Professional Documents
Culture Documents
PC-A
S1
R1
F0/5
G0/1
F0/6
Tabla de direccionamiento
Dispositivo
Interfaz
Direccin IP
Mscara de
subred
Gateway
predeterminado
R1
G0/1
192.168.1.1
255.255.255.0
No aplicable
S1
VLAN 1
192.168.1.11
255.255.255.0
192.168.1.1
PC-A
NIC
192.168.1.3
255.255.255.0
192.168.1.1
Objetivos
Parte 1: Configurar parmetros bsicos de los dispositivos
Parte 2: Configurar medidas bsicas de seguridad en el router
Parte 3: Configurar medidas bsicas de seguridad en el switch
Informacin bsica/Situacin
Se recomienda que todos los dispositivos de red se configuren, al menos, con un conjunto mnimo de
comandos de seguridad conforme a las prcticas recomendadas. Esto incluye dispositivos para usuarios
finales, servidores y dispositivos de red, como routers y switches.
En esta prctica de laboratorio, configurar los dispositivos de red en la topologa a fin de que acepten
sesiones de SSH para la administracin remota. Tambin utilizar la CLI del IOS para configurar medidas de
seguridad bsicas conforme a las prcticas recomendadas. Luego, probar las medidas de seguridad para
verificar que estn implementadas de manera apropiada y que funcionen correctamente.
Nota: los routers que se utilizan en las prcticas de laboratorio de CCNA son ISR Cisco 1941 con Cisco IOS
versin 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son Cisco Catalyst 2960s con Cisco
IOS versin 15.0(2) (imagen de lanbasek9). Pueden utilizarse otros routers, switches y versiones de Cisco
IOS. Segn el modelo y la versin de Cisco IOS, los comandos disponibles y los resultados obtenidos
pueden diferir de los que se muestran en las prcticas de laboratorio. Consulte la tabla Resumen de
interfaces del router al final de la prctica de laboratorio para obtener los identificadores de interfaz correctos.
Nota: asegrese de que los routers y los switches se hayan borrado y no tengan configuraciones de inicio. Si
no est seguro, consulte con el instructor.
Recursos necesarios
1 router (Cisco 1941 con software Cisco IOS, versin 15.2(4)M3, imagen universal o similar)
1 switch (Cisco 2960 con Cisco IOS, versin 15.0(2), imagen lanbasek9 o similar)
1 PC (Windows 7, Vista o XP con un programa de emulacin de terminal, por ejemplo, Tera Term)
2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es informacin pblica de Cisco.
Pgina 1 de 13
Cables de consola para configurar los dispositivos Cisco IOS mediante los puertos de consola
d. Deshabilite la bsqueda DNS para evitar que el router intente traducir los comandos incorrectamente
introducidos como si fueran nombres de host.
e. Asigne class como la contrasea encriptada de EXEC privilegiado.
f.
Cree un mensaje de aviso que advierta a todo el que acceda al dispositivo que el acceso no autorizado
est prohibido.
j.
k.
d. Deshabilite la bsqueda DNS para evitar que el router intente traducir los comandos incorrectamente
introducidos como si fueran nombres de host.
e. Asigne class como la contrasea encriptada de EXEC privilegiado.
f.
Cree un mensaje de aviso que advierta a todo el que acceda al dispositivo que el acceso no autorizado
est prohibido.
j.
k.
Configure la entrada de transporte para las lneas vty de modo que acepten conexiones SSH, pero no
permitan conexiones Telnet.
R1(config)# line vty 0 4
R1(config-line)# transport input ssh
d. Las lneas vty deben utilizar la base de datos de usuarios local para realizar la autenticacin.
R1(config-line)# login local
R1(config-line)# exit
e. Genere una clave criptogrfica RSA con un mdulo de 1024 bits.
R1(config)# crypto key generate rsa modulus 1024
The name for the keys will be: R1.CCNA-lab.com
% The key modulus size is 1024 bits % Generating 1024 bit RSA
keys, keys will be non-exportable...
[OK] (elapsed time was 2 seconds)
R1(config)#
*Jan 31 17:54:16.127: %SSH-5-ENABLED: SSH 1.99 has been enabled
console 0
exec-timeout 5 0
line vty 0 4
exec-timeout 5 0
exit
b. El comando siguiente impide los intentos de inicio de sesin por fuerza bruta. Si alguien falla en dos
intentos en un perodo de 120 segundos, el router bloquea los intentos de inicio de sesin por 30
segundos. Este temporizador se establece en un valor especialmente bajo para esta prctica de
laboratorio.
R1(config)# login block-for 30 attempts 2 within 120
Qu significa 2 within 120 en el comando anterior?
Si se realizan dos intentos fallidos en un perodo de dos minutos (120 segundos), el acceso de inicio
de sesin se bloquea
Qu significa block-for 30 en el comando anterior?
Si el acceso de inicio de sesin se bloquea, el dispositivo esperar 30 segundos antes de volver a
permitir el acceso
Paso 4: Verifique que todos los puertos sin utilizar estn deshabilitados.
Los puertos del router estn deshabilitados de manera predeterminada, pero siempre es prudente verificar
que todos los puertos sin utilizar tengan un estado administrativamente inactivo. Esto se puede verificar
rpidamente emitiendo el comando show ip interface brief. Todos los puertos sin utilizar que no estn en el
estado administrativelydown (administrativamente inactivo) se deben deshabilitar por medio del comando
shutdown en el modo de configuracin de interfaz.
R1# show ip interface brief
Interface
IP-Address
OK? Method Status
Protocol
Embedded-Service-Engine0/0 unassigned
YES NVRAM administratively down down
GigabitEthernet0/0
unassigned
YES NVRAM administratively down down
GigabitEthernet0/1
192.168.1.1
YES manual up
up
Serial0/0/0
unassigned
YES NVRAM administratively down down
Serial0/0/1
unassigned
YES NVRAM administratively down down
R1#
e. Cuando hayan pasado los 30 segundos, vuelva a acceder al R1 mediante SSH e inicie sesin utilizando
el nombre de usuario admin y la contrasea Admin15p@55.
Una vez que inici sesin correctamente, qu se mostr?
El aviso de inicio de sesin del R1.
f.
El comando login block-for 30 attempts 2 within 120 solo controla los intentos de inicio de sesin
de
las
.
sesiones
g. Emita el comando show running-config en la peticin de entrada del modo EXEC privilegiado para ver
la configuracin de seguridad que aplic.
Configure la entrada de transporte para las lneas vty para permitir las conexiones SSH, pero no las
conexiones Telnet.
S1(config)# line vty 0 15
S1(config-line)# transport input ssh
d. Las lneas vty deben utilizar la base de datos de usuarios local para realizar la autenticacin.
S1(config-line)# login local
S1(config-line)# exit
e. Genere una clave criptogrfica RSA con un mdulo de 1024 bits.
S1(config)# crypto key generate rsa modulus 1024
console 0
exec-timeout 10 0
line vty 0 15
exec-timeout 10 0
exit
b. Para impedir intentos de inicio de sesin por fuerza bruta, configure el switch para que bloquee el acceso
de inicio de sesin por 30 segundos en caso de que haya dos intentos fallidos en un perodo de 120
segundos. Este temporizador se establece en un valor especialmente bajo para esta prctica de
laboratorio.
S1(config)# login block-for 30 attempts 2 within 120 S1(config)#
end
Paso 4: Verifique que todos los puertos sin utilizar estn deshabilitados.
Los puertos del switch estn habilitados de manera predeterminada. Desactive todos los puertos que no
estn en uso en el switch.
a. Para verificar el estado de los puertos del switch, utilice el comando show ip interface brief.
S1# show ip interface brief
Interface
Vlan1
FastEthernet0/1
IP-Address
192.168.1.11
unassigned
Protocol
up
FastEthernet0/2
unassigned
FastEthernet0/3
unassigned
FastEthernet0/4
unassigned
FastEthernet0/5
unassigned
FastEthernet0/6
unassigned
FastEthernet0/7
unassigned
FastEthernet0/8
unassigned
FastEthernet0/9
unassigned
FastEthernet0/10
unassigned
FastEthernet0/11
unassigned
FastEthernet0/12
unassigned
FastEthernet0/13
unassigned
FastEthernet0/14
unassigned
FastEthernet0/15
unassigned
FastEthernet0/16
unassigned
FastEthernet0/17
unassigned
FastEthernet0/18
unassigned
FastEthernet0/19
unassigned
FastEthernet0/20
unassigned
FastEthernet0/21
unassigned
FastEthernet0/22
unassigned
FastEthernet0/23
unassigned
FastEthernet0/24
unassigned
GigabitEthernet0/1
unassigned
unassigned
YES unset down
YES
YES
YES
YES
YES
YES
YES
YES
YES
YES
YES
YES
YES
YES
YES
YES
YES
YES
YES
YES
YES
YES
YES
YES
unset
unset
unset
unset
unset
unset
unset
unset
unset
unset
unset
unset
unset
unset
unset
unset
unset
unset
unset
unset
unset
unset
unset
unset
downdown
downdown
downdown
upup
upup
downdown
downdown
downdown
downdown
downdown
downdown
downdown
downdown
downdown
downdown
downdown
downdown
downdown
downdown
downdown
downdown
downdown
downdown
downdown
down
S1#
GigabitEthernet0/2
Verifique que todas las interfaces inactivas tengan un estado administrativamente inactivo.
S1# show ip interface brief
Interface
Vlan1
FastEthernet0/1
FastEthernet0/2
FastEthernet0/3
FastEthernet0/4
FastEthernet0/5
FastEthernet0/6
FastEthernet0/7
FastEthernet0/8
FastEthernet0/9
FastEthernet0/10
FastEthernet0/11
FastEthernet0/12
FastEthernet0/13
FastEthernet0/14
IP-Address
192.168.1.11
unassigned
unassigned
unassigned
unassigned
unassigned
unassigned
unassigned
unassigned
unassigned
unassigned
unassigned
unassigned
unassigned
unassigned
OK?
YES
YES
YES
YES
YES
YES
YES
YES
YES
YES
YES
YES
YES
YES
YES
Method
manual
unset
unset
unset
unset
unset
unset
unset
unset
unset
unset
unset
unset
unset
unset
Status
up
administratively
administratively
administratively
administratively
upup
upup
administratively
administratively
administratively
administratively
administratively
administratively
administratively
administratively
down
down
down
down
Protocol
up
down
down
down
down
down
down
down
down
down
down
down
down
down
down
down
down
down
down
down
down
FastEthernet0/15
FastEthernet0/16
FastEthernet0/17
FastEthernet0/18
FastEthernet0/19
FastEthernet0/20
FastEthernet0/21
FastEthernet0/22
FastEthernet0/23
FastEthernet0/24
GigabitEthernet0/1
GigabitEthernet0/2
S1#
unassigned
unassigned
unassigned
unassigned
unassigned
unassigned
unassigned
unassigned
unassigned
unassigned
unassigned
unassigned
YES
YES
YES
YES
YES
YES
YES
YES
YES
YES
YES
YES
unset
unset
unset
unset
unset
unset
unset
unset
unset
unset
unset
unset
administratively
administratively
administratively
administratively
administratively
administratively
administratively
administratively
administratively
administratively
administratively
administratively
down
down
down
down
down
down
down
down
down
down
down
down
down
down
down
down
down
down
down
down
down
down
down
down
Cuando hayan pasado los 30 segundos, vuelva a acceder al S1 mediante SSH e inicie sesin utilizando
el nombre de usuario admin y la contrasea Admin15p@55.
Apareci el anuncio despus de iniciar sesin correctamente?
S
Reflexin
1. En la configuracin bsica de la parte 1, se introdujo el comando passwordcisco para las lneas de consola
y vty. Cundo se utiliza esta contrasea despus de haberse aplicado las medidas de seguridad conforme
a las prcticas recomendadas?
Esta contrasea no se vuelve a utilizar. Aunque el comando password todava aparece en las secciones de
lnea de la configuracin en ejecucin, el comando se deshabilit no bien se introdujo el comando login local
para esas lneas.
Interfaz Ethernet #1
Interfaz Ethernet #2
Interfaz serial #1
Interfaz serial #2
1800
1900
2801
2811
2900
Modelo de
router
Nota: para conocer la configuracin del router, observe las interfaces a fin de identificar el tipo de router y
cuntas interfaces tiene. No existe una forma eficaz de confeccionar una lista de todas las combinaciones de
configuraciones para cada clase de router. En esta tabla, se incluyen los identificadores para las posibles
combinaciones de interfaces Ethernet y seriales en el dispositivo. En esta tabla, no se incluye ningn otro tipo de
interfaz, si bien puede hacer interfaces de otro tipo en un router determinado. La interfaz BRI ISDN es un
ejemplo. La cadena entre parntesis es la abreviatura legal que se puede utilizar en los comandos de Cisco IOS
para representar la interfaz.
n
d
Switch S1
service timestamps debug
datetimemsecservice timestamps log
datetimemsecservice passwordencryption
!
hostname S1
!
boot-start-markerboot-endmarker
!
enable secret 4 jowh6xYPeJucL2dB/ulkSjK2YGee/Usr./fiqFhbxTQ
!
username admin privilege 15 secret 4
iAAxTYNDMJO3iHURmpY85S.NR4m72e1HMyRxq9kPN0g
!
systemmtu routing 1500
!noip domain-lookupip domain-name
CCNA-lab.comlogin block-for 30
attempts 2 within 120
!spanning-tree mode
pvstspanning-tree
extend system-id
!
vlan internal allocation policy ascending
!interface
FastEthernet0/1shu
tdown
!
interface
FastEthernet0/2shutdown
!
interface
FastEthernet0/3shutdown
!interface
FastEthernet0/4shu
tdown
!
interface FastEthernet0/5
!
interface FastEthernet0/6
!interface
FastEthernet0/7shu
tdown
!interface
FastEthernet0/8shu
tdown
!interface
FastEthernet0/9shu
tdown
!interface
FastEthernet0/10shu
tdown
!interface
FastEthernet0/11shu
tdown
!interface
FastEthernet0/12shu
tdown
!interface
FastEthernet0/13shu
tdown
!interface
FastEthernet0/14shu
tdown
!interface
FastEthernet0/15shu
tdown
!interface
FastEthernet0/16shu
tdown
!interface
FastEthernet0/17shu
tdown
!interface
FastEthernet0/18shu
tdown
!interface
FastEthernet0/19shu
tdown
!interface
FastEthernet0/20shu
tdown
!interface
FastEthernet0/21shu
tdown
!interface
FastEthernet0/22shu
tdown!
interface
FastEthernet0/23shutdown
!interface
FastEthernet0/24shu
tdown
!interface
GigabitEthernet0/1shu
tdown
!interface
GigabitEthernet0/2shu
tdown
!
interface Vlan1ip address
192.168.1.11 255.255.255.0
!
ip http
serverip http
secure-server
!
bannerm
otd ^C
Unauthorized Access is Prohibited!
^C
!
line con 0
password 7
110A1016141D
loginline vty 0 4
password 7
110A1016141D
login local
transport input
sshline vty 5 15
login local
!
e
n
d