.209.165.YY.DD. .209.165.YY.

DD

.209.165.YY.DD.240/28

En esta evaluación parcial serán evaluadas los siguientes resultados de aprendizaje:

• Identificar amenazas de seguridad de red informática y las técnicas adecuadas de

mitigación para proteger la red.
• Asegurar los dispositivos de red utilizando características, tecnologías y
protocolos para protegerlos contra ataques de red informático.
• Asegurar los datos que pasan a través de la red utilizando tecnologías y protocolos
que permitan comunicaciones seguras.

En esta evaluación usted desarrollará las siguientes tareas:

▪ Configurar el hardening básico de los dispositivos y asegurar la administración de la red

▪ Configurar un firewall CBAC para implementar políticas de seguridad
▪ Configurar los dispositivos para protegerlos contra ataques STP y habilitar el control de
tormentas broadcast
▪ Configurar la seguridad de puertos y deshabilitar los puertos no utilizados
▪ Configurar IOS IPS
▪ Configurar ZPF para implementar políticas de seguridad
▪ Configurar una VPN IPSec Site-To-Site

a. Defina un esquema de direccionamiento para la red Interna basado en los seis últimos
dígitos de su cédula de la siguiente forma y agrupándolos de dos en dos de manera
invertida, si su cédula es la número 1234567890, al agruparlos de dos en dos obtiene
09.87.65 y el ultimo digito se coloca en 0, es decir, 09.87.65.0 y de esta forma tienen la
dirección de la red. Para el DMZ utilice los seis últimos dígitos de su cédula. Para la red
Branch defina la dirección de red utilizando los cuatro números de su año de nacimiento
y el número del día de su nacimiento de la siguiente forma YY.YY.DD.0/27 donde (YY.YY
es el año de su nacimiento y DD es el día de su nacimiento) Ejemplo: si su año de
nacimiento es 1998 y el día de nacimiento es el 12 entonces la dirección de red
será19.98.12.0/27

b. Llenar la tabla con la información de enrutamiento.

Mascara de
Dispositivo Interfaz Dirección IP Gateway Servidor DNS
subred

Internet

CORP
Branch

External

Public Svr

External Web Svr

External PC

NTP/Syslog Svr

DMZ DNS Svr

DMZ Web Svr

PC0

PC1

Net Admin

Admin PC

a. Configure el router CORP para aceptar contraseñas con mínimo 10 caracteres.

b. Configure el password de nivel privilegiado a su inicial del nombre y su apellido
complete, ejemplo: Si su nombre es Pedro Pérez la contraseña será pperez.
c. Habilite el cifrado de todas las contraseñas en texto plano en el archivo de configuración
d. Configure el puerto de consola y todas las líneas vty con los siguientes requisitos:

▪Use la base de datos local para el login

▪ Desconecte el login después de 13 minutos de inactividad
Nota: CORP debe tener un usuario llamado CORPADMIN y contraseña ciscoccnas.
e. Deshabilite el protocolo CDP únicamente en el enlace a Internet del router

a. Configure el router CORP:

▪ Como un cliente NTP del Servidor NTP/Syslog
▪ Para actualizar el calendario del router desde el origen NTP
▪ Para colocar la marca de tiempo a los mensajes de log
▪ Para enviar los mensajes de logging al servidor NTP/Syslog

b. Configure el router CORP para aceptar conexiones SSH. Use las siguientes guías:

▪ Nombre de dominio: inicalDelNombreApellidoCompleto.security.com

▪ RSA con un módulo de 1024
▪ SSH versión 2, timeout de 90 segundos, y 2 intentos de autenticación
▪ Todas las líneas vty usan conexiones SSH
Nota: CORP debe tener configurado un usuario llamado SSHAccess y contraseña
ciscosshaccess.

c. Configure el router CORP con autenticación AAA and verifique su funcionalidad:

▪ Autenticación AAA usando la base de datos local tanto para consola y las líneas vty

a. Acceda al Switch1 con el usuario CORPADMIN, contraseña ciscoccnas, y contraseña

cifrada para modo privilegiado ciscoclass.
b. Habilite el control de tormenta de broadcasts en FastEthernet 0/24 con un 50% de nivel
de supresión.
c. Configure Switch1 para protegerse contra ataques STP (puertos 0/1 to 0/23)
d. Configure la seguridad de puerto y deshabilite los puertos no utilizados.
 ▪ Configure el máximo número de direcciones aprendidas a 2 en los puertos 0/1 to
0/23. Permita que las direcciones sean aprendidas dinámicamente y deshabilite el
Puerto si una violación ocurre.
▪ Deshabilite los puertos no utilizados

a. En el router CORP, crear un directorio en la flash llamado mi_ips_dir.

b. Configure la localización de almacenamiento de la firma IPS a flash:mi_ips_dir.
c. Crear una regla IPS llamada final_ips.
d. Configure el IOS IPS to para usar las categorías de firmas. Retire todas las categorías e
incluya la categoría básica ios_ips.
e. Aplique la regla IPS a la interfaz Fa0/0.
f. Modifique la categoría básica ios_ips. Incluya la firma de solicitud de eco; habilite la
firma; modifique la firma event-action a producir una alerta y negar los paquetes que
coinciden con la firma.
g. Verifique que el IPS está trabajando apropiadamente. Net Admin en la red interna no
puede hacer ping a DMZ Web Svr. DMZ Web Svr, sin embargo, puede hacer ping a Net
Admin.

a. Acceda al router Branch con usuario CORPADMIN, password ciscoccnas, password

de modo privilegiado ciscoclass.
b. En el router Branch, crear las zonas firewall.
▪ Crear una zona interna llamada APELLIDO-BR-IN-ZONE.
▪ Crear una zona externa llamada APELLIDO-BR-OUT-ZONE.
Nota: APELLIDO debe ser su apellido.
c. Defina una clase para tráfico y una lista de acceso.
▪ Crea una ACL para permitir todos los protocolos desde la red Branch a cualquier
destino.
▪ Crea un mapa de clase de inspección con match-all. Haga match con la ACL
anterior y el class map APELLIDO-BR-IN-CLASS-MAP.
 d. Especifique las políticas de firewall.
▪ Crea un mapa de política llamado APELLIDO-BR-IN-OUT-PMAP.
▪ Utilice el mapa de clase APELLIDO-BR-IN-CLASS-MAP.
▪ Especifique la acción de inspección para este mapa de política.
e. Aplicar al firewall.
▪ Crear un par de zonas llamadas APELLIDO-IN-OUT-ZPAIR con origen APELLIDO-
BR-IN-ZONE y destino APELLIDO-BR-OUT-ZONE.
▪ Especifique el mapa de política APELLIDO-BR-IN-OUT-PMAP para manejar el
tráfico entre las dos zonas.
▪ Asigne las interfaces a las zonas de seguridad apropiadas.
f. Verifique la configuración ZPF.
▪ El Admin PC en la sucursal puede acceder a las URLs http://
inicalDelNombreApellidoCompleto.security.com y
http://www.externalone.com.
▪ El Admin PC en la red Branch puede hacer ping al External PC (192.31.7.33).
▪ El External PC no puede hacer ping al Admin PC en la red Branch.
▪ El Admin PC en la sucursal puede establecer una conexión SSH al router CORP
con el usuario SSHAccess y password ciscosshaccess. Si tu accedes al prompt
Corp>, entonces la configuración es correcta.
Nota: Recuerde que APELLIDO en todos los nombres de clases, mapas y políticas es su
apellido.

a. Configure una VPN IPSec Site-To-Site entre las redes Interna y Branch utilizando los
siguientes parámetros:
▪ Autenticación PSK: ciscopreshare
▪ Cifrado: AES 256
▪ Integridad: SHA
▪ Grupo DH: 21
▪ Duración del Policy: 1 hora
▪ Duración de la SA IPSec: 35 minutos
b. Verificar la configuración de la VPN IPSec
c. Verificar la operación de la VPN IPSec