You are on page 1of 10

CONFIGURACIONES DE SEGURIDAD PARA CONTROL N°1

BUENAS PRÁCTICAS Se debe ingresar al modo de configuración global, en este modo se configura el hostname, es importante cambiar este parámetro, puesto que si no se hace, al momento de configurar encriptación RSA, esta solicitara de igual forma el cambio. Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)# Router(config)#hostname TUETUE TUETUE(config)# TUETUE(config)#

En el modo de configuración global se configura el lago que deben tener las password En este caso tendrá un mínimo de 10 caracteres

TUETUE(config)#security passwords min-length 10 TUETUE(config)#

Ahora configuramos la password enable en el Router. Veamos que sucede si colocáramos “cisco” TUETUE(config)#enable password cisco % Invalid Password length - must contain 10 to 25 characters. Password configuration failed TUETUE(config)# El Router envía el mensaje de error, puesto que anteriormente le indicamos que debe ser de un minimo de 10 carcteres. Ahora se configura con esta característica TUETUE(config)# TUETUE(config)#enable password cisco12345 TUETUE(config)#

TUETUE(config)# TUETUE(config)#service password-encryption TUETUE(config)# Y se revisa nuevamente con el comando show running-config TUETUE#show running-config Building configuration. one per line. TUETUE(config)# TUETUE(config)#line console 0 .. End with CNTL/Z. consola y puerto auxiliar.El comando es aceptado. esto sucede con todas las password que se configuren en este equipo.. veamos las passwor para line VTY. Por ejemplo.. no se debe olvidar que el largo minimo para la password es de 10 caracteres TUETUE#configure terminal Enter configuration commands. < vista omitida> security passwords min-length 10 logging message-counter syslog enable password cisco12345 < vista omitida> Para dar mayor seguridad a las credenciales del equipo se debe configurar el siguiente comando TUETUE#conf t Enter configuration commands. one per line. Al revisar en la configuración se puede observar la clave TUETUE#sh running-config Building configuration. < vista omitida> security passwords min-length 10 logging message-counter syslog enable password 7 070C285F4D06485744465E < vista omitida> Y se observa que la password fue encriptada. End with CNTL/Z..

1. Ahora revisamos nuevamente la configuración TUETUE#show running-config Building configuration.must contain 10 to 25 characters.0 TUETUE(config-if)#no shutdown . como por ejemplo el puerto auxiliar.169.255.1 255. este ejercicio está siendo realizado en un Router real. no olvidar que algunas facilidades no están en los programas packet tracer o GNS3. Password configuration failed TUETUE(config-line)#password cisco12345 TUETUE(config-line)# TUETUE(config-line)#exit TUETUE(config)#line vty 0 4 TUETUE(config-line)#password cisco12345 TUETUE(config-line)# TUETUE(config-line)#exit TUETUE(config)#line aux 0 TUETUE(config-line)#password cisco12345 TUETUE(config-line)# Las características de estas líneas.. es que se debe salir de una para poder ingresar a la otra. <vista omitida > line con 0 password 7 030752180500701E1D5D4C line aux 0 password 7 030752180500701E1D5D4C line vty 0 4 password 7 104D000A061843595F507F login ! <vista omitida > TUETUE# Vemos nuevamente que el comando service password-encryption trabaja en toda la configuración del equipo Ahora se configura la interfaz que conecta al PC de usuario y el PC de usuario TUETUE(config)# interface f0/1 TUETUE(config-if)# ip address 192.TUETUE(config-line)#password cisco % Invalid Password length .255..

1.169. Tiempos aproximados de ida y vuelta en milisegundos: Mínimo = 0ms.1.!!!! Success rate is 80 percent (4/5).1 con 32 bytes de datos: Respuesta desde 192.1: bytes=32 tiempo<1m TTL=255 Estadísticas de ping para 192.1 Haciendo ping a 192.1. Media = 0ms C:\Documents and Settings> .169. timeout is 2 seconds: .1. Sending 5.1: bytes=32 tiempo<1m TTL=255 Respuesta desde 192.169.169. recibidos = 4.169. perdidos = 0 (0% perdidos).169.1. round-trip min/avg/max = 1/1/1 ms TUETUE# Y desde el PC C:\Documents and Settings>ping 192.2 Type escape sequence to abort.1. Máximo = 1ms.1.Se realiza prueba de ping desde el Router TUETUE#ping 192. 100-byte ICMP Echos to 192.1.1: Paquetes: enviados = 4.169.1.169.1: bytes=32 tiempo<1m TTL=255 Respuesta desde 192.1: bytes=32 tiempo=1ms TTL=255 Respuesta desde 192.2.169.

one per line. Ahora se comienza dar las configuraciones de mayor seguridad Se crea un usuario y su respectiva password para el acceso Y se configura en el line vty 0 4 que revise el nombre de usuario en forma local TUETUE(config)#username cisco password ciscoadmin TUETUE(config)# TUETUE(config)#line vty 0 4 TUETUE(config-line)#login local TUETUE(config-line)# Para bloquear la conexión al equipo por 60 segundos después de dos intentos fallidos de conexión TUETUE#configure terminal Enter configuration commands. se puede probar la conexión via telnet C:\Documents and Settings>telnet 192.169.Una vez que está conectado.1 Con esta configuración tenemos la administración remota del Router. End with CNTL/Z.1. TUETUE(config)# TUETUE(config)#login block-for 60 attempts 2 within 30 TUETUE(config)# TUETUE(config)# Veamos que sucede al intentar conectarse colocando password errónea desde el PC .

1.169. esto para poder realizar análisis posteriores .Y por consola se observa el siguiente mensaje al fallar la conexión. TUETUE(config-line)# *May 4 05:10:45. y a los 60 segundos se indica que se desbloquea nuevamente.035: %SEC_LOGIN-1-QUIET_MODE_ON: Still timeleft for watching failures is 9 secs.035: %SEC_LOGIN-5-QUIET_MODE_OFF: Quiet Mode is OFF. [user: s] [Source: 192. because block period timed out at 05:11:45 UTC Sat May 4 2013 TUETUE(config-line)# Se puede configurar que este mensaje se almacene en el buffer del equipo o se envie a un servidor syslog. en este caso habilitaremos los log del Router TUETUE(config)#logging buffered 4096 6 TUETUE(config)# Y al realizar el comando show logging se observa el suceso.BadUser] [ACL: sl_def_acl] at 05:10:45 UTC Sat May 4 2013 TUETUE(config-line)# TUETUE(config-line)# *May 4 05:11:45.2] [localport: 23] [Reason: Login Authentication Failed .

además se indica que por el puerto 23 han sido las conexiones.169.1.1.2] [localport: 23] [Reason: Login Authentication Failed .2] [localport: 23] [Reason: Login Authentication Failed . one per line.2.169.1.BadUser] at 05:25:29 UTC Sat May 4 2013 *May 4 05:25:39.169.BadUser] [ACL: sl_def_acl] at 05:25:39 UTC Sat May 4 2013 TUETUE# En amarillo se aprecia que la conexión fue exitosa con el usuario cisco desde la ip 192. [user: prueba] [Source: 192. End with CNTL/Z.887: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: prueba] [Source: 192. El ultimo log indica que se bloquea por la conexión remota por intentos fallidos .1.En el mismo contexto de tener un registro de los intentos de conexión existen los siguientes comandos para logging TUETUE#configure terminal Enter configuration commands.169.169.2 y luego en gris nuevamente Conexión fallida con el usuario prueba desde la ip 192.847: %SEC_LOGIN-5-LOGIN_SUCCESS: Login Success [user: cisco] [Source: 192.169.2] [localport: 23] [Reason: Login Authentication Failed .2] [localport: 23] at 05:25:12 UTC Sat May 4 2013 *May 4 05:25:29.BadUser] at 05:25:39 UTC Sat May 4 2013 *May 4 05:25:39.1.455: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: w] [Source: 192.2 En gris se aprecia la conexión fallida con el usuario w desde la ip 192.887: %SEC_LOGIN-1-QUIET_MODE_ON: Still timeleft for watching failures is 19 secs. TUETUE(config)#login on-success log TUETUE(config)# TUETUE(config)#login on-failure log TUETUE(config)# El primero para registrar las conexiones que están correctas y el segundo para las fallidas Veamos que sucede al realizar primero una conexión correcta y luego dos intentos fallidos TUETUE# TUETUE# *May 4 05:25:12.169.1.1.

Conexión SSH Esta conexión trabaja por el puerto 22 y veamos ahora como se configura y como se revisa su estado... TUETUE(config)# TUETUE(config)# Aca hay que ver dos cosas.version 1. End with CNTL/Z.99 has been enabled .99 %Please create RSA keys (of atleast 768 bits size) to enable SSH v2.195: %SSH-5-ENABLED: SSH 1.com % The key modulus size is 1024 bits % Generating 1024 bit RSA keys. tal como lo solicitaba anteriormente y también nos indica que debemso crear el dominio primero Para este laboratorio el dominio será ccnasecurity. Para crear la encriptación RSA TUETUE# TUETUE#configure terminal Enter configuration commands. En primera instancia se el estado TUETUE# TUETUE#sh ip ssh SSH Disabled .[OK] TUETUE(config)# *May 4 05:36:32. Authentication timeout: 120 secs. primero que el modulo debe ser de 1024. one per line.ccnasecurity. Authentication retries: 3 Minimum expected Diffie Hellman key size : 1024 bits TUETUE# Este comando nos indica que esta deshabilitada y que se debe crear la encriptación RSA. TUETUE(config)#crypto key generate rsa general-keys mo TUETUE(config)#crypto key generate rsa general-keys modulus ? <360-2048> size of the key modulus [360-2048] TUETUE(config)#crypto key generate rsa general-keys modulus 1024 % Please define a domain-name first. keys will be non-exportable.com Si no cambiaste el hostname del equipo te generará un error y deberas cambiarlo para realizar este comando TUETUE(config)#ip domain name ccnasecurity.com TUETUE(config)# TUETUE(config)#crypto key generate rsa general-keys modulus 1024 The name for the keys will be: TUETUE.

Authentication retries: 3 Minimum expected Diffie Hellman key size : 1024 bits TUETUE# Se indica que el protocolo SSH esta habilitado.162. lo cual lo indica el log que entrega el equipo Se repite el comando show ip ssh TUETUE#show ip ssh SSH Enabled .99 Authentication timeout: 120 secs. Con los siguientes comandos TUETUE(config)# TUETUE(config)#ip ssh time-out 90 TUETUE(config)# TUETUE(config)#ip ssh authentication-retries 2 TUETUE(config)# Veamos cómo queda TUETUE# TUETUE#show ip ssh SSH Enabled .version 1. Authorization and Accounting . se crea la encriptación RSA . la conexión a ssh En el pc se abre una ventana de cmd y se realia el siguiente comando ssh -l admin 192. Authentication retries: 2 Minimum expected Diffie Hellman key size : 1024 bits TUETUE# Ahora se configura en el line vty 0 4.version 1.99 Authentication timeout: 90 secs. además se indica que después de 120 segundos si no se autentica se caerá la conexión y que puede tener tres intentos .Se crea el dominio. no son pilas Es un protocolo que implica un acrónimo con sus letras Authentication.1. Estos parámetros se pueden variar.1 o bien se abre una sesión en un Programa de cliente ssh (putty. crt . etc) Creacion de perfiles de administrador AAA. al estar bien generada se habilita el protocolo SSH.

End with CNTL/Z. TUETUE# TUETUE#? Exec commands: configure Enter configuration mode debug Debugging functions (see also 'undebug') enable Turn on privileged commands exit Exit from the EXEC show Show running system information TUETUE# .Se habilita el modo de aaa TUETUE(config)#aaa new-model TUETUE(config)#exit TUETUE#enable view Password: TUETUE# *May 4 06:11:19. one per line.111: %PARSER-6-VIEW_CREATED: view 'admin1' successfully created.091: %PARSER-6-VIEW_SWITCH: successfully set to view 'root' Aparece un log que indica que PARSER es root En este estado es donde se configuran los perfiles de usuario En este caso creamos el usuario admin1 con password passadmin1 Enter configuration commands. TUETUE(config)#parser view admin1 TUETUE(config-view)# *May 4 06:18:59. TUETUE(config-view)# TUETUE(config-view)#secret passadmin1 TUETUE(config-view)# TUETUE(config-view)#commands exec include all show TUETUE(config-view)#commands exec include all configure terminal TUETUE(config-view)#commands exec include all debug TUETUE(config-view)# Se ingresa con el perfil del usuario creado y se observa lo que puede hacer TUETUE#enable view admin1 Password: TUETUE# *May 4 06:21:25.583: %PARSER-6-VIEW_SWITCH: successfully set to view 'admin1'.