barra de menu

martes, 31 de marzo de 2015

LABORATORIO SEGURIDAD - CCNP

TOPOLOGÍA



ESCENARIO


1. Configurar Usuario Local : usuariolab / passwordlab

2. Configurar accesso Telnet remoto en R1 con login local.El password de vty será passwordvty. 
    El password para el modo enable será passwordenable.

3. Configurar accesso SSH remoto en R1 con login local

4. Encriptar passwords del router local

5. Configurar R1 para que lso usuarios autentiquen en el servidor Tacacs+. El usuario en Tacacs+ es usuariotacacs y el password es passwordtacacs. El password para la sesión con el servidor Tacacs+ es TACACS1234




1. Para configurar el usuario local:
   R1(config)#username usuariolab privilege 15 password passwordlab

2. Telnet 

  Vamos a los puertos vty y habilitamos el acceso:

      R1(config)#line vty 0 4          
      R1(config-line)#login
      R1(config-line)#password passwordvty
      R1(config-line)#transport input telnet


Ahora hacemos telnet desde R2:



Nos permite hacer telnet, sin embargo, no nos deja entrar en el router. Nos avisa de que no hemos habilitado el password para el modo enable. Para ello:


      R1(config)#enable secret passwordenable




Ahora ya tenemos acceso al equipo. Telnet se habilita por defecto pero ya sabemos que envía el password en texto plano, así que vamos a configurar ssh para asegurar nuestro acceso:



3. SSH


   R1(config)#ip domain-name laboratorio.com
   R1(config)#crypto key generate rsa
   R1(config)#line vty 0 4
   R1(config-line)#login local
   R1(config-line)#transport input ssh  - esto elimina la posibilidad de telnet. Solo permitimos ssh.




4. Encriptar passwords del router local


Si hacemos un show running-config podemos ver las contraseñas en texto plano. 




Para añadir seguridad al equipo, vamos a encriptar estas contraseñas:


    (config)#service password-encryption






5. TACACS+

Para este laboratorio he añadido una máquina virtual de Virtual Box con un servidor tacacs instalado en Ubuntu. Para descargar la imagen y configurarla en GNS3:

Descarga e instrucciones de Tacacs+  (Descargar UBUNTU-TACACS)


El servidor Tacacs+ se levanta por defecto y las direccion ip está ya configurada.


Ahora en R1 configuramos la sesión con el servidor Tacacs+:


    R1(config)#aaa new-model
    R1(config)#aaa authentication login default group tacacs+ local - si falla tacacs, pide local
    R1(config)#tacacs-server host 192.168.1.2 key TACACS1234
    R1(config)#line vty 0 4
    R1(config-line)#login authentication default





Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)