Laboratorio - Seguridad del router para el acceso administrativo

TOPOLOGA:

IP Addressing Table

Device Interface IP Address Subnet Mask Default Gateway Switch Port

G0/1 192.168.1.1 255.255.255.0 N/A S1 F0/5

R1
S0/0/0 (DCE) 10.1.1.1 255.255.255.252 N/A N/A
S0/0/0 10.1.1.2 255.255.255.252 N/A N/A
R2
S0/0/1 (DCE) 10.2.2.2 255.255.255.252 N/A N/A
G0/1 192.168.3.1 255.255.255.0 N/A S3 F0/5
R3
S0/0/1 10.2.2.1 255.255.255.252 N/A N/A
PC-A NIC 192.168.1.3 255.255.255.0 192.168.1.1 S1 F0/6
PC-C NIC 192.168.3.3 255.255.255.0 192.168.3.1 S3 F0/18

Objetivos:

Parte 1: Configurar las configuraciones bsicas del dispositivo

Cablear la red como se muestra en la topologa.

Configurar el direccionamiento IP bsico para routers y PCs.
 Configure el enrutamiento OSPF.
Configurar hosts de PC.
Verificar la conectividad entre hosts y enrutadores.

Parte 2: Control de acceso administrativo de routers

Configurar y cifrar todas las contraseas.

Configurar un banner de advertencia de inicio de sesin.
Configure seguridad de contrasea de nombre de usuario mejorada.
Configurar un servidor SSH en un enrutador.
Configurar un cliente SSH y verificar la conectividad.
Configure un servidor SCP en un enrutador.

Parte 3: Configurar funciones administrativas

Crear mltiples vistas de rol y conceder privilegios variables.

Verificar y contrastar las vistas.

Antecedentes / Escenario
El enrutador es un componente crtico en cualquier red. Controla el movimiento de datos
dentro y fuera de la red y entre dispositivos dentro de la red. Es especialmente importante
proteger los enrutadores de red porque el fallo de un dispositivo de enrutamiento podra
hacer que las secciones de la red o de toda la red sean inaccesibles. El control del acceso a
routers y la habilitacin de informes en routers es fundamental para la seguridad de la red y
debe ser parte de una poltica de seguridad integral.

En este laboratorio, usted construir una red de mltiples enrutadores y configurar los
enrutadores y hosts. Utilice varias herramientas CLI para asegurar el acceso local y remoto a
los routers, analizar vulnerabilidades potenciales y tomar medidas para mitigarlas. Habilitar
informes de administracin para supervisar los cambios de configuracin del enrutador.

Los comandos y salida del enrutador en este laboratorio son de un router Cisco 1941 que
utiliza el software Cisco IOS, la versin 15.4 (3) M2 (con una licencia de paquete de tecnologa
de seguridad). Se pueden utilizar otros routers y versiones Cisco IOS. Consulte la Tabla de
resumen de la interfaz del enrutador al final del laboratorio para determinar qu
identificadores de interfaz utilizar en funcin del equipo en el laboratorio. Dependiendo del
modelo del enrutador, los comandos disponibles y la salida producida pueden variar de lo que
se muestra en este laboratorio.

Recursos necesarios

3 enrutadores (Cisco 1941 con la imagen Cisco IOS Release 15.4 (3) M2 con una
licencia de paquete de tecnologa de seguridad)
2 Switch (conmutadores) (Cisco 2960 o comparables) (no es necesario)
2 PCs (Windows 7 o 8.1, cliente SSH, servidor Kiwi o Tftpd32 Syslog)
Cables serie y Ethernet como se muestra en la topologa
Cables de consola para configurar dispositivos de red Cisco
Parte 1: Configurar las configuraciones bsicas del dispositivo
En la Parte 1, configure la topologa de red y configure los parmetros bsicos, como las
direcciones IP de la interfaz.

Paso 1: Cablear la red.

Conecte los dispositivos, como se muestra en el diagrama de topologa, y el cable segn sea
necesario.

Configure los ajustes bsicos para cada enrutador.

Configure los nombres de host como se muestra en la topologa.

Configure las direcciones IP de la interfaz como se muestra en la Tabla de direcciones IP.

a. Configure una velocidad de reloj para routers con un cable serie DCE conectado a su interfaz
serie. R1 se muestra aqu como un ejemplo.
R1(config)# interface S0/0/0
R1(config-if)# clock rate 64000

b. Para evitar que el enrutador intente traducir comandos introducidos incorrectamente como
si fueran nombres de host, desactive la bsqueda de DNS. R1 se muestra aqu como un
ejemplo.

R1(config)# no ip domain-lookup

Paso 2: Configure el enrutamiento OSPF en los enrutadores.

a. Utilice el comando ospf del enrutador en el modo de configuracin global para habilitar
OSPF en R1.
R1(config)# router ospf 1
b. Configure las sentencias de red para las redes en R1. Utilice un ID de rea de 0.
R1(config-router)# network 192.168.1.0 0.0.0.255 area 0
R1(config-router)# network 10.1.1.0 0.0.0.3 area 0
c. Configure OSPF en R2 y R3.

d. Emita el comando passive-interface para cambiar la interfaz G0 / 1 en R1 y R3 a pasiva.

R1(config)# router ospf 1
R1(config-router)# passive-interface g0/1
R3(config)# router ospf 1
R3(config-router)# passive-interface g0/1

Paso 3: Verificar los vecinos de OSPF y la informacin de enrutamiento.

a. Emita el comando show ip ospf neighbor para verificar que cada enrutador enumera los
otros enrutadores de la red como vecinos
R1# show ip ospf neighbor
b. Emita el comando show ip route para verificar que todas las redes se muestren en la tabla
de enrutamiento de todos los routers.
R1# show ip route

Paso 4: Configure la configuracin de IP del host de PC.

Configure una direccin IP esttica, una mscara de subred y una puerta de enlace
predeterminada para PC-A y PC-C como se muestra en la Tabla de direcciones IP.

Paso 5: Verificar la conectividad entre PC-A y PC-C.

a. Haga ping de R1 a R3.

Si los pings no tienen xito, solucione las configuraciones bsicas del dispositivo antes de
continuar.

b. Haga ping desde PC-A, en la LAN R1, hasta PC-C, en la LAN R3.

Si los pings no tienen xito, solucione las configuraciones bsicas del dispositivo antes de
continuar.

Nota: Si puede hacer ping desde PC-A a PC-C, ha demostrado que el enrutamiento OSPF est
configurado y funciona correctamente. Si no puede hacer ping pero las interfaces del
dispositivo estn activadas y las direcciones IP son correctas, utilice show run, show ip ospf
neighbor y show ip route commands para ayudar a identificar problemas relacionados con el
protocolo de enrutamiento.

Paso 6: Guarde la configuracin bsica de ejecucin de cada enrutador.

Guarde la configuracin de ejecucin bsica de los enrutadores como archivos de texto en su

PC. Estos archivos de texto se pueden utilizar para restaurar configuraciones ms adelante en
el laboratorio.

Parte 2: Control de acceso administrativo para routers

En la Parte 2, usted realizar:

Configurar y cifrar contraseas.

Configurar un banner de advertencia de inicio de sesin.
Configure seguridad de contrasea de nombre de usuario mejorada.
Configurar la seguridad de inicio de sesin virtual mejorada.
Configure un servidor SSH en R1.
Buscar el software cliente de emulacin de terminal y configurar el cliente SSH.
Configure un servidor SCP en R1.

Nota: Realice todas las tareas en R1 y R3. Aqu se muestran los procedimientos y la salida para
R1.
Tarea 1: Configurar y cifrar contraseas en los enrutadores R1 y R3.

Paso 1: Configure una longitud mnima de contrasea para todas las contraseas del
enrutador.

Utilice el comando security passwords para establecer una longitud mnima de 10 caracteres.
R1(config)# security passwords min-length 10

Paso 2: Configure enable secret password.

Configure la contrasea encriptada secreta en ambos enrutadores. Utilice el algoritmo de

hashing de tipo 9 (SCRYPT).
R1(config)# enable algorithm-type scrypt secret cisco12345

Cmo configurar una contrasea secreta activa ayuda a proteger un enrutador de ser
comprometido por un ataque?

__________________________________________________

Paso 3: Configure la consola bsica, el puerto auxiliar y las lneas de acceso virtual.

Nota: Las contraseas de esta tarea se establecen en un mnimo de 10 caracteres pero son
relativamente simples para el beneficio de realizar el laboratorio. Se recomiendan contraseas
ms complejas en una red de produccin.

a. Configure una contrasea de consola y habilite el inicio de sesin para enrutadores. Para
seguridad adicional, el comando exec-timeout hace que la lnea se cierre despus de 5
minutos de inactividad. El comando logging synchronous evita que los mensajes de la consola
interrumpan la entrada de comandos.

Nota: Para evitar inicios de sesin repetitivos durante este laboratorio, el comando exec-
timeout puede establecerse en 0 0, lo que impide su vencimiento. Sin embargo, esto no se
considera una buena prctica de seguridad.
R1(config)# line console 0
R1(config-line)# password ciscocon
R1(config-line)# exec-timeout 5 0
R1(config-line)# login
R1(config-line)# logging synchronous
Cuando configur la contrasea para la lnea de consola, qu mensaje se visualiz?

________________________________________

b. Configure una nueva contrasea de ciscoconpass para la consola.

c. Configure una contrasea para el puerto AUX para el router R1.

R1(config)# line aux 0
 R1(config-line)# password ciscoauxpass
R1(config-line)# exec-timeout 5 0
R1(config-line)# login
d. Telnet de R2 a R1.
R2> telnet 10.1.1.1
Fue capaz de iniciar sesin? Explique.

____________________________________________

e. Configure la contrasea en las lneas vty para el router R1.

R1(config)# line vty 0 4
R1(config-line)# password ciscovtypass
R1(config-line)# exec-timeout 5 0
R1(config-line)# transport input telnet
R1(config-line)# login
Nota: El valor predeterminado para las lneas vty es ahora ninguna entrada de transporte.

Telnet de R2 a R1 de nuevo. Fue capaz de iniciar sesin en este momento?

______________________________________

F. Ingrese el modo EXEC privilegiado y emita el comando show run. Puedes leer la contrasea
secreta? Explique.

_______________________________________

Puedes leer las contraseas de consola, aux y vty? Explique.

_______________________________________

g. Repita la parte de configuracin de los pasos 3a a 3g en el enrutador R3.

Paso 4: Cifrar contraseas de texto claro.

a. Utilice el comando service password-encryption para cifrar las contraseas de consola, aux,
y vty.
R1(config)# service password-encryption
b. Emita el comando show run. Puedes leer las contraseas de consola, aux y vty? Explique.

_______________________________________

En qu nivel (nmero) es la contrasea secreta habilitada por defecto encriptada? _________

En qu nivel (nmero) estn encriptadas las dems contraseas? _____________

Qu nivel de cifrado es ms difcil de romper y por qu? __________________ ___________

Tarea 2: Configurar una bandera de advertencia de inicio de sesin en los
enrutadores R1 y R3.
Paso 1: Configure un mensaje de advertencia para mostrarlo antes de iniciar sesin.

a. Configure una advertencia para usuarios no autorizados con una pancarta de mensaje del
da (MOTD) con el comando banner motd. Cuando un usuario se conecta a uno de los
enrutadores, el banner MOTD aparece antes del indicador de inicio de sesin. En este ejemplo,
el signo de dlar ($) se utiliza para iniciar y finalizar el mensaje.
R1(config)# banner motd $Unauthorized access strictly
prohibited!$
R1(config)# exit
b. Emita el comando show run. En qu se convierte el $ en la salida?

Tarea 3: Configurar la seguridad de contrasea de usuario mejorada en

los enrutadores R1 y R3.
Paso 1: Investigue las opciones para el comando de nombre de usuario.

En el modo de configuracin global, escriba el siguiente comando:

R1(config)# username user01 algorithm-type ?
Qu opciones estn disponibles?

____________________________________

Paso 2: Cree una nueva cuenta de usuario con una contrasea secreta.

a. Cree una nueva cuenta de usuario con el hash SCRYPT para cifrar la contrasea.
R1(config)# username user01 algorithm-type scrypt secret
user01pass
b. Salga del modo de configuracin global y guarde su configuracin.

c. Mostrar la configuracin en ejecucin. Qu mtodo hash se utiliza para la contrasea?

____________________________________

Paso 3: Pruebe la nueva cuenta iniciando sesin en la consola.

a. Establezca la lnea de consola para utilizar las cuentas de inicio de sesin definidas
localmente.
R1(config)# line console 0
R1(config-line)# login local
R1(config-line)# end
R1# exit

b. Salga a la pantalla inicial del enrutador que muestra: R1 con0 ya est disponible, presione
RETURN para comenzar.

c. Inicie sesin con el usuario user01 previamente definido y la contrasea user01pass.

Cul es la diferencia entre iniciar sesin en la consola ahora y anteriormente?

_________________________________

d. Despus de iniciar sesin, emita el comando show run. Fue capaz de emitir el comando?
Explique.

_________________________________

e. Ingrese el modo EXEC privilegiado utilizando el comando enable. Se le pidi una

contrasea? Explique.

_________________________________

Paso 4: Pruebe la nueva cuenta iniciando sesin desde una sesin Telnet.

a. Desde PC-A, establecer una sesin Telnet con R1. Telnet est deshabilitado de forma
predeterminada en Windows 7. Si es necesario, busque en lnea los pasos para habilitar Telnet
en Windows 7.
PC-A> telnet 192.168.1.1
Se le pidi una cuenta de usuario? Explique

__________________________________

b. Establezca las lneas vty para utilizar las cuentas de inicio de sesin definidas localmente.
R1(config)# line vty 0 4
R1(config-line)# login local
c. Desde PC-A, telnet a R1 de nuevo.
PC-A> telnet 192.168.1.1
Se le pidi una cuenta de usuario? Explique.

____________________________________

d. Inicie sesin como user01 con una contrasea de user01pass.

e. Durante la sesin Telnet a R1, acceda al modo EXEC privilegiado con el comando enable.

Qu contrasea usaste?

_______________________________

f. Para mayor seguridad, configure el puerto AUX para utilizar las cuentas de inicio de sesin
definidas localmente.
R1(config)# line aux 0
R1(config-line)# login local
g. Finalizar la sesin Telnet con el comando exit.

Tarea 4: Configure el servidor SSH en el enrutador R1 y R3.

En esta tarea, utilice la CLI para configurar el enrutador para que se administre de forma
segura mediante SSH en lugar de Telnet. Secure Shell (SSH) es un protocolo de red que
establece una conexin de emulacin de terminal segura a un enrutador u otro dispositivo de
red. SSH cifra toda la informacin que pasa a travs del enlace de red y proporciona
autenticacin del equipo remoto. SSH est reemplazando rpidamente a Telnet como la
herramienta de acceso remoto de eleccin para los profesionales de la red.

Nota: Para que un enrutador admita SSH, debe configurarse con autenticacin local, (servicio
AAA o nombre de usuario) o autenticacin de contrasea. En esta tarea, configura un nombre
de usuario SSH y una autenticacin local.

Paso 1: Configure un nombre de dominio.

Ingrese al modo de configuracin global y establezca el nombre de dominio.

R1# conf t
R1(config)# ip domain-name ccnasecurity.com
Paso 2: Configure un usuario privilegiado para iniciar sesin desde el cliente SSH.

a. Utilice el comando username para crear el ID de usuario con el nivel de privilegio ms alto
posible y una contrasea secreta.
R1(config)# username admin privilege 15 algorithm-type scrypt
secret cisco12345
Nota: Los nombres de usuario no distinguen entre maysculas y minsculas por defecto.

b. Salga a la pantalla inicial de inicio del router. Inicie sesin con el nombre de usuario admin y
la contrasea asociada. Cul fue la indicacin del enrutador despus de ingresar la
contrasea?

_____________________________________

Paso 3: Configure las lneas vty entrantes.

Especifique un nivel de privilegio de 15 para que un usuario con el nivel de privilegio ms alto
(15) adopte por defecto el modo EXEC privilegiado al acceder a las lneas vty. Otros usuarios
usarn por defecto el modo EXEC del usuario. Utilice las cuentas de usuario locales para el
inicio de sesin obligatorio y la validacin y acepte slo las conexiones SSH.
R1(config)# line vty 0 4
R1(config-line)# privilege level 15
R1(config-line)# login local
R1(config-line)# transport input ssh
R1(config-line)# exit
Nota: El comando local de inicio de sesin debera haberse configurado en un paso anterior. Se
incluye aqu para proporcionar todos los comandos, si est haciendo esto por primera vez.

Nota: si agrega la palabra clave telnet al comando de entrada de transporte, los usuarios
pueden iniciar sesin utilizando Telnet y SSH, sin embargo, el enrutador ser menos seguro. Si
slo se especifica SSH, el host de conexin debe tener instalado un cliente SSH.

Parte 3: Configurar funciones administrativas

En la Parte 3 de este laboratorio, usted realizar:

Crear mltiples roles administrativos, o vistas, en routers R1 y R3.

 Conceda a cada vista diferentes privilegios.
Verificar y contrastar las vistas.

La funcin de acceso a la CLI basada en funciones permite al administrador de red definir

vistas, que son un conjunto de comandos operativos y capacidades de configuracin que
proporcionan acceso selectivo o parcial a los comandos de modo Cisco IOS EXEC y
configuracin (config). Las vistas restringen el acceso de los usuarios a la informacin de la CLI
de Cisco IOS y la configuracin. Una vista puede definir qu comandos son aceptados y qu
informacin de configuracin es visible.

Nota: Realice todas las tareas en R1 y R3. Aqu se muestran los procedimientos y la salida para
R1.

Tarea 1: Habilitar vista raz en R1 y R3.

Si un administrador desea configurar otra vista para el sistema, el sistema debe estar en la
vista raz. Cuando un sistema est en vista raz, el usuario tiene los mismos privilegios de
acceso que un usuario que tiene privilegios de nivel 15, pero el usuario de vista raz tambin
puede configurar una vista nueva y agregar o quitar comandos de la vista. Cuando se
encuentra en una vista CLI, slo tiene acceso a los comandos que el usuario de la vista raz ha
aadido a esa vista.

Paso 1: Habilitar AAA en el router R1.

Para definir vistas, asegrese de que AAA se habilit con el comando aaa new-model en la
Parte 2.

Paso 2: habilite la vista raz.

Utilice la vista habilitar mandato para habilitar la vista raz. Utilice la contrasea secreta enable
cisco12345. Si el enrutador no tiene una contrasea secreta habilitada, cree una ahora.
R1# enable view
Password: cisco12345
R1#

Tarea 2: Crear nuevas vistas para las funciones Admin1, Admin2 y Tech
en R1 y R3.
Paso 1: Cree la vista admin1, establezca una contrasea y asigne privilegios.

a. El usuario admin1 es el usuario de nivel superior por debajo de la raz que tiene permiso
para acceder a este enrutador. Tiene la mayor autoridad. El usuario admin1 puede usar todos
los comandos show, config y debug. Utilice el comando siguiente para crear la vista admin1
mientras est en la vista raz.
R1(config)# parser view admin1
R1(config-view)#
Nota: Para eliminar una vista, utilice el comando no parser view viewname.

b. Asociar la vista admin1 con una contrasea cifrada.

R1(config-view)# secret admin1pass
R1(config-view)#
c. Revise los comandos que se pueden configurar en la vista admin1. Utilice commands ? Para
ver los comandos disponibles.

R1 (config-view) # comandos?

d. Agregue todos los comandos config, show y debug a la vista admin1 y luego salga del modo
de configuracin de vista.
R1(config-view)# commands exec include all show
R1(config-view)# commands exec include all config terminal
R1(config-view)# commands exec include all debug
R1(config-view)# end

e. Verifique la vista admin1.

R1# enable view admin1
Password: admin1pass

R1# show parser view

Current view is admin1

f. Examine los comandos disponibles en la vista admin1.

R1 # ?

Nota: Puede haber ms comandos EXEC disponibles que los que se muestran. Esto depende de
su dispositivo y la imagen de IOS utilizada.

g. Examine los comandos show disponibles en la vista admin1.

R1 # show ?

Paso 2: Cree la vista admin2, establezca una contrasea y asigne privilegios.

a. El usuario admin2 es un administrador junior en formacin que tiene permiso para ver todas
las configuraciones, pero no est autorizado a configurar los enrutadores o utilizar comandos
de depuracin.

b. Utilice el comando enable view para habilitar la vista raz, e ingrese la contrasea secreta
enable cisco12345.
R1# enable view
Password: cisco12345

c. Utilice el comando siguiente para crear la vista admin2.

R1(config)# parser view admin2
R1(config-view)#
d. Asociar la vista admin2 con una contrasea.
R1(config-view)# secret admin2pass
R1(config-view)#

e. Agregue todos los comandos show a la vista y, a continuacin, salga del modo de
configuracin de vista.
R1(config-view)# commands exec include all show
R1(config-view)# end
f. Verifique la vista admin2.
R1# enable view admin2
Password: admin2pass

R1# show parser view

Current view is admin2
g. Examine los comandos disponibles en la vista admin2.
R1# ?
Exec commands:
<0-0>/<0-4> Enter card slot/sublot number
do-exec Mode-independent "do-exec" prefix support
enable Turn on privileged commands
exit Exit from the EXEC
show Show running system information
Nota: Puede haber ms comandos EXEC disponibles que los que se muestran. Esto depende de
su dispositivo y la imagen de IOS utilizada.

Qu falta en la lista de comandos admin2 que est presente en los comandos admin1?

__________________________________

Paso 3: Cree la vista tech, establezca una contrasea y asigne privilegios.

a. El usuario tech suele instalar dispositivos de usuario final y cableado. El usuarios tech slo
pueden utilizar comandos de muestra seleccionados.

b. Utilice el comando enable view para habilitar la vista raz, e ingrese la contrasea secreta
enable cisco12345.
R1# enable view
Password: cisco12345
c. Utilice el comando siguiente para crear la vista tech.
R1(config)# parser view tech
R1(config-view)#
d. Asociar la vista tech con una contrasea.
R1(config-view)# secret techpasswd
R1(config-view)#
e. Agregue los siguientes comandos show a la vista y luego salga del modo de configuracin de
vista.
R1(config-view)# commands exec include show version
R1(config-view)# commands exec include show interfaces
R1(config-view)# commands exec include show ip interface brief
R1(config-view)# commands exec include show parser view
R1(config-view)# end
f. Verifique la vista tech.
R1# enable view tech
Password: techpasswd

R1# show parser view

Current view is tech
g. Examine los comandos disponibles en la vista tech.
R1# ?
Exec commands:
<0-0>/<0-4> Enter card slot/sublot number
do-exec Mode-independent "do-exec" prefix support
enable Turn on privileged commands
exit Exit from the EXEC
show Show running system information

Nota: Puede haber ms comandos EXEC disponibles que los que se muestran. Esto depende de
su dispositivo y la imagen de IOS utilizada.

h. Examine los comandos de presentacin disponibles en la vista tech.

R1# show ?
banner Display banner information
flash0: display information about flash0: file system
flash1: display information about flash1: file system
flash: display information about flash: file system
interfaces Interface status and configuration
ip IP information
parser Display parser information
usbflash0: display information about usbflash0: file system
version System hardware and software status
Nota: Puede haber ms comandos EXEC disponibles que los que se muestran. Esto depende de
su dispositivo y la imagen de IOS utilizada.

i. Emita el comando show ip interface brief. Fue capaz de hacerlo como el usuario tech?
Explique.

_______________________________________

j. Emita el comando show ip route. Fue capaz de hacerlo como el usuario tech?

______________________________________

k. Vuelva a la vista raz con el comando enable view.

 R1# enable view
Password: cisco12345
l Emita el comando show run para ver las vistas que ha creado.

Paso 4: Guarde la configuracin en los routers R1 y R3.

Guarde la configuracin en ejecucin en la configuracin de inicio desde el indicador EXEC

privilegiado.