ii -guía_ccna_securityv4.docx
TRANSCRIPT
-
5/22/2018 II -Gua_CCNA_SecurityV4.docx
1/19
Guia CCNA Security v2
@ NMT 20131
Syslog Features ....................................................................................................... 2Authentication Radius............................................................................................. 5Autenticacin utilizando ACS/Tacacs ................................................................... 7Creacin de Usuarios...................................................................................................................... 8
Creacin de Grupos ........................................................................................................................ 9
Configuracin de server AAA ...................................................................................................... 11Configuracin de cliente AAA ..................................................................................................... 15
Configuracin Router ................................................................................................................... 16Ejercicio prctico .................................................................................................. 19
-
5/22/2018 II -Gua_CCNA_SecurityV4.docx
2/19
Guia CCNA Security v2
@ NMT 20132
Syslog Features
Utilizar Imagen XP de VirtualBox. Habilitar Syslog Server en PC. Utilizar aplicacin Kiwi Syslog o Syslog Server 1.2.0. R1 debe poder enviar mensajes de syslog tanto al server como a la consola. Utilizar loopback0
como interface de sesin. Los mensajes debe ser enviados a partir de log nivel 7.
-
5/22/2018 II -Gua_CCNA_SecurityV4.docx
3/19
Guia CCNA Security v2
@ NMT 20133
R1
logging on
logging source-interface loopback0
logging 100.1.1.1
logging trap debugging
R1#debug ip packet
R1#debug ip packet
IP packet debugging is on
R1#
IP: s=10.1.12.1 (local), d=224.0.0.10 (GigabitEthernet0/0), len 60, sending broad/multicast
IP: s=10.1.12.1 (local), d=224.0.0.10 (GigabitEthernet0/0), len 60, sending full packet
IP: s=10.1.12.2 (GigabitEthernet0/0), d=224.0.0.10, len 60, rcvd 0
IP: s=10.1.12.2 (GigabitEthernet0/0), d=224.0.0.10, len 60, input feature, packet consumed, MCI
Check(85), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSER1#
IP: tableid=0, s=10.1.1.1 (local), d=100.1.1.3 (FastEthernet1/0), routed via FIB
IP: tableid=0, s=10.1.1.1 (local), d=100.1.1.3 (FastEthernet1/0), routed via FIB
IP: tableid=0, s=10.1.1.1 (local), d=100.1.1.3 (FastEthernet1/0), routed via FIB
IP: tableid=0, s=10.1.1.1 (local), d=100.1.1.3 (FastEthernet1/0), routed via FIB
R1#
IP: tableid=0, s=10.1.1.1 (local), d=100.1.1.3 (FastEthernet1/0), routed via FIB
IP: tableid=0, s=10.1.1.1 (local), d=100.1.1.3 (FastEthernet1/0), routed via FIB
IP: tableid=0, s=10.1.1.1 (local), d=100.1.1.3 (FastEthernet1/0), routed via FIB
IP: tableid=0, s=10.1.1.1 (local), d=100.1.1.3 (FastEthernet1/0), routed via FIBR1#
IP: tableid=0, s=10.1.1.1 (local), d=100.1.1.3 (FastEthernet1/0), routed via FIB
IP: tableid=0, s=10.1.1.1 (local), d=100.1.1.3 (FastEthernet1/0), routed via FIB
IP: tableid=0, s=10.1.1.1 (local), d=100.1.1.3 (FastEthernet1/0), routed via FIB
IP: tableid=0, s=10.1.1.1 (local), d=100.1.1.3 (FastEthernet1/0), routed via FIB
R1#u al
IP: tableid=0, s=10.1.1.1 (local), d=100.1.1.3 (FastEthernet1/0), routed via FIB
IP: tableid=0, s=10.1.1.1 (local), d=100.1.1.3 (FastEthernet1/0), routed via FIB
IP: tableid=0, s=10.1.1.1 (local), d=100.1.1.3 (FastEthernet1/0), routed via FIB
IP: tableid=0, s=10.1.1.1 (local), d=100.1.1.3 (FastEthernet1/0), routed via FIBIP: s=10.1.12.1 (local), d=224.0.0.10 (GigabitEthernet0/0), len 60, sending broad/multicast
IP: s=10.1.12.1 (local), d=224.0.0.10 (GigabitEthernet0/0), len 60, sending full packet
IP: s=10.1.12.2 (GigabitEthernet0/0), d=224.0.0.10, len 60, rcvd 0
-
5/22/2018 II -Gua_CCNA_SecurityV4.docx
4/19
Guia CCNA Security v2
@ NMT 20134
-
5/22/2018 II -Gua_CCNA_SecurityV4.docx
5/19
Guia CCNA Security v2
@ NMT 20135
Authentication Radius
Configurar Server Radius (WinRadius) para que los usuarios que accedan a R3 se autentifiquen enfuncin de la base de datos del server, en caso de que el server este down, no debe pedir
autenticacin.
En la WinRadius ir al men OperationAddUser el usuario nadmin password nicoNota: La instalacin del server Radius se puede realizar de acuerdo al Lab Manual CCNAS.
R1#ping 100.1.1.3
Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 100.1.1.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/31/104 ms
-
5/22/2018 II -Gua_CCNA_SecurityV4.docx
6/19
Guia CCNA Security v2
@ NMT 20136
R1
username admin password cisco
aaa new-model
aaa authentication login default group radius none
radius-server host 100.1.1.3 auth-port 1812 key WinRadius
R2#telnet 10.1.1.1
Trying 10.1.1.1 ... Open
User Access Verification
Username: nadmin
Password:nico
-
5/22/2018 II -Gua_CCNA_SecurityV4.docx
7/19
Guia CCNA Security v2
@ NMT 20137
Autenticacin utilizando ACS/Tacacs+
Configurar ACS Server Crear el grupo Administradoren el ACS Server que tenga nivel de privilegio 15 Crear el grupo NOCen el ACS Server que tenga nivel de privilegio 1 Crear el grupo Invitadoen el ACS Server que tenga nivel de privilegio 0
La configuracin de Tacacs+ involucra dos dispositivos, el cliente (Router, Firewall, etc) y el ACS Server.
Este ltimo puede ser un appliance, o sencillamente un PC con la aplicacin ACS.
Primero configuraremos el ACS Server.
-
5/22/2018 II -Gua_CCNA_SecurityV4.docx
8/19
Guia CCNA Security v2
@ NMT 20138
Creacin de Usuarios
En este momento podemos crear los usuarios dentro del ACS; esto es anlogo a cuando utilizamos el
comando username password(DB Local).
- Seleccionamos User Setup para crear al usuario.
- Creamos al usuario jadmin (este nombre lo asignamos nosotros, puede ser un nombre cualquiera)y seleccionamos Add/Edit.
- Agregamos nombre real y descripcin.
-
5/22/2018 II -Gua_CCNA_SecurityV4.docx
9/19
Guia CCNA Security v2
@ NMT 20139
Creacin de Grupos
- Entramos al ACS y seleccionamos Group Setup.
- Seleccionamos un grupo de cualquiera, por ejemplo el group 3 y seleccionamos Rename Group,esto nos permite utilizar un nombre ms representativo.
-
5/22/2018 II -Gua_CCNA_SecurityV4.docx
10/19
Guia CCNA Security v2
@ NMT 201310
- Modificamos el nombre para este grupo de Group 3 a Administrador y cliqueamos Submit paraque los cambios sean efectivos.
Podemos ver en la siguiente figura que en Group Setup ahora podemos seleccionar el grupo
Administrador en el men desplegable, esto nos permite tener nombres representativos. Debemosproceder de la misma forma para los grupos NOC e Invitado.
-
5/22/2018 II -Gua_CCNA_SecurityV4.docx
11/19
Guia CCNA Security v2
@ NMT 201311
Configuracin de server AAA
Finalmente debemos definir el Server AAA.
- Usamos Add Entry en AAA Server como muestra la figura.
-
5/22/2018 II -Gua_CCNA_SecurityV4.docx
12/19
Guia CCNA Security v2
@ NMT 201312
- Completamos los valores mostrados en la figura. El nombre del server (aleatorio), la direccin ipdonde se del Server, una key y el AAA Server Type seleccionamos TACACS+. Finalmente hacemos
los cambios efectivos con Submit +Apply
- En Group Setup seleccionamos Edit Settings.
Esto nos lleva a Group Settings : Administrador.
- Seleccionamos TACACS + en la seccin Jump to. Esto nos permite acceder de inmediato a laconfiguracin relativa a Tacacs+.
-
5/22/2018 II -Gua_CCNA_SecurityV4.docx
13/19
Guia CCNA Security v2
@ NMT 201313
- Seleccionamos Shell (exec),- Seleccionamos campo Privilege Level y le asignamos valor 15 (mximos privilegios) y aplicamos los
cambios con Submit + Restart
-
5/22/2018 II -Gua_CCNA_SecurityV4.docx
14/19
Guia CCNA Security v2
@ NMT 201314
- En el campo User Setup (mas abajo) definimos la password que emplear el usuario jadminparaloguearse en el router. En nuestro caso seleccionamos la password lucho. Adems seleccionamos
el grupo al que pertenece el usuario jadmin, en nuestro caso el grupo se llama Administrador (ya
lo hemos definido) y cliqueamos Submit.
-
5/22/2018 II -Gua_CCNA_SecurityV4.docx
15/19
Guia CCNA Security v2
@ NMT 201315
Configuracin de cliente AAA
Nuestro cliente para este ejercicio corresponde a Router2 (R2). Debemos identificarlo en el ACS Server.
- Seleccionamos Network Configuration
- Agregamos el cliente con Add Entry.
Llenamos los campos como sigue:
: hostname del router. En nuestro caso se trata de R2
AAA IP address: 10.2.2.2. Este valor corresponde a la loopback0 de R2 por lo tanto debemos tener
conectividad con R2. Despus veremos
Key: key que asignamos luego en R2.
Using Authentication: TACACS + (Cisco IOS)
Aplicamos los cambios cliqueando Submit Apply al final del todo.
-
5/22/2018 II -Gua_CCNA_SecurityV4.docx
16/19
Guia CCNA Security v2
@ NMT 201316
Configuracin Router
Para configurar los cliente debemos tener algn IGP y conectividad entre el cliente AAA y el Server. En el
ejemplo actual el server se encuentra en la subred 100.1.1.0/24.Lo primero es probar si tenemos accesos a nivel de Red.
R1
router rip
version 2
network 0.0.0.0
no auto-summary
R2
router ripversion 2
network 0.0.0.0
no auto-summary
R3
router rip
version 2
network 0.0.0.0
no auto-summary
-
5/22/2018 II -Gua_CCNA_SecurityV4.docx
17/19
Guia CCNA Security v2
@ NMT 201317
R2#ping 100.1.1.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 100.1.1.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 32/72/112 ms
Y desde el Server hacia R2
Configuracin AAA en cliente R2R2
aaa new-modelaaa authentication login default group tacacs+ none
ip tacacs source-interface loopback 0
tacacs-server host 100.1.1.3 key 0 ccnas
R2#test aaa group tacacs+ jadmin lucho legacy
Attempting authentication test to server-group tacacs+ using tacacs+
User was successfully authenticated.
Finalmente hacemos las pruebas finales accediendo a R2 desde R1 por ejemplo.
R1#telnet 10.2.2.2
Trying 10.2.2.2 ... Open
Username: jadmin
Password: lucho
R2>
R2>?
Exec commands:
Session number to resume
-
5/22/2018 II -Gua_CCNA_SecurityV4.docx
18/19
Guia CCNA Security v2
@ NMT 201318
access-enable Create a temporary Access-List entry
access-profile Apply user-profile to interface
clear Reset functions
connect Open a terminal connection
crypto Encryption related commands.
disable Turn off privileged commandsdisconnect Disconnect an existing network connection
emm Run a configured Menu System
enable Turn on privileged commands
ethernet Ethernet parameters
exit Exit from the EXEC
help Description of the interactive help system
lat Open a lat connection
lock Lock the terminal
login Log in as a particular user
logout Exit from the EXECmrinfo Request neighbor and version information from a multicast
router
mstat Show statistics after multiple multicast traceroutes
mtrace Trace reverse multicast path from destination to source
name-connection Name an existing network connection
pad Open a X.29 PAD connection
ping Send echo messages
ppp Start IETF Point-to-Point Protocol (PPP)
release Release a resource
renew Renew a resourceresume Resume an active network connection
rlogin Open an rlogin connection
set Set system parameter (not config)
show Show running system information
slip Start Serial-line IP (SLIP)
ssh Open a secure shell client connection
systat Display information about terminal lines
tclquit Quit Tool Command Language shell
tdm TDM
telnet Open a telnet connectionterminal Set terminal line parameters
tn3270 Open a tn3270 connection
traceroute Trace route to destination
tunnel Open a tunnel connection
udptn Open an udptn connection
webvpn WebVPN exec command
where List active connections
x28 Become an X.28 PAD
x3 Set X.3 parameters on PAD
-
5/22/2018 II -Gua_CCNA_SecurityV4.docx
19/19
Guia CCNA Security v2
@ NMT 201319
Ejercicio prctico
Cree la topologa mostrada. Para obtener conectividad completa configure OSPF 1 area 0. No utilice el comando network
dentro del proceso OSPF. No debe existir eleccin de DR ni BDR. Publique las interfaces loopback0
con sus mscaras correctas. Los paquetes OSPF deben autenticarse en base al area.
La red 10.1.12.0/24 no debe ser publicada a R3, sin embargo R1 y R2 no deben perder adyacenciaOSPF.
R1 debe acceder a R2 utilizando telnet. Para autenticarse debe utilizar la base de datos local. Creeusuario y password.
R1 podr acceder a R2 utilizando la IP 1.1.1.1/24 correspondiente a la loopback0. En caso que seutilice cualquier otra direccin de origen el acceso ser denegado. Se deben enviar log a la consola
de R2 en todos los casos, es decir, auntenticaciones vlidas como intentos fallidos.