Manual Completo CCNA Security Version 1

CONTENIDO
Laboratorio 1
Seguridad en Router Cisco
Laboratorio 2
Role Based Access
Laboratorio 3
Cisco SDM
10
Laboratorio 4
AAA LOCAL
14
Laboratorio 5
AAA TACACS+
16
Laboratorio 6
Auto Secure / One Step Lock Down Router
18
Laboratorio 7
Cisco Logging
20
Laboratorio 8
Configuracin de protocolo SSH
22
Laboratorio 9
Segura en Switch Cisco
24
Laboratorio 10
NAC LEAP 802.1x
27
Laboratorio 11
Lista de Acceso Estndar
29
Laboratorio 12
Lista de Acceso Extendida
31
Laboratorio 13
VPN IPSec Site to Site
33
LABORATORIO 1
OBJETIVO
El estudiante aprender los procedimientos necesarios para la configuracin de un Router Cisco
de forma segura.
REQUERIMIENTOS:
(1) Cisco Router 1760
(1) Cisco Catalyst Switch 2950
(2) Patch Cord straight-through
(1) PC IBM o compatible
Sistema operativo Windows XP
DIAGRAMA DE LABORATORIO
PROCEDIMIENTO
1.
2.
3.
4.
5.
6.
7.
8.
Esquema de direccionamiento IP
Configuracin contraseas
Limitar el nmero de intentos fallidos de conexin
Configuracin de reloj de inactividad
Configuracin de modo privilegiado
Proteccin de archivos del Router
Configuracin opciones adicionales de seguridad para las conexiones virtuales
Configuracin Banner
1) ESQUEMA DE DIRECCIONAMIENTO IP
Pod
Hostname
F0/0
Pod A
RouterA
N/A
SwitchA
N/A
LaptopA
N/A
2) CONFIGURACION DE CONTRASEAS
RouterA>enable
Entra al modo privilegiado.
RouterA#configure terminal
Entra al modo configuracin Global.
RouterA(config)#enable secret cisco
Configuracin de contrasea para entra al modo

configuracin privilegiado.
RouterA(config)#line console 0
Entra al modo configuracin Line.
RouterA(config-line)#password cisco
Configuracin de contrasea en el puerto console

0.
RouterA(config-line)#login
Activacin de la autenticacin.
RouterA(config)#exit
Salir al modo configuracin anterior.
RouterA(config)#line aux 0
Entra al modo configuracin Aux.
Configuracin de contrasea en el puerto Auxiliar.
RouterA(config)#line vty 0 4
Configuracin de contrasea en los puertos VTY.
RouterA(config-line)#exit

3
RouterA#show running
Muestra en pantalla la configuracin del Router

residente en el memoria DRAM.
RouterA(config)#service password-encryption
Comando para cifra todas las contraseas

anteriormente configuradas.
RouterA#show running
Muestra en pantalla la configuracin del Router

residente en el memoria DRAM.
3) LIMITAR EL NUMERO DE INTENTOS FALLIDOS CONEXION

RouterA(config)#security authentication failure Comando para especificar la cantidad de

rate 5 log
autenticacin fallidas.. En caso que el nmero de
intentos fallidos sea igual a 5 el Router generar
un mensaje log.
4) CONFIGURACION RELOJ DE INACTIVIDAD

RouterA(config)#line con 0
RouterA(config-line)#exec-timeout 2 30
Comando que especifica el tiempo de inactividad

que puede tener un usuario en el sistema. En caso
de que el tiempo de inactividad alcance 2 minutos
con 30 segundos el sistema operativo
automticamente expulsa al usuario fuera del
sistema.
RouterA(config)#line aux 0
Entra al modo configuracin Auxiliar.

sistema.
Entra al modo configuracin VTY.

4

sistema.
5) CONFIGURACION MODO PRIVILEGIADO

RouterA(config)#privilege exec level 5 debug
Comando que especifica el nivel de privilegio

necesario para ejecutar el comando debug. En este
caso es el nivel customizado 5. Los niveles
alcanzan el rango de 0-15. El nivel privilegiado 0
es el EXEC mode (modo de usuario) y el nivel
privilegiado 15 es el PRIVILEG MODE (modo
privilegiado). El rango 1-14 puede ser
personalizado.
RouterA(config)#enable secret level 5 cisco
Configuracin de contrasea para entrar al modo

privilegiado 5.
Salir al modo anterior.
RouterA#enable 5
Entra al modo privilegiado 5.
6) PROTECCION DE ARCHIVOS DEL ROUTER

RouterA(config)#secure boot-image
Comando que asegura la imagen del sistema

operativo para que esta no sea borrada del sistema
intencionalmente. (Cisco IOS Resilient
Configuration)
RouterA(config)#secure boot-config
Comando que asegura la configuracin runningconfig en el sistema. De esta forma se mantiene

un backup de la configuracin de manera segura.
(Cisco IOS Resilient Configuration)
RouterA#show secure bootset
Comando utilizado verificar si tenemos activa la

Cisco IOS Resilient Configuration.
7) CONFIGURANDO OPCIONALES ADICIONALES PARA LAS CONEXIONES

VIRTUALES
Router#configure terminal
RouterA(config)#login block-for 30 attempts 5

within 10
Comando que establece el nmero mximo de

intentos fallidos de validacin. En caso que los
intentos fallidos alcancen 5 intentos el sistema
desactivar la validacin de usuario por un
periodo de 30 segundos.
RouterA(config)#login quiet-mode access-class

101
Comando que especifica la excepcin al comando

anteior.
RouterA(config)#login delay 3
Comando que especifica el tiempo mnimo

esperado entre intentos de validacin.
RouterA(config)#login on-failure log
Comando que especifica la creacin de una

archivo para llevar un registro de los intentos
fallidos de validacin.
RouterA(config)#login on-success log
Comando que especifica la creacin de una

archivo para llevar un registro de los intentos
vlidos de validacin.
8) CONFIGURACION BANNER
RouterA(config)#banner motd #EL ACCESO A
ESTE EQUIPO DE MANERA ILEGAL SERA
PERSEGUIDO CON TODA LA FUERZA DE
LEY
Configuracin de banner.
LABORATORIO 2
OBJETIVO
El estudiante aprender el procedimiento necesario la configuracin de accesso a los recursos
del Cisco IOS basado en roles o perfiles de usuarios.
REQUERIMIENTOS:
PROCEDIMIENTO
1. Esquema de direccionamiento IP
2. Configuracin de VIEW o perfiles
3. Comprobacin de la configuracin
Pod
Hostname
F0/0
Pod A
RouterA
N/A
SwitchA
N/A
LaptopA
N/A
2) CONFIGURACION DE VIEW O PERFILES

RouterA#terminal monitor
Muestra en pantalla mensajes de debug, errores,

notificaciones, etc.
RouterA(config)#aaa new-model
Activacin de AAA.
RouterA#enable view
Entra al modo configuracin View.
RouterA(config)#parser view HELPDESK
Creacin de un VIEW o Perfil.
RouterA(config-view)#secret cisco
Configuracin de contrasea para accesar al este

perfil.
RouterA(config-view)#commands exec include

all copy
Lista de comandos que tendrn acceso los

usuarios que pertenezcan a este VIEW.

traceroute


ping

RouterA(config-view)#exit
RouterA(config)#parser view SUPPORT
Creacin de un VIEW o Perfil.
RouterA(config-view)#secret cisco
Configuracin de contrasea para acceder al este

perfil.

show

RouterA(config-view)#exit
RouterA(config)#username helpdesk view

HELPDESK secret cisco
Creacin de cuenta de usuario.
RouterA(config)#username support view

SUPPORT secret cisco
Creacin de cuenta de usuario.
Salir al modo configuracin Privilegiado.
RouterA#exit
Salir al modo configuracin EXEC.
3) COMPRABACION DE LA CONFIGURACION
RouterB>enable view helpdesk
Entra al modo View helpdesk.
RouterB#?
Muestra los comandos que pueden ser utilizado

por el modo View.
RouterB>enable view support
Entra al modo View support.
RouterB#?
Muestra los comandos que pueden ser utilizado

por el modo View.
LABORATORIO 3
OBJETIVO
El estudiante aprender el procedimiento necesario para la instalacin del software Cisco SDM.
REQUERIMIENTOS:
Sistema operativo Windows XP.
PROCEDIMIENTO
1.
2.
3.
4.
5.
Configuracin Bsica Router Cisco
Configuracin de Servidor HTTP en Router Cisco
Configuracin de cuenta de usuario en Router Cisco
Instalacin de Cisco SDM en Laptop
10
Pod
Hostname
F0/0
Pod A
RouterA
N/A
SwitchA
N/A
LaptopA
N/A
2) CONFIGURACION DE HTTP SERVER EN ROUTER CISCO

Router>enable
Entra al modo Privilegiado.
Router#configure terminal
Router(config)#hostname RouterA
Configuracin de Host Name.
RouterA(config)#no ip domain-lookup
Desactivacin de resolucin de nombres de

dominio.
3) CONFIGURACION DE SERVIDOR HTTP EN ROUTER CISCO

RouterA(config)#ip http server
Activacin de servicio de servidor HTTP.
RouterA(config)#ip http secure-server
Activacin de servicio de servidor HTTP Seguro

utilizando SSL.
RouterA(config)#ip http authentication local
Configuracin de la validacin de usuario en la

base de datos local del Router.
4) CONFIGURACION DE CUENTA DE USUARIO

RouterA(config)#username admin privilege 15
secret cisco
Configuracin de la cuenta de usuario Admin con

privilegios todos los privilegios ya que se le ha
asignado el nivel 15.
11
5) INSTALACION DE CISCO SDM EN LAPTOP

A) Comenzando el proceso de instalacin
B) Seleccin de la ruta de instalacin
c) Iniciando conexin del Router Cisco
12
d) Utilizando Cisco SDM
13
LABORATORIO 4
OBJETIVO
El estudiante aprender el procedimiento necesario la configuracin de validacin de logins
utilizando AAA con la base de datos de usuarios local del Router.
REQUERIMIENTOS:
PROCEDIMIENTO
1.
2.
3.
4.
Configuracin cuenta de usuario
Configuracin de AAA
Configuracin de VTY
14
Pod
Hostname
F0/0
Pod A
RouterA
N/A
SwitchA
N/A
LaptopA
N/A
2) CONFIGURACION CUENTA DE USUARIO

secret cisco
Creacin de cuenta de usuario local en Router.
3) CONFIGURACION DE SSH
Activacin de AAA.
RouterA(config)#aaa authentication login

CCNA_SECURITY local
Configuracin de AAA Autenticacin Local.
4) CONFIGURACION DE VTY
RouterA(config-line)#login authentication login Configuracin de Logins en VTY utilizando el

CCNA_SECURITY
mtodo de validacin CCNA_SECURITY.
15
LABORATORIO 5
OBJETIVO
El estudiante aprender el procedimiento necesario la configuracin de validacin de logins
utilizando AAA con un servidor TACACS+.
REQUERIMIENTOS:
Cisco ACS 4.0 for Windows
PROCEDIMIENTO
1. Esquema de
direccionamiento IP
2. Configuracin de AAA
3. Configuracin mtodo de validacin TACACS
4. Configuracin de VTY
16
Pod
Hostname
F0/0
Pod A
RouterA
10.10.10.1/24
SwitchA
10.10.10.2/24
LaptopA
10.10.10.3/24
2) CONFIGURACION DE AAA
Activacin de AAA.
RouterA(config)#aaa authentication login

CCNA_SECURITY group tacacs
Configuracin de AAA Autenticacin Local.
3) CONFIGURACION METODO DE VALIDACION TACACS

RouterA(config)#tacacs-server host 10.10.0.3
single-connection
Configuracin servidor TACACS.
RouterA(config)#tacacs-server key cisco
Configuracin de contrasea para establecer la

conexin con el servidor TACACS.
RouterA(config-line)#login authentication login Configuracin de Logins en VTY utilizando el

CCNA_SECURITY
metodo de validacin CCNA_SECURITY.
17
LABORATORIO 6
OBJETIVO
El estudiante aprender el procedimiento necesario la configuracin de un Router Cisco de
forma segura automticamente.
REQUERIMIENTOS:
PROCEDIMIENTO
1. Esquema de direccionamiento IP
2. Comando AutoSecure
18
Pod
Hostname
F0/0
Pod A
RouterA
10.10.10.1/24
SwitchA
10.10.10.2/24
LaptopA
10.10.10.3/24
2) COMANDO AUTO SECURE

Router>enable
Router#auto secure
19
LABORATORIO 7
OBJETIVO
El estudiante aprender el procedimiento necesario la configuracin que la configuracin de
bitcora (Logging) sea enviada a un servidor Syslog central en la red.
REQUERIMIENTOS:
Kiwi Syslog Server Software 8.3.52 for Windows
PROCEDIMIENTO
1. Esquema de
direccionamiento IP
2. Configuracin de Logging
20
Pod
Hostname
F0/0
Pod A
RouterA
10.10.10.1/24
SwitchA
10.10.10.2/24
LaptopA
10.10.10.3/24
2) CONFIGURACION DE LOGGING
RouterA#terminal monitor
Muestra en pantalla la salida de los comandos

debug, mensajes de notificacin y error.
RouterA(config)#logging buffered 4096
Configuracin del tamao del buffer para guardar

los log del router.
RouterA(config)#logging 10.10.10.3
Configuracin de servidor Syslog para que el

Router envie los logs.
RouterA(config)#logging trap 7
Configuracin del Nivel 7 de mensajes Syslog.
RouterA#show log
Muestra los logs guardados en el buffer en

pantalla.
21
LABORATORIO 8
OBJETIVO
El estudiante aprender el procedimiento necesario la configuracin de SSH como protocolo de
acceso remoto a los Routers.
REQUERIMIENTOS:
PROCEDIMIENTO
1.
2.
3.
4.
5.
6.
Configuracin de cuenta de usuario
Configuracin de SSH
Configuracin de VTY
Configuracin opcional de SSH
Mostrar informacin de SSH
22
Pod
Hostname
F0/0
Pod A
RouterA
10.10.10.1/24
SwitchA
10.10.10.2/24
LaptopA
10.10.10.3/24
2) CONFIGURACION CUENTA DE USUARIO

secret cisco
Creacin de cuenta de usuario local en Router.
3) CONFIGURACION DE SSH
RouterA(config)#ip domain-name cisco.com
Configuracin de nombre de dominio. Esta opcin

es importante ya que el protocolo SSH generar
una llave de encriptacin pblica y sta se
generara usando datos del Router tales como el
nombre de dominio.
RouterA(config)#crypto key generate rsa
Generacin de llave criptogrfica utilizando el

algoritmo asimtrico RSA.
RouterA(config-line)#login local
Configuracin de Login con la validacin de

usuario en la base de datos local del Router.
RouterA(config-line)#transport input ssh
Configuracin de SSH en los VTY.
5) CONFIGURACION OPCIONAL DE SSH

RouterA(config)#ip ssh version 2
Configuracin de SSH versin 2.
RouterA(config)#ip ssh time-out 120
Configuracin de IDLE para 120 segundos.
RouterA(config)#ip ssh authentication-retries 1 Configuracin del nmero de intentos permitidos

para entrar al Router via SSH.
6) MOSTRAR CONFIGURACION SSH
RouterA#show ip ssh
Muestra en pantalla informacin de SSH.
23
LABORATORIO 9
OBJETIVO
El estudiante aprender el procedimiento necesario la configuracin segura de dispositivos de
Capa 2 (Switching).
REQUERIMIENTOS:
PROCEDIMIENTO
1.
2.
3.
4.
5.
Previniendo VLAN Hopping
Previniendo Ataques STP
Previniendo Ataques DHCP Server Spoofing
Previniendo Ataques CAM Table Overflow y MAC Address Spoofing (port-security)
24
Pod
Hostname
F0/0
Pod A
RouterA
10.10.10.1/24
SwitchA
10.10.10.2/24
LaptopA
10.10.10.3/24
2) PREVINIENDO VLAN HOPPPING (SWITCH SPOOFING)

Switch>enable
Switch#configure terminal
Switch(config)#interface f0/24
Entra al modo configuracin de interfase.
Switch(config-if)#switchport mode access
Configuracin de puerto en modo Access.
Switch(config-if)#exit
Entra al modo configuracin interfase.
Switch(config-if)#switchport mode trunk
Configuracin de puerto en modo Trunk.
Switch(config-if)#switchport trunk
encapsulation dot1
Configuracin de encapsulacin 802.1q.
Switch(config-if)#switchport nonegotiate
Parmetro para deshabilitar el envo de tramas

DTP en el puerto.
Switch(config-if)#switchport trunk native vlan

400
Configuracin de VLAN NATIVA en la VLAN

400.
3) PREVINIENDO ATAQUES STP (ROOT GUARD)

Switch>enable
Switch(config-if)#spanning-tree guard root
Configura el puerto para que en caso de que se

reciba alguna trama DPDU el puerto se pone en
modo root-inconsistent. Mientras este puerto esta
en modo root-inconsistent el usuario no puede
enviar ni recibir informacin.
Switch(config-if)#spanning-tree portfast
bpduguard
Configura el puerto en modo Port-Fast. En caso

que el puerto reciba alguna trama BPDU el puerto
de deshabilita automticamente.
25
4) PREVINIENDO ATAQUES DHCPD SERVER SPOOFING

Switch>enable
Entra al modo privilegiado.
Switch(config)#ip dhcp snooping
Comando para la activacin de ip dhcp snooping

con el fin de prevenir la instalacin de servidores
DHCP ilegtimos.
Switch(config-if)#ip dhcp snooping trust
Configuracin de interfase como CONFIABLE

para recibir paquetes DHCPOFFER,
DHCPPACK.
Entra al modo conifguracin interfase.
Switch(config-if)#ip dhcp snooping limit rate 3
Configuracin para limitar el nmero de mensajes

DHCP que pueden ser enviados por segundo.
5) PREVINIENDO ATAQUES CAM TABLE OVERFLOW Y MAC ADDRESS SPOOFING

Switch>enable
Switch(config-if)#switchport mode access
Configuracin de puerto en modo ACCESS.
Switch(config-if)#switchport port-security
Activacin de Port-Security en el puerto.
maximum 1
Configuracin que permite slo una direccin

MAC en la interfase.
violation shutdown
Configuracin que desactiva la interfase en caso

de que sean reconocidas dos o ms direcciones
MAC en la interfase.
Switch(config-if)#switchport port-security mac- Configuracin para grabar las direcciones MAC

address sticky
registradas por la interfase en la runningconfiguration.
Switch(config)#exit
Switch#show port-security
Muestra informacin sobre los puertos que tiene

activo Port-Security.
Switch#show port-security address
Muestra informacin sobre los puertos que tiene

activo Port-Security.
26
LABORATORIO 10
OBJETIVO
El estudiante aprender el procedimiento necesario para la configuracin de NAC (Network
Access Control) a nivel de Switch.
REQUERIMIENTOS:
Cisco ACS for Windows
PROCEDIMIENTO
1.
2.
3.
4.
5.
6.
Configuracin de AAA
Configuracin de Switch para validacin de acceso via Radius
Activacin global en Switch de validacin dot1x
Configuracin de puertos del Switch
Mostrar en pantalla configuracin dot1x
27
Pod
Hostname
F0/0
Pod A
RouterA
10.10.10.1/24
SwitchA
10.10.10.2/24
LaptopA
10.10.10.3/24
2) CONFIGURACION DE AAA
SwitchA>enable
SwitchA#configure terminal
SwitchA(config)#aaa new-model
Activacin de AAA.
SwitchA(config)#aaa authentication dot1x

CCNA_SECURITY gorup radius
Configuracin de validacin AAA del tipo dot1x

utilizando servidores Radius.
3) CONFIGURACION DE SWITCH PARA VALIDACION DE ACCESO VIA RADIUS

SwitchA(config)#radius-server host 10.10.0.5
Configuracin de servidor de validacin Radius.
SwitchA(config)#radius-server key cisco
Configuracin de contrasea para la comunicacin

entre el Switch y el servidor Radius.
4) ACTIVACION GLOBAL EN EL SWITCH DE VALIDACION DOT1X

SwitchA(config)#dot1x system-auth-control
Activacin del la validacin Dot1x.
SwitchA(config)#guest-vlan supplicant
Activacin de gues-vlan en caso de la validacin

de usuario no sea exitosa.
5) CONFIGURACION DE PUERTOS DEL SWITCH
SwitchA(config)#int range 1-12
SwitchA(config-if)#switchport mode access
Configuracin de puerto en modo acceso.
SwitchA(config-if)#dot1x port-control
Configuracin de dot1x.
6) MOSTRAR EN PANTALLA CONFIGURACION DOT1X

SwitchA#show dot1x
Muestra en pantalla informacin sobre dot1x.
SwitchA#show aaa server
Muestra en pantalla informacin sobre los

servidor AAA configurados.
SwitchA#debug aaa authentication
Despliega en pantalla en tiempo real informacin

referente al proceso de validacin de usuarios.
28
LABORATORIO 11
OBJETIVO
El estudiante aprender los comandos y procedimientos necesarios para la configuracin de
Listas de Acceso Estndar.
REQUERIMIENTOS:
(1) Rollover Cable
Sistema operativo Windows o Linux.
PROCEDIMIENTO
1.
2.
3.
4.
Esquema de direccionamiento IP.

Configuracin de Lista de Acceso Estandar.
Configuracin de Lista de Acceso en interfase correspondiente.
Comprobacion de la prctica.
Pod
Hostname
Pod A
RouterA
RouterB
Ethernet IP
Serial/0 IP
Serial/1 IP
Loopback0
IP
Loopback1
IP
10.10.0.1/24
1.1.1.1/24
2.2.2.2/24
10.10.0.2/24
3.3.3.3/24
4.4.4.4/24
2) CONFIGURACION DE LISTA DE ACCESO.

Entra al modo configuracin global.
RouterA(config)#access-list 10 deny ip 3.3.3.3

0.0.0.0
Confguracin de Access-List Extendida.

29
3) CONFIGURACION DE LISTA DE ACCESO EN INTERFASE CORRESPONDIENTE

RouterA(config)#int s0
RouterA(config-if)#ip access-group 101 out
Activacin de Access-List en la interfase

correspondiente.
4) COMPROBACION DE LA REGLA DE ACCESS-LIST 101

RouterB#ping 1.1.1.1
Comprobacin de conectividad a nivel de Capa 3.
30
LABORATORIO 12
OBJETIVO
El estudiante aprender los comandos y procedimientos necesarios para la configuracin de
Listas de Acceso Extendidas.
REQUERIMIENTOS:
(1) Rollover Cable
Sistema operativo Windows o Linux.
PROCEDIMIENTO
1.
2.
3.
4.
Esquema de direccionamiento IP.

Configuracin de Lista de Acceso Extendida.
Configuracin de Lista de Acceso en interfase correspondiente.
Comprobacin de la prctica.
Pod
Hostname
Pod A
RouterA
RouterB
Ethernet IP
Serial/0 IP
Serial/1 IP
Loopback0
IP
Loopback1
IP
10.10.0.1/24
1.1.1.1/24
2.2.2.2/24
10.10.0.2/24
3.3.3.3/24
4.4.4.4/24
2) CONFIGURACION DE LISTA DE ACCESO.

RouterB#configure terminal
Entra al modo configuracin global.
RouterB(config)#access-list 101 deny ip 3.3.3.3

0.0.0.0 1.1.1.1 0.0.0.0
Confguracin de Access-List Extendida.

31
3) CONFIGURACION DE LISTA DE ACCESO EN INTERFASE CORRESPONDIENTE

RouterB(config)#int s0
RouterB(config-if)#ip access-group 101 in
Activacin de Access-List en la interfase

correspondiente.
4) COMPROBACION DE LA REGLA DE ACCESS-LIST 101

RouterB#ping 1.1.1.1
Comprobacin de conectividad a nivel de Capa 3.
32
LABORATORIO 13
OBJETIVO
El estudiante aprender el procedimiento necesario configuracin de una conexin VPN Site to
Site utilizando el protocolo IPSEC a travs de la lnea de comandos.
REQUERIMIENTOS:
(2) Patch Cord Cable
(1) V.35 Serial Cable
PROCEDIMIENTO
1.
2.
3.
4.
5.
Configuracin de IKE FASE 1 (ISAKMP)
Configuracin de IKE FASE 2 (IPSEC)
Aplicar la configuracin a la interfase
Verificacin de la conexin VPN
Pod
Hostname
Interfase F0/0
Interfase S0/0
Pod A
RouterA
10.1.1.1/24
172.30.2.1/24
RouterB
192.168.0.1/24
172.30.2.2/24
33
2) CONFIGURACION DE IKE FASE 1 (ISAKMP)

RouterA(config)#crypto isakmp policy 1
Creacin de un objeto para la configuracin de

polticas ISAKMP.
RouterA(config-isakmp)#hash sha
Configuracin de Hash.
RouterA(config-isakmp)#group 2
Configuracin de nivel de encriptacin del

protocolo Diffie-Hellman.
RouterA(config-isakmp)#lifetime 86400
Tiempo lmete del SA. Cuando el reloj es cero los

Router vuelven a renegociar las llaves para
establecer una nueva SA.
RouterA(config-isakmp)#authentication preshare
Tipo de validacin.
RouterA(config-isakmp)#encrytion aes 128
Algoritmo de encriptacin que se utiliza para el

cifrado de la informacin.
RouterA(config-isakmp)#exit
RouterA(config)#crypto isakmp key cisco

address 172.30.2.2
Configuracin de la llave para la validacin de

IPSEC. El router del otro extremo debe de tener la
misma llave.
RouterB(config)#crypto isakmp policy 1
Creacin de un objeto para la configuracin de

polticas ISAKMP.
RouterB(config-isakmp)#hash sha
Configuracin de Hash.
RouterB(config-isakmp)#group 2
Configuracin de nivel de encriptacin del

protocolo Diffie-Hellman.
RouterB(config-isakmp)#lifetime 86400
Tiempo lmete del SA. Cuando el reloj es cero los

Router vuelven a renegociar las llaves para
establecer una nueva SA.
RouterB(config-isakmp)#authentication preshare
Tipo de validacin.
RouterA(config-isakmp)#encrytion aes 128
Algoritmo de encriptacin que se utiliza para el

cifrado de la informacin.
RouterB(config-isakmp)#exit
RouterB(config)#crypto isakmp key cisco
Configuracin de la llave para la validacin de

34
address 172.30.2.1
IPSEC. El router del otro extremo debe de tener la

misma llave.
3) CONFIGURACION DE IKE FASE 2 (IPSEC)

RouterA(config)#crypto ipsec transform-set
MYSET esp-aes esp-sha
Configuracin de los algoritmos de encriptacin a

negociar durantes el establecimiento del SA.
RouterA(cfg-crypto-trans)#exit
RouterA(config)#access-list 101 permit ip

10.1.1.0 0.0.0.255 192.168.0.0 0.0.0.255
Lista de acceso.
RouterA(config)#crypto map
ROUTERA_TO_ROUTERB 1 ipsec-isakmp
Configuracin de Crypto MAP.
RouterA(config-crypto-map)#set peer 172.30.2.2 Especifica la direccin IP del Router con el cual

se va a establecer conexin.
RouterA(config-crypto-map)#set transform-set
MYSET
Especifica el transform-set a utilizar durante la

conexin.
RouterA(config-crypto-map)#match address 101 Especifica la lista de acceso que establecer el

trafico que cruzar a travs del tnel VPN.
RouterA(config-crypto-map)#exit
RouterB(config)#crypto ipsec transform-set

MYSET esp-aes esp-sha
Configuracin de los algoritmos de encriptacin a

negociar durantes el establecimiento del SA.
RouterB(cfg-crypto-trans)#exit
RouterA(config)#access-list 101 permit ip

192.168.0.0 0.0.0.255 10.1.1.0 0.0.0.255
Lista de acceso.
RouterA(config)#crypto map
ROUTERB_TO_ROUTERA 1 ipsec-isakmp
Configuracin de Crypto MAP.
RouterA(config-crypto-map)#set peer 172.30.2.1 Especifica la direccin IP del Router con el cual

se va a establecer conexin.
35
RouterA(config-crypto-map)#set transform-set
MYSET
Especifica el transform-set a utilizar durante la

conexin.
RouterA(config-crypto-map)#match address 101 Especifica la lista de acceso que establecer el

trafico que cruzar a travs del tnel VPN.
RouterA(config-crypto-map)#exit
4) APLICAR LA CONFIGURACION A LA INTERFASE

RouterA(config)#interface s0/0
RouterA(config-if)#crypto map
ROUTERA_TO_ROUTERB
Aplica el Cryto Map Armadillo en la interfase.
RouterA(config-if)#exit
RouterA(config)#ip route 192.168.0.0

255.255.255.0 172.30.2.2
Configuracin de ruta por defecto.
RouterB(config)#interface s0/0
RouterB(config-if)#crypto map
ROUTERB_TO_ROUTERA
Aplica el Cryto Map Armadillo en la interfase.
RouterB(config-if)#exit
RouterB(config)#ip route 10.1.1.0 255.255.255.0 Configuracin de ruta por defecto.

172.30.2.1
5) VERIFICACION DE LA CONEXION VPN

RouterA#ping (extendido)
Ping extendido.
Target IP address: 192.168.0.1
Direccin IP destinado del paquete.
Source address of interface: 10.1.1.1
Direccin IP origen del paquete.
RouterA#show cryto engine connections active
Muestra las coneccin activas a travs del VPN.
RouterA#show cryto session
Muestra las session IPSec activas en el Router.
36
RouterB#show cryto engine connections active
Muestra las coneccin activas a travs del VPN.
RouterB#show cryto session
Muestra las session IPSec activas en el Router.
37

Manual Completo CCNA Security Version 1

Cargado por

Copyright:

Formatos disponibles

Manual Completo CCNA Security Version 1

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Manual Completo CCNA Security Version 1

Cargado por

Copyright:

Formatos disponibles

CONTENIDO

Seguridad en Router Cisco

Role Based Access

Auto Secure / One Step Lock Down Router

Configuracin de protocolo SSH

Segura en Switch Cisco

NAC LEAP 802.1x

Lista de Acceso Estndar

Lista de Acceso Extendida

VPN IPSec Site to Site

Entra al modo privilegiado.

Entra al modo configuracin Global.

RouterA(config)#enable secret cisco

Configuracin de contrasea para entra al modo

Entra al modo configuracin Line.

Configuracin de contrasea en el puerto console

Salir al modo configuracin anterior.

Entra al modo configuracin Aux.

Configuracin de contrasea en el puerto Auxiliar.

Salir al modo configuracin anterior.

Entra al modo configuracin Line.

Configuracin de contrasea en los puertos VTY.

Salir al modo configuracin anterior.

Salir al modo configuracin anterior.

Muestra en pantalla la configuracin del Router

Entra al modo configuracin Global.

Comando para cifra todas las contraseas

Salir al modo configuracin anterior.

Muestra en pantalla la configuracin del Router

3) LIMITAR EL NUMERO DE INTENTOS FALLIDOS CONEXION

Entra al modo configuracin Global.

RouterA(config)#security authentication failure Comando para especificar la cantidad de

Salir al modo configuracin anterior.

4) CONFIGURACION RELOJ DE INACTIVIDAD

Entra al modo configuracin Global.

Entra al modo configuracin Line.

Comando que especifica el tiempo de inactividad

Salir al modo configuracin anterior.

Entra al modo configuracin Auxiliar.

Comando que especifica el tiempo de inactividad

Salir al modo configuracin anterior.

Entra al modo configuracin VTY.

Comando que especifica el tiempo de inactividad

de que el tiempo de inactividad alcance 2 minutos

Salir al modo configuracin anterior.

5) CONFIGURACION MODO PRIVILEGIADO

Entra al modo configuracin Global.

RouterA(config)#privilege exec level 5 debug

Comando que especifica el nivel de privilegio

RouterA(config)#enable secret level 5 cisco

Configuracin de contrasea para entrar al modo

Salir al modo anterior.

Entra al modo privilegiado 5.

6) PROTECCION DE ARCHIVOS DEL ROUTER

Entra al modo configuracin Global.

Comando que asegura la imagen del sistema

Comando que asegura la configuracin runningconfig en el sistema. De esta forma se mantiene

RouterA#show secure bootset