moda
Operations
Comando
Descripción
ntp server 192.168.1.5
Actualizar la hora NTP local de acuerdo al NTP server 192.168.1.5
ntp update-calendar
service timestamps log datetime msec
Sincronizar el reloj de software (sh clock) con el reloj de hardware del router (sh
calendar).
Habilita el servicio de marcas de tiempoen los logs, incluyendo los milisegundos.
logging host 192.168.1.6
Enviar mensajes de log mediante syslog al servidor 192.168.1.6
crypto key zeroize rsa
Elimina las llaves de RSA ya generadas en el router.
ip domain-name ccnasecurity.com
username SSHadmin privilege 15 secret
ciscosshpa55
crypto key generate rsa
line vty 0 15
login local
transport input ssh
ip ssh time-out 90ip ssh authentication-retries 2
ip ssh version 2
sh ip ssh
login block-for 60 attempts 2 within 30
login quiet-mode access-class
login on-success log
login on-failure log every 2
Configurar SSH
Bloquea por 60 segundos el acceso a cualquier VTY except las ACL permitidas si
existen 2 intentos fallidos dentro de 30 segundos.
Loguea todos los accesos permitidos y todos los nopermitidos después de dos
intentos.
Capitulo 3 – Configure AAA Authentication on Cisco Routers
Comando
Descripción
aaa new-model
Habilita el servicio de AAA
aaa authentication login default local
Crea un nuevo tipo de autenticación AAA que hace uso de las credenciales locales.
Este tipo de autenticación será el default.
line con 0
login authentication default
Después aplicala autenticación a la consola.
aaa authentication login TELNET-LOGIN
local
line vty 0 15
login authentication TELNET-LOGIN
Crea un nuevo tipo de autenticación esta vez llamado TELNET-LOGIN el que hara
uso también de la base de datos de usuarios locales. Es después aplicada a las líneas
de VTY.
tacacs-server host 192.168.2.2 key
tacacspa55
Configura un servidor TACACS+ con la ip192.168.2.2 y una clave compartida
tacacspa55
aaa authentication login default group
tacacs+ local
radius-server host 192.168.3.2 key
radiuspa55
Se genera un método de autenticación AAA que primero busca las credenciales en el
servidor de TACACS+ y si no se puede de manera local.
Configura un servidor de tipo Radius con la ip 192.168.3.2 y una clave compartida
radiuspa55Capitulo 4 – Configure IP ACLs to Mitigate Attacks
access-list 10 permit host 192.168.3.3
Crea una Access list de tipo estándar y permite los paquetes que provienen del host
192.168.3.3.
line vty 0 15
access-class 10 in
Aplica la Access list 10 para el acceso HACIA las VTY del router.
access-list 100 deny ip 10.0.0.0
0.255.255.255 any
Niega el trafico que tenga como IP origen10.0.0.0/8.
interface serial 0/0/1
ip access-group 100 in
Se aplica la Access list 100 en dirección de entrada en la interfaz s0/0/1
Capitulo 4 – Configuring Context-Based Access Control (CBAC)
ip access-list extended BLOCKALL
int s 0/0/1
ip access-group BLOCKALL in
Genera una access list por nombre y extendida llamada BLOCKALL. Y negamos
todo el tráfico hacia la interfaz.
ip inspectname CBAC icmp timeout 5
Mediante CBAC analiza el trafico icmp. Si es aplicado como egress en una interfaz,
este trafico se permite cuando viene originado desde otra interfaz interna.
ip inspect audit-trail
Mantiene un record de los mensajes originados por CBAC de intentos legítimos y no
legítimos.
Los mensajes que se generan son de tipo:
%FW-6-SESS_AUDIT_TRAIL_START: Start icmpsession: initiator
(192.168.3.3:11) — responder (192.168.1.3:0)
int s 0/0/1
ip inspect CBAC out
Aplica el análisis CBAC de la regla llamada CBAC a las sesiones que se origina
desde la interfaz hacia afuera. Entonces cuando el trafico es el permitido por CBAC,
al regresar por la interfaz hace caso omiso de las Access lists aplicadas en ella.
Muestra las conexiones activas en el Firewall...
Regístrate para leer el documento completo.