moda

Capitulo 2 – Configure Cisco Routers for Syslog, NTP, and SSH
Operations
Comando

Descripción

ntp server 192.168.1.5

Actualizar la hora NTP local de acuerdo al NTP server 192.168.1.5

ntp update-calendar

service timestamps log datetime msec

Sincronizar el reloj de software (sh clock) con el reloj de hardware del router (sh
calendar).

Habilita el servicio de marcas de tiempoen los logs, incluyendo los milisegundos.

logging host 192.168.1.6

Enviar mensajes de log mediante syslog al servidor 192.168.1.6

crypto key zeroize rsa

Elimina las llaves de RSA ya generadas en el router.

ip domain-name ccnasecurity.com
username SSHadmin privilege 15 secret
ciscosshpa55
crypto key generate rsa
line vty 0 15
login local
transport input ssh
ip ssh time-out 90ip ssh authentication-retries 2
ip ssh version 2
sh ip ssh

login block-for 60 attempts 2 within 30
login quiet-mode access-class

login on-success log
login on-failure log every 2

Configurar SSH

Bloquea por 60 segundos el acceso a cualquier VTY except las ACL permitidas si
existen 2 intentos fallidos dentro de 30 segundos.
Loguea todos los accesos permitidos y todos los nopermitidos después de dos
intentos.

Capitulo 3 – Configure AAA Authentication on Cisco Routers
Comando

Descripción

aaa new-model

Habilita el servicio de AAA

aaa authentication login default local

Crea un nuevo tipo de autenticación AAA que hace uso de las credenciales locales.
Este tipo de autenticación será el default.

line con 0
login authentication default

Después aplicala autenticación a la consola.

aaa authentication login TELNET-LOGIN
local
line vty 0 15
login authentication TELNET-LOGIN

Crea un nuevo tipo de autenticación esta vez llamado TELNET-LOGIN el que hara
uso también de la base de datos de usuarios locales. Es después aplicada a las líneas
de VTY.

tacacs-server host 192.168.2.2 key
tacacspa55

Configura un servidor TACACS+ con la ip192.168.2.2 y una clave compartida
tacacspa55

aaa authentication login default group
tacacs+ local

radius-server host 192.168.3.2 key
radiuspa55

Se genera un método de autenticación AAA que primero busca las credenciales en el
servidor de TACACS+ y si no se puede de manera local.

Configura un servidor de tipo Radius con la ip 192.168.3.2 y una clave compartida
radiuspa55Capitulo 4 – Configure IP ACLs to Mitigate Attacks
access-list 10 permit host 192.168.3.3

Crea una Access list de tipo estándar y permite los paquetes que provienen del host
192.168.3.3.

line vty 0 15
access-class 10 in

Aplica la Access list 10 para el acceso HACIA las VTY del router.

access-list 100 deny ip 10.0.0.0
0.255.255.255 any

Niega el trafico que tenga como IP origen10.0.0.0/8.

interface serial 0/0/1
ip access-group 100 in

Se aplica la Access list 100 en dirección de entrada en la interfaz s0/0/1

Capitulo 4 – Configuring Context-Based Access Control (CBAC)
ip access-list extended BLOCKALL
int s 0/0/1
ip access-group BLOCKALL in

Genera una access list por nombre y extendida llamada BLOCKALL. Y negamos
todo el tráfico hacia la interfaz.

ip inspectname CBAC icmp timeout 5

Mediante CBAC analiza el trafico icmp. Si es aplicado como egress en una interfaz,
este trafico se permite cuando viene originado desde otra interfaz interna.

ip inspect audit-trail

Mantiene un record de los mensajes originados por CBAC de intentos legítimos y no
legítimos.
Los mensajes que se generan son de tipo:
%FW-6-SESS_AUDIT_TRAIL_START: Start icmpsession: initiator
(192.168.3.3:11) — responder (192.168.1.3:0)

int s 0/0/1
ip inspect CBAC out

Aplica el análisis CBAC de la regla llamada CBAC a las sesiones que se origina
desde la interfaz hacia afuera. Entonces cuando el trafico es el permitido por CBAC,
al regresar por la interfaz hace caso omiso de las Access lists aplicadas en ella.

Muestra las conexiones activas en el Firewall...