hola
Páginas: 6 (1490 palabras)
Publicado: 2 de diciembre de 2013
Capitulo 2 – Configure Cisco Routers for Syslog, NTP, and SSH
Operations
Comando
Descripción
ntp server 192.168.1.5
Actualizar la hora NTP local de acuerdo al NTP server 192.168.1.5
ntp update-calendar
Sincronizar el reloj de software (sh clock) con el reloj de hardware del router (sh calendar).
service timestamps log datetime msec
Habilita el servicio de marcas de tiempo en loslogs, incluyendo los milisegundos.
logging host 192.168.1.6
Enviar mensajes de log mediante syslog al servidor 192.168.1.6
crypto key zeroize rsa
Elimina las llaves de RSA ya generadas en el router.
ip domain-name ccnasecurity.com
username SSHadmin privilege 15 secret ciscosshpa55
crypto key generate rsa
line vty 0 15
login local
transport input ssh
ip ssh time-out 90
ip sshauthentication-retries 2
ip ssh version 2
sh ip ssh
Configurar SSH
login block-for 60 attempts 2 within 30
login quiet-mode access-class
Bloquea por 60 segundos el acceso a cualquier VTY except las ACL permitidas si existen 2 intentos fallidos dentro de 30 segundos.
login on-success log
login on-failure log every 2
Loguea todos los accesos permitidos y todos los no permitidos después de dos intentos.
Capitulo 3 – Configure AAA Authentication on Cisco Routers
Comando
Descripción
aaa new-model
Habilita el servicio de AAA
aaa authentication login default local
line con 0
login authentication default
Crea un nuevo tipo de autenticación AAA que hace uso de las credenciales locales. Este tipo de autenticación será el default.
Después aplica la autenticación a la consola.
aaaauthentication login TELNET-LOGIN local
line vty 0 15
login authentication TELNET-LOGIN
Crea un nuevo tipo de autenticación esta vez llamado TELNET-LOGIN el que hara uso también de la base de datos de usuarios locales. Es después aplicada a las líneas de VTY.
tacacs-server host 192.168.2.2 key tacacspa55
Configura un servidor TACACS+ con la ip 192.168.2.2 y una clave compartida tacacspa55
aaaauthentication login default group tacacs+ local
Se genera un método de autenticación AAA que primero busca las credenciales en el servidor de TACACS+ y si no se puede de manera local.
radius-server host 192.168.3.2 key radiuspa55
Configura un servidor de tipo Radius con la ip 192.168.3.2 y una clave compartida radiuspa55
Capitulo 4 – Configure IP ACLs to Mitigate Attacks
access-list10 permit host 192.168.3.3
Crea una Access list de tipo estándar y permite los paquetes que provienen del host 192.168.3.3.
line vty 0 15
access-class 10 in
Aplica la Access list 10 para el acceso HACIA las VTY del router.
access-list 100 deny ip 10.0.0.0 0.255.255.255 any
Niega el trafico que tenga como IP origen 10.0.0.0/8.
interface serial 0/0/1
ip access-group 100 in
Se aplica laAccess list 100 en dirección de entrada en la interfaz s0/0/1
Capitulo 4 – Configuring Context-Based Access Control (CBAC)
ip access-list extended BLOCKALL
int s 0/0/1
ip access-group BLOCKALL in
Genera una access list por nombre y extendida llamada BLOCKALL. Y negamos todo el tráfico hacia la interfaz.
ip inspect name CBAC icmp timeout 5
Mediante CBAC analiza el trafico icmp. Si esaplicado como egress en una interfaz, este trafico se permite cuando viene originado desde otra interfaz interna.
ip inspect audit-trail
Mantiene un record de los mensajes originados por CBAC de intentos legítimos y no legítimos.
Los mensajes que se generan son de tipo:
%FW-6-SESS_AUDIT_TRAIL_START: Start icmp session: initiator (192.168.3.3:11) — responder (192.168.1.3:0)
int s 0/0/1
ip inspect CBAC out
Aplica el análisis CBAC de la regla llamada CBAC a las sesiones que se origina desde la interfaz hacia afuera. Entonces cuando el trafico es el permitido por CBAC, al regresar por la interfaz hace caso omiso de las Access lists aplicadas en ella.
Show ip inspect sessions
Muestra las conexiones activas en el Firewall de CBAC. SOLO las conexiones activas aparecen, en la...
Operations
Comando
Descripción
ntp server 192.168.1.5
Actualizar la hora NTP local de acuerdo al NTP server 192.168.1.5
ntp update-calendar
Sincronizar el reloj de software (sh clock) con el reloj de hardware del router (sh calendar).
service timestamps log datetime msec
Habilita el servicio de marcas de tiempo en loslogs, incluyendo los milisegundos.
logging host 192.168.1.6
Enviar mensajes de log mediante syslog al servidor 192.168.1.6
crypto key zeroize rsa
Elimina las llaves de RSA ya generadas en el router.
ip domain-name ccnasecurity.com
username SSHadmin privilege 15 secret ciscosshpa55
crypto key generate rsa
line vty 0 15
login local
transport input ssh
ip ssh time-out 90
ip sshauthentication-retries 2
ip ssh version 2
sh ip ssh
Configurar SSH
login block-for 60 attempts 2 within 30
login quiet-mode access-class
Bloquea por 60 segundos el acceso a cualquier VTY except las ACL permitidas si existen 2 intentos fallidos dentro de 30 segundos.
login on-success log
login on-failure log every 2
Loguea todos los accesos permitidos y todos los no permitidos después de dos intentos.
Capitulo 3 – Configure AAA Authentication on Cisco Routers
Comando
Descripción
aaa new-model
Habilita el servicio de AAA
aaa authentication login default local
line con 0
login authentication default
Crea un nuevo tipo de autenticación AAA que hace uso de las credenciales locales. Este tipo de autenticación será el default.
Después aplica la autenticación a la consola.
aaaauthentication login TELNET-LOGIN local
line vty 0 15
login authentication TELNET-LOGIN
Crea un nuevo tipo de autenticación esta vez llamado TELNET-LOGIN el que hara uso también de la base de datos de usuarios locales. Es después aplicada a las líneas de VTY.
tacacs-server host 192.168.2.2 key tacacspa55
Configura un servidor TACACS+ con la ip 192.168.2.2 y una clave compartida tacacspa55
aaaauthentication login default group tacacs+ local
Se genera un método de autenticación AAA que primero busca las credenciales en el servidor de TACACS+ y si no se puede de manera local.
radius-server host 192.168.3.2 key radiuspa55
Configura un servidor de tipo Radius con la ip 192.168.3.2 y una clave compartida radiuspa55
Capitulo 4 – Configure IP ACLs to Mitigate Attacks
access-list10 permit host 192.168.3.3
Crea una Access list de tipo estándar y permite los paquetes que provienen del host 192.168.3.3.
line vty 0 15
access-class 10 in
Aplica la Access list 10 para el acceso HACIA las VTY del router.
access-list 100 deny ip 10.0.0.0 0.255.255.255 any
Niega el trafico que tenga como IP origen 10.0.0.0/8.
interface serial 0/0/1
ip access-group 100 in
Se aplica laAccess list 100 en dirección de entrada en la interfaz s0/0/1
Capitulo 4 – Configuring Context-Based Access Control (CBAC)
ip access-list extended BLOCKALL
int s 0/0/1
ip access-group BLOCKALL in
Genera una access list por nombre y extendida llamada BLOCKALL. Y negamos todo el tráfico hacia la interfaz.
ip inspect name CBAC icmp timeout 5
Mediante CBAC analiza el trafico icmp. Si esaplicado como egress en una interfaz, este trafico se permite cuando viene originado desde otra interfaz interna.
ip inspect audit-trail
Mantiene un record de los mensajes originados por CBAC de intentos legítimos y no legítimos.
Los mensajes que se generan son de tipo:
%FW-6-SESS_AUDIT_TRAIL_START: Start icmp session: initiator (192.168.3.3:11) — responder (192.168.1.3:0)
int s 0/0/1
ip inspect CBAC out
Aplica el análisis CBAC de la regla llamada CBAC a las sesiones que se origina desde la interfaz hacia afuera. Entonces cuando el trafico es el permitido por CBAC, al regresar por la interfaz hace caso omiso de las Access lists aplicadas en ella.
Show ip inspect sessions
Muestra las conexiones activas en el Firewall de CBAC. SOLO las conexiones activas aparecen, en la...
Leer documento completo
Regístrate para leer el documento completo.