 Configurar enrutamiento estático o dinámico de manera que exista conectividad completa

entre todos los routers incluyendo su interfaces loopbacks0.

Do show ip int br
Conf t
Int Look0

 Configurar Telnet en R1utilizando password r111.

 Configurar Telnet en R2 para sesiones entrantes y SSH para sesiones salientes, solo se
permite establecer sesión SSH con los ID (loopbacks0) de cada router.

R2 (config)# line vty 0 4

R2 (config-line)# login local
R2(config-line)# transport input telnet
R2 (config-line)# transport output ssh

 Utilizar las siguientes políticas:

- Domain Name: Prueba.cl
- Utilizar version SSH 2.
-
- Autentificar en función de base de datos local utilizando AAA
- La autentificación solo se debe establecer en line VTY.
- Mostrar eventos SSH en consola de R1, sesión exitosa y fallida.
- El usuario para SSH es el siguiente:

Usuario Password
jadmin cisco123
CONFIGURAR UN ROUTER PARA SOPORTAR CONEXIONES SSH. Step 1

Configure a domain name.



R2(config)# ip domain-name prueba.cl

Step 2. Create a user ID of SSHadmin with the highest possible privilege level and a secret
password of ciscosshpa55.

R2(config)# username jadmin privilege 15 secret cisco123

Step 3. Configure the incoming VTY lines on R2. Use the local user accounts for
mandatory login and validation. Accept only SSH connections.

R2(config)# line vty 0 4

R2(config-line)# login local
R2(config-line)# transport input ssh
R2(config)# crypto key generate rsa


R2(config)# ip ssh time-out 90


R2(config)# ip ssh authentication-retries 2

R2(config)# ip ssh version 2

 R1 puede acceder a R2 a través de telnet pero desde R2 solo puede acceder a R3 a

utilizando SSH.
a
 Configurar en R3 SSH para sesiones entrantes, solo se permite establecer sesión SSH con
los ID (loopbacks0) de cada router.
 Utilizar las siguientes políticas:
- Domain Name: Prueba.cl
- Utilizar version SSH 2
- Autentificar en función de base de datos local utilizando AAA
- La autentificación solo se debe establecer en line VTY.
- Mostrar eventos SSH en consola de R1, sesión exitosa y fallida.
- El usuario para SSH es el siguiente:
 Usuario Password
admin cisco

 Configure la password cisco para acceder al modo privilegiado en todos los routers.
 Probar R1 accederá a R2 a través de telnet, pero desde R2 solo podrá acceder a R3 a través
SSH, es decir, al perímetro de seguridad.

 R2(config)# ip domain-name prueba.cl

 R2(config)# username admin privilege 15 secret cisco
 R2(config)# crypto key generate rsa

 R2(config)# line vty 0 4

 R2(config-line)# login local l
 R2(config-line)# transport input ssh

CONFIGURAR UN ROUTER PARA IDENTIFICAR EL HOST REMOTO QUE RECIBIRÁ LOS MENSAJES DE
LOGGING.
 R1(config)#logging host
 R1(config)#logging trap informational
 R1(config)#logging source-interface
 R1(config)#logging on
 R1(config)#logging on

Setup AAA:
Configurar AAA en R1 con las siguientes características para la autentificación:
R1# aaa new-model
R1(config)# enable secret cisco
R1(config)# aaa local authentication attempts max-fail 3

R1# enable view

Password: cisco

 Crear usuario U4 password cisco.

R1(config)# parser view U4
R1(config-view)# secret cisco
Barnner #$ Autentificación AAA $#

 Proceso AAA debe pedir usuario y contraseña utilizando Usuario: Password

El usuario solo puede acceder al router utilizando sistema case sensitive.

 Crear banner que tenga el siguiente mensaje $ Autentificación AAA $

  El máximo número de intentos es 3 antes de volver a pedir autenticación, luego se
bloqueará el permiso para el usuario.

 Si el usuario no puede autentificarse se debe desplegar el siguiente mensaje:

AUTENTIFICACIÓN INVALIDA, INTENTELO NUEVAMENTE

 El usuario debe autentificarse en función de la base de datos local

Para poder probar inmediatamente lo que hemos configurado podríamos habilitar el login en la
consola.

Para comprobar si funciona esta configuración debemos crear un súper usuario en caso de que
bloqueemos al usuario U4. Luego de las pruebas debemos desbloquear al usuario U4.

s
HABILITAR ROOT VIEW
R1(config)# aaa new-model
R1(config)# enable secret cisco
R1(config)# aaa local authentication attempts max-fail 3

Banner mod “$ Autentificación AAA $”

R1# enable view
Password: cisco
R1(config)# parser view U4
R1(config-view)# secret cisco
R1(config-view)# commands exec include all show
R1(config-view)# commands exec exclude show version
R1(config-view)# commands exec exclude ping
R1(config-view)# end

CONFIGURAR LOS ROUTERS PARA MOSTRAR EL TIEMPO EN LOS LOGS.

R1(config)# service timestamps log datetime msec

CONFIGURAR EL ROUTER PARA GENERAR LOGS DE ACTIVIDADES.

Configure el enrutador para generar mensajes de registro del sistema para intentos de inicio de sesión
exitosos y fallidos. Los siguientes comandos registran cada inicio de sesión exitoso e inician intentos de
inicio de sesión fallidos después de cada segundo inicio de sesión fallido.

R1(config)# login on-success log

R1(config)# login on-failure log every 2

CONFIGURAR EL LARGO MINIMO PARA LAS PASSWORD DE UN ROUTER.

R1(config)# security passwords min-length 10
 CONFIGURAR UN ROUTER PARA SOPORTAR CONEXIONES SSH.

Paso 1. Configurar un nombre de dominio.

R3 (config) # ip domain-name ccnasecurity.com

Paso 2. Cree una ID de usuario de SSHadmin con el nivel de privilegio más alto posible
y una contraseña secreta de ciscosshpa55
R3(config)# username SSHadmin privilege 15 secret ciscosshpa55

Configure las líneas VTY entrantes en R3.

Use las cuentas de usuario locales para el inicio de sesión obligatorio y la validación.
Acepta solo conexiones SSH.

R3(config)# line vty 0 4

R3(config-line)# login local
R3(config-line)# transport input ssh

Step 4. Borre pares de llaves existentes en R3. Todos los pares de claves RSA
existentes deben borrarse en el enrutador.
R3(config)#crypto key zeroize rsa


Step 5. Generate the RSA encryption key pair for R3.

R3(config)# crypto key generate rsa

CONFIGURAR LOS PARÁMETROS DE TIMEOUTS AND AUTHENTICATION PARA

SSH.
Set the timeout to 90 seconds, the number of authentication retries to 2, and the version
to 2.
R3(config)# ip ssh time-out 40

R3(config)# ip ssh authentication-retries 2

R3(config)# ip ssh version 2
Login block

CONECTARSE A R3 USANDO SSH DESDE UN PC-C.

When prompted for the password, enter the password configured for the administrator
ciscosshpa55.
PC> ssh –l SSHadmin 192.168.3.1

CONECTARSE A R3 USANDO SSH DESDE R2 VIA SSH VERSION 2.

R2# ssh –v 2 –l SSHadmin 10.2.2.1

R3# password: ciscosshpa55

CONFIGURAR UN USUARIO EN LA BASE DE DATOS LOCAL.

R3(config)# username Admin01 privilege 15 secret Admin01pass

CONFIGURAR UN USUARIO LOCAL PARA AAA AUTHENTICATION

R3(config)# username JR-ADMIN secret Str0ngPa55w0rd
R3(config)# aaa new-model

R3(config)# aaa authentication login default local local-case enable
IMPLEMENTARAAASERVICESPARAACCEDERALACONSOLE USANDO UNA BASE
DE DATOS LOCAL
R3(config)# aaa authentication login default local none
R3(config)# line console 0

R3(config-line)# login authentication default

CREAR UN PERFIL EN UNA BASE DE DATOS LOCAL CON AAA AUTHENTICATION

PARA USAR TELNET .

R3(config)# aaa authentication login TELNET_LOGIN local-case

R3(config)# line vty 0 4

R3(config-line)# login authentication TELNET_LOGIN

CREAR NIVELES DE PRIVILEGIOS


R1(config)#username USER privilege 1 secret cisco

R1(config)#privilege exec level 5 ping

R1(config)#enable secret level 5 cisco5

R1(config)#username SUPPORT privilege 5 secret cisco5

R1(config)#privilege exec level 10 reload
R1(config)#enable secret level 10 cisco10

R1(config)#username JR-ADMIN privilege 10 secret cisco10

R1(config)#username ADMIN privilege 15 secret cisco123