Práctica de laboratorio: Protección de dispositivos de
Objetivos
Parte 1: Configurar parámetros básicos de los dispositivos
Parte 2: Configurar medidas básicas de seguridad en el
router
Parte 3: Configurar medidas básicas de seguridad en el
switch
Información básica/Situación
Se recomienda que todos los dispositivos de red se
configuren, al menos, con un conjunto mínimo de comandos de seguridad conforme
a las prácticas recomendadas. Esto incluye dispositivos para usuarios finales,
servidores y dispositivos de red, como routers y switches.
En esta práctica de laboratorio, configurará los
dispositivos de red en la topología a fin de que acepten sesiones de SSH para
la administración remota. También utilizará la CLI del IOS para configurar
medidas de seguridad básicas conforme a las prácticas recomendadas. Luego,
probará las medidas de seguridad para verificar que estén implementadas de
manera apropiada y que funcionen correctamente.
Nota: los routers que se utilizan en las prácticas de
laboratorio de CCNA son ISR Cisco 1941 con Cisco IOS versión 15.2(4)M3 (imagen
universalk9). Los switches que se utilizan son Cisco Catalyst 2960s con Cisco
IOS versión 15.0(2) (imagen de lanbasek9). Pueden utilizarse otros routers,
switches y versiones de Cisco IOS. Según el modelo y la versión de Cisco IOS,
los comandos disponibles y los resultados obtenidos pueden diferir de los que
se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de
interfaces del router al final de la práctica de laboratorio para obtener los
identificadores de interfaz correctos.
Nota: asegúrese de que los routers y los switches se hayan
borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con
el instructor.
Recursos necesarios
• 1 router (Cisco 1941 con software Cisco IOS, versión
15.2(4)M3, imagen universal o similar)
• 1 switch (Cisco 2960 con Cisco IOS, versión 15.0(2),
imagen lanbasek9 o similar)
• 1 PC (Windows 7, Vista o XP con un programa de emulación
de terminal, por ejemplo, Tera Term)
• Cables de consola para configurar los dispositivos Cisco
IOS mediante los puertos de consola
• Cables Ethernet, como se muestra en la topología.
Parte 1: Configurar los parámetros básicos de dispositivos
En la parte 1, establecerá la topología de la red y los
parámetros básicos de configuración, como las direcciones IP de interfaz, el
acceso al dispositivo y las contraseñas del router.
Paso 1: Realizar el cableado de red tal como se muestra en
la topología.
Conecte los dispositivos que se muestran en la topología y
realice el cableado según sea necesario.
Paso 2: Inicialice y vuelva a cargar el router y el switch.
Paso 3: Configurar el router.
Consulte la práctica de laboratorio anterior para obtener
ayuda con los comandos necesarios para SSH.
a. Acceda al router mediante el puerto de consola e ingrese
al modo EXEC privilegiado.
b. Entre al modo de configuración.
c. Asigne el nombre R1 al router.
d. Deshabilite la búsqueda DNS para evitar que el router
intente traducir los comandos incorrectamente introducidos como si fueran
nombres de host.
e. Asigne class como la contraseña encriptada de EXEC
privilegiado.
f. Asigne cisco como la contraseña de consola y habilite el
inicio de sesión.
g. Asigne cisco como la contraseña de vty y habilite el
inicio de sesión.
h. Encripte las contraseñas de texto no cifrado.
i. Cree un mensaje de aviso que advierta a todo el que
acceda al dispositivo que el acceso no autorizado está prohibido.
j. Configure y active la interfaz G0/1 en el router
utilizando la información contenida en la Tabla de direccionamiento.
k. Guarde la configuración en ejecución en el archivo de
configuración de inicio.
Paso 4: Configure el switch.
a. Acceda al switch mediante el puerto de consola y habilite
al modo EXEC privilegiado.
b. Entre al modo de configuración.
c. Asigne el nombre S1 al switch.
d. Deshabilite la búsqueda DNS para evitar que el router
intente traducir los comandos incorrectamente introducidos como si fueran
nombres de host.
e. Asigne class como la contraseña encriptada de EXEC
privilegiado.
f. Asigne cisco como la contraseña de consola y habilite el
inicio de sesión.
g. Asigne cisco como la contraseña de vty y habilite el
inicio de sesión.
h. Encripte las contraseñas de texto no cifrado.
i. Cree un mensaje de aviso que advierta a todo el que
acceda al dispositivo que el acceso no autorizado está prohibido.
j. Configure la SVI predeterminada con la información de
dirección IP incluida en la tabla de direccionamiento.
k. Guarde la configuración en ejecución en el archivo de
configuración de inicio.
Parte 2: Configurar medidas básicas de seguridad en el
router
Paso 1: Aportar seguridad a las contraseñas
Un administrador debe asegurar que las contraseñas cumplan
con las pautas estándar para contraseñas seguras. Entre estas pautas, se podría
incluir combinar letras, números y caracteres especiales en la contraseña y
establecer una longitud mínima.
Nota: las pautas de prácticas recomendadas requieren el uso
de contraseñas seguras, como las que se muestran aquí, en ambientes de
producción. Sin embargo, las otras prácticas de laboratorio en este curso
utilizan las contraseñas cisco y class para facilitar la realización de las
prácticas.
a. Cambie la contraseña encriptada del modo EXEC
privilegiado conforme a las pautas.
R1(config)#
enable secret Enablep@55
b. Exija que se utilice un mínimo de 10 caracteres para
todas las contraseñas.
R1(config)#
security passwords min-length 10
Paso 2: Habilitar conexiones SSH
a. Asigne el nombre CCNA-lab.com al dominio.
R1(config)#
ip domain-name CCNA-lab.com
b. Cree una entrada de base de datos de usuarios local para
que se utilice al conectarse al router a través de SSH. La contraseña debe
cumplir con los estándares de contraseña segura, y el usuario debe tener acceso
de nivel de administrador.
R1(config)#
username admin privilege 15 secret Admin15p@55
c. Configure la entrada de transporte para las líneas vty de
modo que acepten conexiones SSH, pero no permitan conexiones Telnet.
R1(config)#
line vty 0 4
R1(config-line)#
transport input ssh
d. Las líneas vty deben utilizar la base de datos de
usuarios local para realizar la autenticación.
R1(config-line)#
login local
R1(config-line)#
exit
e. Genere una clave criptográfica RSA con un módulo de 1024
bits.
R1(config)#
crypto key generate rsa modulus 1024
The name
for the keys will be: R1.CCNA-lab.com
% The key
modulus size is 1024 bits
%
Generating 1024 bit RSA keys, keys will be non-exportable...
[OK]
(elapsed time was 2 seconds)
R1(config)#
*Jan 31
17:54:16.127: %SSH-5-ENABLED: SSH 1.99 has been enabled
Paso 3: Implementar medidas de seguridad en las líneas de
consola y vty
a. Puede configurar el router para que se cierre la sesión
de una conexión que estuvo inactiva durante el lapso especificado. Si un
administrador de red inicia sesión en un dispositivo de red y, de repente, se
debe ausentar, este comando cierra la sesión del usuario en forma automática
después de un tiempo especificado. Los siguientes comandos harán que se cierre
la sesión de la línea después de cinco minutos de inactividad.
R1(config)#
line console 0
R1(config-line)#
exec-timeout 5 0
R1(config-line)#
line vty 0 4
R1(config-line)#
exec-timeout 5 0
R1(config-line)#
exit
R1(config)#
b. El comando siguiente impide los intentos de inicio de
sesión por fuerza bruta. Si alguien falla en dos intentos en un período de 120
segundos, el router bloquea los intentos de inicio de sesión por 30 segundos.
Este temporizador se establece en un valor especialmente bajo para esta
práctica de laboratorio.
R1(config)#
login block-for 30 attempts 2 within 120
¿Qué significa 2 within 120 en el comando anterior?
Si se realizan dos intentos fallidos
en un período de dos minutos (120 segundos), el acceso de inicio de sesión se bloquea.
¿Qué significa block-for 30 en el comando anterior?
Si el acceso de inicio de sesión se
bloquea, el dispositivo esperará 30 segundos antes de volver a permitir el
acceso.
Paso 4: Verifique que todos los puertos sin utilizar estén
deshabilitados.
Los puertos del router están deshabilitados de manera
predeterminada, pero siempre es prudente verificar que todos los puertos sin
utilizar tengan un estado administrativamente inactivo. Esto se puede verificar
rápidamente emitiendo el comando show ip interface brief. Todos los puertos sin
utilizar que no estén en el estado administratively down (administrativamente
inactivo) se deben deshabilitar por medio del comando shutdown en el modo de
configuración de interfaz.
R1# show ip
interface brief
Interface
IP-Address OK? Method Status Protocol
Embedded-Service-Engine0/0
unassigned YES NVRAM administratively down down
GigabitEthernet0/0
unassigned YES NVRAM administratively down down
GigabitEthernet0/1
192.168.1.1 YES manual up up
Serial0/0/0
unassigned YES NVRAM administratively down down
Serial0/0/1
unassigned YES NVRAM administratively down down
R1#
Paso 5: Verificar que las medidas de seguridad se hayan
implementado correctamente
a. Utilice Tera Term para acceder al R1 mediante Telnet.
¿R1 acepta la conexión Telnet? No, la conexión se
rechaza.
¿Por qué o por qué no?
Telnet se deshabilitó con el comando
transport input ssh.
b. Utilice Tera Term para acceder al R1 mediante SSH.
¿R1 acepta la conexión SSH? Sí
c. Escriba incorrectamente a propósito la información de
usuario y contraseña para ver si el acceso de inicio de sesión se bloquea
después de dos intentos.
¿Qué ocurrió después del segundo inicio de sesión fallido?
La conexión al R1 se desconectó. Si
intenta volver a conectarse dentro de los siguientes 30 segundos, la conexión
será rechazada.
d. Desde su sesión de consola en el router, emita el comando
show login para ver el estado de inicio de sesión. En el siguiente ejemplo, el
comando show login se emitió dentro del período de bloqueo de inicio de sesión
de 30 segundos y muestra que el router está en modo silencioso. El router no
aceptará ningún intento de inicio de sesión por 14 segundos más.
R1# show
login
A default
login delay of 1 second is applied.
No
Quiet-Mode access list has been configured.
Router
enabled to watch for login Attacks.
If more
than 2 login failures occur in 120 seconds or less,
logins will
be disabled for 30 seconds.
Router
presently in Quiet-Mode.
Will remain
in Quiet-Mode for 14 seconds.
Denying
logins from all sources.
R1#
e. Cuando hayan pasado los 30 segundos, vuelva a acceder al
R1 mediante SSH e inicie sesión utilizando el nombre de usuario admin y la
contraseña Admin15p@55.
Una vez que inició sesión correctamente, ¿qué se mostró? El aviso de inicio de
sesión del R1.
f. Ingrese al modo EXEC privilegiado y utilice la contraseña
Enablep@55.
Si escribe esta contraseña incorrectamente, ¿se desconectará
la sesión de SSH después de dos intentos fallidos en el lapso de 120 segundos? No.
¿Por qué o por qué no?
El comando login block-for 30
attempts 2 within 120 solo controla los intentos de inicio de sesión de las
sesiones.
g. Emita el comando show running-config en la petición de
entrada del modo EXEC privilegiado para ver la configuración de seguridad que
aplicó.
Parte 3: Configurar medidas básicas de seguridad en el
switch
Paso 1: Aportar seguridad a las contraseñas en el switch
Cambie la contraseña encriptada del modo EXEC privilegiado
conforme a las pautas de contraseña segura.
S1(config)#
enable secret Enablep@55
Nota: el comando de seguridad password min-length no está
disponible en el switch 2960.
Paso 2: Habilitar conexiones SSH
a. Asigne el nombre CCNA-lab.com al dominio.
S1(config)#
ip domain-name CCNA-lab.com
b. Cree una entrada de base de datos de usuarios local para
que se utilice al conectarse al router a través de SSH. La contraseña debe
cumplir con los estándares de contraseña segura, y el usuario debe tener acceso
de nivel de administrador.
S1(config)#
username admin privilege 15 secret Admin15p@55
c. Configure la entrada de transporte para las líneas vty
para permitir las conexiones SSH, pero no las conexiones Telnet.
S1(config)#
line vty 0 15
S1(config-line)#
transport input ssh
d. Las líneas vty deben utilizar la base de datos de
usuarios local para realizar la autenticación.
S1(config-line)#
login local
S1(config-line)#
exit
e. Genere una clave criptográfica RSA con un módulo de 1024
bits.
S1(config)#
crypto key generate rsa modulus 1024
Paso 3: Implementar medidas de seguridad en las líneas de
consola y vty
a. Haga que el switch cierre sesión en una línea que haya
estado inactiva durante 10 minutos.
S1(config)#
line console 0
S1(config-line)#
exec-timeout 10 0
S1(config-line)#
line vty 0 15
S1(config-line)#
exec-timeout 10 0
S1(config-line)#
exit
S1(config)#
b. Para impedir intentos de inicio de sesión por fuerza
bruta, configure el switch para que bloquee el acceso de inicio de sesión por
30 segundos en caso de que haya dos intentos fallidos en un período de 120
segundos. Este temporizador se establece en un valor especialmente bajo para
esta práctica de laboratorio.
S1(config)#
login block-for 30 attempts 2 within 120
S1(config)# end
Paso 4: Verifique que todos los puertos sin utilizar estén
deshabilitados.
Los puertos del switch están habilitados de manera
predeterminada. Desactive todos los puertos que no estén en uso en el switch.
a. Para verificar el estado de los puertos del switch,
utilice el comando show ip interface brief.
S1# show ip
interface brief
Interface
IP-Address OK? Method Status Protocol
Vlan1 192.168.1.11
YES manual up up
FastEthernet0/1
unassigned YES unset down down
FastEthernet0/2
unassigned YES unset down down
FastEthernet0/3
unassigned YES unset down down
FastEthernet0/4
unassigned YES unset down down
FastEthernet0/5
unassigned YES unset up up
FastEthernet0/6
unassigned YES unset up up
FastEthernet0/7
unassigned YES unset down down
FastEthernet0/8
unassigned YES unset down down
FastEthernet0/9
unassigned YES unset down down
FastEthernet0/10
unassigned YES unset down down
FastEthernet0/11
unassigned YES unset down down
FastEthernet0/12
unassigned YES unset down down
FastEthernet0/13
unassigned YES unset down down
FastEthernet0/14
unassigned YES unset down down
FastEthernet0/15
unassigned YES unset down down
FastEthernet0/16
unassigned YES unset down down
FastEthernet0/17
unassigned YES unset down down
FastEthernet0/18
unassigned YES unset down down
FastEthernet0/19
unassigned YES unset down down
FastEthernet0/20
unassigned YES unset down down
FastEthernet0/21
unassigned YES unset down down
FastEthernet0/22
unassigned YES unset down down
FastEthernet0/23
unassigned YES unset down down
FastEthernet0/24
unassigned YES unset down down
GigabitEthernet0/1
unassigned YES unset down down
GigabitEthernet0/2
unassigned YES unset down down
S1#
b. Utilice el comando interface range para desactivar varias
interfaces a la vez.
S1(config)#
interface range f0/1–4 , f0/7-24 , g0/1-2
S1(config-if-range)#
shutdown
S1(config-if-range)#
end
S1#
c. Verifique que todas las interfaces inactivas tengan un
estado administrativamente inactivo.
S1# show ip
interface brief
Interface
IP-Address OK? Method Status Protocol
Vlan1
192.168.1.11 YES manual up up
FastEthernet0/1
unassigned YES unset administratively down down
FastEthernet0/2
unassigned YES unset administratively down down
FastEthernet0/3
unassigned YES unset administratively down down
FastEthernet0/4
unassigned YES unset administratively down down
FastEthernet0/5
unassigned YES unset up up
FastEthernet0/6
unassigned YES unset up up
FastEthernet0/7
unassigned YES unset administratively down down
FastEthernet0/8
unassigned YES unset administratively down down
FastEthernet0/9
unassigned YES unset administratively down down
FastEthernet0/10
unassigned YES unset administratively down down
FastEthernet0/11
unassigned YES unset administratively down down
FastEthernet0/12
unassigned YES unset administratively down down
FastEthernet0/13
unassigned YES unset administratively down down
FastEthernet0/14
unassigned YES unset administratively down down
FastEthernet0/15
unassigned YES unset administratively down down
FastEthernet0/16
unassigned YES unset administratively down down
FastEthernet0/17
unassigned YES unset administratively down down
FastEthernet0/18
unassigned YES unset administratively down down
FastEthernet0/19
unassigned YES unset administratively down down
FastEthernet0/20
unassigned YES unset administratively down down
FastEthernet0/21
unassigned YES unset administratively down down
FastEthernet0/22
unassigned YES unset administratively down down
FastEthernet0/23
unassigned YES unset administratively down down
FastEthernet0/24
unassigned YES unset administratively down down
GigabitEthernet0/1
unassigned YES unset administratively down down
GigabitEthernet0/2
unassigned YES unset administratively down down
S1#
Paso 5: Verificar que las medidas de seguridad se hayan
implementado correctamente
a. Verifique que Telnet esté deshabilitado en el switch.
b. Acceda al switch mediante SSH y escriba incorrectamente a
propósito la información de usuario y contraseña para ver si el acceso de
inicio de sesión se bloquea.
c. Cuando hayan pasado los 30 segundos, vuelva a acceder al
S1 mediante SSH e inicie sesión utilizando el nombre de usuario admin y la
contraseña Admin15p@55.
¿Apareció el anuncio después de iniciar sesión
correctamente? __________ Sí
d. Ingrese al modo EXEC privilegiado utilizando la
contraseña Enablep@55.
e. Emita el comando show running-config en la petición de
entrada del modo EXEC privilegiado para ver la configuración de seguridad que
aplicó.
Reflexión
1. En la configuración básica de la parte 1, se introdujo el
comando password cisco para las líneas de consola y vty. ¿Cuándo se utiliza
esta contraseña después de haberse aplicado las medidas de seguridad conforme a
las prácticas recomendadas?
Esta contraseña no se vuelve a utilizar.
Aunque el comando password todavía aparece en las secciones de línea de la
configuración en ejecución, el comando se deshabilitó no bien se introdujo el
comando login local para esas líneas.
2. ¿Se vieron afectadas por el comando security passwords
min-length 10 las contraseñas configuradas previamente con menos de 10
caracteres?
No. El comando security passwords
min-length solo afecta las contraseñas que se introducen después de emitir el
comando. Todas las contraseñas preexistentes permanecen vigentes. Si se
cambian, deberán tener una longitud mínima de 10 caracteres.
Configuraciones de dispositivos,
final
Router R1
service
timestamps debug datetime msec
service
timestamps log datetime msec
service
password-encryption
!
hostname
R1
!
boot-start-marker
boot-end-marker
!
security
passwords min-length 10
enable
secret 4 jowh6xYPeJucL2dB/ulkSjK2YGee/Usr./fiqFhbxTQ
no
aaa new-model
!
no
ip domain lookup
ip
domain name CCNA-lab.com
ip cef
login
block-for 30 attempts 2 within 120
no
ipv6 cef
!
username
admin privilege 15 secret 4 iAAxTYNDMJO3iHURmpY85S.NR4m72e1HMyRxq9kPN0g
!
interface
GigabitEthernet0/0
no
ip address
shutdown
duplex
auto
speed
auto
!
interface
GigabitEthernet0/1
ip
address 192.168.1.1 255.255.255.0
duplex
auto
speed
auto
!
interface
Serial0/0/0
no
ip address
shutdown
clock
rate 2000000
!
interface
Serial0/0/1
no
ip address
shutdown
!
ip
forward-protocol nd
!
no
ip http server
no
ip http secure-server
!
banner
motd ^C
Unauthorized
Access is Prohibited!
^C
!
line
con 0
exec-timeout
5 0
password
7 094F471A1A0A57
login
line
aux 0
line
2
no
activation-character
no
exec
transport
preferred none
transport
input all
transport
output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits
1
line vty 0 4
exec-timeout
5 0
password
7 104D000A0618
login
local
transport
input ssh
!
scheduler
allocate 20000 1000
!
end
Switch
S1
service
timestamps debug datetime msec
service
timestamps log datetime msec
service
password-encryption
!
hostname
S1
!
boot-start-marker
boot-end-marker
!
enable
secret 4 jowh6xYPeJucL2dB/ulkSjK2YGee/Usr./fiqFhbxTQ
!
username
admin privilege 15 secret 4 iAAxTYNDMJO3iHURmpY85S.NR4m72e1HMyRxq9kPN0g
!
system
mtu routing 1500
!
no
ip domain-lookup
ip
domain-name CCNA-lab.com
login
block-for 30 attempts 2 within 120
!
spanning-tree
mode pvst
spanning-tree
extend system-id
!
vlan
internal allocation policy ascending
!
interface
FastEthernet0/1
shutdown
!
interface
FastEthernet0/2
shutdown
!
interface
FastEthernet0/3
shutdown
!
interface
FastEthernet0/4
shutdown
!
interface
FastEthernet0/5
!
interface FastEthernet0/6
!
interface
FastEthernet0/7
shutdown
!
interface
FastEthernet0/8
shutdown
!
interface
FastEthernet0/9
shutdown
!
interface
FastEthernet0/10
shutdown
!
interface
FastEthernet0/11
shutdown
!
interface
FastEthernet0/12
shutdown
!
interface
FastEthernet0/13
shutdown
!
interface
FastEthernet0/14
shutdown
!
interface
FastEthernet0/15
shutdown
!
interface
FastEthernet0/16
shutdown
!
interface
FastEthernet0/17
shutdown
!
interface
FastEthernet0/18
shutdown
!
interface
FastEthernet0/19
shutdown
!
interface
FastEthernet0/20
shutdown
!
interface
FastEthernet0/21
shutdown
!
interface FastEthernet0/22
shutdown
!
interface
FastEthernet0/23
shutdown
!
interface
FastEthernet0/24
shutdown
!
interface
GigabitEthernet0/1
shutdown
!
interface
GigabitEthernet0/2
shutdown
!
interface
Vlan1
ip
address 192.168.1.11 255.255.255.0
!
ip
http server
ip
http secure-server
!
banner
motd ^C
Unauthorized
Access is Prohibited!
^C
!
line
con 0
password
7 110A1016141D
login
line
vty 0 4
password
7 110A1016141D
login
local
transport
input ssh
line
vty 5 15
login local
!
end
No hay comentarios:
Publicar un comentario