II - Guía - CCNA - SecurityV4

Guia CCNA Security v2
@ NMT 2013
1
Syslog Features ....................................................................................................... 2
Authentication Radius............................................................................................. 5
Autenticacin utilizando ACS/Tacacs+ ................................................................... 7
Creacin de Usuarios...................................................................................................................... 8
Creacin de Grupos ........................................................................................................................ 9
Configuracin de server AAA ...................................................................................................... 11
Configuracin de cliente AAA ..................................................................................................... 15
Configuracin Router ................................................................................................................... 16
Ejercicio prctico .................................................................................................. 19


@ NMT 2013
2
Syslog Features

Utilizar Imagen XP de VirtualBox.
Habilitar Syslog Server en PC. Utilizar aplicacin Kiwi Syslog o Syslog Server 1.2.0.
R1 debe poder enviar mensajes de syslog tanto al server como a la consola. Utilizar loopback0
como interface de sesin. Los mensajes debe ser enviados a partir de log nivel 7.


@ NMT 2013
3
R1
logging on
logging source-interface loopback0
logging 100.1.1.1
logging trap debugging

R1#debug ip packet
R1#debug ip packet
IP packet debugging is on
R1#
IP: s=10.1.12.1 (local), d=224.0.0.10 (GigabitEthernet0/0), len 60, sending broad/multicast
IP: s=10.1.12.1 (local), d=224.0.0.10 (GigabitEthernet0/0), len 60, sending full packet
IP: s=10.1.12.2 (GigabitEthernet0/0), d=224.0.0.10, len 60, rcvd 0
IP: s=10.1.12.2 (GigabitEthernet0/0), d=224.0.0.10, len 60, input feature, packet consumed, MCI
Check(85), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
R1#
IP: tableid=0, s=10.1.1.1 (local), d=100.1.1.3 (FastEthernet1/0), routed via FIB
R1#
R1#
R1#u al
IP: s=10.1.12.1 (local), d=224.0.0.10 (GigabitEthernet0/0), len 60, sending broad/multicast
IP: s=10.1.12.1 (local), d=224.0.0.10 (GigabitEthernet0/0), len 60, sending full packet
IP: s=10.1.12.2 (GigabitEthernet0/0), d=224.0.0.10, len 60, rcvd 0


@ NMT 2013
4


@ NMT 2013
5
Authentication Radius

Configurar Server Radius (WinRadius) para que los usuarios que accedan a R3 se autentifiquen en
funcin de la base de datos del server, en caso de que el server este down, no debe pedir
autenticacin.
En la WinRadius ir al men OperationAdd User el usuario nadmin password nico

Nota: La instalacin del server Radius se puede realizar de acuerdo al Lab Manual CCNAS.

R1#ping 100.1.1.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 100.1.1.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/31/104 ms


@ NMT 2013
6
R1
username admin password cisco

aaa new-model
aaa authentication login default group radius none
radius-server host 100.1.1.3 auth-port 1812 key WinRadius

R2#telnet 10.1.1.1
Trying 10.1.1.1 ... Open

User Access Verification

Username: nadmin
Password:nico


@ NMT 2013
7
Autenticacin utilizando ACS/Tacacs+

Configurar ACS Server
Crear el grupo Administrador en el ACS Server que tenga nivel de privilegio 15
Crear el grupo NOC en el ACS Server que tenga nivel de privilegio 1
Crear el grupo Invitado en el ACS Server que tenga nivel de privilegio 0

La configuracin de Tacacs+ involucra dos dispositivos, el cliente (Router, Firewall, etc) y el ACS Server.
Este ltimo puede ser un appliance, o sencillamente un PC con la aplicacin ACS.
Primero configuraremos el ACS Server.


@ NMT 2013
8
Creacin de Usuarios
En este momento podemos crear los usuarios dentro del ACS; esto es anlogo a cuando utilizamos el
comando username password(DB Local).
- Seleccionamos User Setup para crear al usuario.

- Creamos al usuario jadmin (este nombre lo asignamos nosotros, puede ser un nombre cualquiera)
y seleccionamos Add/Edit.

- Agregamos nombre real y descripcin.

@ NMT 2013
9

Creacin de Grupos
- Entramos al ACS y seleccionamos Group Setup.

- Seleccionamos un grupo de cualquiera, por ejemplo el group 3 y seleccionamos Rename Group,
esto nos permite utilizar un nombre ms representativo.

@ NMT 2013
10

- Modificamos el nombre para este grupo de Group 3 a Administrador y cliqueamos Submit para
que los cambios sean efectivos.

Podemos ver en la siguiente figura que en Group Setup ahora podemos seleccionar el grupo
Administrador en el men desplegable, esto nos permite tener nombres representativos. Debemos
proceder de la misma forma para los grupos NOC e Invitado.

@ NMT 2013
11

Configuracin de server AAA
Finalmente debemos definir el Server AAA.
- Usamos Add Entry en AAA Server como muestra la figura.


@ NMT 2013
12
- Completamos los valores mostrados en la figura. El nombre del server (aleatorio), la direccin ip
donde se del Server, una key y el AAA Server Type seleccionamos TACACS+. Finalmente hacemos
los cambios efectivos con Submit + Apply

- En Group Setup seleccionamos Edit Settings.

Esto nos lleva a Group Settings : Administrador.
- Seleccionamos TACACS + en la seccin Jump to. Esto nos permite acceder de inmediato a la
configuracin relativa a Tacacs+.

@ NMT 2013
13

- Seleccionamos Shell (exec),
- Seleccionamos campo Privilege Level y le asignamos valor 15 (mximos privilegios) y aplicamos los
cambios con Submit + Restart


@ NMT 2013
14
- En el campo User Setup (mas abajo) definimos la password que emplear el usuario jadmin para
loguearse en el router. En nuestro caso seleccionamos la password lucho. Adems seleccionamos
el grupo al que pertenece el usuario jadmin, en nuestro caso el grupo se llama Administrador (ya
lo hemos definido) y cliqueamos Submit.


@ NMT 2013
15
Configuracin de cliente AAA
Nuestro cliente para este ejercicio corresponde a Router2 (R2). Debemos identificarlo en el ACS Server.

- Seleccionamos Network Configuration

- Agregamos el cliente con Add Entry.

Llenamos los campos como sigue:
: hostname del router. En nuestro caso se trata de R2
AAA IP address: 10.2.2.2. Este valor corresponde a la loopback0 de R2 por lo tanto debemos tener
conectividad con R2. Despus veremos
Key: key que asignamos luego en R2.
Using Authentication: TACACS + (Cisco IOS)
Aplicamos los cambios cliqueando Submit Apply al final del todo.


@ NMT 2013
16

Configuracin Router
Para configurar los cliente debemos tener algn IGP y conectividad entre el cliente AAA y el Server. En el
ejemplo actual el server se encuentra en la subred 100.1.1.0/24.
Lo primero es probar si tenemos accesos a nivel de Red.

R1
router rip
version 2
network 0.0.0.0
no auto-summary

R2
router rip
version 2
network 0.0.0.0
no auto-summary

R3
router rip
version 2
network 0.0.0.0
no auto-summary


@ NMT 2013
17
R2#ping 100.1.1.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 100.1.1.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 32/72/112 ms

Y desde el Server hacia R2

Configuracin AAA en cliente R2

R2
aaa new-model
aaa authentication login default group tacacs+ none
ip tacacs source-interface loopback 0
tacacs-server host 100.1.1.3 key 0 ccnas

R2#test aaa group tacacs+ jadmin lucho legacy
Attempting authentication test to server-group tacacs+ using tacacs+
User was successfully authenticated.

Finalmente hacemos las pruebas finales accediendo a R2 desde R1 por ejemplo.

R1#telnet 10.2.2.2
Trying 10.2.2.2 ... Open

Username: jadmin
Password: lucho

R2>

R2>?
Exec commands:
<1-99> Session number to resume

@ NMT 2013
18
access-enable Create a temporary Access-List entry
access-profile Apply user-profile to interface
clear Reset functions
connect Open a terminal connection
crypto Encryption related commands.
disable Turn off privileged commands
disconnect Disconnect an existing network connection
emm Run a configured Menu System
enable Turn on privileged commands
ethernet Ethernet parameters
exit Exit from the EXEC
help Description of the interactive help system
lat Open a lat connection
lock Lock the terminal
login Log in as a particular user
logout Exit from the EXEC
mrinfo Request neighbor and version information from a multicast
router
mstat Show statistics after multiple multicast traceroutes
mtrace Trace reverse multicast path from destination to source
name-connection Name an existing network connection
pad Open a X.29 PAD connection
ping Send echo messages
ppp Start IETF Point-to-Point Protocol (PPP)
release Release a resource
renew Renew a resource
resume Resume an active network connection
rlogin Open an rlogin connection
set Set system parameter (not config)
show Show running system information
slip Start Serial-line IP (SLIP)
ssh Open a secure shell client connection
systat Display information about terminal lines
tclquit Quit Tool Command Language shell
tdm TDM
telnet Open a telnet connection
terminal Set terminal line parameters
tn3270 Open a tn3270 connection
traceroute Trace route to destination
tunnel Open a tunnel connection
udptn Open an udptn connection
webvpn WebVPN exec command
where List active connections
x28 Become an X.28 PAD
x3 Set X.3 parameters on PAD


@ NMT 2013
19
Ejercicio prctico

Cree la topologa mostrada.
Para obtener conectividad completa configure OSPF 1 area 0. No utilice el comando network
dentro del proceso OSPF. No debe existir eleccin de DR ni BDR. Publique las interfaces loopback0
con sus mscaras correctas. Los paquetes OSPF deben autenticarse en base al area.
La red 10.1.12.0/24 no debe ser publicada a R3, sin embargo R1 y R2 no deben perder adyacencia
OSPF.
R1 debe acceder a R2 utilizando telnet. Para autenticarse debe utilizar la base de datos local. Cree
usuario y password.
R1 podr acceder a R2 utilizando la IP 1.1.1.1/24 correspondiente a la loopback0. En caso que se
utilice cualquier otra direccin de origen el acceso ser denegado. Se deben enviar log a la consola
de R2 en todos los casos, es decir, auntenticaciones vlidas como intentos fallidos.

II - Guía - CCNA - SecurityV4

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

II - Guía - CCNA - SecurityV4

Загружено:

Авторское право:

Доступные форматы

Guia CCNA Security v2

Вам также может понравиться