Actividad de Packet Tracer: Configuracin de routers Cisco para operaciones Syslog, NTP y SSH

Diagrama de la topologa

Tabla de direccionamiento
Dispositivo R1 R$ RPC.A PC.0 PC.C Interfaz A!"1 S!"!"! )*C+, S!"!"! S!"!"1 )*C+, A!"1 S!"!"1 N/C N/C N/C Direccin IP 1#$%1&'%1%1 1!%1%1%1 1!%1%1%$ 1!%$%$%$ 1#$%1&'%-%1 1!%$%$%1 1#$%1&'%1%( 1#$%1&'%1%& 1#$%1&'%-%( Mscara de subred $((%$((%$((%! $((%$((%$((%$($ $((%$((%$((%$($ $((%$((%$((%$($ $((%$((%$((%! $((%$((%$((%$($ $((%$((%$((%! $((%$((%$((%! $((%$((%$((%! Gateway por defecto N"A N"A N"A N"A N"A N"A 1#$%1&'%1%1 1#$%1&'%1%1 1#$%1&'%-%1 Puerto S1 N"A N"A N"A SN"A S1 S$ SA!"(

A!"( A!"& A!"1' A!"&

Todos los contenidos son propiedad intelectual de Cisco Syste1s, /nc% )Copyrig2t 3 1##$4$!!#,% Todos los derec2os reservados% +ste docu1ento es /nfor1acin P67lica de Cisco%

P5gina 1 de (

CCNA Security

b!etivos de aprendiza!e
Configurar los routers co1o clientes NTP% Configurar los routers para 8ue actualicen el relo9 de 2ar:are con NTP% Configurar los routers para 8ue registren 1ensa9es en el servidor syslog% Configurar los routers para 8ue colo8uen 1arcas de tie1po en los 1ensa9es del registro% Configurar usuarios locales% Configurar las l;neas <T= para aceptar solo cone>iones SSH% Configurar un par de claves RSA en el servidor SSH% <erificar la conectividad SSH del cliente PC y el cliente router%

Introduccin
?a topolog;a de la red 1uestra tres routers% @sted configurar5 NTP y Syslog en todos ellos y SSH en R-% +l Net:ork Ti1e Protocol )NTP, per1ite a los routers de la red sincroniAar su configuracin de fec2a y 2ora con un servidor NTP% @n grupo de clientes NTP 8ue o7tienen la infor1acin de fec2a y la 2ora de una sola fuente resulta 15s consistente, por lo 8ue los 1ensa9es Syslog generados pueden ser analiAados 15s f5cil1ente% +sto puede ser de gran ayuda al resolver pro7le1as de la red y ata8ues% Cuando se i1ple1enta NTP en la red, se puede configurar para sincroniAarse con un relo9 1aestro privado o con un servidor NTP p67lico, disponi7le a travBs de /nternet% +n esta pr5ctica de la7oratorio, el servidor NTP ser5 el servidor NTP 1aestro% Se configurar5n los routers para per1itir 8ue NTP sincronice del relo9 de soft:are con el servidor del tie1po% Ade15s, se configurar5n los routers para actualiAar peridica1ente el relo9 de 2ard:are con la fec2a y 2ora aprendida de NTP% *e lo contrario, el relo9 de 2ard:are tender5 a ser ine>acto y los relo9es de 2ard:are y soft:are pueden perder la sincroniAacin entre s;% +n esta pr5ctica de la7oratorio, el servidor Syslog proporcionar5 registro de 1ensa9es% @sted configurar5 los routers para identificar el 2ost re1oto )servidor Syslog, 8ue reci7ir5 los 1ensa9es registrados% *e7er5 configurar el servicio de 1arca de tie1po para el registro en los routers% Costrar la fec2a y 2ora correcta en los 1ensa9es Syslog es crucial cuando se lo utiliAa para 1onitorear la red% Si no se conoce la fec2a y 2ora correcta de un 1ensa9e, puede dificultarse deter1inar 8uB evento de la red lo caus% R$ es un /SP conectado con dos redes re1otas: R1 y R-% +l ad1inistrador local en R- puede llevar a a7o la 1ayor;a de las configuraciones y resoluciones de pro7le1asD sin e17argo, co1o R- es un router ad1inistrado, el /SP necesita acceder a R- para la resolucin de pro7le1as o actualiAaciones ocasionales% Para proporcionar este acceso de 1anera segura, los ad1inistradores 2an acordado usar Secure S2ell )SSH,% Se usar5 la C?/ para configurar la ad1inistracin segura del router usando SSH en lugar de Telnet% SSH es un protocolo de red 8ue esta7lece una cone>in de e1ulacin de ter1inal segura a un router u otro dispositivo de red% SSH cifra toda la infor1acin 8ue pasa a travBs del enlace de la red y proporciona autenticacin de la co1putadora re1ota% SSH est5 ree1plaAando a Telnet r5pida1ente co1o 2erra1ienta de inicio de sesin re1ota en el 517ito de los profesionales de redes% ?os servidores 2an sido pre.configurados con servicios NTP y Syslog respectiva1ente% NTP no re8uerir5 autenticacin% ?os routers 2an sido pre.configurados con lo siguiente: ContraseEa ena7le: ciscoenpa"" ContraseEa para l;neas vty: ciscovtypa"" +nruta1iento est5tico

Todos los contenidos son propiedad intelectual de Cisco Syste1s, /nc% )Copyrig2t 3 1##$4$!!#,% Todos los derec2os reservados% +ste docu1ento es /nfor1acin P67lica de Cisco%

P5gina $ de (

CCNA Security

Tarea #$ %onfigurar los routers como clientes &TP

Paso 1. Probar la conectividad +9ecute un ping de PC.C a R-% +9ecute un ping de R$ a R-% +9ecute Telnet de PC.C a R-% +9ecute Telnet de R$ a R-%

Paso 2. Configurar R1, R2 y R3 como clientes NTP <erifi8ue la configuracin del cliente usando el co1ando s'ow ntp status% Paso 3. Configurar los routers para actualizar el relo de !ard"are Configure R1, R$ y R- para actualiAar peridica1ente el relo9 de 2ard:are con el tie1po aprendido de NTP% <erifi8ue 8ue el relo9 de 2ard:are 2aya sido actualiAado usando el co1ando s'ow cloc(% Paso #. Configurar los routers para colocar una marca de tiempo en los mensa es registrados Paso $. Configurar el servicio de marca de tiempo para registros en los routers

Tarea )$ %onfigurar los routers para registrar los mensa!es en el servidor *yslog
Paso %. Configurar los routers para identificar el !ost remoto &servidor 'yslog( )ue recibir* los mensa es registrados ?a consola del router 1ostrar5 un 1ensa9e 8ue indicar5 8ue 2a co1enAado el registro de 1ensa9es% Paso +. ,erificar la configuraci-n del registro de mensa es con el comando s!o" logging Paso .. /0aminar los registros del servidor 'yslog +n la pestaEa %onfig de la ventana de di5logo del servidor Syslog, seleccione el 7otn *yslog services% F7serve los 1ensa9es reci7idos de los routers% &ota$ Pueden generarse 1ensa9es de registro en el servidor por 1edio de la e9ecucin de co1andos en el router% Por e9e1plo, al entrar y salir del 1odo de configuracin glo7al, se crear5 un 1ensa9e infor1ativo de configuracin%

Tarea +$ %onfigurar ,+ para soportar cone-iones **.

Paso 1. Configurar un nombre de dominio Configure el no17re de do1inio ccnasecurity/com en R-% Paso 12. Configurar usuarios para acceder desde el cliente ''3 en R3 Cree el /* de usuario **.admin con el nivel de privilegios 15s alto posi7le y la contraseEa secret ciscoss'pa""% Paso 11. Configurar las l4neas ,T5 de entrada en R3 @se las cuentas de usuarios locales para inicio de sesin y validacin o7ligatorios% Acepte solo cone>iones SSH% Paso 12. 6orrar los pares de claves e0istentes en R3 Cual8uier par de claves RSA e>istente en el router de7e ser 7orrado de este%
Todos los contenidos son propiedad intelectual de Cisco Syste1s, /nc% )Copyrig2t 3 1##$4$!!#,% Todos los derec2os reservados% +ste docu1ento es /nfor1acin P67lica de Cisco% P5gina - de (

CCNA Security &ota$ Si no e>isten claves, puede reci7ir este 1ensa9e: % No Signature RSA Keys found in configuration% Paso 13. 7enerar el par de claves de cifrado R'8 para R3 +l router usa el par de claves RSA para autenticacin y cifrado de datos SSH trans1itidos% Configure las claves RSA con un 1dulo de #0)1% +l 1dulo por defecto es (1$, y el rango va desde -&! 2asta $!G'% R3(config)# crypto key generate rsa [Enter] The name for the keys i!! "e# R3$ccnasecurity$com %hoose the si&e of the key modu!us in the range of 3'( to )(*+ for your ,enera! -ur.ose Keys$ %hoosing a key modu!us greater than /0) may take a fe minutes$ 1o many "its in the modu!us [/0)]#1024 % ,enerating 0()* "it RSA keys2 keys i!! "e non3e4.orta"!e$$$[5K] &ota$ +l co1ando 8ue genera los pares de claves de cifrado RSA para R- en Packet Tracer difiere de los usados en la pr5ctica de la7oratorio% Paso 1#. ,erificar la configuraci-n de ''3 @se el co1ando show ip ssh para ver la configuracin actual de SSH% <erifi8ue 8ue los reintentos y el venci1iento de la autenticacin estBn en sus valores por defecto de 1$! y -% Paso 1$. Configurar los par*metros de autenticaci-n y vencimiento ''3 ?os par51etros por defecto de autenticacin y venci1iento SSH pueden ser alterados para volverse 15s restrictivos% +sta7leAca el venci1iento en 20 segundos, el n61ero de reintentos de autenticacin en ) y la versin en )% +1ita el co1ando show ip ssh nueva1ente para confir1ar 8ue los valores 2ayan ca17iado% Paso 1%. 9ntentar conectarse a R3 a trav:s de Telnet desde PC;C. A7ra el escritorio de PC.C% Seleccione el s;17olo del siste1a% *esde PC.C, ingrese el co1ando para conectarse con R- a travBs de Telnet% -%6 telnet 192.168.3.1 +sta cone>in de7er;a fallar, ya 8ue R- 2a sido configurado para aceptar solo cone>iones SSH en las l;neas de ter1inal virtual% Paso 1+. Conectarse a R3 a trav:s de ''3 en PC;C A7ra el escritorio de PC.C% Seleccione el s;17olo del siste1a% *esde PC.C, ingrese el co1ando para conectarse con R- a travBs de SSH% Cuando se le pida la contraseEa, ingrese la configurada para el ad1inistrador: ciscoss'pa""% -%6 ssh l SSHad in 192.168.3.1 Paso 1.. Conectarse a R3 a trav:s de ''3 en R2 Para poder resolver pro7le1as en R- y 1antenerlo, el ad1inistrador en el /SP de7e usar SSH para acceder a la C?/ del router% +n la C?/ de R$, ingrese el co1ando para conectarse a R- a travBs de SSH versin $ usando la cuenta de usuario SSHad1in% Cuando se le pida la contraseEa, ingrese la configurada para el ad1inistrador: ciscoss'pa""% R)# ssh ! 2 l SSHad in 10.2.2.1

Todos los contenidos son propiedad intelectual de Cisco Syste1s, /nc% )Copyrig2t 3 1##$4$!!#,% Todos los derec2os reservados% +ste docu1ento es /nfor1acin P67lica de Cisco%

P5gina G de (

CCNA Security Paso 11. Revisar los resultados Su porcenta9e de7er;a ser de 1!!H co1pleto% Haga clic en %'ec( ,esults para ver un detalle y verificar cu5les co1ponentes se 2an co1pletado%

Todos los contenidos son propiedad intelectual de Cisco Syste1s, /nc% )Copyrig2t 3 1##$4$!!#,% Todos los derec2os reservados% +ste docu1ento es /nfor1acin P67lica de Cisco%

P5gina ( de (