COMANDO ntp server 192.168.1.5 ntp update-calendar service timestamps log datetime msec logging host 192.168.1.

6 crypto key zeroize rsa ip domain-name ccnasecurity.com username SSHadmin privilege 15 secret ciscosshpa55 crypto key generate rsa line vty 0 15 login local transport input ssh ip ssh time-out 90 ip ssh authentication-retries 2 ip ssh version 2 sh ip ssh login block-for 60 attempts 2 within 30 login quiet-mode access-class login on-success log login on-failure log every 2 aaa new-model aaa authentication login default local line con 0 login authentication default Configurar SSH

DESCRIPCION Actualizar la hora NTP local de acuerdo al NTP server 192.168.1.5 Sincronizar el reloj de software (sh clock) con el reloj de hardware del router (sh calendar). Habilita el servicio de marcas de tiempo en los logs, incluyendo los milisegundos. Enviar mensajes de log mediante syslog al servidor 192.168.1.6 Elimina las llaves de RSA ya generadas en el router.

Bloquea por 60 segundos el acceso a cualquier VTY except las ACL permitidas si existen 2 intentos fallidos dentro de 30 segundos. Loguea todos los accesos permitidos y todos los no permitidos despus de dos intentos. Habilita el servicio de AAA Crea un nuevo tipo de autenticacin AAA que hace uso de las credenciales locales. Este tipo de autenticacin ser el default. Despus aplica la autenticacin a la consola.

aaa authentication login TELNET-LOGIN local Crea un nuevo tipo de autenticacin esta vez llamado TELNET-LOGIN el que hara uso line vty 0 15 tambin de la base de datos de usuarios locales. login authentication TELNET-LOGIN Es despus aplicada a las lneas de VTY. Crea un nuevo tipo de autenticacin esta vez llamado TELNET-LOGIN el que hara uso tambin de la base de datos de usuarios locales. Es despus aplicada a las lneas de VTY. Configura un servidor TACACS+ con la ip 192.168.2.2 y una clave compartida tacacspa55

tacacs-server host 192.168.2.2 key tacacspa55

aaa authentication login default group tacacs+ local radius-server host 192.168.3.2 key radiuspa55 access-list 10 permit host 192.168.3.3 line vty 0 15 access-class 10 in access-list 100 deny ip 10.0.0.0 0.255.255.255 any interface serial 0/0/1 ip access-group 100 in ip access-list extended BLOCKALL

Se genera un mtodo de autenticacin AAA que primero busca las credenciales en el servidor de TACACS+ y si no se puede de manera local. Configura un servidor de tipo Radius con la ip 192.168.3.2 y una clave compartida radiuspa55 Crea una Access list de tipo estndar y permite los paquetes que provienen del host 192.168.3.3. Aplica la Access list 10 para el acceso HACIA las VTY del router. Niega el trafico que tenga como IP origen 10.0.0.0/8. Se aplica la Access list 100 en direccin de entrada en la interfaz s0/0/1

Genera una access list por nombre y extendida llamada BLOCKALL. Y negamos todo el trfico int s 0/0/1 ip access-group BLOCKALL in hacia la interfaz. Mediante CBAC analiza el trafico icmp. Si es aplicado como egress en una interfaz, este trafico se permite cuando viene originado desde otra interfaz interna. Mantiene un record de los mensajes originados por CBAC de intentos legtimos y no legtimos. Los mensajes que se generan son de tipo: %FW-6-SESS_AUDIT_TRAIL_START: Start icmp session: initiator (192.168.3.3:11) responder (192.168.1.3:0) Aplica el anlisis CBAC de la regla llamada CBAC a las sesiones que se origina desde la interfaz hacia afuera. Entonces cuando el trafico es el permitido por CBAC, al regresar por la interfaz hace caso omiso de las Access lists aplicadas en ella. Muestra las conexiones activas en el Firewall de CBAC. SOLO las conexiones activas aparecen, en la forma: sh ip inspect sessions Established Sessions Session 136360920 (192.168.3.3:1026)=>(192.168.1.3:http SIS_OPEN Habilita el debugging de los paquetes CBAC. Crea dos zonas de ZPF llamadas IN-ZONE y OUT-ZONE

ip inspect name CBAC icmp timeout 5

ip inspect audit-trail

int s 0/0/1 ip inspect CBAC out

Show ip inspect sessions

debug ip inspect detailed zone security IN-ZONE zone security OUT-ZONE

access-list 101 permit ip 192.168.3.0 0.0.0.255 any class-map type inspect match-all IN-NETCLASS-MAP match access-group 101 policy-map type inspect IN-2-OUT-PMAP class type inspect IN-NET-CLASSMAP inspect

Se genera una Access list que permita todo el trafico IP originario desde la red 192.168.3.0/24. Genera una class-map llamada IN-NET-CLASSMAP que selecciona todos los paquetes de acuerdo a la Access list 101. Genera una policy-map que nos dice que se va a realizar con el trafico de IN-NET-CLASS-MAP. En este caso se va solo a inspeccionar.

zone-pair security IN-2-OUT-ZPAIR source INZONE destination OUT-ZONE Se genera el par del tipo de trfico desde la zona service-policy type inspect IN-2-OUT- interna hacia la externa. PMAP interface fastEthernet 0/1 zone-member security IN-ZONE inter s 0/0/1 zone-member security OUT-ZONE show policy-map type inspect zone-pair sessions mkdir flash:ipsdir ip ips config location flash:ipsdir ip ips notify log logging console ip ips name iosips ip ips signature-category category all retired true category ios_ips basic retired false Int fa 0/0 ip ips iosips out Se aplican las zonas en las interfaces.

Muestra las sesiones activas de ZPF Genera una carpeta en la memoria de la flash llamada ipsdir. Se configura el IPS para que las firmas se guarden en el ipsdir. Habilita el servicio de syslog para IPS. El logging console es para que se muestren tambin los logs del IPS en la consola. Se genera una regla de ips llamada iosips. Es recomendable retirar todas las categoras de las firmas, ya que de lo contrario se utilizaran todas y el router no tendr memoria. Se hacen uso de las firmas de la categora ios_ips basic. Este comando permite que se cargen las firmas de esa categora a memoria. Lo que NO significa que ya se vayan a utilizar. Se aplica el IPS en una interfaz ya sea como in o out. Esto generara algunos logs.

Desde cisco.com se pueden descargar las firmas R1#copy tftp://192.168.1.3/IOS-S364-CLI.pkg de IOS que tienen una extensin de pkg. Asi tambin se debe de copiar la llave publica en el idconf prompt del router, con esta llave, el router copy ftp://admin: cisco@192.168.1.3/IOSverifica que las firmas son de cisco. S364-CLI.pkg idconf 1.Copiamos las firmas 2.Copiamos por tftp o ftp el paquete. NOTAR el idconf al final.

sh ip ips signatures count

Verificamos que estn cargadas las firmas en el router, estas deben de ser mas de 2000. NOTA: El Packet Tracert tiene una firma disponible que es la de echo request. Es la 2004 0

ip ips signature-definition signature 2004 0 status retired false enabled true engine event-action denypacket-inline event-action producealert event-action reset-tcpconnection spanning-tree vlan 1 root primary Asignar a switch como Root Bridge de VLAN 1. Si la prioridad estaba por default. El switch selecciona 24576. Selecciona al switch como secundario en la eleccin de Root Bridge asignndole una prioridad de 28753. Habilita portfast en la interfaz. Habilita BPDU Guard. Cuando recibe la interfaz un BPDU por esta interfaz, el puerto se pone en err-disable. Enviando este mensaje: %PM-4-ERR_DISABLE: bpduguard error detected on 0/1, putting 0/1 in err-disable state Root Guard se habilita en los puertos designados para evitar recibir un BPDU con menor prioridad de algn switch que quiera convertir el puerto en root port. Si esto sucede, el puerto se convierte en un estado inconsistente, y sale el siguiente mensaje: %SPANTREE-2-ROOTGUARDBLOCK: Port 0/24 tried to become non-designated in VLAN 1. Moved to root-inconsistent state interface gigabitEthernet 0/1 storm-control broadcast level 50 storm-control action shutdown|trap Se habilita el control de tormentas de broadcast en la interfaz. Cuando esta supera el 50 por ciento esta puede apagarse o generar solamente una alerta. Se retira la firma echo request y se configura una accin de tipo INLINE con bloqueo y produccin de alerta.

spanning-tree vlan 1 root secondary

interface FastEthernet0/4 spanning-tree portfast spanning-tree bpduguard enable

interface range fastEthernet 0/23 24 spanning-tree guard root

sh storm-control broadcast interface range fastEthernet 0/1 4 switchport mode Access switchport port-security switchport port-security maximum 2 switchport port-security violation shutdown switchport port-security mac-address sticky

Muestra en una tabla los valores de porcentaje de utilizacin.

Se configura port segurity en los puertos de acceso para aprender de manera dinmica mediante sticky un mximo de 2 MAC add, al ocurrir la violacin el puerto se apagara.

Se verifica que se encuentre habilitado el port security en el puerto, pej uno habilitado: Port Security : Enabled Port Status : Secure-up Sh port-security inter fa0/1 Violation Mode : Shutdown Y uno deshabilitado: Port Security : Disabled Port Status : Secure-down Violation Mode : Shutdown monitor session 1 source interface fa0/5 both monitor session 1 destination interface fa0/6 access-list 110 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.25 crypto isakmp policy 10 encryption des hash sha authentication pre-share group 2 lifetime 86400 crypto isakmp key vpnpa55 address 10.2.2.2 crypto ipsec transform-set VPN-SET esp-3des esp-sha-hmac crypto map VPN-MAP 10 ipsec-isakmp set peer 10.2.2.2 match address 110 set transform-set VPN-SET FASE 1: Configuramos la shared-secret. FASE2: Configuramos la transform set. FASE 1: Configuramos la poltica de ISAKMP Se configura SPAN que hace que el trafico de fa0/5 sea copiado en ambas direcciones (both) hacia el puerto fa0/6 Configuramos la ACL del trafico de inters

FASE2: Configuramos el MAP que juntara la fase 1 de la 2.

interface serial 0/0/0 crypto map VPN-MAP Sh crypto ipsec sa

Aplicamos la VPN en la interfaz Verificamos que los paquetes aumenten cuando atraviesa trafico en la VPN.