8/19/2019 en_CCNAS_v11_Ch02 español.pdf
1/165
© 2012 Cisco and/or its affiliates. All rights reserved. 1
Seguridad en losDispositivos de Red
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
2/165
© 2012 Cisco and/or its affiliates. All rights reserved. 2
• Cisco cuenta con una nueva serie de routers de segundageneración.
• ISR G2 han integrado interfaces Gigabit Ethernet.
OficinaVirtual
MovilidadSegura
AplicacionesPersonalizables
ColaboracionesSeguras
ServiciosEscalables
Medios
Enriquecidos
R e n d i m i e n t o ,
E s c a l a b i l i d
a d y
D i s
p o n i b i l i d a d
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
3/165
© 2012 Cisco and/or its affiliates. All rights reserved. 3
Scenario 3
Scenario 2
• Los Routers se utilizan paraasegurar el perímetro de la red.
• Escenario 1: Protege la LAN.
• Escenario 2: se protégé el tráficocon el router y pasa por unservidor de seguridad (PIX/ASA).
• Escenario 3: La zona
directamente conectada con elservidor de seguridad sedenomina DMZ. Servidores conacceso a Internet se encuentranen la zona de distensión.
LAN 1192.168.2.0
Router 1 (R1)
Internet
Scenario 1
LAN 1192.168.2.0
R1Internet
Firewall
LAN 1192.168.2.0
R1
Internet
R2Firewall
DMZ
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
4/165
© 2012 Cisco and/or its affiliates. All rights reserved. 4
• La Seguridad Física: Equipos de infraestructura segura en un cuartocerrado que:
• Es accesible sólo al personal autorizado.
• Está libre de la interferencia electrostática o magnética.
• Tiene protección contra incendios.• Dispone de controles de temperatura y humedad.
• Instalar un sistema de alimentación ininterrumpida (UPS) ymantener los componentes de backup disponibles para reducir laposibilidad de un ataque DoS contra la pérdida de energía al
edificio.
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
5/165
© 2012 Cisco and/or its affiliates. All rights reserved. 5
• Sistema Operativo: Configure el router con la máxima cantidadde memoria posible.
• Ayuda a protegerla de algunos ataques DoS.
– Utilice la última versión estable del sistema operativo que cumpla con los
requisitos de características de la red.
– Guarde una copia segura de la imagen del sistema operativo del router y elarchivo de configuración del router como una copia de seguridad.
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
6/165
© 2012 Cisco and/or its affiliates. All rights reserved. 6
• Fortalecimiento del acceso al Router
– Fije el control administrativo para garantizar que sólo el personal autorizadotenga acceso y que su nivel de acceso está controlado.
– Deshabilitar los puertos no utilizados y las interfaces para reducir el númerode maneras en que un dispositivo se puede acceder.
– Deshabilitar los servicios innecesarios que pueden ser utilizados por unatacante para obtener información o para la explotación.
R1
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
7/165 © 2012 Cisco and/or its affiliates. All rights reserved. 7
• Restringir el acceso al dispositivo – Limite los puertos accesibles, restringir los PC permitidos y restringir los
métodos permitidos de acceso.
• Registrar y dar cuenta de todos los accesos
– Para fines de auditoría, registre cualquier persona que tiene acceso a undispositivo, incluyendo lo que ocurre y cuándo.
• Autenticar el acceso
– Asegúrese de que el acceso se concede sólo a los usuarios autenticados,grupos y servicios.
– Limitar el número de intentos fallidos de conexión y el tiempo entre los iniciosde sesión.
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
8/165 © 2012 Cisco and/or its affiliates. All rights reserved. 8
• Autorizar las Acciones – Restringir las acciones y opiniones permitidos por ningún usuario, grupo o
servicio.
• Presente Aviso Legal
– Mostrar un aviso legal, desarrollado en conjunto con el asesor legal de laempresa, para las sesiones interactivas.
• Garantizar la confidencialidad de los datos
– Proteger los datos sensibles almacenados localmente de lectura y copia. – Considere la vulnerabilidad de los datos en tránsito a través de un canal decomunicación para analizar ataques, de secuestro de sesión, y de hombre enel medio (MITM) .
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
9/165 © 2012 Cisco and/or its affiliates. All rights reserved. 9
Asegurar el Acceso Administrativo
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
10/165 © 2012 Cisco and/or its affiliates. All rights reserved. 10
• Todos los Routers necesitan una contraseña de configuraciónlocal para el acceso privilegiado y otros accesos.
R1
R1(config)# enable secret cisco
R1(config)# line con 0R1(config-line)# password ciscoR1(config-line)# login
R1(config)# line aux 0R1(config-line)# password cisco
R1(config-line)# login
R1(config)# line vty 0 4R1(config-line)# password cisco
R1(config-line)# login
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
11/165 © 2012 Cisco and/or its affiliates. All rights reserved. 11
• Para robar contraseñas, los atacantes:
– Envían un Saludo amistoso.
– Adivinan contraseñas basadas en información personal del usuario.
– Paquetes TFTP de Sniff que contienen los archivos de configuración de textoplano.
– Utilizan las herramientas de ataque de fuerza bruta fácilmente disponiblescomo L0phtCrack o Cain & Abel.
• Las contraseñas seguras son la principal defensa contra el
acceso no autorizado a un router!
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
12/165 © 2012 Cisco and/or its affiliates. All rights reserved. 12
• Las contraseñas no deben utilizar las palabras del diccionario – Palabras del diccionario son vulnerables a los ataques de diccionario.
• Las contraseñas pueden incluir los siguientes:
– Cualquier carácter alfanumérico.
– Una combinación de caracteres en mayúsculas y minúsculas.
– Los símbolos y espacios.
– Una combinación de letras, números y símbolos.
Nota: los espacios en las contraseñas se ignoran, pero todos losespacios después del primer carácter no se ignoran.
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
13/165 © 2012 Cisco and/or its affiliates. All rights reserved. 13
• Cambie las contraseñas con frecuencia.
– Implementar una política que defina cuándo y con qué frecuencia lascontraseñas deben cambiarse.
– Limite las oportunidades para que un hacker pueda romper la contraseña.
– Límite los intentos de falla de una contraseña cuando existe un error.
• Las normas locales pueden hacer que las contraseñas sean másseguras.
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
14/165
© 2012 Cisco and/or its affiliates. All rights reserved. 14
• Un método bien conocido de creación de contraseñas seguras esusar frases comunes.
– Básicamente una oración / frase que sirve como una contraseña más segura.
– Utilice una frase, cita de un libro, o una canción lírica que pueda recordarfácilmente como la base de la contraseña segura o frase.
• Por ejemplo:
– “My favorite spy is James Bond 007.” = MfsiJB007. – "Fue el mejor de los tiempos, era el peor de los tiempos." = Iwtbotiwtwot.
– "Llévame a la luna. Y déjame jugar entre las estrellas. " = FmttmAlmpats.
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
15/165
© 2012 Cisco and/or its affiliates. All rights reserved. 15
• Longitud de contraseña de 10 caracteres o más. Cuanto más,mejor.
• Incluya una combinación de letras mayúsculas y minúsculas,números, símbolos y espacios.
• Evite contraseñas basadas en la repetición, palabras deldiccionario, de letras o números secuencias, nombres de usuario,
nombres de compañía, biográfica, como fechas de nacimiento,números de identificación, nombres de los antepasados .
• Deliberadamente escribir mal una contraseña.
• Por ejemplo, Smith = Smyth = 5mYth o Seguridad = 5ecur1ty.
• Cambie las contraseñas con frecuencia por lo que si unacontraseña está en peligro sin saberlo.
• No escriba contraseñas y dejarlos en lugares obvios, como en elescritorio o un monitor.
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
16/165
© 2012 Cisco and/or its affiliates. All rights reserved. 16
• Para aumentar la seguridad de las contraseñas, los siguientescomandos de Cisco IOS se deben utilizar:
– Hacer cumplir la longitud mínima de la contraseña: security passwords min-length.
– Desactivación de conexiones desatendidas: exec-timeout.
– Cifrar contraseñas de archivos de configuración: service password-encryption.
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
17/165
© 2012 Cisco and/or its affiliates. All rights reserved. 17
• Hacer contraseñas largas: IOS 12.3 y posteriores contraseñaspueden ser de 0 a 16 caracteres de longitud. un mínimo de 10caracteres.
• Para forzar a un mínimo de longitud utilice el comando: – security passwords min-length length
• El comando afecta a todas las "nuevas" contraseñas de router. – Contraseñas de router existentes no se ven afectadas.
• Cualquier intento de crear una nueva contraseña que es menorque la longitud especificada falla y da lugar a una "Contraseñademasiado corta" mensaje de error.
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
18/165
© 2012 Cisco and/or its affiliates. All rights reserved. 18
• De forma predeterminada, la conexión remota es de 10 minutosdespués se desactiva la sesión.
• El temporizador se puede ajustar con el comando exec-timeouten el modo de configuración de línea para cada uno de los tiposde línea que se utilizan.
– exec-timeout minutes seconds
Nota: exec-timeout 0 0 significa que no habrá tiempo deespera y la sesión se mantendrá activo durante un tiempo ilimitado.
– Se sugiere en laboratorios ... – Mal en las redes de producción! – No ponga el valor 0!
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
19/165
© 2012 Cisco and/or its affiliates. All rights reserved. 19
• El tiempo predeterminado es de 10 minutos.
• Termina una conexión inactiva (consola o vty).• Proporciona nivel de seguridad adicional si el administrador se
aleja de una sesión de consola activa.
– Para terminar una conexión de consola desatendida después de 3 minutos y30 segundos:
– Para desactivar el proceso de línea:
Router(config-line)#
exec-timeout minutes [seconds]
Sudbury(config)# line console 0Sudbury(config-line)# exec-timeout 3 30
Sudbury(config)# line aux 0Sudbury(config-line)# no exec-timeout
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
20/165
© 2012 Cisco and/or its affiliates. All rights reserved. 20
• Encriptar todas las contraseñas desde modo global.
service password-encryption
Router(config)#
R1(config)# service password-encryptionR1(config)# exitR1# show running-config
enable password 7 06020026144A061E!
line con 0
password 7 094F471A1A0A
login
!
line aux 0
password 7 01100F175804575D72
login
line vty 0 4password 7 03095A0F034F38435B49150A1819
login
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
21/165
© 2012 Cisco and/or its affiliates. All rights reserved. 21
• Asegure las contraseñas de bases de datos locales. – Configuración de usuario tradicional con contraseña en texto plano.
– Utilice hash MD5 para una fuerte protección de contraseña.
– Más seguro que el cifrado de tipo 7.username name secret {[0] password | encrypted-secret}
username name password {[0] password | 7 hidden-password }
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
22/165
© 2012 Cisco and/or its affiliates. All rights reserved. 22
R1# conf tR1(config)#
username JR-ADMIN password letmein% Password too short - must be at least 10 characters. Password configurationfailed
R1(config)# username JR-ADMIN password cisco12345R1(config)# username ADMIN secret cisco54321R1(config)# line con 0R1(config-line)# login local
R1 con0 is now available
Press RETURN to get started.
User Access Verification
Username: ADMINPassword:
R1>
R1# show run | include usernameusername JR-ADMIN password 7 060506324F41584B564347
username ADMIN secret 5 $1$G3oQ$hEvsd5iz76WJuSJvtzs8I0
R1#
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
23/165
© 2012 Cisco and/or its affiliates. All rights reserved. 23
• Para mejorar la seguridad de lasconexiones de acceso virtuales,
el proceso de inicio de sesióndebe ser configurado conparámetros específicos:
– Implementar retardos entreintentos de conexión sucesivos.
– Habilitar inicio de sesión de cierresi se sospecha de ataques DoS.
– Generar mensajes de registro delsistema para la detección de iniciode sesión.
Welcome to SPAN
Engineering
User Access Verification
Password: cisco
Password: cisco1
Password: cisco12Password: cisco123
Password: cisco1234
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
24/165
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
25/165
© 2012 Cisco and/or its affiliates. All rights reserved. 25
• En este ejemplo, el comando de bloqueo de inicio de sesión se haconfigurado para bloquear el inicio de sesión de PC durante 120segundos si hay más de 5 peticiones de inicio de sesión fallan dentro delos 60 segundos.
R1# show loginA login delay of 10 seconds is applied.
Quiet-Mode access list PERMIT-ADMIN is applied.
Router enabled to watch for login Attacks.If more than 5 login failures occur in 60 seconds or less,
logins will be disabled for 120 seconds.
Router presently in Normal-Mode.
Current Watch Window
Time remaining: 5 seconds.
Login failures for current window: 4.
Total login failures: 4.
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
26/165
© 2012 Cisco and/or its affiliates. All rights reserved. 26
• En este ejemplo, no se ha producido intento de registro. – Un mensaje de registro se inicia en la consola que indica que el router está
en modo silencioso.
– Todos los intentos de acceso realizados con Telnet, SSH, HTTP y se lesniega con excepción de lo especificado en el permiso-ADMIN ACL.
R1#
*Dec 10 15:38:54.455: %SEC_LOGIN-1-QUIET_MODE_ON: Still timeleft for watching failures
is 12 secs, [user: admin] [Source: 10.10.10.10] [localport: 23] [Reason: LoginAuthentication Failed - BadUser] [ACL: PERMIT-ADMIN] at 15:38:54 UTC Wed Dec 10 2008
R1# show loginA login delay of 10 seconds is applied.
Quiet-Mode access list PERMIT-ADMIN is applied.
Router enabled to watch for login Attacks.
If more than 5 login failures occur in 60 seconds or less,
logins will be disabled for 120 seconds.
Router presently in Quiet-Mode.
Will remain in Quiet-Mode for 105 seconds.
Restricted logins filtered by applied ACL PERMIT-ADMIN.
R1#
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
27/165
© 2012 Cisco and/or its affiliates. All rights reserved. 27
• En este ejemplo, el comando identifica el número de fallos, nombres deusuarios intentaron, y las direcciones IP del atacante con una marca detiempo que añadieron a cada intento fallido.
R1# show login failuresTotal failed logins: 22
Detailed information about last 50 failures
Username SourceIPAddr lPort Count TimeStamp
admin 1.1.2.1 23 5 15:38:54 UTC Wed Dec 10 2011
Admin 10.10.10.10 23 13 15:58:43 UTC Wed Dec 10 2011
admin 10.10.10.10 23 3 15:57:14 UTC Wed Dec 10 2011
cisco 10.10.10.10 23 1 15:57:21 UTC Wed Dec 10 2011
R1#
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
28/165
© 2012 Cisco and/or its affiliates. All rights reserved. 28
• Mensajes de Banner deben ser utilizados para advertir a losposibles intrusos de que no son bienvenidos en la red.
• Banners son importantes, sobre todo desde una perspectivalegal.
– Los intrusos se han sabido ganar los casos judiciales porque no seencuentran con mensajes de advertencia correspondientes.
– Elegir qué colocar en los mensajes de inicio es muy importante y debe ser
revisado por un abogado antes de ser implementado.
– Nunca use la palabra "bienvenido" o cualquier otro saludo familiar o similarque pueda ser mal interpretado como una invitación para utilizar la red.
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
29/165
© 2012 Cisco and/or its affiliates. All rights reserved. 29
• Especifique qué es para "uso apropiado" del sistema.
• Especifica que el sistema está siendo monitoreado.• Especifica que la privacidad se monitorea cuando se utiliza este
sistema.
• No utilice la palabra "bienvenido".
• Tener opinión departamento legal del contenido del mensaje.
Router(config)#
banner {exec | incoming | login | motd | slip-ppp} d message d
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
30/165
© 2012 Cisco and/or its affiliates. All rights reserved. 30
• Por defecto, los routers Cisco no tenemos las contraseñas denivel de línea configurados para las líneas vty. – Las contraseñas deben ser configurados para todas las líneas vty en el
router.
– Recuerde que más líneas vty se pueden añadir al router.
• Si la comprobación de contraseña está activada (es decir, el
comando de inicio de sesión), una contraseña vty también debeestar configurado antes de intentar acceder al router medianteTelnet. – Si una contraseña vty NO está configurado y la comprobación de
contraseñas está habilitada para vty, un mensaje de error similar a losiguiente se produce:
Telnet 10.0.1.2 Trying 10.0.1.2 ….. open
Password required, but none set
[Connection to 10.0.1.2 closed by foreign host]
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
31/165
© 2012 Cisco and/or its affiliates. All rights reserved. 31
• Si una contraseña de modo enable no está establecida para elrouter, el modo privilegiado EXEC no se puede acceder a travésde Telnet.
• Utilice siempre el comando enable secret password paraestablecer la contraseña de activación.
– Nunca utilice el comando enable password!
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
32/165
© 2012 Cisco and/or its affiliates. All rights reserved. 32
• Acceso Telnet debe limitarse sólo a los PC administrativosespecificados utilizando ACL:
– Permite el acceso Telnet desde sólo hosts específicos.
– Implícita o explícitamente bloquea el acceso desde lugares no confiables.
– Una la ACL a las líneas vty utilizando el comando access-class.
• Por ejemplo:
R1(config)# access-list 30 permit 10.0.1.1 0.0.0.0
R1(config)# line vty 0 4R1(config-line)# access-class 30 in
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
33/165
© 2012 Cisco and/or its affiliates. All rights reserved. 33
• Un atacante está capturando paquetes utilizando Wireshark en una subredlocal.
• El atacante está interesada en el trafico TCP Telnet y se da cuenta de que ladirección IP del administrador (192.168.2.7) ha iniciado una sesión de Telneta un dispositivo.
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
34/165
© 2012 Cisco and/or its affiliates. All rights reserved. 34
• Siguiendo el flujo TCP Telnet, el atacante ha capturado nombre deusuario del administrador (Bob) y la contraseña (cisco123).
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
35/165
© 2012 Cisco and/or its affiliates. All rights reserved. 35
• Cuando el administrador utiliza SSH, el atacante ya no ve los paquetesde Telnet y en su lugar debe filtrar por dirección IP del administrador.
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
36/165
© 2012 Cisco and/or its affiliates. All rights reserved. 36
• Si se sigue la secuencia de datos, el atacante sólo ve los paquetes TCPy SSH que revelan información cifrada inútil.
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
37/165
© 2012 Cisco and/or its affiliates. All rights reserved. 37
• Paso 1: Configurar el nombre dedominio IP.
• Paso 2: Generar una clave secretaRSA.
• Paso 3: Crear una entrada denombre de usuario de base de datoslocal.
• Paso 4: Habilitar VTY sesiones SSHentrantes.
R1# conf tR1(config)# ip domain-name span.comR1(config)# crypto key generate rsa general-keys modulus 1024The name for the keys will be: R1.span.com
% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
R1(config)#
*Dec 13 16:19:12.079: %SSH-5-ENABLED: SSH 1.99 has been enabled
R1(config)# username Bob secret ciscoR1(config)# line vty 0 4R1(config-line)# login localR1(config-line)# transport input sshR1(config-line)# exit
Opcionalmente, SSH sepuede utilizar paraconfigurar lo siguiente:
versión SSHNúmero de intentosde autenticaciónPeríodo de tiempode espera de SSH
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
38/165
© 2012 Cisco and/or its affiliates. All rights reserved. 38
• Versiones de SSH:
– Cisco IOS versión 12.1 (1) T y posteriores admiten SSHv1.
– Cisco IOS 12.3 (4) T y posteriores admite tanto SSHv1 y SSHv2 (modo decompatibilidad).
– Para cambiar las versiones, utilice la versión de ssh ip {1 | 2} comandoglobal.
• Número de intentos de autenticación:
– Por defecto, un usuario que inicia sesión en dispone de 3 intentos antes deser desconectado. – Para configurar un número diferente de reintentos SSH consecutivos, utilice
el comando authentication-retries ssh ip en el modo de configuraciónglobal.
• SSH Tiempos de espera:
– El intervalo de tiempo predeterminado que el router esperará a que un clienteSSH para responder durante la fase de negociación de SSH es de 120segundos.
– Cambie la hora con ip ssh time-out seconds.
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
39/165
© 2012 Cisco and/or its affiliates. All rights reserved. 39
R1# show ip sshSSH Enabled - version 1.99
Authentication timeout: 120 secs; Authentication retries: 3
R1#
R1# conf tEnter configuration commands, one per line. End with CNTL/Z.
R1(config)# ip ssh version 2R1(config)# ip ssh authentication-retries 2
R1(config)# ip ssh time-out 60R1(config)# ^ZR1#
R1# show ip sshSSH Enabled - version 2.0
Authentication timeout: 60 secs; Authentication retries: 2
R1#
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
40/165
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
41/165
© 2012 Cisco and/or its affiliates. All rights reserved. 41
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
42/165
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
43/165
© 2012 Cisco and/or its affiliates. All rights reserved. 43
Los Privilegios de Operacion de Seguridad• Configurar AAA• Use comandos show• Configure Firewall• Configure IDS / IPS• Configurar NetFlow
WAN del ingeniero de Privilegios• Configurar enrutamiento• Configuración de una interfaz• Issue comandos show.
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
44/165
© 2012 Cisco and/or its affiliates. All rights reserved. 44
• Las necesidades de un operador de red de seguridad puede noser la misma que la de ingeniero de WAN.
• Routers de Cisco permiten la configuración en los distintosniveles de privilegios para los administradores.
– Diferentes contraseñas se pueden configurar para controlar quién tieneacceso a los diferentes niveles de privilegio.
• Hay 16 niveles de privilegio.
– Niveles 2 y 14 se pueden configurar mediante el comando de configuraciónglobal privilegio.
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
45/165
© 2012 Cisco and/or its affiliates. All rights reserved. 45
• Nivel 0: Predefinido para privilegios de acceso a nivel de usuario. – Rara vez se utiliza, incluye cinco comandos: disable, enable, exit,
help, and logout.
• Nivel 1: nivel predeterminado de inicio de sesión con el indicadordel router Router>. – Un usuario no puede realizar ningún cambio o ver el archivo de configuración
en ejecución.
• Niveles2 –14: son modificados para requisitos particulares paralos privilegios de nivel de usuario. – Comandos de niveles inferiores pueden ser movidos a uno más alto, o lo
contrario.
• Nivel 15(Privilegiado): Reservado para los privilegios modoenable (comando enable). – Los usuarios pueden ver y modificar todos los aspectos de la configuración.
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
46/165
© 2012 Cisco and/or its affiliates. All rights reserved. 46
Router(config)#
privilege mode {level level command | reset command }
Comando Descripción
modeespecifica el modo de configuración.
Utilice comando de privilegio para ver una lista de los modos de router.
level (Opcional) Este comando permite establecer un nivel de privilegio con un comandoespecificado.
level command(Opcional) Este parámetro es el nivel de privilegio que está asociado con un comando.Puede especificar hasta 16 niveles de privilegio, utilizando números del 0 al 15.
reset (Opcional) Este comando restablece el nivel de privilegios de un comando.
command(Opcional) Este es el argumento de comando para utilizar cuando usted quiererestablecer el nivel de privilegio.
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
47/165
© 2012 Cisco and/or its affiliates. All rights reserved. 47
• En este ejemplo, se crearon cuatro cuentas de usuario.
– Una cuenta de USER de Nivel 1 de acceso.
– Una cuenta SUPPORT con el Nivel 5.
– Una cuenta de JR-ADMIN con los mismos privilegios que la cuenta deSUPPORT, además de acceso al comando reload.
– Una cuenta JR-ADMIN que tiene todos los comandos EXEC privilegiadosregulares.
R1# conf tR1(config)# username USER privilege 1 secret ciscoR1(config)#
R1(config)# privilege exec level 5 pingR1(config)# enable secret level 5 cisco5
R1(config)# username SUPPORT privilege 5 secret cisco5R1(config)#
R1(config)# privilege exec level 10 reloadR1(config)# enable secret level 10 cisco10R1(config)# username JR-ADMIN privilege 10 secret cisco10R1(config)#
R1(config)# username ADMIN privilege 15 secret cisco123R1(config)#
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
48/165
© 2012 Cisco and/or its affiliates. All rights reserved. 48
• El administrador prueba las cuentas y registra como usuario deNivel 1. – Los nombres de usuario no distinguen entre mayúsculas y minúsculas de
forma predeterminada.
– Observe el símbolo indica el nivel 1 (R1>).
– El comando ping que normalmente está disponible desde el nivel 1 ya noestá disponible.
User Access Verification
Username: userPassword:
R1> show privilegeCurrent privilege level is 1
R1# ping 10.10.10.1^
% Invalid input detected at '^' marker.
R1>
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
49/165
© 2012 Cisco and/or its affiliates. All rights reserved. 49
• El administrador verifica el nivel de acceso 5.
– El comando enable se utiliza para pasar de nivel 1 al nivel 5.
– Observe ahora el usuario puede hacer ping pero no puede utilizar elcomando reload.
R1> enable 5Password:
R1#
R1# show privilegeCurrent privilege level is 5
R1#
R1# ping 10.10.10.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.10.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
R1#R1# reloadTranslating "reload"
Translating "reload"
% Unknown command or computer name, or unable to find computer address
R1#
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
50/165
© 2012 Cisco and/or its affiliates. All rights reserved. 50
• El administrador verifica el nivel de acceso 10. – Una vez más, el comando enable nivel se utiliza para pasar de nivel 5 al
nivel 10. – Note ahora el comando ping y el comando reload están disponibles, sin
embargo, el comando show running-config no es.
R1# enable 10Password:
R1# show privilegeCurrent privilege level is 10
R1# ping 10.10.10.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.10.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
R1# reload
System configuration has been modified. Save? [yes/no]: ^CR1# show running-config
^
% Invalid input detected at '^' marker.
R1#
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
51/165
© 2012 Cisco and/or its affiliates. All rights reserved. 51
• Por último, el administrador verifica el acceso privilegiado EXEC Nivel15.
– Una vez más, el comando enable nivel se utiliza para pasar de nivel 10 anivel 15.
– Ahora todos los comandos están disponibles.
R1# enable 15Password:
R1# show privilegeCurrent privilege level is 15
R1# show running-configBuilding configuration...
Current configuration : 1145 bytes
!version 12.4
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
52/165
© 2012 Cisco and/or its affiliates. All rights reserved. 52
• No hay control de acceso a las interfaces, puertos, interfaceslógicas, y los horarios en un router.
• Comandos disponibles en los niveles de privilegios más bajossiempre son ejecutables en los niveles superiores.
• Asignación de un comando con varias palabras clave a un nivelde privilegio específica asigna todos los comandos asociados conlas primeras palabras clave en el mismo nivel de privilegio. – Un ejemplo es el comando show ip route.
• Si un administrador tiene que crear una cuenta de usuario quetiene acceso a la mayoría, pero no todas las órdenes,
instrucciones EXEC privilegio deben estar configurados paracada comando que se debe ejecutar en un nivel de privilegioinferior a 15. – Esto puede ser un proceso tedioso.
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
53/165
© 2012 Cisco and/or its affiliates. All rights reserved. 53
• Los niveles de privilegios y de enable modo no proporcionan elnivel necesario de detalle necesario al trabajar con routers y
switches Cisco IOS.
• La función de CLI de acceso basado en roles permite aladministrador definir "vistas".
– Las vistas son un conjunto de comandos de operación y capacidades deconfiguración que proporcionan acceso selectivo o parcial de comandos demodo de configuración de Cisco IOS EXEC.
– Vistas restringidas al acceso de usuarios a la CLI de Cisco IOS y la
información de configuración, es decir, una vista puede definir los comandosaceptados y la información de configuración es visible.
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
54/165
© 2012 Cisco and/or its affiliates. All rights reserved. 54
• Root Vista se requiere define Vistas y Superviews.
• Vistas contienen comandos.• Un comando puede aparecer en más de una vista.
Vista #1 Vista #2 Vista #3 Vista #4 Vista #5 Vista #6
show ip route show run int fa0/0showinterfaces
Root Ver
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
55/165
© 2012 Cisco and/or its affiliates. All rights reserved. 55
• Vista raíz es el punto más alto de vista administrativo.
– Creación y modificación de una vista o 'supervista' sólo es posible en la vistaraíz.
– La diferencia entre la vista de la raíz y el nivel de privilegio 15 es que sólo unusuario vista root puede crear o modificar las opciones y superviews.
• Vistas CLI basados en funciones requieren AAA:
– Esto es necesario incluso con la autenticación de vista local.
• Un máximo de 15 roles de vista de la CLI puede existir ademásde la vista raíz.
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
56/165
© 2012 Cisco and/or its affiliates. All rights reserved. 56
• Antes de crear una vista, AAA debe estar habilitado mediante elcomando aaa nuevo modelo.
• A continuación, utilice el comando enable con el parámetro a finde entrar en la vista de la raíz.
– E.g., enable view
– Opcionalmente, también puede utilizar enable view root.
• Utilice la contraseña de privilegio 15 (enable secret), si se le pidepara la autenticación (si se ha configurado la autenticación).
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
57/165
© 2012 Cisco and/or its affiliates. All rights reserved. 57
• Introduzca un nivel de privilegio o una vista CLI.
• Utilice comando enable con el parámetro de entrar en la vista dela raíz.
• Vista Root requiere privilegios de nivel 15 autenticación.
• El comando aaa-new model debe ser ingresado.
Router#
enable [ privilege-level] [view [view-name]]
R1(config)# aaa new-modelR1(config)# exitR1# enable viewPassword:
R1#
%PARSER-6-VIEW_SWITCH: successfully set to view 'root'
Permitir Parámetros
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
58/165
© 2012 Cisco and/or its affiliates. All rights reserved. 58
Permitir Parámetros
Parameter Description
privilege-level (Opcional) Establece el nivel de privilegio a entrar.
view (Opcional) Introduce vista raíz, que permite a los usuariosconfigurar vistas de la CLI. Se requiere esta palabra clavesi desea configurar una vista CLI.
view-name (Opcional) Permite ingresar o salir de una vista CLIespecificado. Esta palabra clave se puede utilizar paracambiar de una vista CLI a otra vista de la CLI.
Router#
enable [privilege-level] [view [view-name]]
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
59/165
© 2012 Cisco and/or its affiliates. All rights reserved. 59
• Crea una vista.
• Establece una contraseña para proteger el acceso a la vista.
• Añade comandos o interfaces para una vista.
• Ejemplo config establecer una contraseña y agregar comandos a
la vista denominada MONITOR-VIEW.
Router(config)#
R1(config)# parser view MONITOR-VIEWR1(config-view)# password ciscoR1(config-view)# commands exec include show version
parser view view-name
Router(config-view)#
password encrypted-password
commands parser-mode {include | include-exclusive | exclude} [all] [interfaceinterface-name | command ]
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
60/165
© 2012 Cisco and/or its affiliates. All rights reserved. 60
Parametro Descripción
parser-mode Especifica el modo en el que existe el comando especificado (e.g.exec mode).
include Añade un comando o una interfaz a la vista y permite que el mismocomando o interfaz que se añade a una vista adicional.
include-exclusive Añade un comando o una interfaz para la vista y excluye el mismocomando o interfaz que se agregue a todos los otros puntos de vista.
exclude Excluye un comando o una interfaz de la vista, es decir, los usuariosno pueden acceder a un comando o una interfaz.
all (Opcional) Especifica un "comodín" que permite a cada comando enun modo de configuración especificado que comienza con la mismapalabra clave o cada subinterfaz para una interfaz especificada paraser parte de la vista.
interface interface-name
(Opcional) Especifica una interfaz que se agrega a la vista.
command (Opcional) Especifica un comando que se agrega a la vista.
Router(config-view)#
commands parser-mode {include | include-exclusive | exclude} [all] [interfaceinterface-name | command ]
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
61/165
© 2012 Cisco and/or its affiliates. All rights reserved. 61
• La vista CLI FIRST es creado y configurado para incluir loscomandos show version, configure terminal y todos los comandos
que empiecen con show ip.
R1(config)# aaa new-modelR1(config)# exitR1# enable view
%PARSER-6-VIEW_SWITCH: successfully set to view‘root
’. R1# configure terminal
R1(config)# parser view FIRST%PARSER-6-VIEW_CREATED:view ‘FIRST’ successfully created.
R1(config-view)# secret firstpassR1(config-view)# command exec include show versionR1(config-view)# command exec include configure terminalR1(config-view)# command exec include all show ipR1(config-view)# exit
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
62/165
© 2012 Cisco and/or its affiliates. All rights reserved. 62
• A continuación, el administrador deberá verificar la configuraciónmediante la introducción y la visualización de los comandos
disponibles.
– Cuando un usuario entra en la vista CLI, aparece un mensaje de indicación.
– Además de los comandos enable y exit que están disponibles en todoslos puntos de vista, los únicos dos comandos que son visibles en la vista dela CLI configure y show.
R1> enable view FIRSTPassword:
%PARSER-6-VIEW_SWITCH:successfully set to view ‘FIRST'.R1# ?
Exec commands:configure Enter configuration mode
enable Turn on privileged commands
exit Exit from the EXEC
show Show running system information
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
63/165
© 2012 Cisco and/or its affiliates. All rights reserved. 63
• A fin de verificar la configuración de la vista, el administradorobserva las opciones disponibles del comando show.
– Las opciones disponibles incluyen parser, que siempre está disponible, ylas palabras clave configuradas ip y version.
R1# show ?ip IP information
parser Display parser information
version System hardware and software status
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
64/165
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
65/165
© 2012 Cisco and/or its affiliates. All rights reserved. 65
R1(config)# parser view SHOWVIEW*Mar 1 09:54:54.873: %PARSER-6-VIEW_CREATED: view ‘SHOWVIEW' successfullycreated.
R1(config-view)# secret ciscoR1(config-view)# commands exec include show versionR1(config-view)# exitR1(config)# parser view VERIFYVIEW*Mar 1 09:55:24.813: %PARSER-6-VIEW_CREATED: view ‘VERIFYVIEW' successfullycreated.
R1(config-view)# commands exec include ping% Password not set for the view VERIFYVIEW
R1(config-view)# secret cisco5R1(config-view)# commands exec include pingR1(config-view)# exitR1(config)# parser view REBOOTVIEWR1(config-view)#
*Mar 1 09:55:52.297: %PARSER-6-VIEW_CREATED: view ‘REBOOTVIEW' successfully
created.R1(config-view)# secret cisco10R1(config-view)# commands exec include reloadR1(config-view)# exit
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
66/165
© 2012 Cisco and/or its affiliates. All rights reserved. 66
R1# show running-config
parser view SHOWVIEW
secret 5 $1$GL2J$8njLecwTaLAc0UuWo1/Fv0
commands exec include show version
commands exec include show
!parser view VERIFYVIEW
secret 5 $1$d08J$1zOYSI4WainGxkn0Hu7lP1
commands exec include ping
!
parser view REBOOTVIEW
secret 5 $1$L7lZ$1Jtn5IhP43fVE7SVoF1pt.
commands exec include reload
!
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
67/165
© 2012 Cisco and/or its affiliates. All rights reserved. 67
• Superviews contienen vistas pero no comandos.
• Dos Superviews pueden utilizar el mismo punto de vista.• Por ejemplo, tanto Superview 1 y Superview 2 pueden incluir CLI
View 4.
Vista #2command exec …
Vista #3command exec …
Vista #1command exec …
Superview #1
Vista #4command exec …
Vista #5command exec …
Vista #6command exec …
Superview #2
CLI Vistas
Root Ver
View #2command exec …
View #3command exec …
View #1command exec …
View #4command exec …
View #5command exec …
View #6command exec …
View #4command exec …
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
68/165
© 2012 Cisco and/or its affiliates. All rights reserved. 68
• Una vista de la CLI se puede compartir entre varios supervista.
• Las órdenes no se pueden configurar para un supervista.
– Commands are added to CLI views.
– Users who are logged in to a superview can access all of the commands thatare configured for any of the CLI views that are part of the supervista.
• Cada supervista tiene una contraseña que se utiliza para cambiarentre superviews o desde un punto de vista de la CLI a un
supervista.• Si se elimina un supervista, no se eliminan puntos de vista de la
CLI asociados con ese supervista.
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
69/165
© 2012 Cisco and/or its affiliates. All rights reserved. 69
• Al añadir la palabra clave superview al parser view comando crea unsupervista y entra en el modo de vista de la configuración.
• Establece una contraseña para proteger el acceso a la supervista.
• La contraseña debe ser creado inmediatamente después de la creación de una
visión de lo contrario aparecerá un mensaje de error.
• Adds a CLI view to a superview.
• Se pueden añadir múltiples puntos de vista.• Las vistas pueden ser compartidos entre superviews.
Router(config)#
parser view view-name superview
Router(config-view)#
secret encrypted-password
Router(config-view)#
view view-name
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
70/165
© 2012 Cisco and/or its affiliates. All rights reserved. 70
R1(config)# parser view USER superview* Mar 1 09:56:26.465 : %PARSER-6-SUPER_VIEW_CREATED: super view 'USER' successfully created.R1(config-view)# secret ciscoR1(config-view)# view SHOWVIEW*Mar 1 09:56:33.469: %PARSER-6-SUPER_VIEW_EDIT_ADD: view SHOWVIEW added to superview USER.
R1(config-view)# exitR1(config)# parser view SUPPORT superview*Mar 1 09:57:33.825 : %PARSER-6-SUPER_VIEW_CREATED: super view 'SUPPORT' successfullycreated.
R1(config-view)# secret cisco1R1(config-view)# view SHOWVIEW*Mar 1 09:57:45.469: %PARSER-6-SUPER_VIEW_EDIT_ADD: view SHOWVIEW added to superview SUPPORT.R1(config-view)# view VERIFYVIEW*Mar 1 09:57:57.077: %PARSER-6-SUPER_VIEW_EDIT_ADD: view VERIFYVIEW added to superview
SUPPORT.R1(config-view)# exitR1(config)# parser view JR-ADMIN superview*Mar 1 09:58:09.993: %PARSER-6-SUPER_VIEW_CREATED: super view 'JR-ADMIN' successfully
created.R1(config-view)# secret cisco2R1(config-view)# view SHOWVIEW*Mar 1 09:58:26.973: %PARSER-6-SUPER_VIEW_EDIT_ADD: view SHOWVIEW added to superview JR-ADMIN.
R1(config-view)# view VERIFYVIEW
*Mar 1 09:58:31.817: %PARSER-6-SUPER_VIEW_EDIT_ADD: view VERIFYVIEW added to superview JR-ADMIN.
R1(config-view)# view REBOOTVIEW*Mar 1 09:58:39.669: %PARSER-6-SUPER_VIEW_EDIT_ADD: view REBOOTVIEW added to superview JR-
ADMIN.R1(config-view)# exit
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
71/165
© 2012 Cisco and/or its affiliates. All rights reserved. 71
R1# show running-config
!
parser view SUPPORT superview
secret 5 $1$Vp1O$BBB1N68Z2ekr/aLHledts.
view SHOWVIEW
view VERIFYVIEW
!parser view USER superview
secret 5 $1$E4k5$ukHyfYP7dHOC48N8pxm4s/
view SHOWVIEW
!
parser view JR-ADMIN superview
secret 5 $1$8kx2$rbAe/ji220OmQ1yw.568g0
view SHOWVIEW
view VERIFYVIEW
view REBOOTVIEW!
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
72/165
© 2012 Cisco and/or its affiliates. All rights reserved. 72
R1# enable view USERPassword:
*Mar 1 09:59:46.197: %PARSER-6-VIEW_SWITCH: successfully set to view 'USER'.
R1# ?Exec commands:enable Turn on privileged commands
exit Exit from the EXEC
show Show running system information
R1#
R1# show ?flash: display information about flash: file system
version System hardware and software status
R1#
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
73/165
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
74/165
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
75/165
© 2012 Cisco and/or its affiliates. All rights reserved. 75
• Al supervisar CLI basado en roles, utilice la vista comando showpara mostrar información acerca de la opinión de que el usuario
está actualmente.
– La palabra all muestra toda la información clave para todas las vistasconfiguradas.
– La palabra clave all está disponible sólo para usuarios root.
– Sin embargo, la palabra clave puede ser configurado por un usuario en lavista de la raíz a estar disponible para los usuarios en cualquier vista de laCLI.
• Para mostrar los mensajes de depuración para todas las vistas,utilice el debug parser view comando en modo EXECprivilegiado.
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
76/165
© 2012 Cisco and/or its affiliates. All rights reserved. 76
R1# show parser view
No view is active ! Currently in Privilege Level ContextR1#
R1# enable viewPassword:
*Mar 1 10:38:56.233: %PARSER-6-VIEW_SWITCH: successfully set to view 'root'.
R1#
R1# show parser viewCurrent view is 'root'
R1#
R1# show parser view allViews/SuperViews Present in System:
SHOWVIEW
VERIFYVIEW
REBOOTVIEW
SUPPORT *
USER *
JR-ADMIN *
ADMIN *
-------(*) represent superview-------
R1#
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
77/165
© 2012 Cisco and/or its affiliates. All rights reserved. 77
• Si un router se ve comprometida, hay un riesgo de que el laimagen del sistema operativo y de configuración se pueden
borrar. – Amenaza la disponibilidad (tiempo de inactividad)
• Necesidad de asegurar el bootsistem primaria. – El archivo de configuración y la imagen IOS que se ejecuta
• SCP Nota: Además de los archivos de configuración defunciones, configuración de imagen y recuperación se puedencopiar de forma segura a otro dispositivo mediante Secure Copy(SCP).
– Proporciona un método seguro y autenticado para copiar archivos de imagende configuración del router o enrutador entre dispositivos.
– Se basa en Secure Shell (SSH).
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
78/165
© 2012 Cisco and/or its affiliates. All rights reserved. 78
• La característica de configuración Resilient Cisco IOS permite aun router para asegurar y mantener una copia de trabajo de la
imagen en ejecución y los archivos de configuración.
– Acelera el proceso de recuperación.
– Los archivos se almacenan de forma local.
– Característica se puede desactivar a través de una sesión de consola.
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
79/165
© 2012 Cisco and/or its affiliates. All rights reserved. 79
• Para activar Cisco IOS imagen de recuperación, utilice:
• Para guardar una copia segura del bootset primaria en el
almacenamiento permanente, utilice:
Router(config)#
R1(config)# secure boot-imageR1(config)# secure boot-config
secure boot-image
Router(config)#
secure boot-config
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
80/165
© 2012 Cisco and/or its affiliates. All rights reserved. 80
• Para mostrar el estado de la capacidad de recuperación deconfiguración y el nombre del archivo bootset primaria, utilice el
comando:
R1# show secure bootset
IOS resilience router id JMX0704L5GH
IOS image resilience version 12.3 activated at 08:16:51 UTC Sun Jun 16 2005Secure archive slot0:c3745-js2-mz type is image (elf) []
file size is 25469248 bytes, run size is 25634900 bytes
Runnable image, entry point 0x80008000, run from ram
IOS configuration resilience version 12.3 activated at 08:17:02 UTC Sun Jun 16
2002
Secure archive slot0:.runcfg-20020616-081702.ar type is config configuration
archive size 1059 bytes
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
81/165
© 2012 Cisco and/or its affiliates. All rights reserved. 81
• Si un router se ve comprometida, lo que tienes que volver acargarlo para iniciar el procedimiento de recuperación.
– La recarga no siempre es necesario y puede depender de las circunstancias.
• Es necesario ingresar en modo ROMMON. – Utilice los comandos dir y boot para listar el contenido del dispositivo con
bootset seguro y arrancar el router utilizando la imagen bootset seguro.
rommon 1 >
dir [filesystem:] boot [ partition-number :][filename]
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
82/165
© 2012 Cisco and/or its affiliates. All rights reserved. 82
• Tras el arranque del router y si se ha eliminado la configuraciónde inicio, el router le pedirá configurar entrada interactiva.
– Negarse a entrar en una sesión de configuración interactiva.
• Use el comando secure boot-config restore pararecuperar la configuración de inicio seguro.Router(config)#
secure boot-config [restore filename]
rommon 1 > dir slot0:rommon 2 > boot slot0:c3745-js2-mz
....Router(config)# secure boot-config restore slot0:RESCUE-CFGRouter# copy slot0:RESCUE-CFG running-config
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
83/165
© 2012 Cisco and/or its affiliates. All rights reserved. 83
Router# dir flash:Directory of flash:/
1 -rw- 23587052 Jan 9 2010 17:16:58 +00:00 c181x-advipservicesk9-mz.124-24.T.bin
2 -rw- 600 Sep 26 2010 07:28:12 +00:00 vlan.dat
128237568 bytes total (104644608 bytes free)
Router# dir nvram:Directory of nvram:/
189 -rw- 1396 startup-config
190 ---- 24 private-config
191 -rw- 1396 underlying-config1 -rw- 0 ifIndex-table
2 -rw- 593 IOS-Self-Sig#3401.cer
3 ---- 32 persistent-data
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
84/165
© 2012 Cisco and/or its affiliates. All rights reserved. 84
• Fije la imagen del IOS.
• Asegure el archivo de configuración de inicio.R1# config tR1(config)# secure boot-imageR1(config)#
%IOS_RESILIENCE-5-IMAGE_RESIL_ACTIVE: Successfully secured running image
R1(config)# secure boot-configR1(config)#
%IOS_RESILIENCE-5-CONFIG_RESIL_ACTIVE: Successfully secured config archive
[flash:.runcfg-20101017-020040.ar]
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
85/165
© 2012 Cisco and/or its affiliates. All rights reserved. 85
• Compruebe la configuración de la recuperación del IOS.
R1# show secure bootsetIOS resilience router id FHK110913UQ
IOS image resilience version 12.4 activated at 02:00:30 UTC Sun Oct 17 2010
Secure archive flash:c181x-advipservicesk9-mz.124-24.T.bin type is image (elf) []
file size is 23587052 bytes, run size is 23752654 bytes
Runnable image, entry point 0x80012000, run from ram
IOS configuration resilience version 12.4 activated at 02:00:41 UTC Sun Oct 17
2010
Secure archive flash:.runcfg-20101017-020040.ar type is config
configuration archive size 1544 bytes
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
86/165
© 2012 Cisco and/or its affiliates. All rights reserved. 86
• Verifique la flash para asegurarse de que el archivo de imagendel IOS está protegida.
R1# dir flash:Directory of flash:/
2 -rw- 600 Sep 26 2010 07:28:12 +00:00 vlan.dat
128237568 bytes total (104636416 bytes free)
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
87/165
© 2012 Cisco and/or its affiliates. All rights reserved. 87
• Verifique la configuración borrando la configuración de inicio yrecargar el router.
R1# erase startup-configErasing the nvram filesystem will remove all configuration files! Continue?
[confirm]
[OK]
Erase of nvram: complete
R1# show startup-configstartup-config is not present
R1# reload
System configuration has been modified. Save? [yes/no]: nProceed with reload? [confirm]
...
Router> enableRouter# show secure bootset%IOS image and configuration resilience is not active
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
88/165
© 2012 Cisco and/or its affiliates. All rights reserved. 88
• Extraiga el archivo de configuración de inicio de copia deseguridad del archivo seguro y guardarlo.
• Vuelva a colocar la configuración actual con el archivo.
Router# config tRouter(config)# secure boot-config restore flash:archived-configios resilience:configuration successfully restored as flash:archived-config
Router(config)# ^CRouter# configure replace flash:archived-configThis will apply all necessary additions and deletions
to replace the current running configuration with the
contents of the specified configuration file, which is
assumed to be a complete configuration, not a partial
configuration. Enter Y if you are sure you want to proceed. ? [no]: yTotal number of passes: 1
Rollback Done
R1# copy run start
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
89/165
© 2012 Cisco and/or its affiliates. All rights reserved. 89
• Para probar que la función de imagen de arranque de seguridadfunciona, formato flash.
R1# format flash:Format operation may take a while. Continue? [confirm]
Format operation will destroy all data in "flash:". Continue? [confirm]
Writing Monlib sectors...
Monlib write complete
Format: All system sectors written. OK...
Format: Total sectors in formatted partition: 250848
Format: Total bytes in formatted partition: 128434176
Format: Operation completed successfully.
Format of flash: complete
R1#
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
90/165
© 2012 Cisco and/or its affiliates. All rights reserved. 90
• Compruebe que el flash se borra y vuelve a cargar el router.
R1# dirDirectory of flash:/
No files in directory
128237568 bytes total (104640512 bytes free)
Router# reloadProceed with reload? [confirm]
*Oct 17 02:37:37.127: %SYS-5-RELOAD: Reload requested by console. Reload Reason
: Reload Command.
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
91/165
© 2012 Cisco and/or its affiliates. All rights reserved. 91
• Arranca el router utilizando la imagen de IOS garantizado.
...
cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706
Cisco IOS Software, C181X Software (C181X-ADVIPSERVICESK9-M), Version 12.4(24)T,
RELEASE SOFTWARE (fc1)Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2009 by Cisco Systems, Inc.
Compiled Thu 26-Feb-09 03:22 by prod_rel_team
...
R1> enablePassword:
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
92/165
© 2012 Cisco and/or its affiliates. All rights reserved. 92
• En el caso de que un router se vea comprometido o necesita serrecuperado de una contraseña mal configurado, un administrador
debe entender los procedimientos de recuperación decontraseña.
• Por razones de seguridad, recuperación de contraseñas requiere
que el administrador tenga acceso físico al router a través de uncable de consola.
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
93/165
© 2012 Cisco and/or its affiliates. All rights reserved. 93
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
94/165
© 2012 Cisco and/or its affiliates. All rights reserved. 94
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
95/165
© 2012 Cisco and/or its affiliates. All rights reserved. 95
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
96/165
© 2012 Cisco and/or its affiliates. All rights reserved. 96
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
97/165
© 2012 Cisco and/or its affiliates. All rights reserved. 97
• Acceso Router debe ser protegido a través de la consola,auxiliar, y líneas vty / puertos.
• De forma predeterminada, los puertos de consola del routerCisco permiten una señal BREAK (dentro de los 60 segundos deun reinicio) para interrumpir la secuencia de arranque normal y
dar al usuario un control completo de consola del router.
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
98/165
© 2012 Cisco and/or its affiliates. All rights reserved. 98
• El comando de recuperación de contraseña de ningún servicio sepuede utilizar para desactivar la secuencia recuperación forzada.
– El comando es un comando oculto Cisco IOS.
• PRECAUCIÓN: – Se desactivará Todos los accesos a la ROMmon.
– Para reparar el router, debe obtener una nueva imagen de IOS de Cisco enun SIMM Flash, o en una tarjeta PCMCIA (3600) o devolver el router Cisco.
• NO USE ESTE COMANDO EN NUESTRO LABORATORIO!
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
99/165
© 2012 Cisco and/or its affiliates. All rights reserved. 99
R1(config)# no service password-recoveryWARNING:
Executing this command will disable password recovery mechanism.
Do not execute this command without another plan for password recovery.
Are you sure you want to continue? [yes/no]: yesR1(config)
R1# sho runBuilding configuration...
Current configuration : 836 bytes
!
version 12.4
service timestamps debug datetime msecservice timestamps log datetime msec
service password-encryption
no service password-recovery
System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 2006 by cisco Systems, Inc.
PLD version 0x10
GIO ASIC version 0x127
c1841 platform with 131072 Kbytes of main memory
Main memory is configured to 64 bit mode with parity disabled
PASSWORD RECOVERY FUNCTIONALITY IS DISABLED
program load complete, entry point: 0x8000f000, size: 0xcb80
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
100/165
© 2012 Cisco and/or its affiliates. All rights reserved. 100
Revisando la Gestión y losReportes Característicos
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
101/165
© 2012 Cisco and/or its affiliates. All rights reserved. 101
• Configuración de la administración por un par de dispositivos esuna operación bastante simple y directa.
• Configuración del registro para cientos de dispositivos puede sermuy difícil.
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
102/165
© 2012 Cisco and/or its affiliates. All rights reserved. 102
• El flujo de información entre los hosts de gestión y los dispositivosadministrados pueden tomar dos caminos.
Fuera de banda (OOB):Los flujos de informacióndentro de una red en la quereside, sin tráfico deproducción.
Dentro de la banda:• La información fluye a través
de la red de la empresa deproducción o de Internet (oambos).
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
103/165
© 2012 Cisco and/or its affiliates. All rights reserved. 103
• Algunas de las preguntas que deben ser considerados en eldiseño de una solución de gestión dentro de banda:
– ¿Qué protocolos de gestión tiene cada soporte de dispositivos?
– ¿Hay que estar activo en todo momento el canal de gestión?
– Es necesario SNMP?
– ¿Qué son los registros más importantes? – ¿Cómo son los mensajes importantes separadas de las notificaciones
ordinarias?
– ¿Cómo se previene la manipulación de los registros?
– ¿Qué datos de registro se necesita en las investigaciones criminales?
– ¿Cómo lidiar con el volumen de los mensajes de registro? – ¿Cómo controla todos los dispositivos?
– ¿Cómo se puede realizar un seguimiento de los cambios cuando seproducen ataques o fallos en la red?
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
104/165
© 2012 Cisco and/or its affiliates. All rights reserved. 104
• Sólo se aplican a dispositivos que necesitan ser gestionado osupervisado.
• Utilizar IPsec cuando sea posible.
• Utilice SSH o SSL en lugar de Telnet.
• Decida si el canal de gestión debe estar abierta en todo
momento.• Mantener los relojes en los hosts y dispositivos de red
sincronizada.
• Registre los cambios y configuraciones de archivo.
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
105/165
© 2012 Cisco and/or its affiliates. All rights reserved. 105
• Proporcionar más alto nivel de seguridad y mitigar el riesgo detransmitir protocolos de manejo inseguras través de la red de
producción.
• Mantener los relojes en los hosts y dispositivos de redsincronizada.
• Registre los cambios y configuraciones de archivo.
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
106/165
© 2012 Cisco and/or its affiliates. All rights reserved. 106
• Los routers deben configurarse para enviar mensajes de registroa uno o más de los siguientes:
– Consola
– líneas de terminales
– buffer de memoria
– servidor SNMP
– servidor Syslog
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
107/165
© 2012 Cisco and/or its affiliates. All rights reserved. 107
• Tenga en cuenta que el destino de registro utilizado afecta ysobrecarga el sistema.
– Inicio de sesión en la consola.
– Registrar en VTY.
– Ingreso a un servidor Syslog.
– Inicio de sesión en un búfer interno.
La mayor parte de arriba
menos gastos generales
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
108/165
© 2012 Cisco and/or its affiliates. All rights reserved. 108
• Servidor Syslog: Un anfitrión que acepta y procesa los mensajesde registro de uno o más clientes syslog.
• Cliente Syslog: Un host, que genera mensajes de registro y lasenvía a un servidor syslog.
– Routers, switches, pixs, ASA, puntos de acceso, servidores, ...
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
109/165
© 2012 Cisco and/or its affiliates. All rights reserved. 109
Nivel más alto
Nivel más bajo
• De forma predeterminada, el nivel de gravedad 7 (depuración) Losmensajes se envían al puerto de consola del router (con0 línea).
• NOTA: El nivel varía según la plataforma y la liberación de IOS.
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
110/165
© 2012 Cisco and/or its affiliates. All rights reserved. 110
Nivel y Nombre Definición Ejemplo
0 LOG_EMERG Una condición de pánico normalmente difunde a todos losusuarios. Software Cisco IOS nopudo cargar.
1 LOG_ALERT Una condición que debe ser corregida de inmediato, comouna base de datos del sistema dañado.
La temperatura esdemasiado alta.
2 LOG_CRIT Condiciones críticas, por ejemplo, errores de dispositivos dedisco.
No se puede asignarmemoria.
3 LOG_ERR ErroresTamaño de la memoriano válida.
4 LOG_WARNING Los mensajes de advertencia. Crypto operación fallida.
5 LOG_NOTICE Las condiciones que no son las condiciones de error, peroposiblemente deberán dirigirse
Interfaz cambiado deestado, arriba o abajo
6 LOG_INFO mensajes informativos Paquete negada por ACL
7 LOG_DEBUG Los mensajes que contienen la información que normalmentees usada sólo eliminando fallos.
Tipo de paquete invalido.
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
111/165
© 2012 Cisco and/or its affiliates. All rights reserved. 111
Oct 29 10:00:01 EST: %SYS-5-CONFIG_I: Configured from console by vty0 (10.2.2.6)
Marca de Tiempo
Mensaje de
registro Nombre y
Nivel de gravedad
Mensajes de Texto
Nota: El nombre del mensaje de registro no es el mismo que un nombre de nivel de gravedad.
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
112/165
© 2012 Cisco and/or its affiliates. All rights reserved. 112
1. Configure el host de registro de destino.
– Puede especificar la dirección IP o el nombre DNS.
Parametro Descripción
host-name El nombre de la máquina que desea utilizar como servidor syslog.
ip-address La dirección IP de la máquina que desea utilizar como servidor syslog.
Router(config)#
logging host [host-name | ip-address]
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
113/165
© 2012 Cisco and/or its affiliates. All rights reserved. 113
2. (Opcional) Configure el nivel de gravedad del registro (trampa).
Parametro Descripción
levelLimita el registro de mensajes a los servidores syslog a un nivel especificado.Puede introducir el número de nivel (0 a 7) o el nombre del nivel.
Router(config)#
logging trap level
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
114/165
© 2012 Cisco and/or its affiliates. All rights reserved. 114
3. (Opcional) Configure la interfaz de origen. – Especifica que los paquetes de registro del sistema contienen la dirección IP
o IPv6 de una interfaz en particular, independientemente de la interfaz delpaquete utiliza para salir del router.
Parametro Descripción
interface-type El tipo de interfaz (por ejemplo, FastEthernet)
interface-number El número de interfaz (por ejemplo, 0/1)
logging source-interface interface-type interface-number
Router(config)#
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
115/165
© 2012 Cisco and/or its affiliates. All rights reserved. 115
4. Habilitar registro – Puede habilitar o deshabilitar el registro de forma individual:
• [no] logging buffered• [no] logging monitor
– Sin embargo, si el registro no está configurado en el comando, no haymensajes serán enviados a estos destinos.
logging on
Router(config)#
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
116/165
© 2012 Cisco and/or its affiliates. All rights reserved. 116
R3(config)# logging 10.2.2.6R3(config)# logging trap informationalR3(config)# logging source-interface loopback 0R3(config)# logging on
R3
Lo0
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
117/165
© 2012 Cisco and/or its affiliates. All rights reserved. 117
• La opción de control VTY es el método más práctico para lavisualización de eventos de registro en tiempo real.
• Para ver los mensajes del sistema durante una sesión VTY (linevty 0 - 4), monitor de registro se debe configurar.
• Para habilitar el registro de monitor, utilice el comando deconfiguración de registro del monitor [ intensidad ] .
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
118/165
© 2012 Cisco and/or its affiliates. All rights reserved. 118
• Hmmm ...yo tengo Telnet en un router y entré debug ip packet , perono veo ninguna salida. ¿Por qué?
• Usted tiene que introducir el comando enable ejecutivo terminalmonitor para activar el registro y ver la salida de mensajes de laconsola al vty.
• Telnet desde otro servidor y utilice el comando EXEC terminalmonitor para ver la salida.
R3(config)# logging monitorR3(config)# logging monitor error
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
119/165
© 2012 Cisco and/or its affiliates. All rights reserved. 119
• Se recomienda establecer dos sesiones de VTY:
– Uno para la visualización de datos de informes de eventos.
– El otro para la ejecución de comandos.
• ¿Por qué?
– Una terminal de monitoreo está activado, no se puede desactivar en la sesiónVTY.
– Una gran cantidad de datos de registro se puede generar, oscureciendo el
VTY con el registro de salida y la toma de entrada de comandos es muy difícila veces.
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
120/165
© 2012 Cisco and/or its affiliates. All rights reserved. 120
Configuración NTP
“ El ti h i t d l i t d ib
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
121/165
© 2012 Cisco and/or its affiliates. All rights reserved. 121
• “ El tiempo se ha inventado en el universo porque todo no iba apasar a la vez.”
– El NTP FAQ y HOWTO - http://www.ntp.org/ntpfaq/
• Muchas de las características de una red de PC dependen de lasincronización de tiempo:
– Para obtener información de la hora exacta de los mensajes syslog.
– Certificado de autenticación basada en VPN.
– ACL con la configuración de rango de tiempo
El cora ón de tiempo del ro ter es el reloj del sistema basado en
http://translate.google.com/translate?hl=es&prev=_t&sl=en&tl=es&u=http://www.ntp.org/ntpfaq/http://translate.google.com/translate?hl=es&prev=_t&sl=en&tl=es&u=http://www.ntp.org/ntpfaq/
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
122/165
© 2012 Cisco and/or its affiliates. All rights reserved. 122
• El corazón de tiempo del router es el reloj del sistema basado ensoftware. – Este reloj realiza un seguimiento del tiempo a partir del momento se inicia el
sistema.
• El reloj del sistema se puede configurar a partir de un número defuentes y se puede utilizar para distribuir la hora actual a travésde diversos mecanismos a otros sistemas.
• El reloj del sistema se puede establecer: – Utilizando manualmente el reloj comando EXEC privilegiado. – Automáticamente utilizando el protocolo de tiempo de red (NTP).
• NTP es un protocolo de Internet que se utiliza para sincronizarlos relojes de los dispositivos conectados a la red en ciertareferencia de tiempo. NTP es un protocolo estándar de Internetactualmente en v3 y especificado en el RFC 1305.
NTP está diseñado para sincronizar el tiempo una red
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
123/165
© 2012 Cisco and/or its affiliates. All rights reserved. 123
• NTP está diseñado para sincronizar el tiempo una red. – NTP se ejecuta sobre UDP.
• Una red NTP generalmente obtiene el tiempo desde una fuente de horaautorizada, tal como un reloj de radio. – NTP luego distribuye esta vez a través de la red. – NTP es extremadamente eficiente; no más de un paquete por minuto es
necesario sincronizar dos máquinas dentro de 1 mseg de uno al otro.
• Dispositivos Cisco soportan NTP v3 (RFC 1305). – NTP v4 está en desarrollo, pero NTP v3 es el estándar de Internet.
• Servicios NTP están habilitadas en todas las interfaces por defecto. – Para desactivar NTP en una interfaz específica, utilice el ntp deshabilitar
P fi t l f t h i t id d
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
124/165
© 2012 Cisco and/or its affiliates. All rights reserved. 124
• Para configurar un router como la fuente horaria con autoridad,utilice el ntp master en modo de configuración global.
• Para configurar un router como un cliente NTP, ya sea:
– Crear una asociación a un servidor utilizando elservidor NTP
.
– Configure el router para escuchar NTP paquetes de difusión utilizandoel cliente ntp broadcast.
A l t d fi l i d
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
125/165
© 2012 Cisco and/or its affiliates. All rights reserved. 125
• Aunque el router puede configurarse con cualquiera de un par ouna asociación de servidor, los clientes NTP se configuran
típicamente con un servidor de asociación (lo que significa quesólo este sistema se sincronizará con el otro sistema, y no alrevés).
• Para permitir que el reloj de software para la sincronización conun servidor de hora NTP, utilice el servidor NTP en modo deconfiguración global.
• .
ntp server {ip-address | hostname} [version number ] [key keyid ] [source interface][prefer]
Router(config)#
NTP broadcast client Además de o en l gar de la creación de
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
126/165
© 2012 Cisco and/or its affiliates. All rights reserved. 126
• NTP broadcast client: Además de o en lugar de la creación deasociaciones de unidifusión NTP, el sistema puede ser
configurado para escuchar para transmitir paquetes sobre unabase por interfaz.
• Para ello, utilice el cliente ntp broadcast comando en modo de
configuración de interfaz.
ntp broadcast client
Router(config-if)#
El tiempo que mantiene una máquina es un recurso crítico por lo
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
127/165
© 2012 Cisco and/or its affiliates. All rights reserved. 127
• El tiempo que mantiene una máquina es un recurso crítico, por loque las características de seguridad de NTP se deben utilizar
para evitar el ajuste accidental o malicioso de tiempo correctos.
• Dos mecanismos están disponibles:
• – Esquema de restricción basada en ACL
– Cifradas de autenticación
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
128/165
© 2012 Cisco and/or its affiliates. All rights reserved. 128
Command Description
ntp authenticate
Activa la función de autenticación de NTP.Si no se especifica este comando, el sistema no sesincronizará con otro sistema a menos que mensajesNTP de otro sistema 'llevan una de las claves deautenticación especificados
ntp authentication-key number md5 value
Define una clave de autenticación compatible con
MD5.La nomenclatura md5 es el único tipo de clave queeste comando admite.El valor de la clave puede ser cualquier cadenaarbitraria de hasta ocho caracteres.
ntp trusted-key key-number Define las claves de autenticación de confianza..
Activar la función de autenticación
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
129/165
© 2012 Cisco and/or its affiliates. All rights reserved. 129
• Activar la función de autenticación.
• Definir la clave de autenticación para ser utilizado tanto para lasasociaciones entre pares y el servidor.
• Definir qué tecla es confiable.
Router(config)#
ntp authentication-key key-number md5 value
Router(config)#
ntp trusted-key key-number
Router(config)#
ntp authentication
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
130/165
© 2012 Cisco and/or its affiliates. All rights reserved. 130
R1(config)# ntp master 5R1(config)# ntp authentication-key 1 md5 R1-SECRETR1(config)# ntp peer 209.165.200.225 key 1
R2(config)# ntp authentication-key 1 md5 R1-SECRETR2(config)# ntp authentication-key 2 md5 R2-SECRETR2(config)# ntp trusted-key 1R2(config)# ntp server 209.165.201.1R2(config)# interface Fastethernet0/0R2(config-if)# ntp broadcast
R3(config)# ntp authentication-key 1 md5 R2-SECRETR3(config)# ntp trusted-key 1R3(config)# interface Fastethernet0/1R3(config-if)# ntp broadcast client
R1 R2 R3
209.165.200.225Internet
209.165.201.1 Fa0/0 Fa0/1
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
131/165
© 2012 Cisco and/or its affiliates. All rights reserved. 131
La desactivación de servicios einterfaces de red Cisco noutilizados del router
• Las redes medianas y grandes suelen utilizar un dispositivo de
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
132/165
© 2012 Cisco and/or its affiliates. All rights reserved. 132
• Las redes medianas y grandes suelen utilizar un dispositivo decortafuegos (PIX / ASA) detrás del router perimetral, que agrega
características de seguridad y lleva a cabo la autenticación deusuario y el paquete más avanzado de filtrado.
• Instalaciones Firewall también facilitan la creación de zonas
desmilitarizadas (DMZ), donde la protección del firewall adeterminados 'lugares' que se accede habitualmente a través deInternet.
• Como alternativa el software Cisco IOS puede incorporar
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
133/165
© 2012 Cisco and/or its affiliates. All rights reserved. 133
• Como alternativa, el software Cisco IOS puede incorporarmuchas características de firewall en el router de perímetro.
– Opción válida únicamente para los requisitos de seguridad perimetral denegocios pequeños a medianos.
• Sin embargo, en los routers Cisco IOS se ejecutan muchosservicios que crean vulnerabilidades potenciales.
– Para asegurar una red de empresa, todos los servicios que no seannecesarios y las interfaces del router debe estar desactivados.
Router Service Descripción Defecto Mejores Prácticas
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
134/165
© 2012 Cisco and/or its affiliates. All rights reserved. 134
Router Service Descripción Defecto Mejores Prácticas
BOOTP server
• Este servicio permite a un router para que actúecomo un servidor BOOTP para otros routers.
• Si no es necesario, desactive este servicio.
HabilitadoDeshabilitar.
no ip server BOOTP
Cisco Discovery
Protocol (CDP)
• CDP obtiene la información de los dispositivosCisco vecinos Si no es necesario, desactive esteservicio a nivel mundial o en función de cadainterfaz.
HabilitadoNo si no es necesario.
no cdp run
Configuration auto-
loading
• Auto-carga de archivos de configuración de unservidor de red debe permanecer desactivadocuando no esté en uso por el router.
DesabilitadoNo si no es necesario.
no service config
FTP server
• El servidor FTP permite utilizar el router como unservidor FTP para las solicitudes de cliente FTP
• Debido a que este servidor permite el acceso aciertos archivos en la memoria f lash del router, esteservicio debe ser desactivado cuando no esnecesario..
DesabilitadoNo si no es necesario.Si no cifrar el tráfico IPdentro de un túnel etc.
TFTP server • Igual que el FTP. DesabilitadoNo si no es necesario.Si no cifrar el tráfico IPdentro de un s túnel etc
Network Time Protocol
(NTP) service
• Cuando está activado, el router actúa como unservidor de tiempo para otros dispositivos de red
• Si se ha configurado insegura, NTP se puedeutilizar para corromper el reloj enrutador y,potencialmente, el reloj de otros dispositivos queaprender el tiempo desde el router
• Si se utiliza este servicio, restringir que losdispositivos tienen acceso a NTP.
Desabilitado
No si no es necesario.De lo contrario NTPv3configurar el acceso y elcontrol entre losdispositivos permitidoscon ACL.
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
135/165
© 2012 Cisco and/or its affiliates. All rights reserved. 135
Servicio Router Descripción Defecto Mejores Prácticas
Ensamblador y
desensamblador de
paquetes (PAD)
Servicio
• El servicio permite el acceso a PAD X.25 PADcomandos al enviar paquetes X.25.
Habilitar No si no es necesario.
Servicios TCP y UDP
menor
• Los servicios menores son proporcionados porpequeñas servidores (demonios) que seejecutan en el router. Los servicios sonpotencialmente útiles para el diagnóstico, perose utilizan raramente.
Habilitar (pre11.3)
Desabilitado(11.3+)
No si no es necesario. no hay serviciotcp-
small-servers
no hay servicioudp-small-servers
Mantenimiento
Operación Protocolo
(MOP) Servicio
• MOP es un (DEC) protocolo de mantenimientoDigital Equipment Corporation que se debendesactivar explícitamente cuando no esté enuso.
HabilitarDesactivar
explícitamente si
no es necesario.
Servicio Descripción Defecto Mejores Prácticas
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
136/165
© 2012 Cisco and/or its affiliates. All rights reserved. 136
Simple NetworkManagement
Protocol (SNMP)
• El servicio SNMP permite que el routerresponde a consultas SNMP remotos ypeticiones de configuración
• Si es necesario, restringir los sistemas SNMPtienen acceso al agente SNMP del router y usarSNMPv3 siempre que sea posible porque laversión 3 ofrece una comunicación segura deque no está disponible en las versionesanteriores de SNMP.
Habilitado Desactivar elservicio. De lo contrarioconfigurar SNMPv3.
Configuración de
HTTP y monitoreo
• Este servicio permite que el router puedemonitorizar o tener la configuración del routermodificado desde un navegador web a travésde una aplicación, como el Administrador dedispositivos de seguridad Cisco (SDM). Usteddebe desactivar este servicio si no se requiereel servicio. Si se requiere este servicio,restringir el acceso al servicio HTTP del routermediante el uso de listas de control de acceso(ACL).
Dispositivodependientes
No si no es necesario,Restringir el acceso
mediante ACLs.no ip http server
Sistema de nombres
de dominio (DNS)
• Por defecto, los routers Cisco presentan laspeticiones de nombres a 255.255.255.255.
• Restringir este servicio mediante ladesactivación de DNS cuando no se requiera elservicio.
• Si se requiere el servicio de búsqueda de DNS,asegúrese de que ha configurado la direccióndel servidor DNS de forma explícita.
Serviciocliente -
Habilitado
No si no es necesario.De lo contrario
configurarexplícitamente la
dirección del servidorDNS.
no ip domain-lookupno ip name-server
Mecanismos deDescripción Defecto Mejores Prácticas
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
137/165
© 2012 Cisco and/or its affiliates. All rights reserved. 137
Integridad PathDescripción Defecto Mejores Prácticas
Redirecciones
ICMP
• Redirecciones ICMP causan el router paraenviar mensajes de redireccionamiento ICMP
cada vez que el router está obligado a enviarun paquete a través de la misma interfaz en la
que se recibió el paquete.• Esta información puede ser utilizada por los
atacantes para redirigir paquetes a undispositivo no es de confianza.
Habilitado Desactivar el servicio.
Fuente de
enrutamiento
IP
• El protocolo IP soporta enrutamiento de origenopciones que permiten al remitente de undatagrama IP para controlar la ruta que undatagrama se llevará hacia eldatagrama 'destino finales, y en general la rutaque tomará ninguna respuesta
• Estas opciones pueden ser explotadas por unatacante para eludir la ruta de enrutamientodeseado y la seguridad de la red.
• Además, algunas implementaciones de IP
mayores no procesan paquetes de fuente-enrutados correctamente, y los piratasinformáticos pueden ser capaces de bloquearmáquinas que se ejecutan estasimplementaciones mediante el envío dedatagramas con opciones de enrutamiento deorigen.
HabilitadoNo, si no es necesario.no ip source-route
Sondas y funciones
de escaneoDescripción Defecto Mejores Prácticas
8/19/2019 en_CCNAS_v11_Ch02 español.pdf
138/165
© 2012 Cisco and/or its affiliates. All rights reserved. 138
de escaneo
ServicioFinger
• El protocolo escucha (puerto 79) se puedeobtener una lista de los usuarios que
actualmente están conectados al dispositivo.• Las personas no autorizadas pueden usar estainformación para los ataques dereconocimiento.
Habilitado
No si no es necesario.
.no ip fingerno service finger
Notificaciones
inalcanzable
ICMP
• ICMP admite el tráfico IP de transmisión deinformación acerca de las rutas, rutas ycondiciones de red. Routers Cisco envíanautomáticamente mensajes ICMP.
• Los atacantes suelen utilizar tres mensajesICMP:
• Inalcanzable Host• Redireccionar• Mask Reply
• Generación automática de los mensajes debeser desactivado en todas las interfaces,
especialmente las interfaces que se conectan aredes no confiables.
HabilitadoDesactivar explícitamenteen las interfaces no son
de confianza.
Respuesta de
máscara ICMP
• Cuando está activado, este servicio le dice alrouter para responder a las peticiones demáscara ICMP enviando Dichos mensaj