Apuntes CCNA Security

Seguridad ACL Listas de acceso
Router(config)#access-list ?
<1-99> IP standard access list
<100-199> IP extended access list
Router(config)#access-list 1 deny host 192.168.1.2
Router(config)#interface fastEthernet 0/0
Router(config-if)#ip access-group 1 in
Router#show access-lists
Standard IP access list 1
10 deny host 192.168.1.2 (4 match(es))
Seguridad ACL Usos y componentes
Router(config)#access-list 1 permit host 192.168.1.2

Router(config-if)#ip access-group 1 out
Router(config-if)#exit
Router(config)#access-list 2 deny host 192.168.1.2
Seguridad ACL Tipos y ubicacin
R1(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.2

R1(config)#access-list 100 deny tcp 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255 eq 80
R1(config)#interface fastEthernet 1/0
R1(config-if)#ip access-group 100 out
R1(config-if)#exit
R1(config)#access-list 100 permit tcp any any
R1(config)#access-list 100 permit icmp any any
El host 192.168.1.2 llega con ping al servidor pero no a la web del servidor
R2(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.1
R2(config)#access-list 1 deny host 192.168.1.2
R2(config)#access-list 1 deny host 192.168.2.2
R2(config-if)#exit
R2(config)#access-list 1 permit any
No permite que los 2 host no lleguen al host 192.168.3.2 pero si que lo dems llegue sin problemas
Seguridad ACL Wildcard
R1(config)#access-list 1 permit 172.16.0.1 0.0.0.0

R1(config)#do sh access-list
10 permit host 172.16.0.1
R1(config)#do sh access-list
10 permit host 172.16.0.1
20 permit 192.168.1.0 0.0.0.255
R1(config-if)#access-list 2 permit 172.16.0.2 0.0.0.0
R1(config-if)#no ip access-group 1 out
R1(config-if)#interface fastEthernet 1/0

Seguridad ACL Estandar numerada y nombrada
Router(config)#access-list 1 remark PERMITIR 192.168.1.0/24

Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)#
Router(config)#ip access-list standard mimarcos
Router(config-std-nacl)#permit 192.168.3.0 0.0.0.255
Router(config-std-nacl)#remark PERMITE LA RED 192.168.3.0/24
Router(config-std-nacl)#exit
Router(config-if)#ip access-group mimarcos in
Router(config)#exit
Router#
10 permit 192.168.1.0 0.0.0.255 (8 match(es))
20 permit 172.16.0.0 0.0.255.255
Standard IP access list mimarcos
10 permit 192.168.3.0 0.0.0.255
Router(config)#ip access-list standard mimarcos

Router(config-std-nacl)#5 permit 172.17.0.0 0.0.255.255
Router(config-std-nacl)#end
10 permit 192.168.1.0 0.0.0.255 (8 match(es))
20 permit 172.16.0.0 0.0.255.255
Standard IP access list mimarcos
5 permit 172.17.0.0 0.0.255.255
10 permit 192.168.3.0 0.0.0.255
Router#conf t
Router(config)#no access-list 1
Router(config)#no ip access-list standard mimarcos
Router(config)#end
Router#
Router#
Seguridad ACL Extendida
Router(config)#access-list 100 remark PERMITE A TODOS

Router(config)#access-list 100 permit tcp any any
Router(config)#access-list 100 permit icmp any any
Router(config)#access-list 101 remark PERMITE LAS PRIMERAS 128 DIRECCIONES DE B HASTA C

Router(config)#access-list 101 permit icmp 192.168.2.0 0.0.0.127 172.16.0.0 0.0.255.255
Router(config)#access-list 101 remark PERMITE B AL SERVIDOR D EL TRAFICO PUERTO 80
Router(config)#access-list 101 permit tcp 192.168.2.0 0.0.0.255 host 192.168.10.2 eq 80
Router(config-if)#
Seguridad ACL Listas de acceso complejas
R2(config)#username marcos privilege 15 secret cisco

R2(config)#access-list 100 permit tcp any host 192.168.1.2 eq telnet
R2(config)#access-list 100 dynamic DINAMICA timeout 15 permit icmp 192.168.1.0 0.0.0.255 192.168.2.0
0.0.0.255
R2(config-if)#ip access-group 100 in
R2(config-if)#exit
R2(config)#line vty 0 4
R2(config-line)#autocommand ACCESS-ENABLE host timeout 5
R2(config-line)#login local
Se realiza un telnet pero lo deniega ya que se configuro para que relaise esa operacin no obstante si permite
realizar un ping por que tambin en la regla ejecutamos el comando para que lo realice
OTRO CASO
R2(config)#ip access-list extended FILTRADO_INTERNO
R2(config-ext-nacl)#permit icmp 192.168.1.0 0.0.0.255 any reflect TRAFICO_ICMP
R2(config-ext-nacl)#exit
R2(config)#ip access-list extended FILTRADO_EXTERNO
R2(config-ext-nacl)#evaluate TRAFICO_ICMP
R2(config-ext-nacl)#exit
R2(config-if)#ip access-group FILTRADO_INTERNO in
R2(config-if)#ip access-group FILTRADO_EXTERNO in
OTRO CASO
R2(config)#time-range RANGO_DE_TIEMPO
R2(config-time-range)#periodic Monday Wednesday Friday 10:00 to 14:00
R2(config-time-range)#exit
R2(config)#access-list 100 permit tcp 192.168.1.0 0.0.0.255 any eq telnet time-range
RANGO_DE_TIEMPO
R2(config-if)#ip acce
Seguridad ACL otro ejercicio
Realizaremos un ping a todos los extremos.
Vemos que llegamos a todos los extremos, ahora vamos con la primera regla.
1 Que nadie pueda llegar al host o red 192.168.1.2

Router(config)#access-list 1 deny 192.168.1.0 0.0.0.255
2 Que no lleguen a la ruta menor a ip 128 de ruta 3 a ruta 2
Router(config)#access-list 100 deny icmp 172.16.5.128 0.0.0.127 172.18.0.0 0.0.255.255
Router(config)#access-list 100 permit tcp any any
Router(config)#access-list 100 permit icmp any any
Como vemos el ping con la direccin de salida 172.16.5.2 llega a su destino 172.18.0.2 sin problemas pero
al cambiar la direccin de salida ala 172.16.5.130 no llegara a la 172.18.0.2 por que se creo esa rregla de no
entrar toda direccin que supere los 128 ip.
3 Denegar todo el trafico de http al servido exepto la ruta 3
Router(config)#access-list 101 permit tcp 172.18.0.0 0.0.255.255 host 192.168.5.10 eq 80
Seguridad ACL Control de acceso lineas VTY

Router(config)#line vty 0 15
Router(config-line)#password marcos
Router(config-line)#login
Router(config-line)#access-class 1 in
Trabajo a distancia

R0(config-if)#ip address 172.16.0.1 255.255.0.0
R0(config-if)#no shutdown
R0(config-if)#exit
R0(config)#ip route 192.168.1.0 255.255.255.0 10.0.0.2
R1(config-if)#exit
R1(config)#ip route 172.16.0.0 255.255.0.0 10.0.0.1
Trabajo a distancia Servicios de banda ancha Cable
Trabajo a distancia Servicios de banda ancha DSL
Trabajo a distancia Servicios de banda ancha Inalambricos
Seguridad IOS Mantenimiento
Router#copy flash: tftp:

Source filename []? c2800nm-advipservicesk9-mz.124-15.T1.bin
Address or name of remote host []? 192.168.100.100
Destination filename [c2800nm-advipservicesk9-mz.124-15.T1.bin]? MARCOS
Writing c2800nm-advipservicesk9-mz.12415.T1.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
[OK - 50938004 bytes]
50938004 bytes copied in 2.154 secs (1714653 bytes/sec)
Router#
Router#copy tftp: flash:
Source filename []? MARCOS
Destination filename [MARCOS]? MARCOS
Accessing tftp://192.168.100.100/MARCOS...
Loading MARCOS from 192.168.100.100: !
[OK - 566 bytes]
566 bytes copied in 0.001 secs (566000 bytes/sec)
Router#
Router#DIR
Directory of flash:/
4 -rw- 566 <no date> MARCOS
3 -rw- 50938004 <no date> c2800nm-advipservicesk9-mz.124-15.T1.bin
2 -rw- 28282 <no date> sigdef-category.xml
1 -rw- 227537 <no date> sigdef-default.xml

64016384 bytes total (12821995 bytes free)
Router#
Router#delete MARCOS
Delete filename [MARCOS]?MARCOS
Delete flash:/MARCOS? [confirm]
Router#dir
Router#
Seguridad IOS Migracin y actualizacin
Router#delete c2800nm-advipservicesk9-mz.124-15.T1.bin
Delete filename [c2800nm-advipservicesk9-mz.124-15.T1.bin]?
Delete flash:/c2800nm-advipservicesk9-mz.124-15.T1.bin? [confirm]
Router#copy tftp: flash:

Source filename []? c2800nm-advipservicesk9-mz.124-15.T1.bin
Destination filename [c2800nm-advipservicesk9-mz.124-15.T1.bin]?
Router#dir
Router#
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#bo
Router(config)#boot sy
Router(config)#boot system fl
Router(config)#boot system flash c2800nm-advipservicesk9-mz.124-15.T1.bin
Router(config)#exit
Router#
Router#copy running startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
Seguridad Auto secure
R1#auto secure ?
firewall
forwarding
full
login
management
no-interact
ntp
ssh
tcp-intercept
AutoSecure Firewall
Secure Forwarding Plane
Interactive full session of AutoSecure
AutoSecure Login
Secure Management Plane
Non-interactive session of AutoSecure
AutoSecure NTP
AutoSecure SSH
AutoSecure TCP Intercept
Router#auto secure
Is this router connected to internet? [no]: yes
Enter the number of interfaces facing the internet [1]: 1
Enter the interface name that is facing the internet: FastEthernet0/0
Enter the security banner {Put the banner between
k and k, where k is any character}:x Buenos Dias Marcos x
Enable secret is either not configured or
is the same as enable password
Enter the new enable secret: cisco

Confirm the enable secret: cisco
Enter the new enable password: marcos
Confirm the enable password: marcos
Configuration of local user database
Enter the username: admin
Enter the password: marcosmarcos
Confirm the password: marcosmarcos
Blocking Period when Login Attack detected: 30
Maximum Login failures with the device: 5
Maximum time period for crossing the failed login attempts: 3
Configure SSH server? [yes]: yes
Enter the host name: router
Enter the domain-name: marcos.com
Configure CBAC Firewall feature? [yes/no]: yes
Apply this configuration to running-config? [yes]: yes
SDM
Primero hay que verificar que ip esta usando mi wifi para configuar interface
de mi router en gns3

R1(config)#ip http server

R1(config)#ip http secure-server
R1(config)#ip http authentication local
R1(config)#username marcos privilege 15 secret 13490044-kK
R1(config-line)#privilege level 15
R1(config-line)#transport input telnet ssh
Seguridad Protocolos de enrutamiento
R1(config-router)#passive-interface default (con esto dejamos de recibir actualizaciones)

R1(config-router)#no passive-interface fastEthernet 0/0 (le decimos q si reciba actualizaciones)
R1(config-router)#exit
PARA RIP
R1(config)#key chain telefonica
R1(config-keychain)#key 188
R1(config-keychain-key)#key-string marcos
R1(config-keychain-key)#exit
R1(config-keychain)#exit
R1(config-if)#ip rip authentication mode md5
R1(config-if)#ip rip authentication key-chain telefnica
PARA EIGRP
R1(config-if)#key chain telefonica
R1(config-keychain)#key 188
R1(config-keychain-key)#key
R1(config-keychain-key)#key-string marcos
R1(config-keychain-key)#exit
R1(config-keychain)#exit
R1(config-if)#ip authentication mode eigrp 1 md5
R1(config-if)#ip authentication key-chain eigrp 1 telefonica
PARA OSPF
R1(config-if)#ip ospf message-digest-key 1 md5 telefonica
R1(config-if)#ip ospf authentication message-digest
R1(config-if)#exit
R1(config)#router ospf 1
R1(config-router)#area 0 authentication message-digest
Seguridad dispositivos Autenticacin
Router(config)#security passwords min-length 8

Router(config)#service password-encryption
Router(config)#enable secret level 15 13490044-kK
Router(config)#enable secret level 5 121212877-kK
Router(config)#banner login x Acceso Restringuido x
Router(config)#username admin privilege 15 secret 3127542-kK
Router(config)#username user privilege 0 secret 5532548-kK
Router(config)#username user2 privilege 5 secret 999186537-kK
Router(config)#privilege exec level 5 copy
Router(config)#line console 0
Router(config-line)#login local
Router(config-line)#exit
Router(config-line)#transport input telnet
Seguridad dispositivos Acceso
Router(config)#hostname Santiago
Santiago(config)#enable secret level 15 marcosmarcos
Santiago(config)#ip domain-name marcos.com
Santiago(config)#username admin privilege 15 secret antonioantonio
Santiago(config)#crypto key generate rsa 1024
Santiago(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
Santiago(config)#ip ssh tim
Santiago(config)#ip ssh time-out 30
Santiago(config)#ip ssh authentication-retries 3
Santiago(config)#ip ssh version 2
Santiago(config)#line vty 0 15
Santiago(config-line)#transport input ssh
Santiago(config-line)#login local
Santiago#show ip ssh
SSH Enabled - version 2.0
Authentication timeout: 30 secs; Authentication retries: 3
Seguridad dispositivos Auditoria Syslog registro
Router(config)#logging 192.168.1.2
Router(config)#service timestamps log datetime msec
Router(config)#logging trap debugging
Router#debug ip icmp
ICMP packet debugging is on
Router#ping 192.168.1.2
Router#show logging
Politicas de seguridad Mensajes y niveles enable
R1(config)#banner login x
Enter TEXT message. End with the character 'x'.
************************************************
Contacte al administrador antes de continuar
************************************************
x
R1(config)#banner motd x

*****************************************************
Administrador Marcos Araneda
Telefono:+56999186537
Direccion:Montevideo #371, Padre Hurtado
Correo:marcos.araneda.colina@gmail.com
*****************************************************
x
R1(config)#
R1(config)#username admin privilege 15 password marcos
R1(config)#username user privilege 0 password marcos
R1(config)#username user2 privilege 5 password marcos
R1(config)#privilege exec level 5 copy
R1(config)#line console 0
R1(config-line)#exit
R1(config-line)#transport input telnet
R1(config)#exit
R1#copy running startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
Ingresamos con el login user y password marcos
Ahora ingresamos con el user2 password marcos
Nota: el usuario admin tiene derecho a todo
Seguridad Introduccin poltica de seguridad y comandos bsicos
Router(config)#enable secret marcos

Router(config)#username adminmarcos privilege 15 password marcos
Router(config)#username usuarioantonio privilege 0 password colina
Seguridad Tipos de amenazas y ataques
Router(config)#enable password marcos

Router(config)#no enable password
Router(config)#enable secret marcos
Router(config-line)#password marcos
Router(config)#no enable secret
Router(config)#enable password marcos
Router(config)#username usuario privilege 0 password marcos
Router(config)#service password-encryption
Router(config)#security passwords min-length 8
Router(config)#login block-for 10 attempts 3 within 30
Router(config)#login block-for 10 attempts 3 within 30 (segundos-intentos- segundos posteriores de intentos
fallidos)
Router(config-line)#password marcos1234
C:\>telnet 192.168.1.1
Trying 192.168.1.1 ...Open
User Access Verification

Username: admin
Password: marcos
Router#?
Exec commands:
<1-99>
auto
clear
clock
configure
connect
copy
debug
delete
dir
disable
disconnect
enable
erase
exit
logout
mkdir
more
no
ping
reload
resume
rmdir
send
setup
show
ssh
telnet
terminal
traceroute
undebug
vlan
write
Router#show privilege
Current privilege level is 15
_______________________________________________________________________________________
C:\>telnet 192.168.1.1
Trying 192.168.1.1 ...Open
Username: usuario
Password: marcos
Router>?
Exec commands:
disable
enable
exit
logout
Router>
privilege level is 0
_______________________________________________________________________________________
C:\>telnet 192.168.1.1
Trying 192.168.1.1 ...Open
Username: usuario2
Password:
Router#?
Exec commands:
<1-99>
connect
disable
disconnect
enable
exit
logout
ping
resume
show
ssh
telnet
traceroute
Router#show privilege
Current privilege level is 3
_______________________________________________________________________________________
Router(config)#privilege exec all level 1 show
CON ESTE COMANDO LE DIGO QUE A TODOS DESDE EL NICEL 1 ESTAN AUTORIZADOS PARA
USAR EL COMANDO SHOW
DESDE EL NIVEL DE ADMINISTRADOR DE MODIFICA LOS NIVELES DE PERMISO
Router(config)#privilege exec all level 15 show
Router(config)#exit
Router#exit
NOS SALIMOS Y ENTRAMOS COMO USUARIO2
[Connection to 192.168.1.1 closed by foreign host]
C:\>
C:\>telnet 192.168.1.1
Trying 192.168.1.1 ...Open
Username: usuario2
Password: marcos
Router#show run
^
% Invalid input detected at '^' marker.
AQU VEMOS Q NO NOS DEJA YA ENTRAR
Securing the Router - CCNA Security
line con 0
password 7 0822455D0A16
login
!
line aux 0
!
line vty 0 4
password 7 0822455D0A16
login
!
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
hostname mar-r1
!
enable secret 5 $1$mERr$WKkcGROjDgUmPKrVvqyr10
!
mar-r1(config)#enable password cisco
mar-r1(config)#service password-encryption
enable password 7 0822455D0A16 (cisco)
line con 0
password 7 0822455D0A16 (cisco)
login
!
line aux 0
!
line vty 0 4
password 7 0822455D0A16 (cisco)
login
http://www.calculadora-redes.com/cisco.php
mar-r1(config)#enable secret cisco1234
mar-r1(config)#no enable password
mar-r1#conf t
mar-r1(config)#line console 0
mar-r1(config-line)#no login
mar-r1(config-line)#login local
mar-r1(config-line)#end
mar-r1#conf t
mar-r1(config)#username mar secret cisco

mar-r1(config)#end
mar-r1#
mar-r1#conf t
mar-r1(config)#username marcos secret cisco
mar-r1(config)#security passwords min-length 10 (password no menor a 10 caracteres)
mar-r1(config)#line console 0
mar-r1(config-line)#exec-timeout 3 (termino de sesin en 3 minutos)
mar-r1(config-line)#end
mar-r1#conf t
mar-r1(config)#line vty 0 4
mar-r1(config-line)#exec-timeout 3
Configuracion de SSH en Router Cisco
R1#conf t
Configuramos el nombre de dominio del router, en este caso ser conectividad-satelital.com
R1(config)#ip domain-name conectividad-satelital.com
General claves o llaves RSA
R1(config)#crypto key generate rsa
Pondremos 1024 para que sea robusta
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
Configurar el tiempo de espera , este se mide en segundos ( en este caso 20 segundos)
R1(config)#ip ssh time-out 20
Configurar el maximo de intentos de loggin fallidos
R1(config)#ip ssh authentication-retries 2
Habilitar ssh en su version 2
R1(config)#ip ssh version 2
Crear usuario y contrasea para poder ingresar al dispositivo
R1(config)#username marcos password marcos
Configurar las lineas vty donde se utilisar ssh como metodo de conexion
Activar en las lineas vty ssh
R1(config-line)#transport input ssh
Usar el comando login local para poder ingresar con el usuario y password anteriormente creada
Salir
Configurar la pasword enable para habilitar en el otro router el ingreso
R1(config)#
R1(config)#enable password marcos
R2#
R2#ssh -l marcos 192.168.1.1
Password: marcos
R1>
R1>enable
Password: marcos
R1#
Configuracin de Router para acceso por SSH
R1(config)#enable password marcos

R1(config)#ip domain-name marcos.com
R1(config)#crypto key generate rsa
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
R1(config)#ip ssh time-out 10
R1(config)#ip ssh authentication-retries 3
R1(config)#username marcos password araneda
R1(config-line)#exec-timeout 3
R1(config-line)#transport input ssh telnet
R1(config-line)#transport input ssh
Configuracin de Router para acceso por SSH - Seguridad adicional
R1(config)#no enable password

R1(config)#no username marcos password araneda
R1(config)#service password-encryption
R1(config)#security passwords min-length 10
R1(config)#enable secret marcosmarcos
R1(config)#username marcos secret qqqqqqqqqq
R1(config)#end
Cisco. Switch. Seguridad de puertos para evitar intrusos.
Switch#conf t
Switch(config)#interface fastEthernet 0/1

Debe estar la interfas en modo Access o trunk
Switch(config-if)#switchport mode access
Activar la seguridad en el puerto
Switch(config-if)#switchport port-security
Maximo de direcciones permitidas
Switch(config-if)#switchport port-security maximum 1
Colocar la direccin fsica del dispositivo
Switch(config-if)#switchport port-security mac-address 0002.162A.481E
Si hay un intruso deniega el acceso
Switch(config-if)#switchport port-security violation protect
Se bloquean las instrucciones con este comando
Switch(config-if)#switchport port-security violation restrict
Switch#show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count)
(Count)
(Count)
-------------------------------------------------------------------Fa0/1
1
1
0
Restrict
---------------------------------------------------------------------Switch#
Switch#show port-security interface fastEthernet 0/1
Port Security
: Enabled
Port Status
: Secure-down
Violation Mode
: Restrict
Aging Time
: 0 mins
Aging Type
: Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses
:1
Configured MAC Addresses : 1
Sticky MAC Addresses
:0
Last Source Address:Vlan : 0000.0000.0000:0
Security Violation Count
:0
Port Security
: Enabled
Port Status
: Secure-up
Violation Mode
: Restrict
Aging Time
: 0 mins
Aging Type
SecureStatic Address Aging
Maximum MAC Addresses
Total MAC Addresses
Configured MAC Addresses
Last Source Address:Vlan
: Absolute
: Disabled
:1
:1
:1
:0
: 0000.0000.0000:0
:0
Switch#show running-config
!
interface FastEthernet0/1
switchport mode access
switchport port-security
switchport port-security violation restrict
switchport port-security mac-address 0002.162A.481E
Se conecto el intruso
Hacemos un ping para verificar que no debera tener acceso

Port Security
: Enabled
Port Status
: Secure-up
Violation Mode
: Restrict
Aging Time
: 0 mins
Aging Type
: Absolute

Total MAC Addresses
:1

:0
Last Source Address:Vlan
: 0060.3EA2.473C:1 Me indica la direccin del intruso
: 5 La cantidad de veces ingresada mas ping de paquetes
Ahora conectamos el pc autorizado en el switch
Hacemos un ping y ahora si debera llegar la conexion

Port Security : Enabled
Port Status : Secure-up
Violation Mode : Restrict
Aging Time : 0 mins
Aging Type : Absolute

Total MAC Addresses : 1
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0002.162A.481E:1
Security Violation Count : 0
Otra forma tambin de como hacerlo, con esto se tomara inmediatamente la primera conexin u quedara
guardada automaticamente
Switch(config)#interface fastEthernet 0/2

Switch(config-if)#switchport port-security mac-address sticky
Switch(config-if)#switchport port-security violation shutdown
Para desconectar el cable del intruso y puerto se hace de esta forma

Switch(config-if)#switchport port-security violation shutdown
Switch(config-if)#switchport port-security mac-address 0004.9A21.C994
Configurando TACACS Y Radius
Router1(config)#enable password cisco

Router1(config)#exit
Router1>enable
Password:
Router1#conf t
Router1(config)#username marcos secret marcos
Router1(config)#aaa new-model
Router1(config)#aaa authentication login default local
Router1(config)#line console 0
Router1(config-line)#login authentication default
Router1(config-line)#end
Username: marcos
Password:
Router1>enable
Password:
Router1#conf t
Router1(config)#
Router1(config)#aaa authentication login TELNET-LOGIN local
Router1(config)#line vty 0 4
Router1(config-line)#login authentication TELNET-LOGIN
Router1(config)#banner motd x
********** SOLO PERSONAL AUTORIZADO **********
ESTA EXTRICTAMENTE PROHIBIDO EL INGRESO
x
Router2(config)#enable password marcos2
Router2(config)#banner motd x
********** SOLO PERSONAL AUTORIZADO **********
ESTA EXTRICTAMENTE PROHIBIDO EL INGRESO
x
Router2(config)#username marcos2 secret marcos2

Router2(config)#tacacs-server host 192.168.2.2
Router2(config)#tacacs-server key tacacsmarcos
Router2(config)#aaa authentication login default group tacacs+ local
Router3(config)#enable password marcos3

Router3(config)#username marcos3 secret marcos3
Router3(config)#radius-server host 192.168.3.2
Router3(config)#radius-server key radiusmarcos
Router3(config-line)#exit
Router3(config)#aaa authentication login default group radius local
Router3(config-line)#
Configurar contrasea de consola
El comando line console 0 identifica la lnea especfica para la configuracin e inicia el modo de reunin de
comandos de configuracin, con este comando ingresa a la consola, observe que cuando acceda a la consola
el prompt cambia a Router_cisco(config-line)# puede salir de la consola con el comando exit
Asgnele el nombre linpass a la contrasea de la consola, recuerde que puede asignar la contrasea que usted
desee
Luego de haber asignado la contrasea digite el comando login para habilitar la contrasea
Router_cisco(config)# line console 0
Router_cisco(config-line)# password linpass
Router_cisco(config-line)# login
Router_cisco(config-line)# exit
Configurar line aux 0

Router_cisco# config terminal
Router_cisco(config)# line aux 0
Router_cisco(config-line)# password auxpass
Router_cisco(config)#
Configurar contrasea vty (telnet)

El comando line vty 0 4 se usa para acceder a la interfaz de Telnet, donde line vty indica dicha interfaz, 0 el
nmero de la interfaz y 4 la cantidad mxima de conexiones mltiples a partir de 0, en este caso se permiten
5 conexiones mltiples pero podra ser una sola:
Router_cisco# config terminal
Router_cisco(config)# line vty 0 4
Router_cisco(config-line)# password vtypass
Router_cisco(config)#
CONSOLA
Switch#enable
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#line console 0
Switch(config-line)#password 123456789
Switch(config-line)#login
Switch(config-line)#exit
Switch(config)#exit
Configurar conexin Consola con usuario y contrasea:
Switch#enable
Switch(config)#line console 0
Switch(config-line)#login local
Switch(config)#username test2 password 2121
Switch(config)#exit
VTY
Switch>enable
Switch(config)#line vty 0 15
Switch(config-line)#password abcdefghi
Switch(config-line)#login
Switch(config)#exit
Configurar conexiones VTY con nombre de usuario y contrasea:

Switch>enable
Switch#config terminal
Switch(config-line)#password test3
Configurar conexiones VTY con nombre de usuario y contrasea cifrada (RECOMENDADO):
Switch>enable
Switch#config terminal
Switch(config)#username test3 secret 456789
Switch(config-line)#secret test3
ENABLE
Switch(config)#enable password xyz
Switch(config)#exit
Configurar el acceso privilegiado al Switch (ENABLE) encriptado (RECOMENDADO):
Switch#enable
Switch(config)#enable secret zxc
Switch(config)#exit
Como crea un usuario y contrasea sin encriptar:

Switch>enable
Switch(config)#exit
Para encriptar los password (RECOMENDADO):

Switch(config)#service password-encryption
Para Configurar acceso HTTP:
Switch(config)# hostname TestSW
Switch(config)# ip domain-name TestDominio
Switch(config)# ip http server
Switch(config)# ip http secure-server
Switch(config)# ip http authentication local
Switch(config)# username UsuarioTest5 privilege 15 secret 0a1b2c3
Switch(config)# line vty 0 15
Switch(config-line)# privilege level 15
Switch(config-line)# login local
Switch(config-line)# transport input ssh

Apuntes CCNA Security

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Apuntes CCNA Security

Загружено:

Авторское право:

Доступные форматы

Seguridad ACL Listas de acceso

Seguridad ACL Usos y componentes

Router(config)#access-list 1 permit host 192.168.1.2

Seguridad ACL Tipos y ubicacin

R1(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.2

Seguridad ACL Wildcard

R1(config)#access-list 1 permit 172.16.0.1 0.0.0.0

R1(config)#interface fastEthernet 1/0

Seguridad ACL Estandar numerada y nombrada

Router(config)#access-list 1 remark PERMITIR 192.168.1.0/24

Router(config)#ip access-list standard mimarcos

Seguridad ACL Extendida

Router(config)#access-list 100 remark PERMITE A TODOS

Router(config)#access-list 101 remark PERMITE LAS PRIMERAS 128 DIRECCIONES DE B HASTA C

Seguridad ACL Listas de acceso complejas

R2(config)#username marcos privilege 15 secret cisco

Seguridad ACL otro ejercicio

Realizaremos un ping a todos los extremos.

1 Que nadie pueda llegar al host o red 192.168.1.2

Seguridad ACL Control de acceso lineas VTY

Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255

R0(config)#interface fastEthernet 0/1

Trabajo a distancia Servicios de banda ancha Cable

Trabajo a distancia Servicios de banda ancha DSL

Trabajo a distancia Servicios de banda ancha Inalambricos

Seguridad IOS Mantenimiento

Router#copy flash: tftp:

1 -rw- 227537 <no date> sigdef-default.xml

Seguridad IOS Migracin y actualizacin

Router#copy tftp: flash:

Enter configuration commands, one per line. End with CNTL/Z.

Seguridad Auto secure

Enter the new enable secret: cisco

R1(config)#interface fastEthernet 0/0

R1(config)#ip http server

Seguridad Protocolos de enrutamiento

R1(config-router)#passive-interface default (con esto dejamos de recibir actualizaciones)

Seguridad dispositivos Autenticacin

Router(config)#security passwords min-length 8

Seguridad dispositivos Acceso

Seguridad dispositivos Auditoria Syslog registro

Politicas de seguridad Mensajes y niveles enable

Enter TEXT message. End with the character 'x'.

Ahora ingresamos con el user2 password marcos

Nota: el usuario admin tiene derecho a todo

Seguridad Introduccin poltica de seguridad y comandos bsicos

Router(config)#enable secret marcos

Seguridad Tipos de amenazas y ataques

Router(config)#enable password marcos

User Access Verification

Securing the Router - CCNA Security

mar-r1(config)#enable password cisco

mar-r1(config)#enable secret cisco1234

mar-r1(config)#no enable password

mar-r1(config)#username mar secret cisco

Configuracion de SSH en Router Cisco

R1(config)#enable password marcos

R1(config)#no enable password

Cisco. Switch. Seguridad de puertos para evitar intrusos.

Switch(config)#interface fastEthernet 0/1

Hacemos un ping para verificar que no debera tener acceso

Switch#show port-security interface fastEthernet 0/1

SecureStatic Address Aging : Disabled

Configured MAC Addresses : 1