Está en la página 1de 5

- Configurar el mnimo de longitud de contrasea, dentro de la configuracin global es cribir: Router(config)#security passwords min-length <longitud> - Configurar el tiempo de actividad

del puerto despues que el administrador se d esconecta, por cada interfaz de admintracin es: Router(config)#line console 0 Router(config-line)#exec-timeout <minutos> - Configurar solo comandos exec de salida en la linea auxiliar, para que las con exiones que intentan enviar informacin no solicitada al router Router(config)#line aux 0 Router(config-line)#no exec - Para cifrar las contraseas que estan en texto plano del router se utiliza el co mando Router(config)#service password-encryption - Bloquear un inicio de sesion remoto, X cantidad de segundos (entre intentos), despues de X cantidad de intentos, se bloquear X segundos. Router# configure terminal Router(config)#username ADMIN secret cisco54321 Router(config)#line vty 0 4 Router(config-line)#login local Router(config-line)#exit Router(config)#login block-for 15 attempts 5 within 60 bloquear un acceso por 60 segundos si intenta 5 veces dentro de 15 segun dos Router(config)#ip access-list standard PERMIT-ADMIN Router(config-std-nacl)#remark Permit only Administrative hosts Router(config-std-nacl)#permit 192.168.10.10 Router(config-std-nacl)#permit 192.158.11.10 Router(config-std-nacl)#exit Router(config)#login quiet-mode access-class PERMIT-ADMIN bloquear el acceso excepto a la red adminitrativa, declarada en la ACL Router(config)#login delay 10 retrasa los intentos entre intentos de inicio de sesion Router(config)#login on-success log genera logs para inicios de sesion correctos Router(config)#login on-failure log genera logs para inicios de sesion erroneos Router(config)#exit - Para generar un log desde una cierta cantidad de ingresos fallidos Router(config)#security authentication failure <cantidad> threshold-rate log - Para agregar banners Router(config)#banner {exec | incoming | login | motd | slip-ppp} d message d adicionales en el banner $(hostname)-Displays the host name for the router. $(domain)-Displays the domain name for the router. $(line)-Displays the vty or tty (asynchronous) line number. $(line-desc)-Displays the description that is attached to the line. - Configurar SSH Router(config)#ip domain-name

Router(config)#crypto key generate rsa general-keys modulus 1024 Router(config)#username jorge secret jarjajsrajsr Router(config)#line vty 0 4 Router(config-line)#transport input ssh - SSH Version 2 Router(config)#ip ssh version 2 Router(config)#ip ssh time-out 60 Router(config)#ip ssh authentication-retries 2 - Conectarse a otro router por ssh Router(config)#ssh -l <ip remota> - Configurando Niveles de privilegios Router(config)# privilege mode {level level command | reset} command - Crear usuario nivel 1,5,10 y 15 Router(config)#username USER privilege 1 secret cisco Router(config)# Router(config)#privilege exec level 5 ping Router(config)#enable secret level 5 cisco5 Router(config)#username SUPPORT privilege 5 secret cisco5 Router(config)# Router(config)#privilege exec level 10 reload Router(config)#enable secret level 10 cisco10 Router(config)#username JR-ADMIN privilege 10 secret cisco10 Router(config)# Router(config)#username ADMIN privilege 15 secret cisco123 - Configurar AAA, para generar vistas de privilegios Router(config)#aaa new-model Router(config)#parser view <nombre de la vista> Router(config-view)#secret 5 <contrasea md5, para proteger la vista> Router(config-view)# - Vistas personalizadas Router(config)#parser view SHOWVIEW Router(config-view)#secret cisco Router(config-view)#commands exec include show Router(config)# Router(config)#parser view VERIFYVIEW Router(config-view)#secret cisco5 Router(config-view)#commands exec include ping Router(config)#secret cisco5 Router(config)# Router(config)#parser view REBOOTVIEW Router(config-view)#secret cisco10 Router(config-view)#commands exec include reload - Supervistas Router(config)#parser view USER superview Router(config-view)#secret cisco Router(config-view)# view SHOWVIEW Router(config)# Router(config)#parser view SUPPORT superview Router(config-view)#secret cisco1 Router(config-view)#view SHOWVIEW Router(config-view)#view VERIFYVIEW - Asegurar la seguridad de la imagen IOS, cuando se ejecuta una imagen de un dis

positivo de almacenamiento externo Router(config)#secure boot-image - Toma una "imagen" de la configuracin actual para ser tomada como una configurac in segura Router(config)#secure boot-config - Recuperar contrasea de un router: Paso 1. Conectarse al puerto de consola. Paso 2. Use el comando show version para ver y grabar el registro de configuracin . El registro de configuracin es similar al BIOS de una computadora, en que control a el proceso de arranque. El registro de configuracin, representado por un solo valor hexadecimal, le dice al router qu pasos especficos tomar cuando se enciende. Los registros de configuracin tienen muchos usos, y la recuperacin de contraseas probablemente sea el ms popular. Para ver y grabar el registro de configuracin, us e el comando show version. R1> show version <Output omitted> Configuration register is 0x2102 El registro de configuracin generalmente est puesto en 0x2102 o 0x102. Si ya no ha y acceso al router (por una contrasea de ingreso o TACACS perdida) el administrador puede asumir con seguridad que el registro de configuracin estar en 0x2102. Paso 3. Use el interruptor para apagar y prender el router. Paso 4. Emita la secuencia de break dentro de los 60 segundos de que el router h a sido apagado y prendido para que el router inicie en modo ROMmon. Paso 5. Escriba confreg 0x2142 en el prompt rommon 1>. Esto cambia el registro de configuracin por defecto y causa que el router se salt ee la configuracin de inicio donde la contrasea enable password est almacenada. Paso 6. Escriba reset en el prompt rommon 2>. El router volver a iniciarse, pero ignorar la configuracin guardada. Paso 7. Escriba no como respuesta a todas las preguntas del setup, o presione Ct rl-C para saltearse el procedimiento de setup inicial. Paso 8. Escriba enable en el prompt Router>. Esto pone al router en modo enable y le permite ver el prompt Router#. Paso 9. Escriba copy startup-config running-config para copiar la NVRAM a la memoria. Tenga cuidado de no escribir copy running-config startup-config porque entonces la configuracin inicial se borrar. Paso 10. Escriba show running-config. En esta configuracin, el comando shutdown aparece bajo todas las interfaces porque todas las interfaces estn desactivadas. El administrador ahora puede ver las contraseas (contraseas enable password, enable secret, vty y consola), ya sea en formado cifrado o no cifrado. Las contraseas no cifradas pueden volver a ser usadas, pero las contraseas cifradas necesitan que s

e cree una nueva contrasea en su lugar. Paso 11. Ingrese a la configuracin global e ingrese el comando enable secret para cambiar la contrasea enable secret. Por ejemplo R1(config)# enable secret cisco Paso 12. Emita el comando no shutdown en todas las interfaces que va a utilizar. Luego emita el comando show ip interface brief en el modo EXEC privilegiado para confi rmar que la configuracin de las interfaces es correcta. Todas las interfaces que sern u sadas deberan mostrar "up up." Paso 13. Desde el modo de configuracin global, ingreseconfig-register configuration_register_setting. Se modificar el registro de configuracin para most rar el valor del paso 2 o 0x2102. Por ejemplo: R1(config)# config-register 0x2102 Paso 14. Salve los cambios de configuracin usando el comando copy running-config startup-config. La recuperacin de contrasea ha sido completada. Ingrese el comando show version para confirmar que el router vaya a usar el nmero de registro de configuracin ingresado en el prximo arranque. - Deshabilitar el acceso al modo Rommon Router(config)#no service password-recovery - Configurando AAA local Router(config)# Router(config)#username JR-ADMIN secret asdasdasd Router(config)#username ADMIN secret asdasdasdsa Router(config)#aaa nee-model Router(config)#aaa authentication login default local-case Router(config)#aaa local authentication attempts max-fail 10 - Configurando AAA local con tipo de ingresos Router(config)#username JR-ADMIN secret asdasdasdasd Router(config)#username ADMIN secret asdasdasdasd Router(config)#aaa new-model Router(config)#aaa authentication login default local-case enable Router(config)#aaa authentication login TELNET-LOGIN local-case Router(config)#line vty 0 4 Router(config-line)# login authentication TELNET-LOGIN - Ver usuarios bloqueados por intentos en AAA Router#show aaa local user lockout - Desbloquear usuarios en AAA Router#clear aaa local user lockout {username nombre-usuario |all} - Bloquear usuario hasta que administrador blanquee la password Router(config)#aaa local authentication attempts max-fail - Verificar los errores de configuracion de autentificacion de AAA Router# debug aaa authentication solo utilizar cuando este buena la configuracion y buscar los parametros GETUSER y GETPASS