digest area 0 (impone la autenticación en todas las interfaces con
OSPF habilitado) Si una interfaz no está configurada con esto, no podrá establecer adyacencias con
otros vecinos
show ip ospf int s0/0/1 (comprobar que está habilitada la autenticación MD5)
EIGRP
Router eigrp 10 (número de sistema autónomo)
CDP – LLDP
CDP
• Es utilizado para compartir información sobre otros equipos Cisco que están directamente
conectados (que son “vecinos” /neighbours).
• podemos recibir la información del dispositivo que tenemos conectado sin necesidad de
conocer la IP del equipo al que queremos acceder ni conocer realmente ningún dato sobre
el mismo
• Esta información se refresca en cada anuncio realizado por el dispositivo origen y es
descartada tras 3 anuncios no recibidos por el mismo.
• La información obtenida mediante CDP varía según el tipo de dispositivo y la versión del
S.O.
• Este protocolo está habilitado por defecto en todas las interfaces de los equipos Cisco. En
caso de tener dispositivos en nuestra red que no son de nuestra confianza es
recomendable deshabilitarlo
LLDP
• Los dispositivos solo pueden recibir o enviar información a dispositivos adyacentes (no
trata con direcciones IP).
• Esta información nunca se reenvía a otros dispositivos en la red. Además, LLDP permite la
comunicación de dicha información entre dispositivos de distintos fabricantes.
• un switch puede descubrir qué dispositivos son vecinos y los puertos por donde se
conectan entre sí.
Configurar los vínculos al router para que solo envíen, no reciban, mensajes LLDP.
Configure los puertos de acceso que están en uso para no enviar mensajes CDP fuera de los
puertos.
No Cdp enable
Verificar CDP
show cdp neightboors detail (ver lista detalla de vecinos conectados directamente)
Verificar LLDP
VTP
Virtual Trunking Protocol sirve para centralizar en un switch la administración de las VLAN
Podemos configurar un switch como servidor para que propague todas las VLAN de la red, por
ejemplo, si creamos las VLAN en el VTP Server las propagara a los VTP Clientes
Vtp password cisco (para que los dispositivos que van a fungir como clientes establezcan una
adyacencia)
Cliente
Se debe pasar las interfaces directamente conectadas al server y las que conectan con el cómo
troncales para pasar las VLAN
NAT
Traductor de direcciones de red se usa para que IP privadas sean traducidas a publicas para
comunicarse a través de internet
Podemos conectar much4os nodos a internet haciendo uso de una única IP Publica
El router esta haciendo uso de NAT para asignar una IP Publica asignada por el ISP que permite el
acceso a internet
Estatico
Solo algunos de nuestros nodos pueden acceder a internet. Solo las IP establecidas en la
configuración podrán comunicarse en internet.
Si tenemos 10 host, debemos arrendar un bloque de 10 IP publicas sino solo se le asignara a los
dispositivos internos la cantidad de IP Publicas que tengamos disponibles.
Desventaja: es una traducción 1:1 entonces si 1000 PC desea conectarse a internet entonces
necesitaremos 1000 IP’s Publicas.
La IP privada x.x.x.x siempre estará mapeada a la IP privada x.x.x.x asi no la este utilizando
Ip nat outside (Interfaz que que conecta a la WAN [Tiene la IP Publica que arrendamos])
(config) ip nat inside source static ip_privada ip_publica (estaticamente asigna el mapeo)
Ejemplo
Dinámico
Realiza un mapeo 1:1 pero se hace a través de un pool de direcciones públicas, se hace
dinámicamente por el router.
Tengo 8 Publicas Arrendadas y 100 PC que quieren conectarse, pero no pueden hacerlo al mismo
tiempo entonces NAT dinámico ira asignando una IP publica a cada comunicación que le llegue de
la red LAN y realiza el mapeo por orden de llegada, entonces si en un momento llegan 5 paquetes
de 5 PC’s con intención de viajar en internet entonces se le asignara una Publica a cada
comunicación y tendrá solo 3 IP Publicas Disponibles.
Si se agotan habrá que esperar hasta que otra termine la comunicación y quede libre
Mapear cuando sea necesario y liberar las IP cuando dejen de ser utilizadas
Ip nat inside
Ip nat outside
Ip nat pool nombre primera_IP segunda_IP netmask (definir el bloque de direcciones de publicas
que ponemos a disposición de las privadas para el mapeo)
Ip nat inside source list #acl pool nombre_pool (le inidica al router que cualquier privada definida
en la acl) podrá ser mapeada a las publicas dentro del pool definido