Anda di halaman 1dari 37

CONTENIDO

Laboratorio 1

Seguridad en Router Cisco

Laboratorio 2

Role Based Access

Laboratorio 3

Cisco SDM

10

Laboratorio 4

AAA LOCAL

14

Laboratorio 5

AAA TACACS+

16

Laboratorio 6

Auto Secure / One Step Lock Down Router

18

Laboratorio 7

Cisco Logging

20

Laboratorio 8

Configuracin de protocolo SSH

22

Laboratorio 9

Segura en Switch Cisco

24

Laboratorio 10

NAC LEAP 802.1x

27

Laboratorio 11

Lista de Acceso Estndar

29

Laboratorio 12

Lista de Acceso Extendida

31

Laboratorio 13

VPN IPSec Site to Site

33

LABORATORIO 1
OBJETIVO
El estudiante aprender los procedimientos necesarios para la configuracin de un Router Cisco
de forma segura.
REQUERIMIENTOS:
(1) Cisco Router 1760
(1) Cisco Catalyst Switch 2950
(2) Patch Cord straight-through
(1) PC IBM o compatible
Sistema operativo Windows XP
DIAGRAMA DE LABORATORIO

PROCEDIMIENTO
1.
2.
3.
4.
5.
6.
7.
8.

Esquema de direccionamiento IP
Configuracin contraseas
Limitar el nmero de intentos fallidos de conexin
Configuracin de reloj de inactividad
Configuracin de modo privilegiado
Proteccin de archivos del Router
Configuracin opciones adicionales de seguridad para las conexiones virtuales
Configuracin Banner

1) ESQUEMA DE DIRECCIONAMIENTO IP
Pod

Hostname

F0/0

Pod A

RouterA

N/A

SwitchA

N/A

LaptopA

N/A

2) CONFIGURACION DE CONTRASEAS
RouterA>enable

Entra al modo privilegiado.

RouterA#configure terminal

Entra al modo configuracin Global.

RouterA(config)#enable secret cisco

Configuracin de contrasea para entra al modo


configuracin privilegiado.

RouterA(config)#line console 0

Entra al modo configuracin Line.

RouterA(config-line)#password cisco

Configuracin de contrasea en el puerto console


0.

RouterA(config-line)#login

Activacin de la autenticacin.

RouterA(config)#exit

Salir al modo configuracin anterior.

RouterA(config)#line aux 0

Entra al modo configuracin Aux.

RouterA(config-line)#password cisco

Configuracin de contrasea en el puerto Auxiliar.

RouterA(config-line)#login

Activacin de la autenticacin.

RouterA(config)#exit

Salir al modo configuracin anterior.

RouterA(config)#line vty 0 4

Entra al modo configuracin Line.

RouterA(config-line)#password cisco

Configuracin de contrasea en los puertos VTY.

RouterA(config-line)#login

Activacin de la autenticacin.

RouterA(config-line)#exit

Salir al modo configuracin anterior.

RouterA(config)#exit

Salir al modo configuracin anterior.


3

RouterA#show running

Muestra en pantalla la configuracin del Router


residente en el memoria DRAM.

RouterA#configure terminal

Entra al modo configuracin Global.

RouterA(config)#service password-encryption

Comando para cifra todas las contraseas


anteriormente configuradas.

RouterA(config)#exit

Salir al modo configuracin anterior.

RouterA#show running

Muestra en pantalla la configuracin del Router


residente en el memoria DRAM.

3) LIMITAR EL NUMERO DE INTENTOS FALLIDOS CONEXION


RouterA#configure terminal

Entra al modo configuracin Global.

RouterA(config)#security authentication failure Comando para especificar la cantidad de


rate 5 log
autenticacin fallidas.. En caso que el nmero de
intentos fallidos sea igual a 5 el Router generar
un mensaje log.
RouterA(config)#exit

Salir al modo configuracin anterior.

4) CONFIGURACION RELOJ DE INACTIVIDAD


RouterA#configure terminal

Entra al modo configuracin Global.

RouterA(config)#line con 0

Entra al modo configuracin Line.

RouterA(config-line)#exec-timeout 2 30

Comando que especifica el tiempo de inactividad


que puede tener un usuario en el sistema. En caso
de que el tiempo de inactividad alcance 2 minutos
con 30 segundos el sistema operativo
automticamente expulsa al usuario fuera del
sistema.

RouterA(config-line)#exit

Salir al modo configuracin anterior.

RouterA(config)#line aux 0

Entra al modo configuracin Auxiliar.

RouterA(config-line)#exec-timeout 2 30

Comando que especifica el tiempo de inactividad


que puede tener un usuario en el sistema. En caso
de que el tiempo de inactividad alcance 2 minutos
con 30 segundos el sistema operativo
automticamente expulsa al usuario fuera del
sistema.

RouterA(config-line)#exit

Salir al modo configuracin anterior.

RouterA(config)#line vty 0 4

Entra al modo configuracin VTY.

RouterA(config-line)#exec-timeout 2 30

Comando que especifica el tiempo de inactividad


que puede tener un usuario en el sistema. En caso
4

de que el tiempo de inactividad alcance 2 minutos


con 30 segundos el sistema operativo
automticamente expulsa al usuario fuera del
sistema.
RouterA(config-line)#exit

Salir al modo configuracin anterior.

5) CONFIGURACION MODO PRIVILEGIADO


RouterA#configure terminal

Entra al modo configuracin Global.

RouterA(config)#privilege exec level 5 debug

Comando que especifica el nivel de privilegio


necesario para ejecutar el comando debug. En este
caso es el nivel customizado 5. Los niveles
alcanzan el rango de 0-15. El nivel privilegiado 0
es el EXEC mode (modo de usuario) y el nivel
privilegiado 15 es el PRIVILEG MODE (modo
privilegiado). El rango 1-14 puede ser
personalizado.

RouterA(config)#enable secret level 5 cisco

Configuracin de contrasea para entrar al modo


privilegiado 5.

RouterA(config)#exit

Salir al modo anterior.

RouterA#enable 5

Entra al modo privilegiado 5.

6) PROTECCION DE ARCHIVOS DEL ROUTER


RouterA#configure terminal

Entra al modo configuracin Global.

RouterA(config)#secure boot-image

Comando que asegura la imagen del sistema


operativo para que esta no sea borrada del sistema
intencionalmente. (Cisco IOS Resilient
Configuration)

RouterA(config)#secure boot-config

Comando que asegura la configuracin runningconfig en el sistema. De esta forma se mantiene


un backup de la configuracin de manera segura.
(Cisco IOS Resilient Configuration)

RouterA#show secure bootset

Comando utilizado verificar si tenemos activa la


Cisco IOS Resilient Configuration.

7) CONFIGURANDO OPCIONALES ADICIONALES PARA LAS CONEXIONES


VIRTUALES
Router#configure terminal

Entra al modo configuracin Global.

RouterA(config)#login block-for 30 attempts 5


within 10

Comando que establece el nmero mximo de


intentos fallidos de validacin. En caso que los
intentos fallidos alcancen 5 intentos el sistema
desactivar la validacin de usuario por un
periodo de 30 segundos.

RouterA(config)#login quiet-mode access-class


101

Comando que especifica la excepcin al comando


anteior.

RouterA(config)#login delay 3

Comando que especifica el tiempo mnimo


esperado entre intentos de validacin.

RouterA(config)#login on-failure log

Comando que especifica la creacin de una


archivo para llevar un registro de los intentos
fallidos de validacin.

RouterA(config)#login on-success log

Comando que especifica la creacin de una


archivo para llevar un registro de los intentos
vlidos de validacin.

8) CONFIGURACION BANNER
RouterA(config)#banner motd #EL ACCESO A
ESTE EQUIPO DE MANERA ILEGAL SERA
PERSEGUIDO CON TODA LA FUERZA DE
LEY

Configuracin de banner.

LABORATORIO 2
OBJETIVO
El estudiante aprender el procedimiento necesario la configuracin de accesso a los recursos
del Cisco IOS basado en roles o perfiles de usuarios.
REQUERIMIENTOS:
(1) Cisco Router 1760
(1) Cisco Catalyst Switch 2950
(2) Patch Cord straight-through
(1) PC IBM o compatible
Sistema operativo Windows XP
DIAGRAMA DE LABORATORIO

PROCEDIMIENTO
1. Esquema de direccionamiento IP
2. Configuracin de VIEW o perfiles
3. Comprobacin de la configuracin
1) ESQUEMA DE DIRECCIONAMIENTO IP
Pod

Hostname

F0/0

Pod A

RouterA

N/A

SwitchA

N/A

LaptopA

N/A

2) CONFIGURACION DE VIEW O PERFILES


RouterA#terminal monitor

Muestra en pantalla mensajes de debug, errores,


notificaciones, etc.

RouterA#configure terminal

Entra al modo configuracin Global.

RouterA(config)#aaa new-model

Activacin de AAA.

RouterA(config)#exit

Salir al modo configuracin anterior.

RouterA#enable view

Entra al modo configuracin View.

RouterA#configure terminal

Entra al modo configuracin Global.

RouterA(config)#parser view HELPDESK

Creacin de un VIEW o Perfil.

RouterA(config-view)#secret cisco

Configuracin de contrasea para accesar al este


perfil.

RouterA(config-view)#commands exec include


all copy

Lista de comandos que tendrn acceso los


usuarios que pertenezcan a este VIEW.

RouterA(config-view)#commands exec include


traceroute

Lista de comandos que tendrn acceso los


usuarios que pertenezcan a este VIEW.

RouterA(config-view)#commands exec include


ping

Lista de comandos que tendrn acceso los


usuarios que pertenezcan a este VIEW.

RouterA(config-view)#exit

Salir al modo configuracin anterior.

RouterA(config)#parser view SUPPORT

Creacin de un VIEW o Perfil.

RouterA(config-view)#secret cisco

Configuracin de contrasea para acceder al este


perfil.

RouterA(config-view)#commands exec include


show

Lista de comandos que tendrn acceso los


usuarios que pertenezcan a este VIEW.

RouterA(config-view)#exit

Salir al modo configuracin anterior.

RouterA(config)#username helpdesk view


HELPDESK secret cisco

Creacin de cuenta de usuario.

RouterA(config)#username support view


SUPPORT secret cisco

Creacin de cuenta de usuario.

RouterA(config)#exit

Salir al modo configuracin Privilegiado.

RouterA#exit

Salir al modo configuracin EXEC.

3) COMPRABACION DE LA CONFIGURACION
RouterB>enable view helpdesk

Entra al modo View helpdesk.

RouterB#?

Muestra los comandos que pueden ser utilizado


por el modo View.

RouterB>enable view support

Entra al modo View support.

RouterB#?

Muestra los comandos que pueden ser utilizado


por el modo View.

LABORATORIO 3
OBJETIVO
El estudiante aprender el procedimiento necesario para la instalacin del software Cisco SDM.
REQUERIMIENTOS:
(1) Cisco Router 1760
(1) Cisco Catalyst Switch 2950
(3) Patch Cord straight-through
(1) PC IBM o compatible
Sistema operativo Windows XP.
DIAGRAMA DE LABORATORIO

PROCEDIMIENTO
1.
2.
3.
4.
5.

Esquema de direccionamiento IP
Configuracin Bsica Router Cisco
Configuracin de Servidor HTTP en Router Cisco
Configuracin de cuenta de usuario en Router Cisco
Instalacin de Cisco SDM en Laptop

10

1) ESQUEMA DE DIRECCIONAMIENTO IP
Pod

Hostname

F0/0

Pod A

RouterA

N/A

SwitchA

N/A

LaptopA

N/A

2) CONFIGURACION DE HTTP SERVER EN ROUTER CISCO


Router>enable

Entra al modo Privilegiado.

Router#configure terminal

Entra al modo configuracin Global.

Router(config)#hostname RouterA

Configuracin de Host Name.

RouterA(config)#no ip domain-lookup

Desactivacin de resolucin de nombres de


dominio.

3) CONFIGURACION DE SERVIDOR HTTP EN ROUTER CISCO


RouterA(config)#ip http server

Activacin de servicio de servidor HTTP.

RouterA(config)#ip http secure-server

Activacin de servicio de servidor HTTP Seguro


utilizando SSL.

RouterA(config)#ip http authentication local

Configuracin de la validacin de usuario en la


base de datos local del Router.

4) CONFIGURACION DE CUENTA DE USUARIO


RouterA(config)#username admin privilege 15
secret cisco

Configuracin de la cuenta de usuario Admin con


privilegios todos los privilegios ya que se le ha
asignado el nivel 15.

11

5) INSTALACION DE CISCO SDM EN LAPTOP


A) Comenzando el proceso de instalacin

B) Seleccin de la ruta de instalacin

c) Iniciando conexin del Router Cisco

12

d) Utilizando Cisco SDM

13

LABORATORIO 4
OBJETIVO
El estudiante aprender el procedimiento necesario la configuracin de validacin de logins
utilizando AAA con la base de datos de usuarios local del Router.
REQUERIMIENTOS:
(1) Cisco Router 1760
(1) Cisco Catalyst Switch 2950
(2) Patch Cord straight-through
(1) PC IBM o compatible
Sistema operativo Windows XP.
DIAGRAMA DE LABORATORIO

PROCEDIMIENTO
1.
2.
3.
4.

Esquema de direccionamiento IP
Configuracin cuenta de usuario
Configuracin de AAA
Configuracin de VTY

14

1) ESQUEMA DE DIRECCIONAMIENTO IP
Pod

Hostname

F0/0

Pod A

RouterA

N/A

SwitchA

N/A

LaptopA

N/A

2) CONFIGURACION CUENTA DE USUARIO


RouterA(config)#username admin privilege 15
secret cisco

Creacin de cuenta de usuario local en Router.

3) CONFIGURACION DE SSH
RouterA(config)#aaa new-model

Activacin de AAA.

RouterA(config)#aaa authentication login


CCNA_SECURITY local

Configuracin de AAA Autenticacin Local.

4) CONFIGURACION DE VTY
RouterA(config)#line vty 0 4

Entra al modo configuracin Line.

RouterA(config-line)#login authentication login Configuracin de Logins en VTY utilizando el


CCNA_SECURITY
mtodo de validacin CCNA_SECURITY.

15

LABORATORIO 5
OBJETIVO
El estudiante aprender el procedimiento necesario la configuracin de validacin de logins
utilizando AAA con un servidor TACACS+.
REQUERIMIENTOS:
(1) Cisco Router 1760
(1) Cisco Catalyst Switch 2950
(2) Patch Cord straight-through
(1) PC IBM o compatible
Sistema operativo Windows XP
Cisco ACS 4.0 for Windows
DIAGRAMA DE LABORATORIO

PROCEDIMIENTO
1. Esquema de
direccionamiento IP
2. Configuracin de AAA
3. Configuracin mtodo de validacin TACACS
4. Configuracin de VTY

16

1) ESQUEMA DE DIRECCIONAMIENTO IP
Pod

Hostname

F0/0

Pod A

RouterA

10.10.10.1/24

SwitchA

10.10.10.2/24

LaptopA

10.10.10.3/24

2) CONFIGURACION DE AAA
RouterA(config)#aaa new-model

Activacin de AAA.

RouterA(config)#aaa authentication login


CCNA_SECURITY group tacacs

Configuracin de AAA Autenticacin Local.

3) CONFIGURACION METODO DE VALIDACION TACACS


RouterA(config)#tacacs-server host 10.10.0.3
single-connection

Configuracin servidor TACACS.

RouterA(config)#tacacs-server key cisco

Configuracin de contrasea para establecer la


conexin con el servidor TACACS.

4) CONFIGURACION DE VTY
RouterA(config)#line vty 0 4

Entra al modo configuracin Line.

RouterA(config-line)#login authentication login Configuracin de Logins en VTY utilizando el


CCNA_SECURITY
metodo de validacin CCNA_SECURITY.

17

LABORATORIO 6
OBJETIVO
El estudiante aprender el procedimiento necesario la configuracin de un Router Cisco de
forma segura automticamente.
REQUERIMIENTOS:
(2) Cisco Router 1760
(1) Cisco Catalyst Switch 2950
(2) Patch Cord straight-through
(1) PC IBM o compatible
Sistema operativo Windows XP.
DIAGRAMA DE LABORATORIO

PROCEDIMIENTO
1. Esquema de direccionamiento IP
2. Comando AutoSecure

18

1) ESQUEMA DE DIRECCIONAMIENTO IP
Pod

Hostname

F0/0

Pod A

RouterA

10.10.10.1/24

SwitchA

10.10.10.2/24

LaptopA

10.10.10.3/24

2) COMANDO AUTO SECURE


Router>enable
Router#auto secure

19

LABORATORIO 7
OBJETIVO
El estudiante aprender el procedimiento necesario la configuracin que la configuracin de
bitcora (Logging) sea enviada a un servidor Syslog central en la red.
REQUERIMIENTOS:
(1) Cisco Router 1760
(1) Cisco Catalyst Switch 2950
(2) Patch Cord straight-through
(1) PC IBM o compatible
Sistema operativo Windows XP.
Kiwi Syslog Server Software 8.3.52 for Windows
DIAGRAMA DE LABORATORIO

PROCEDIMIENTO
1. Esquema de
direccionamiento IP
2. Configuracin de Logging

20

1) ESQUEMA DE DIRECCIONAMIENTO IP
Pod

Hostname

F0/0

Pod A

RouterA

10.10.10.1/24

SwitchA

10.10.10.2/24

LaptopA

10.10.10.3/24

2) CONFIGURACION DE LOGGING
RouterA#terminal monitor

Muestra en pantalla la salida de los comandos


debug, mensajes de notificacin y error.

RouterA#configure terminal

Entra al modo configuracin Global.

RouterA(config)#logging buffered 4096

Configuracin del tamao del buffer para guardar


los log del router.

RouterA(config)#logging 10.10.10.3

Configuracin de servidor Syslog para que el


Router envie los logs.

RouterA(config)#logging trap 7

Configuracin del Nivel 7 de mensajes Syslog.

RouterA#show log

Muestra los logs guardados en el buffer en


pantalla.

21

LABORATORIO 8
OBJETIVO
El estudiante aprender el procedimiento necesario la configuracin de SSH como protocolo de
acceso remoto a los Routers.
REQUERIMIENTOS:
(1) Cisco Router 1760
(1) Cisco Catalyst Switch 2950
(2) Patch Cord straight-through
(1) PC IBM o compatible
Sistema operativo Windows XP.
DIAGRAMA DE LABORATORIO

PROCEDIMIENTO
1.
2.
3.
4.
5.
6.

Esquema de direccionamiento IP
Configuracin de cuenta de usuario
Configuracin de SSH
Configuracin de VTY
Configuracin opcional de SSH
Mostrar informacin de SSH

22

1) ESQUEMA DE DIRECCIONAMIENTO IP
Pod

Hostname

F0/0

Pod A

RouterA

10.10.10.1/24

SwitchA

10.10.10.2/24

LaptopA

10.10.10.3/24

2) CONFIGURACION CUENTA DE USUARIO


RouterA(config)#username admin privilege 15
secret cisco

Creacin de cuenta de usuario local en Router.

3) CONFIGURACION DE SSH
RouterA(config)#ip domain-name cisco.com

Configuracin de nombre de dominio. Esta opcin


es importante ya que el protocolo SSH generar
una llave de encriptacin pblica y sta se
generara usando datos del Router tales como el
nombre de dominio.

RouterA(config)#crypto key generate rsa

Generacin de llave criptogrfica utilizando el


algoritmo asimtrico RSA.

4) CONFIGURACION DE VTY
RouterA(config)#line vty 0 4

Entra al modo configuracin Line.

RouterA(config-line)#login local

Configuracin de Login con la validacin de


usuario en la base de datos local del Router.

RouterA(config-line)#transport input ssh

Configuracin de SSH en los VTY.

5) CONFIGURACION OPCIONAL DE SSH


RouterA(config)#ip ssh version 2

Configuracin de SSH versin 2.

RouterA(config)#ip ssh time-out 120

Configuracin de IDLE para 120 segundos.

RouterA(config)#ip ssh authentication-retries 1 Configuracin del nmero de intentos permitidos


para entrar al Router via SSH.
6) MOSTRAR CONFIGURACION SSH
RouterA#show ip ssh

Muestra en pantalla informacin de SSH.

23

LABORATORIO 9
OBJETIVO
El estudiante aprender el procedimiento necesario la configuracin segura de dispositivos de
Capa 2 (Switching).
REQUERIMIENTOS:
(2) Cisco Router 1760
(1) Cisco Catalyst Switch 2950
(2) Patch Cord straight-through
(1) PC IBM o compatible
Sistema operativo Windows XP.
DIAGRAMA DE LABORATORIO

PROCEDIMIENTO
1.
2.
3.
4.
5.

Esquema de direccionamiento IP
Previniendo VLAN Hopping
Previniendo Ataques STP
Previniendo Ataques DHCP Server Spoofing
Previniendo Ataques CAM Table Overflow y MAC Address Spoofing (port-security)

24

1) ESQUEMA DE DIRECCIONAMIENTO IP
Pod

Hostname

F0/0

Pod A

RouterA

10.10.10.1/24

SwitchA

10.10.10.2/24

LaptopA

10.10.10.3/24

2) PREVINIENDO VLAN HOPPPING (SWITCH SPOOFING)


Switch>enable

Entra al modo Privilegiado.

Switch#configure terminal

Entra al modo configuracin Global.

Switch(config)#interface f0/24

Entra al modo configuracin de interfase.

Switch(config-if)#switchport mode access

Configuracin de puerto en modo Access.

Switch(config-if)#exit

Salir al modo configuracin anterior.

Switch(config)#interface f0/23

Entra al modo configuracin interfase.

Switch(config-if)#switchport mode trunk

Configuracin de puerto en modo Trunk.

Switch(config-if)#switchport trunk
encapsulation dot1

Configuracin de encapsulacin 802.1q.

Switch(config-if)#switchport nonegotiate

Parmetro para deshabilitar el envo de tramas


DTP en el puerto.

Switch(config-if)#switchport trunk native vlan


400

Configuracin de VLAN NATIVA en la VLAN


400.

3) PREVINIENDO ATAQUES STP (ROOT GUARD)


Switch>enable

Entra al modo Privilegiado.

Switch#configure terminal

Entra al modo configuracin Global.

Switch(config)#interface f0/1

Entra al modo configuracin interfase.

Switch(config-if)#spanning-tree guard root

Configura el puerto para que en caso de que se


reciba alguna trama DPDU el puerto se pone en
modo root-inconsistent. Mientras este puerto esta
en modo root-inconsistent el usuario no puede
enviar ni recibir informacin.

Switch(config)#interface f0/2

Entra al modo configuracin interfase.

Switch(config-if)#spanning-tree portfast
bpduguard

Configura el puerto en modo Port-Fast. En caso


que el puerto reciba alguna trama BPDU el puerto
de deshabilita automticamente.

25

4) PREVINIENDO ATAQUES DHCPD SERVER SPOOFING


Switch>enable

Entra al modo privilegiado.

Switch#configure terminal

Entra al modo configuracin Global.

Switch(config)#ip dhcp snooping

Comando para la activacin de ip dhcp snooping


con el fin de prevenir la instalacin de servidores
DHCP ilegtimos.

Switch(config)#interface f0/4

Entra al modo configuracin interfase.

Switch(config-if)#ip dhcp snooping trust

Configuracin de interfase como CONFIABLE


para recibir paquetes DHCPOFFER,
DHCPPACK.

Switch(config-if)#exit

Salir al modo configuracin anterior.

Switch(config)#interface f0/5

Entra al modo conifguracin interfase.

Switch(config-if)#ip dhcp snooping limit rate 3

Configuracin para limitar el nmero de mensajes


DHCP que pueden ser enviados por segundo.

5) PREVINIENDO ATAQUES CAM TABLE OVERFLOW Y MAC ADDRESS SPOOFING


Switch>enable

Entra al modo Privilegiado.

Switch#configure terminal

Entra al modo configuracin Global.

Switch(config)#interface f0/5

Entra al modo configuracin interfase.

Switch(config-if)#switchport mode access

Configuracin de puerto en modo ACCESS.

Switch(config-if)#switchport port-security

Activacin de Port-Security en el puerto.

Switch(config-if)#switchport port-security
maximum 1

Configuracin que permite slo una direccin


MAC en la interfase.

Switch(config-if)#switchport port-security
violation shutdown

Configuracin que desactiva la interfase en caso


de que sean reconocidas dos o ms direcciones
MAC en la interfase.

Switch(config-if)#switchport port-security mac- Configuracin para grabar las direcciones MAC


address sticky
registradas por la interfase en la runningconfiguration.
Switch(config-if)#exit

Salir al modo configuracin anterior.

Switch(config)#exit

Salir al modo configuracin anterior.

Switch#show port-security

Muestra informacin sobre los puertos que tiene


activo Port-Security.

Switch#show port-security address

Muestra informacin sobre los puertos que tiene


activo Port-Security.

26

LABORATORIO 10
OBJETIVO
El estudiante aprender el procedimiento necesario para la configuracin de NAC (Network
Access Control) a nivel de Switch.
REQUERIMIENTOS:
(1) Cisco Catalyst Switch 2950
(2) Patch Cord straight-through
(2) PC IBM o compatible
Sistema operativo Windows XP
Cisco ACS for Windows
DIAGRAMA DE LABORATORIO

PROCEDIMIENTO
1.
2.
3.
4.
5.
6.

Esquema de direccionamiento IP
Configuracin de AAA
Configuracin de Switch para validacin de acceso via Radius
Activacin global en Switch de validacin dot1x
Configuracin de puertos del Switch
Mostrar en pantalla configuracin dot1x

27

1) ESQUEMA DE DIRECCIONAMIENTO IP
Pod

Hostname

F0/0

Pod A

RouterA

10.10.10.1/24

SwitchA

10.10.10.2/24

LaptopA

10.10.10.3/24

2) CONFIGURACION DE AAA
SwitchA>enable

Entra al modo Privilegiado.

SwitchA#configure terminal

Entra al modo configuracin Global.

SwitchA(config)#aaa new-model

Activacin de AAA.

SwitchA(config)#aaa authentication dot1x


CCNA_SECURITY gorup radius

Configuracin de validacin AAA del tipo dot1x


utilizando servidores Radius.

3) CONFIGURACION DE SWITCH PARA VALIDACION DE ACCESO VIA RADIUS


SwitchA(config)#radius-server host 10.10.0.5

Configuracin de servidor de validacin Radius.

SwitchA(config)#radius-server key cisco

Configuracin de contrasea para la comunicacin


entre el Switch y el servidor Radius.

4) ACTIVACION GLOBAL EN EL SWITCH DE VALIDACION DOT1X


SwitchA(config)#dot1x system-auth-control

Activacin del la validacin Dot1x.

SwitchA(config)#guest-vlan supplicant

Activacin de gues-vlan en caso de la validacin


de usuario no sea exitosa.
5) CONFIGURACION DE PUERTOS DEL SWITCH
SwitchA(config)#int range 1-12

Entra al modo configuracin interfase.

SwitchA(config-if)#switchport mode access

Configuracin de puerto en modo acceso.

SwitchA(config-if)#dot1x port-control

Configuracin de dot1x.

6) MOSTRAR EN PANTALLA CONFIGURACION DOT1X


SwitchA#show dot1x

Muestra en pantalla informacin sobre dot1x.

SwitchA#show aaa server

Muestra en pantalla informacin sobre los


servidor AAA configurados.

SwitchA#debug aaa authentication

Despliega en pantalla en tiempo real informacin


referente al proceso de validacin de usuarios.
28

LABORATORIO 11
OBJETIVO
El estudiante aprender los comandos y procedimientos necesarios para la configuracin de
Listas de Acceso Estndar.

REQUERIMIENTOS:
(2) Cisco Router 2501
(1) Rollover Cable
(1) PC IBM o compatible
Sistema operativo Windows o Linux.
DIAGRAMA DE LABORATORIO

PROCEDIMIENTO
1.
2.
3.
4.

Esquema de direccionamiento IP.


Configuracin de Lista de Acceso Estandar.
Configuracin de Lista de Acceso en interfase correspondiente.
Comprobacion de la prctica.

1) ESQUEMA DE DIRECCIONAMIENTO IP
Pod

Hostname

Pod A

RouterA
RouterB

Ethernet IP

Serial/0 IP

Serial/1 IP

Loopback0
IP

Loopback1
IP

10.10.0.1/24

1.1.1.1/24

2.2.2.2/24

10.10.0.2/24

3.3.3.3/24

4.4.4.4/24

2) CONFIGURACION DE LISTA DE ACCESO.


RouterA#configure terminal

Entra al modo configuracin global.

RouterA(config)#access-list 10 deny ip 3.3.3.3


0.0.0.0

Confguracin de Access-List Extendida.


29

3) CONFIGURACION DE LISTA DE ACCESO EN INTERFASE CORRESPONDIENTE


RouterA(config)#int s0

Entra al modo configuracin interfase.

RouterA(config-if)#ip access-group 101 out

Activacin de Access-List en la interfase


correspondiente.

4) COMPROBACION DE LA REGLA DE ACCESS-LIST 101


RouterB#ping 1.1.1.1

Comprobacin de conectividad a nivel de Capa 3.

30

LABORATORIO 12
OBJETIVO
El estudiante aprender los comandos y procedimientos necesarios para la configuracin de
Listas de Acceso Extendidas.

REQUERIMIENTOS:
(2) Cisco Router 2501
(1) Rollover Cable
(1) PC IBM o compatible
Sistema operativo Windows o Linux.
DIAGRAMA DE LABORATORIO

PROCEDIMIENTO
1.
2.
3.
4.

Esquema de direccionamiento IP.


Configuracin de Lista de Acceso Extendida.
Configuracin de Lista de Acceso en interfase correspondiente.
Comprobacin de la prctica.

1) ESQUEMA DE DIRECCIONAMIENTO IP
Pod

Hostname

Pod A

RouterA
RouterB

Ethernet IP

Serial/0 IP

Serial/1 IP

Loopback0
IP

Loopback1
IP

10.10.0.1/24

1.1.1.1/24

2.2.2.2/24

10.10.0.2/24

3.3.3.3/24

4.4.4.4/24

2) CONFIGURACION DE LISTA DE ACCESO.


RouterB#configure terminal

Entra al modo configuracin global.

RouterB(config)#access-list 101 deny ip 3.3.3.3


0.0.0.0 1.1.1.1 0.0.0.0

Confguracin de Access-List Extendida.


31

3) CONFIGURACION DE LISTA DE ACCESO EN INTERFASE CORRESPONDIENTE


RouterB(config)#int s0

Entra al modo configuracin interfase.

RouterB(config-if)#ip access-group 101 in

Activacin de Access-List en la interfase


correspondiente.

4) COMPROBACION DE LA REGLA DE ACCESS-LIST 101


RouterB#ping 1.1.1.1

Comprobacin de conectividad a nivel de Capa 3.

32

LABORATORIO 13
OBJETIVO
El estudiante aprender el procedimiento necesario configuracin de una conexin VPN Site to
Site utilizando el protocolo IPSEC a travs de la lnea de comandos.
REQUERIMIENTOS:
(2) Cisco Router 1760
(2) Patch Cord Cable
(1) V.35 Serial Cable
(1) PC IBM o compatible
Sistema operativo Windows XP
DIAGRAMA DE LABORATORIO

PROCEDIMIENTO
1.
2.
3.
4.
5.

Esquema de direccionamiento IP
Configuracin de IKE FASE 1 (ISAKMP)
Configuracin de IKE FASE 2 (IPSEC)
Aplicar la configuracin a la interfase
Verificacin de la conexin VPN

1) ESQUEMA DE DIRECCIONAMIENTO IP
Pod

Hostname

Interfase F0/0

Interfase S0/0

Pod A

RouterA

10.1.1.1/24

172.30.2.1/24

RouterB

192.168.0.1/24

172.30.2.2/24

33

2) CONFIGURACION DE IKE FASE 1 (ISAKMP)


RouterA(config)#crypto isakmp policy 1

Creacin de un objeto para la configuracin de


polticas ISAKMP.

RouterA(config-isakmp)#hash sha

Configuracin de Hash.

RouterA(config-isakmp)#group 2

Configuracin de nivel de encriptacin del


protocolo Diffie-Hellman.

RouterA(config-isakmp)#lifetime 86400

Tiempo lmete del SA. Cuando el reloj es cero los


Router vuelven a renegociar las llaves para
establecer una nueva SA.

RouterA(config-isakmp)#authentication preshare

Tipo de validacin.

RouterA(config-isakmp)#encrytion aes 128

Algoritmo de encriptacin que se utiliza para el


cifrado de la informacin.

RouterA(config-isakmp)#exit

Salir al modo configuracin anterior.

RouterA(config)#crypto isakmp key cisco


address 172.30.2.2

Configuracin de la llave para la validacin de


IPSEC. El router del otro extremo debe de tener la
misma llave.

RouterB(config)#crypto isakmp policy 1

Creacin de un objeto para la configuracin de


polticas ISAKMP.

RouterB(config-isakmp)#hash sha

Configuracin de Hash.

RouterB(config-isakmp)#group 2

Configuracin de nivel de encriptacin del


protocolo Diffie-Hellman.

RouterB(config-isakmp)#lifetime 86400

Tiempo lmete del SA. Cuando el reloj es cero los


Router vuelven a renegociar las llaves para
establecer una nueva SA.

RouterB(config-isakmp)#authentication preshare

Tipo de validacin.

RouterA(config-isakmp)#encrytion aes 128

Algoritmo de encriptacin que se utiliza para el


cifrado de la informacin.

RouterB(config-isakmp)#exit

Salir al modo configuracin anterior.

RouterB(config)#crypto isakmp key cisco

Configuracin de la llave para la validacin de


34

address 172.30.2.1

IPSEC. El router del otro extremo debe de tener la


misma llave.

3) CONFIGURACION DE IKE FASE 2 (IPSEC)


RouterA(config)#crypto ipsec transform-set
MYSET esp-aes esp-sha

Configuracin de los algoritmos de encriptacin a


negociar durantes el establecimiento del SA.

RouterA(cfg-crypto-trans)#exit

Salir al modo configuracin anterior.

RouterA(config)#access-list 101 permit ip


10.1.1.0 0.0.0.255 192.168.0.0 0.0.0.255

Lista de acceso.

RouterA(config)#crypto map
ROUTERA_TO_ROUTERB 1 ipsec-isakmp

Configuracin de Crypto MAP.

RouterA(config-crypto-map)#set peer 172.30.2.2 Especifica la direccin IP del Router con el cual


se va a establecer conexin.
RouterA(config-crypto-map)#set transform-set
MYSET

Especifica el transform-set a utilizar durante la


conexin.

RouterA(config-crypto-map)#match address 101 Especifica la lista de acceso que establecer el


trafico que cruzar a travs del tnel VPN.
RouterA(config-crypto-map)#exit

Salir al modo configuracin anterior.

RouterB(config)#crypto ipsec transform-set


MYSET esp-aes esp-sha

Configuracin de los algoritmos de encriptacin a


negociar durantes el establecimiento del SA.

RouterB(cfg-crypto-trans)#exit

Salir al modo configuracin anterior.

RouterA(config)#access-list 101 permit ip


192.168.0.0 0.0.0.255 10.1.1.0 0.0.0.255

Lista de acceso.

RouterA(config)#crypto map
ROUTERB_TO_ROUTERA 1 ipsec-isakmp

Configuracin de Crypto MAP.

RouterA(config-crypto-map)#set peer 172.30.2.1 Especifica la direccin IP del Router con el cual


se va a establecer conexin.

35

RouterA(config-crypto-map)#set transform-set
MYSET

Especifica el transform-set a utilizar durante la


conexin.

RouterA(config-crypto-map)#match address 101 Especifica la lista de acceso que establecer el


trafico que cruzar a travs del tnel VPN.
RouterA(config-crypto-map)#exit

Salir al modo configuracin anterior.

4) APLICAR LA CONFIGURACION A LA INTERFASE


RouterA(config)#interface s0/0

Entra al modo configuracin interfase.

RouterA(config-if)#crypto map
ROUTERA_TO_ROUTERB

Aplica el Cryto Map Armadillo en la interfase.

RouterA(config-if)#exit

Salir al modo configuracin anterior.

RouterA(config)#ip route 192.168.0.0


255.255.255.0 172.30.2.2

Configuracin de ruta por defecto.

RouterB(config)#interface s0/0

Entra al modo configuracin interfase.

RouterB(config-if)#crypto map
ROUTERB_TO_ROUTERA

Aplica el Cryto Map Armadillo en la interfase.

RouterB(config-if)#exit

Salir al modo configuracin anterior.

RouterB(config)#ip route 10.1.1.0 255.255.255.0 Configuracin de ruta por defecto.


172.30.2.1

5) VERIFICACION DE LA CONEXION VPN


RouterA#ping (extendido)

Ping extendido.

Target IP address: 192.168.0.1

Direccin IP destinado del paquete.

Source address of interface: 10.1.1.1

Direccin IP origen del paquete.

RouterA#show cryto engine connections active

Muestra las coneccin activas a travs del VPN.

RouterA#show cryto session

Muestra las session IPSec activas en el Router.

36

RouterB#show cryto engine connections active

Muestra las coneccin activas a travs del VPN.

RouterB#show cryto session

Muestra las session IPSec activas en el Router.

37

Anda mungkin juga menyukai