ClubEnsayos.com - Ensayos de Calidad, Tareas y Monografias
Buscar

Networking

Pametuby22 de Mayo de 2014

2.592 Palabras (11 Páginas)239 Visitas

Página 1 de 11

Práctica de laboratorio 2: Configuración Básica de Seguridad

Diagrama de topología

Objetivos de aprendizaje

Al completar esta práctica de laboratorio, el usuario podrá:

• Cablear una red según el diagrama de topología

• Borrar la configuración de inicio y recargar un router al estado por defecto

• Realizar tareas de configuración básicas en un router

• Configurar la seguridad básica de router

• Deshabilitar las interfaces y los servicios de Cisco que no se utilicen

• Proteger las redes empresariales de ataques básicos internos y externos

Escenario

En esta práctica de laboratorio, se aprenderá a configurar la seguridad básica de red mediante la red que se muestra en el diagrama de topología. Se aprenderá a configurar la seguridad del router de dos maneras diferentes: mediante la CLI y la función de seguridad automática.

Tarea 1: Preparar la red

Paso 1: Conectar una red que sea similar a la del diagrama de topología.

Se puede utilizar cualquier router del laboratorio, siempre y cuando éste disponga de las interfaces necesarias que se muestran en la topología.

Nota: Esta práctica de laboratorio se desarrolló y probó mediante routers 1841. Si se utilizan routers serie

1700, 2500 ó 2600, los resultados y las descripciones del router pueden ser diferentes.

Paso 2: Borrar todas las configuraciones de los routers.

Tarea 2: Realizar las configuraciones básicas del router

Paso 1: Configurar los routers.

Configure los routers R1, R2 y R3 de acuerdo con las siguientes instrucciones:

• Configure el nombre de host del router según el diagrama de topología.

• Deshabilite la búsqueda DNS.

• Configure un mensaje del día.

• Configure las direcciones IP de R1, R2 y R3.

• Habilite RIP versión 2 en todos los routers para todas las redes.

Paso 2: Configurar las interfaces Ethernet.

Configure las interfaces Ethernet de PC1 y PC3 con las direcciones IP y las gateways por defecto.

Paso 3: Probar la configuración de los equipos PC al hacer ping al gateway por defecto desde cada PC.

Tarea 3: Proteger al router del acceso no autorizado

Paso 1: Configurar contraseñas seguras y autenticación AAA.

Utilice una base de datos local en R1 para configurar contraseñas seguras. Utilice ciscoccna para todas las contraseñas en esta práctica de laboratorio.

R1(config)#enable secret ciscoccna

¿Cómo ayuda la configuración de una contraseña secreta de enable a proteger un router para que no se vea afectado por un ataque?

El comando username crea un nombre de usuario y una contraseña que se almacenan localmente en el router. El nivel privilegiado por defecto del usuario es 0 (la menor cantidad de acceso). Se puede cambiar el nivel de acceso de un usuario al agregar la palabra clave privilege 0-15 antes de la palabra clave password.

R1(config)#username ccna password ciscoccna

El comando aaa habilita la AAA (autenticación, autorización y contabilidad) globalmente en el router. Esto se utiliza para conectarse al router.

R1(config)#aaa new-model

Puede crear una lista de autenticación a la que pueda accederse cuando alguien intenta iniciar sesión en el dispositivo después de aplicarla a las líneas vty y líneas de consola. La palabra clave local indica

que la base de datos del usuario se encuentra almacenada en forma local en el router.

R1(config)#aaa authentication login LOCAL_AUTH local

Los siguientes comandos le indican al router que los usuarios que intentan conectarse al router deben autenticarse mediante la lista recién creada.

R1(config)#line console 0

R1(config-lin)#login authentication LOCAL_AUTH

R1(config-lin)#line vty 0 4

R1(config-lin)#login authentication LOCAL_AUTH

¿Qué elemento no seguro observa en la siguiente sección de la configuración en ejecución?:

R1#show run

<output omitted>

!

enable secret 5 $1$.DB7$DunHvguQH0EvLqzQCqzfr1

!

aaa new-model

!

aaa authentication login LOCAL_AUTH local

!

username ccna password 0 ciscoccna

!

<output omitted>

!

banner motd ^CUnauthorized access strictly prohibited, violators will be prosecuted to the full extent of the law^C

!

line con 0

logging synchronous

login authentication LOCAL_AUTH

line aux 0 line vty 0 4

login authentication LOCAL_AUTH

!

Para aplicar encriptación simple a las contraseñas, ingrese el siguiente comando en el modo de configuración global:

R1(config)#service password-encryption

Verifique esto con el comando show run.

R1#show run

service password-encryption

!

enable secret 5 $1$.DB7$DunHvguQH0EvLqzQCqzfr1

!

aaa new-model

!

aaa authentication login LOCAL_AUTH local

!

username ccna password 7 0822455D0A1606141C0A

<output omitted>

!

banner motd ^CCUnauthorized access strictly prohibited, violators will be prosecuted to the full extent of the law^C

!

line con 0

logging synchronous

login authentication LOCAL_AUTH

line aux 0

line vty 0 4

login authentication LOCAL_AUTH

!

Paso 2: Establecer la seguridad de las líneas de consola y las líneas VTY.

Puede hacer que el router desconecte una línea que ha estado inactiva durante un determinado período de tiempo. Si un ingeniero de red estaba conectado a un dispositivo de red y tuvo que ausentarse repentinamente, este comando desconecta al usuario automáticamente después de un determinado período de tiempo. Los siguientes comandos hacen que la línea se desconecte después de 5 minutos.

R1(config)#line console 0

R1(config-lin)#exec-timeout 5 0

R1(config-lin)#line vty 0 4

R1(config-lin)#exec-timeout 5 0

El siguiente comando dificulta los intentos de conexión de fuerza bruta. El router bloquea los intentos de conexión durante 5 minutos si una persona intenta sin éxito conectarse 5 veces en 2 minutos. Esto se configura en un valor bajo específicamente a los fines de esta práctica de laboratorio. Otra medida es el registro de estos eventos cada vez que suceden.

R1(config)#login block-for 300 attempt 2 within 120

R1(config)#security authentication failure rate 5 log

Para verificar esto, intente conectarse a R1 desde R2 a través de Telnet con un nombre de usuario y una contraseña incorrectos.

En R2:

R2#telnet 10.1.1.1

Trying 10.1.1.1 ... Open

Unauthorized access strictly prohibited, violators will be prosecuted to the full extent of the law

User Access Verification

Username: cisco

Password:

% Authentication failed User Access Verification Username: cisco

Password:

% Authentication failed

[Connection to 10.1.1.1 closed by foreign host] R2#telnet 10.1.1.1

Trying 10.1.1.1 ...

% Connection refused by remote host

En R1:

*Sep 10 12:40:11.211: %SEC_LOGIN-5-QUIET_MODE_OFF: Quiet Mode is OFF, because block period timed out at 12:40:11 UTC Mon Sep 10 2007

Tarea 4: Establecer la seguridad de acceso a la red

Paso 1: Impedir la propagación de la actualización del enrutamiento RIP.

¿Quién puede recibir actualizaciones RIP en un segmento de red en el que RIP está habilitado? ¿Es ésta la configuración preferida?

El comando passive-interface impide que los routers envíen actualizaciones de enrutamiento a todas las interfaces, excepto a aquellas que se configuraron para participar en las actualizaciones de enrutamiento. Este comando se ejecuta como parte de la configuración RIP.

El primer comando coloca todas las interfaces en modo pasivo (la interfaz sólo recibe actualizaciones RIP). El segundo comando hace que determinadas interfaces regresen del modo pasivo al modo activo (mediante el envío y la recepción de actualizaciones RIP).

R1

R1(config)#router rip

R1(config-router)#passive-interface default

R1(config-router)#no passive-interface s0/0/0

R2

R2(config)#router rip

R2(config-router)#passive-interface default

R2(config-router)#no passive-interface s0/0/0

...

Descargar como (para miembros actualizados) txt (21 Kb)
Leer 10 páginas más »
Leer documento completo Guardar
Disponible sólo en Clubensayos.com