Professional Documents
Culture Documents
Tabla de direccionamiento IP
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 1 de 25
Este documento es Información Pública de Cisco.
CCNA Security
Objetivos
Parte 1: Configuración Básica de los Dispositivos de la Red
• Realizar la configuración básica, como nombre de host, direcciones IP de las interfaces, y contraseñas
de acceso.
• Configurar el enrutamiento estático.
Parte 2: Configurar la Autenticación Local
• Configurar un usuario de la base de datos local y un acceso local para las líneas de consola, vty
y aux.
• Probar la configuración.
Parte 3: Configurar la Autenticación Local Utilizando AAA
• Configurar la base de datos de usuarios local utilizando el IOS.
• Configurar la autenticación local AAA utilizando el IOS.
• Configurar la autenticación local AAA utilizando el SDM.
• Probar la configuración.
Parte 4: Configurar la Autenticación Centralizada Utilizando AAA y RADIUS
• Instalar un servidor RADIUS en una computadora.
• Configurar usuarios en el servidor RADIUS.
• Configurar servicios AAA en un router para acceder al servidor RADIUS para autenticación con
IOS.
• Configurar servicios AAA en un router para acceder al servidor RADIUS para la autenticación
con SDM.
• Probar la configuración de RADIUS con AAA.
Escenario
La forma más básica de seguridad de acceso a un router consiste en crear contraseñas de acceso para las
líneas de consola, vty y aux. Al usuario se le solicita una única contraseña cuando intenta accede al router.
Configurando la contraseña secreta de modo EXEC privilegiado aumenta el nivel de seguridad, pero aún así
se requiere una única contraseña para cada modo de acceso.
Además de las contraseñas básicas, es posible definir nombres de usuario o cuentas específicas con
diferentes niveles de privilegios en la base de datos del router local, que pueden aplicarse a todo el router.
Cuando se configuran las líneas de consola, vty o aux para referirse a esta base de datos local, al usuario se
le solicitan un nombre de usuario y una contraseña al intentar acceder cualquiera de estas líneas para
acceder al router.
Es posible obtener un control adicional sobre el proceso de login utilizando AAA. Para la autenticación
básica, AAA puede ser configurado para acceder a la base de datos local de usuarios, y también pueden
definirse procedimientos de respaldo. Sin embargo, esta solución no es muy escalable ya que debe ser
configurada en cada router. Para aprovechar al máximo AAA y obtener la mayor escalabilidad, es utilizado en
conjunto con la base de datos de un servidor TACACS+ o RADIUS externo. Cuando un usuario intenta
ingresar, el router referencia a la base de datos del servidor externo para verificar que el nombre de usuario y
la contraseña sean válidos.
En esta práctica de laboratorio, usted construirá una red con múltiples routers, y configurará los routers y los
hosts. Utilizará diferentes comandos de la CLI y las herramientas del SDM para configurar los routers con
autenticación local utilizando AAA. Instalará un servidor RADIUS en una computadora externa y utilizará AAA
para autenticar a los usuarios con dicho servidor.
Nota: Los comandos y salida del router en esta práctica de laboratorio corresponden con un equipo Cisco
1841 con un IOS versión 12.4(20)T (Advanced IP image). Pueden utilizarse otras versiones de equipos e
IOS. Ver la tabla de Resumen de Interfaces del Router al final de esta actividad para determinar qué
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 2 de 25
Este documento es Información Pública de Cisco.
CCNA Security
identificadores de interfaz deben utilizarse en base al equipamiento del laboratorio. Dependiendo del modelo
de router y de la versión del IOS, los comandos disponibles y la salida generada pueden variar con respecto
a lo presentado en esta práctica de laboratorio.
Nota: Asegurarse de que los routers y los switches han sido limpiados y no poseen configuraciones previas.
Recursos Requeridos
• 3 routers con SDM 2.5 instalado (Cisco 1841 con Cisco IOS Versión 12.4(20)T1 o equivalente)
• 2 switches (Cisco 2960 o equivalente)
• PC-A: Windows XP, Vista, o Windows Server con un servidor RADIUS disponible
• PC-C: Windows XP o Vista
• Cables Serial y Ethernet de acuerdo a la topología
• Cables Rollover para configurar los routers a través de la consola
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 3 de 25
Este documento es Información Pública de Cisco.
CCNA Security
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 4 de 25
Este documento es Información Pública de Cisco.
CCNA Security
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 5 de 25
Este documento es Información Pública de Cisco.
CCNA Security
b. Salir a la pantalla inicial del router que muestra: R1 con0 is now available, Press RETURN to get
started.
c. Ingresar utilizando la cuenta user01 y la contraseña previamente definida.
d. ¿Cuál es la diferencia entre ingresar a la consola ahora y antes?
________________________________________________________________________________
e. Luego de ingresar, ejecutar el comando show run. ¿Fue capaz de ejecutar el comando? ¿Por qué
sí o por qué no? __________________________________
f. Ingresar al modo EXEC privilegiado utilizando el comando enable. ¿Le fue solicitada una
contraseña? Por qué sí o por qué no?
______________________________________________________________________
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 6 de 25
Este documento es Información Pública de Cisco.
CCNA Security
Paso 2: Implementar los servicios AAA para el acceso por consola utilizando la base de datos
local.
a. Crear una lista de autenticación de login por defecto ejecutando el comando aaa authentication
login default method1[method2][method3] con una lista de métodos utilizando las palabras
clave local y none.
R3(config)#aaa authentication login default local none
Nota: Si no ha configurado una lista de autenticación de login por defecto, puede quedar bloqueado
fuera del router y verse forzado a utilizar el procedimiento de recuperación de contraseñas para
dicho equipo.
b. Salir a la pantalla inicial del router, que muestra: R3 con0 is now available, Press RETURN to get
started.
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 7 de 25
Este documento es Información Pública de Cisco.
CCNA Security
c. Ingresar a la consola como Admin01 con la contraseña Admin01pass. Recordar que las contraseñas
son sensibles a las mayúsculas. ¿Pudo ingresar al sistema? ¿Por qué sí o por qué no?
_______________________________________________________________________________
Nota: Si su sesión con el Puerto de consola del router expira, puede ser necesario que vuelva a
ingresar utilizando la lista de autenticación por defecto.
d. Salir a la pantalla inicial del router, que muestra: R3 con0 is now available, Press RETURN to get
started.
e. Intentar ingresar a la consola como baduser con cualquier contraseña. ¿Pudo ingresar al sistema?
¿Por qué sí o por qué no?
____________________________________________________________________________
f. Si no se configura ninguna cuenta de usuario en la base de datos local, ¿qué usuarios tienen
permido para acceder al dispositivo?
__________________________________________________________________________
Paso 3: Crear un perfil de autenticación AAA para Telnet utilizando la base de datos local.
a. Crear una lista única de autenticación para el acceso por Telnet al router. Esto no posee el respaldo
del ingreso sin autenticación, por lo que si no existen usuarios definidos en la base de datos local, el
acceso por Telnet se encuentra deshabilitado. Para crear un perfil de autenticación que no sea el
perfil por defecto, especificar la lista de nombre TELNET_LINES y aplicarla a las líneas vty.
R3(config)#aaa authentication login TELNET_LINES local
R3(config)#line vty 0 4
R3(config-line)#login authentication TELNET_LINES
b. Verificar que este perfil de autenticación sea utilizado para abrir una sesión Telnet desde PC-C a R3.
PC-C>telnet 192.168.3.1
Trying 192.168.10.1 ... Open
c. Ingresar como Admin01 con la contraseña Admin01pass. ¿Pudo ingresar al sistema? ¿Por qué sí o
por qué no? ______________________________________________________________________
d. Salir de la sesión Telnet utilizando el comando exit, y conectarse a R3 por telnet nuevamente.
e. Intentar ingresar como baduser con cualquier contraseña. ¿Pudo ingresar al sistema? ¿Por qué sí o
por qué no? ______________________________________________________________________
Paso 1: Implementar los servicios AAA y el acceso HTTP al router antes de iniciar el SDM.
a. Desde el modo de configuración global del CLI, habilitar un nuevo modelo AAA.
R3(config)#aaa new-model
b. Habilitar el servidor HTTP en R3 para acceder al SDM.
R3(config)#ip http server
Nota: Para mayor seguridad, habilitar el servidor de http seguro utilizando el comando ip http
secure-server.
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 8 de 25
Este documento es Información Pública de Cisco.
CCNA Security
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 9 de 25
Este documento es Información Pública de Cisco.
CCNA Security
h. En la ventana Deliver Configuration to Router, asegurarse de que la opción Save running config to
router’s startup config se encuentra seleccionada, y hacer click sobre Deliver.
i. En la ventana Commands Delivery Status, hacer click sobre OK.
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 10 de 25
Este documento es Información Pública de Cisco.
CCNA Security
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 11 de 25
Este documento es Información Pública de Cisco.
CCNA Security
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 12 de 25
Este documento es Información Pública de Cisco.
CCNA Security
Paso 1: Verificar que el reloj del sistema y las marcas de tiempo del debug están configurados
correctamente.
a. Desde el usuario o modo EXEC privilegiado de R3, utilizar el comando show clock para determinar
la hora actual del router. Si la fecha y hora son incorrectas, configurar el reloj con el comando de
modo EXEC privilegiado clock set HH:MM:SS DD month YYYY. A continuación se provee un
ejemplo para R3.
R3#clock set 14:15:00 26 December 2008
b. Verificar que la información detallada de timestamp se encuentra disponible en la salida de debug
utilizando el comando show run. El siguiente comando muestra todas las líneas de la configuración
actual que incluyan el texto “timestamps”.
R3#show run | include timestamps
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 13 de 25
Este documento es Información Pública de Cisco.
CCNA Security
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 14 de 25
Este documento es Información Pública de Cisco.
CCNA Security
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 15 de 25
Este documento es Información Pública de Cisco.
CCNA Security
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 16 de 25
Este documento es Información Pública de Cisco.
CCNA Security
d. ¿En qué puertos se encuentra escuchando WinRadius para la autenticación y los registros de
auditoría? ________________________________________________________________________
c. Hacer click sobre OK. Debe ver un mensaje en la ventana de registro indicando que el usuario ha
sido creado correctamente.
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 17 de 25
Este documento es Información Pública de Cisco.
CCNA Security
c. Hacer click sobre Send para ver un mensaje Send Access_Request indicando que el servidor en
192.168.1.3, con número de puerto 1813, recibió 44 caracteres hexadecimales. En la ventana de
registro de WinRadius, debe ver también un mensaje indicando que el usuario RadUser fue
autenticado con éxito.
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 18 de 25
Este documento es Información Pública de Cisco.
CCNA Security
y el cliente RADIUS (R1 en este caso), que es utilizada para autenticar la conexión entre el router y el
servidor antes de que el proceso de autenticación se realice. El cliente RADIUS puede ser un NAS
(Network Access Server), pero el router R1 juega ese rol en esta práctica de laboratorio. Utilizar la clave
secreta por defecto del NAS especificada en el servidor RADIUS (ver Tarea 2, paso 5). Recordar que las
contraseñas son sensibles a las mayúsculas.
R1(config)#radius-server host 192.168.1.3 key WinRadius
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 19 de 25
Este documento es Información Pública de Cisco.
CCNA Security
b. Comprobar la configuración actual de R1 para las líneas que contengan el comando radius. El
siguiente comando muestra todas las líneas de configuración que incluyen el texto “radius”.
R1#show run | incl radius
aaa authentication login default group radius none
radius-server host 192.168.1.3 auth-port 1645 acct-port 1646 key 7
097B47072B04131B1E1F
< Output omitted >
c. ¿Cuáles son los números de puerto UDP por defecto del IOS de R1 para el servidor RADIUS?
________________________________________________________________________________
Paso 4: Verificar los números de puerto por defecto en el servidor WinRadius en PC-A.
a. Desde el menú principal de WinRadius, seleccionar Settings > System.
b. ¿Cuáles son los números de puerto UDP por defecto de WinRadius? ________________________
Nota: El primer desarrollo de RADIUS fue realizado utilizando el número de puerto UDP 1645 para
autenticación y 1646 para el registro de auditoría, lo que entra en conflicto con el servicio de métrica de
datos. Debido a este conflicto, la RFC 2855 asignó oficialmente los números de puerto 1812 y 1813 para
RADIUS.
Paso 5: Cambiar los números de puerto de RADIUS en R1 para que coincidan con los del
servidor WinRadius.
A menos que se especifique de otra forma, la configuración por defecto de RADIUS del IOS utiliza los
números de puerto UDP 1645 y 1646. Por lo tanto, deben cambiarse los números de puerto del IOS para que
coincidan con los del servidor RADIUS, o los puertos del servidor RADIUS deben cambiarse para que
coincidan con los del IOS del router. En este paso, se modificarán los números de puerto del IOS por los del
servidor RADIUS, de acuerdo a lo especificado en la RFC 2865.
a. Remover la configuración previa utilizando el siguiente comando.
R1(config)#no radius-server host 192.168.1.3 auth-port 1645 acct-port
1646
b. Ejecutar el comando radius-server host nuevamente y esta vez especificar los números de
puerto 1812 y 1813, junto con la dirección IP y la clave secreta del servidor RADIUS.
R1(config)#radius-server host 192.168.1.3 auth-port 1812 acct-port 1813
key WinRadius
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 20 de 25
Este documento es Información Pública de Cisco.
CCNA Security
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 21 de 25
Este documento es Información Pública de Cisco.
CCNA Security
RadUserpass. Si el servidor RADIUS no se encuentra disponible en este momento, todavía será capaz de
ingresar a través de la consola.
Si no realiza esta tarea, lea los pasos para familiarizarse con el proceso del SDM.
Paso 1: Implementar los servicios AAA y el acceso al router por HTTP antes de iniciar el SDM.
a. Desde el modo de configuración global de la CLI, habilitar un nuevo modelo AAA.
R1(config)#aaa new-model
b. Habilitar el servidor HTTP en R1.
R1(config)#ip http server
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 22 de 25
Este documento es Información Pública de Cisco.
CCNA Security
i. En la ventana Deliver Configuration to Router, hacer click sobre Deliver, y en la ventana Commands
Delivery Status, hacer click sobre OK.
j. ¿Qué comandos fueron enviados al router?
________________________________________________________________________________
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 23 de 25
Este documento es Información Pública de Cisco.
CCNA Security
f. En la ventana Deliver Configuration to Router, hacer click sobre Deliver y en la ventana Commands
Delivery Status, hacer click sobre OK.
g. ¿Qué comando(s) se enviaron al router?
________________________________________________________________________________
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 24 de 25
Este documento es Información Pública de Cisco.
CCNA Security
Tarea 6. Reflexión
a. ¿Por qué una organización puede desear utilizar un servidor centralizado de autenticación en lugar
de configurar usuarios y contraseñas en cada router individual?
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
b. Comparar la autenticación local y la autenticación local con AAA.
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
c. En base al contenido online de la Academia, a la investigación web, y a la utilización de RADIUS en
esta práctica de laboratorio, comparar y contrastar RADIUS con TACACS+.
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 25 de 25
Este documento es Información Pública de Cisco.