Beruflich Dokumente
Kultur Dokumente
Topologa
F0/5
R1 PC-A
G0/1 F0/6
R1 S1
Tabla de direccionamiento
Mscara de Gateway
Dispositivo Interfaz Direccin IP subred predeterminado
Objetivos
Parte 1: Configurar parmetros bsicos de los dispositivos
Parte 2: Configurar medidas bsicas de seguridad en el router
Parte 3: Configurar medidas bsicas de seguridad en el switch
Informacin bsica/Situacin
Se recomienda que todos los dispositivos de red se configuren, al menos, con un conjunto mnimo de
comandos de seguridad conforme a las prcticas recomendadas. Esto incluye dispositivos para usuarios
finales, servidores y dispositivos de red, como routers y switches.
En esta prctica de laboratorio, configurar los dispositivos de red en la topologa a fin de que acepten
sesiones de SSH para la administracin remota. Tambin utilizar la CLI del IOS para configurar medidas de
seguridad bsicas conforme a las prcticas recomendadas. Luego, probar las medidas de seguridad para
verificar que estn implementadas de manera apropiada y que funcionen correctamente.
Nota: los routers que se utilizan en las prcticas de laboratorio de CCNA son ISR Cisco 1941 con Cisco IOS
versin 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son Cisco Catalyst 2960s con Cisco
IOS versin 15.0(2) (imagen de lanbasek9). Pueden utilizarse otros routers, switches y versiones de Cisco
IOS. Segn el modelo y la versin de Cisco IOS, los comandos disponibles y los resultados obtenidos
pueden diferir de los que se muestran en las prcticas de laboratorio. Consulte la tabla Resumen de
interfaces del router al final de la prctica de laboratorio para obtener los identificadores de interfaz correctos.
Nota: asegrese de que los routers y los switches se hayan borrado y no tengan configuraciones de inicio.
Si no est seguro, consulte con el instructor.
Recursos necesarios
1 router (Cisco 1941 con software Cisco IOS, versin 15.2(4)M3, imagen universal o similar)
1 switch (Cisco 2960 con Cisco IOS, versin 15.0(2), imagen lanbasek9 o similar)
1 PC (Windows 7, Vista o XP con un programa de emulacin de terminal, por ejemplo, Tera Term)
Cables de consola para configurar los dispositivos Cisco IOS mediante los puertos de consola
Cables Ethernet, como se muestra en la topologa.
2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es informacin pblica de Cisco. Pgina 1 de 9
Prctica de laboratorio: Proteccin de dispositivos de red
2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es informacin pblica de Cisco. Pgina 2 de 9
Prctica de laboratorio: Proteccin de dispositivos de red
R1(config)#
*Jan 31 17:54:16.127: %SSH-5-ENABLED: SSH 1.99 has been enabled
2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es informacin pblica de Cisco. Pgina 3 de 9
Prctica de laboratorio: Proteccin de dispositivos de red
Paso 4: Verifique que todos los puertos sin utilizar estn deshabilitados.
Los puertos del router estn deshabilitados de manera predeterminada, pero siempre es prudente verificar
que todos los puertos sin utilizar tengan un estado administrativamente inactivo. Esto se puede verificar
rpidamente emitiendo el comando show ip interface brief. Todos los puertos sin utilizar que no estn en el
estado administratively down (administrativamente inactivo) se deben deshabilitar por medio del comando
shutdown en el modo de configuracin de interfaz.
R1# show ip interface brief
Interface IP-Address OK? Method Status Protocol
Embedded-Service-Engine0/0 unassigned YES NVRAM administratively down down
GigabitEthernet0/0 unassigned YES NVRAM administratively down down
GigabitEthernet0/1 192.168.1.1 YES manual up up
Serial0/0/0 unassigned YES NVRAM administratively down down
Serial0/0/1 unassigned YES NVRAM administratively down down
R1#
2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es informacin pblica de Cisco. Pgina 4 de 9
Prctica de laboratorio: Proteccin de dispositivos de red
e. Cuando hayan pasado los 30 segundos, vuelva a acceder al R1 mediante SSH e inicie sesin utilizando
el nombre de usuario admin y la contrasea Admin15p@55.
Una vez que inici sesin correctamente, qu se mostr? ___________________________________
f. Ingrese al modo EXEC privilegiado y utilice la contrasea Enablep@55.
Si escribe esta contrasea incorrectamente, se desconectar la sesin de SSH despus de dos intentos
fallidos en el lapso de 120 segundos? ______________
Por qu o por qu no?
____________________________________________________________________________________
g. Emita el comando show running-config en la peticin de entrada del modo EXEC privilegiado para ver
la configuracin de seguridad que aplic.
2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es informacin pblica de Cisco. Pgina 5 de 9
Prctica de laboratorio: Proteccin de dispositivos de red
b. Cree una entrada de base de datos de usuarios local para que se utilice al conectarse al router a travs
de SSH. La contrasea debe cumplir con los estndares de contrasea segura, y el usuario debe tener
acceso de nivel de administrador.
S1(config)# username admin privilege 15 secret Admin15p@55
c. Configure la entrada de transporte para las lneas vty para permitir las conexiones SSH, pero no las
conexiones Telnet.
S1(config)# line vty 0 15
S1(config-line)# transport input ssh
d. Las lneas vty deben utilizar la base de datos de usuarios local para realizar la autenticacin.
S1(config-line)# login local
S1(config-line)# exit
e. Genere una clave criptogrfica RSA con un mdulo de 1024 bits.
S1(config)# crypto key generate rsa modulus 1024
Paso 4: Verifique que todos los puertos sin utilizar estn deshabilitados.
Los puertos del switch estn habilitados de manera predeterminada. Desactive todos los puertos que no
estn en uso en el switch.
a. Para verificar el estado de los puertos del switch, utilice el comando show ip interface brief.
S1# show ip interface brief
Interface IP-Address OK? Method Status Protocol
Vlan1 192.168.1.11 YES manual up up
FastEthernet0/1 unassigned YES unset down down
FastEthernet0/2 unassigned YES unset down down
FastEthernet0/3 unassigned YES unset down down
FastEthernet0/4 unassigned YES unset down down
FastEthernet0/5 unassigned YES unset up up
FastEthernet0/6 unassigned YES unset up up
FastEthernet0/7 unassigned YES unset down down
FastEthernet0/8 unassigned YES unset down down
FastEthernet0/9 unassigned YES unset down down
2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es informacin pblica de Cisco. Pgina 6 de 9
Prctica de laboratorio: Proteccin de dispositivos de red
2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es informacin pblica de Cisco. Pgina 7 de 9
Prctica de laboratorio: Proteccin de dispositivos de red
Reflexin
1. En la configuracin bsica de la parte 1, se introdujo el comando password cisco para las lneas de consola
y vty. Cundo se utiliza esta contrasea despus de haberse aplicado las medidas de seguridad conforme
a las prcticas recomendadas?
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
2. Se vieron afectadas por el comando security passwords min-length 10 las contraseas configuradas
previamente con menos de 10 caracteres?
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es informacin pblica de Cisco. Pgina 8 de 9
Prctica de laboratorio: Proteccin de dispositivos de red
1800 Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(F0/0) (F0/1)
1900 Gigabit Ethernet 0/0 Gigabit Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(G0/0) (G0/1)
2801 Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/1/0 (S0/0/0) Serial 0/1/1 (S0/0/1)
(F0/0) (F0/1)
2811 Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(F0/0) (F0/1)
2900 Gigabit Ethernet 0/0 Gigabit Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(G0/0) (G0/1)
Nota: para conocer la configuracin del router, observe las interfaces a fin de identificar el tipo de router y cuntas
interfaces tiene. No existe una forma eficaz de confeccionar una lista de todas las combinaciones de configuraciones
para cada clase de router. En esta tabla, se incluyen los identificadores para las posibles combinaciones de interfaces
Ethernet y seriales en el dispositivo. En esta tabla, no se incluye ningn otro tipo de interfaz, si bien puede hacer
interfaces de otro tipo en un router determinado. La interfaz BRI ISDN es un ejemplo. La cadena entre parntesis es
la abreviatura legal que se puede utilizar en los comandos de Cisco IOS para representar la interfaz.
2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es informacin pblica de Cisco. Pgina 9 de 9