Embed Size (px)
Citation preview
Actividad de Packet Tracer: Configuración de routers Cisco para operaciones Syslog, NTP y SSH
Diagrama de la topología
Tabla de direccionamiento
Dispositivo Interfaz Dirección IP Máscara de subred Gateway por defecto Puerto
R1 FA0/1 192.168.1.1 255.255.255.0 N/A S1 FA0/5
S0/0/0 (DCE) 10.1.1.1 255.255.255.252 N/A N/A
R2 S0/0/0 10.1.1.2 255.255.255.252 N/A N/A
S0/0/1 (DCE) 10.2.2.2 255.255.255.252 N/A N/A
R3 FA0/1 192.168.3.1 255.255.255.0 N/A S3 FA0/5
S0/0/1 10.2.2.1 255.255.255.252 N/A N/A
PC-A NIC 192.168.1.5 255.255.255.0 192.168.1.1 S1 FA0/6
PC-B NIC 192.168.1.6 255.255.255.0 192.168.1.1 S2 FA0/18
PC-C NIC 192.168.3.5 255.255.255.0 192.168.3.1 S3 FA0/6
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 1 de 5Este documento es Información Pública de Cisco.
CCNA Security
Objetivos de aprendizaje
Configurar los routers como clientes NTP.
Configurar los routers para que actualicen el reloj de harware con NTP.
Configurar los routers para que registren mensajes en el servidor syslog.
Configurar los routers para que coloquen marcas de tiempo en los mensajes del registro.
Configurar usuarios locales.
Configurar las líneas VTY para aceptar solo conexiones SSH.
Configurar un par de claves RSA en el servidor SSH.
Verificar la conectividad SSH del cliente PC y el cliente router.
Introducción
La topología de la red muestra tres routers. Usted configurará NTP y Syslog en todos ellos y SSH en R3.
El Network Time Protocol (NTP) permite a los routers de la red sincronizar su configuración de fecha y hora con un servidor NTP. Un grupo de clientes NTP que obtienen la información de fecha y la hora de una sola fuente resulta más consistente, por lo que los mensajes Syslog generados pueden ser analizados más fácilmente. Esto puede ser de gran ayuda al resolver problemas de la red y ataques. Cuando se implementa NTP en la red, se puede configurar para sincronizarse con un reloj maestro privado o con un servidor NTP público, disponible a través de Internet.
En esta práctica de laboratorio, el servidor NTP será el servidor NTP maestro. Se configurarán los routers para permitir que NTP sincronice del reloj de software con el servidor del tiempo. Además, se configurarán los routers para actualizar periódicamente el reloj de hardware con la fecha y hora aprendida de NTP. De lo contrario, el reloj de hardware tenderá a ser inexacto y los relojes de hardware y software pueden perder la sincronización entre sí.
En esta práctica de laboratorio, el servidor Syslog proporcionará registro de mensajes. Usted configurará los routers para identificar el host remoto (servidor Syslog) que recibirá los mensajes registrados.
Deberá configurar el servicio de marca de tiempo para el registro en los routers. Mostrar la fecha y hora correcta en los mensajes Syslog es crucial cuando se lo utiliza para monitorear la red. Si no se conoce la fecha y hora correcta de un mensaje, puede dificultarse determinar qué evento de la red lo causó.
R2 es un ISP conectado con dos redes remotas: R1 y R3. El administrador local en R3 puede llevar a abo la mayoría de las configuraciones y resoluciones de problemas; sin embargo, como R3 es un router administrado, el ISP necesita acceder a R3 para la resolución de problemas o actualizaciones ocasionales. Para proporcionar este acceso de manera segura, los administradores han acordado usar Secure Shell (SSH).
Se usará la CLI para configurar la administración segura del router usando SSH en lugar de Telnet. SSH es un protocolo de red que establece una conexión de emulación de terminal segura a un router u otro dispositivo de red. SSH cifra toda la información que pasa a través del enlace de la red y proporciona autenticación de la computadora remota. SSH está reemplazando a Telnet rápidamente como herramienta de inicio de sesión remota en el ámbito de los profesionales de redes.
Los servidores han sido pre-configurados con servicios NTP y Syslog respectivamente. NTP no requerirá autenticación. Los routers han sido pre-configurados con lo siguiente:
Contraseña enable: ciscoenpa55
Contraseña para líneas vty: ciscovtypa55
Enrutamiento estático
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 2 de 5Este documento es Información Pública de Cisco.
CCNA Security
Tarea 1: Configurar los routers como clientes NTP
Paso 1. Probar la conectividad
Ejecute un ping de PC-C a R3.
Ejecute un ping de R2 a R3.
Ejecute Telnet de PC-C a R3.
Ejecute Telnet de R2 a R3.
Paso 2. Configurar R1, R2 y R3 como clientes NTP
Verifique la configuración del cliente usando el comando show ntp status.
Paso 3. Configurar los routers para actualizar el reloj de hardware
Configure R1, R2 y R3 para actualizar periódicamente el reloj de hardware con el tiempo aprendido de NTP.
Verifique que el reloj de hardware haya sido actualizado usando el comando show clock.
Paso 4. Configurar los routers para colocar una marca de tiempo en los mensajes registrados
Paso 5. Configurar el servicio de marca de tiempo para registros en los routers
Tarea 2: Configurar los routers para registrar los mensajes en el servidor Syslog
Paso 6. Configurar los routers para identificar el host remoto (servidor Syslog) que recibirá los mensajes registrados
La consola del router mostrará un mensaje que indicará que ha comenzado el registro de mensajes.
Paso 7. Verificar la configuración del registro de mensajes con el comando show logging
Paso 8. Examinar los registros del servidor Syslog
En la pestaña Config de la ventana de diálogo del servidor Syslog, seleccione el botón Syslog services. Observe los mensajes recibidos de los routers.
Nota: Pueden generarse mensajes de registro en el servidor por medio de la ejecución de comandos en el router. Por ejemplo, al entrar y salir del modo de configuración global, se creará un mensaje informativo de configuración.
Tarea 3: Configurar R3 para soportar conexiones SSH
Paso 9. Configurar un nombre de dominio
Configure el nombre de dominio ccnasecurity.com en R3.
Paso 10. Configurar usuarios para acceder desde el cliente SSH en R3
Cree el ID de usuario SSHadmin con el nivel de privilegios más alto posible y la contraseña secret ciscosshpa55.
Paso 11. Configurar las líneas VTY de entrada en R3
Use las cuentas de usuarios locales para inicio de sesión y validación obligatorios. Acepte solo conexiones SSH.
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 3 de 5Este documento es Información Pública de Cisco.
CCNA Security
Paso 12. Borrar los pares de claves existentes en R3
Cualquier par de claves RSA existente en el router debe ser borrado de este.
Nota: Si no existen claves, puede recibir este mensaje: % No Signature RSA Keys found in configuration.
Paso 13. Generar el par de claves de cifrado RSA para R3
El router usa el par de claves RSA para autenticación y cifrado de datos SSH transmitidos. Configure las claves RSA con un módulo de 1024. El módulo por defecto es 512, y el rango va desde 360 hasta 2048.
R3(config)# crypto key generate rsa [Enter]The name for the keys will be: R3.ccnasecurity.comChoose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes.
How many bits in the modulus [512]:1024% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
Nota: El comando que genera los pares de claves de cifrado RSA para R3 en Packet Tracer difiere de los usados en la práctica de laboratorio.
Paso 14. Verificar la configuración de SSH
Use el comando show ip ssh para ver la configuración actual de SSH. Verifique que los reintentos y el vencimiento de la autenticación estén en sus valores por defecto de 120 y 3.
Paso 15. Configurar los parámetros de autenticación y vencimiento SSH
Los parámetros por defecto de autenticación y vencimiento SSH pueden ser alterados para volverse más restrictivos. Establezca el vencimiento en 90 segundos, el número de reintentos de autenticación en 2 y la versión en 2.
Emita el comando show ip ssh nuevamente para confirmar que los valores hayan cambiado.
Paso 16. Intentar conectarse a R3 a través de Telnet desde PC-C.
Abra el escritorio de PC-C. Seleccione el símbolo del sistema. Desde PC-C, ingrese el comando para conectarse con R3 a través de Telnet.
PC> telnet 192.168.3.1
Esta conexión debería fallar, ya que R3 ha sido configurado para aceptar solo conexiones SSH en las líneas de terminal virtual.
Paso 17. Conectarse a R3 a través de SSH en PC-C
Abra el escritorio de PC-C. Seleccione el símbolo del sistema. Desde PC-C, ingrese el comando para conectarse con R3 a través de SSH. Cuando se le pida la contraseña, ingrese la configurada para el administrador: ciscosshpa55.
PC> ssh –l SSHadmin 192.168.3.1
Paso 18. Conectarse a R3 a través de SSH en R2
Para poder resolver problemas en R3 y mantenerlo, el administrador en el ISP debe usar SSH para acceder a la CLI del router. En la CLI de R2, ingrese el comando para conectarse a R3 a través de SSH versión 2 usando la cuenta de usuario SSHadmin. Cuando se le pida la contraseña, ingrese la configurada para el administrador: ciscosshpa55.
R2# ssh –v 2 –l SSHadmin 10.2.2.1
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 4 de 5Este documento es Información Pública de Cisco.
CCNA Security
Paso 19. Revisar los resultados
Su porcentaje debería ser de 100% completo. Haga clic en Check Results para ver un detalle y verificar cuáles componentes se han completado.
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 5 de 5Este documento es Información Pública de Cisco.
