

Configuración de DHCP Snooping para el CCNA 200-301

Fundamentos de Seguridad Comandos Cisco CCNA 200-301
Ejemplo de configuración de seguridad en un Switch
Switch# configure terminal
Switch(config)# hostname Switch9200
Switch9200(config)# enable secret cisco
Switch9200(config)# line console 0
Switch9200(config-line)# logging synchronous
Switch9200(config-line)# login
Switch9200(config-line)# passwotch cisco
Switch9200(config-line)# exec-timeout 0 0
Switch9200(config-line)# exit
Switch9200(config)# line vty 0 15
Switch9200(config-line)# login
Switch9200(config-line)# password cisco
Switch9200(config-line)# exit
Switch9200(config)# ip default-gateway 192.168.100.1
Switch9200(config)# interface vlan 1
Switch9200(config-if)# ip Address 192.168.100.2 255.255.255.0
Switch9200(config-if)# no shutdown
Switch9200(config-if)# interface Gigabitethernet 0/1
Switch9200(config-if)# description *** Enlace a Router ***
Switch9200(config-if)# interface fastethernet 0/1
Switch9200(config-if)# description *** Conexión a PC1 ***
Switch9200(config-if)# switch mode Access
Switch9200(config-if)# switchport port-security
Switch9200(config-if)# switchport port-security mac-address sticky
Switch9200(config-if)# switchport port-security maximum 1
Switch9200(config-if)# switchport port-security violation shutdown
Switch9200(config-if)# interface fastethernet 0/2
Switch9200(config-if)# description *** Conexión a PC2 ***
Switch9200(config-if)# switchport mode Access
Switch9200(config-if)# switchport port-security mac-address dddd.eeee.ffff
Switch9200(config-if)# switchport port-security máximum 1
Switch9200(config-if)# switchport port-security violation shutdown
Switch9200(config-if)# exit
Switch9200(config)# exit
Switch9200# copy running-config startup-config
Fundamentos de Seguridad Comandos Cisco CCNA 200-301
✔️Configuración de Password en un Switch
Switch9200(config)# enable password cisco
Switch9200(config)# enable secret ciscosecret
Switch9200(config)# line console 0
Switch9200(config-line)# login
Switch9200(config-line)# password cisco
Switch9200(config-line)# exit
Switch9200(config)# line vty 0 15
Switch9200(config-line)# login
Switch9200(config-line)# password cisco
Switch9200(config-line)# exit
Switch9200(config)#
✔️Configuración de Static MAC Addresses
Switch9200(config)# mac Address-table static aaaa.bbbb.cccc vlan 1 interface fastethernet 0/1
Switch9200(config)# no mac Address-table static aaaa.bbbb.cccc vlan 1 interface fastethernet 0/1
✔️Configuración de Switch Port Security
Switch9200(config)# interface fastethernet 0/1
Switch9200(config-if)# switchport mode Access
Switch9200(config-if)# swithport port-security
Switch9200(config-if)# switchport port-security maximum 4
Switch9200(config-if)# switchport port-security mac-address aaaa.bbbb.cccc
Switch9200(config-if)# switchport port-security violation shutdown
Switch9200(config-if)# switchport port-security violation restrict
Switch9200(config-if)# switchport port-security violation protect
✔️Configuración de Sticky MAC Address
Switch9200(config)# interface fastethernet 0/5
Switch9200(config)# switchport port-security mac-address sticky
Switch9200(config)# switchport port-security mac-address sticky vlan 10 voice
✔️Verificando Switch Port Security
Switch9200# show port-security
Switch9200# show port-security interface fastethernet 0/5
Switch9200# show port-security Address
Switch9200# show mac address-table [dynamic]
✔️Configuración de DHCP Snooping
Switch9200(config)# ip dhcp snooping
Switch9200(config)# ip dhcp snooping vlan 20
Switch9200(config)# ip dhcp snooping vlan 10-35
Switch9200(config)# ip dhcp snooping vlan 20 30
Switch9200(config)# ip dhcp snooping vlan 10,12,14
Switch9200(config)# ip dhcp snooping vlan 10-12,14
Switch9200(config)# ip dhcp snooping information option
Switch9200(config)# interface fastethernet 0/1
Switch9200(config-if)# switchport mode trunk
Switch9200(config-if)# switchport trunk encapsulation dot1q
Switch9200(config-if)# switchport trunk allowed vlan 10,20
Switch9200(config-if)# ip dhcp snooping trust
Switch9200(config-if)# ip dhcp snooping limit rate 75
Switch9200(config-if)# exit
Switch9200(config)# ip dhcp snooping verify mac-address
✔️Verificación de DHCP Snooping
Switch9200# show ip dhcp snooping
Switch9200# show ip dhcp snooping binding
Switch9200# show ip dhcp source binding
Switch9200# show run
✔️Configuración de Dynamic ARP Inspection (DAI)
Switch9200(config)# ip dhcp snooping
Switch9200(config)# ip dhcp snooping vlan 10-20
Switch9200(config)# ip arp inspection validate src-mac
Switch9200(config)# ip arp inspection validate dst-mac
Switch9200(config)# ip arp inspection validate ip
Switch9200(config)# interface fastethernet 0/24
Switch9200(config-if)# ip dhcp snooping trust
Switch9200(config-if)# ip arp inspection trust
✔️Verificando DAI
Switch9200# show ip arp inspection interfaces
Switch9200# show ip arp inspection vlan 10
Switch9200# show ip arp inspection statistics vlan 10

Seguridad en el acceso a dispositivos Cisco
Niveles de acceso
La línea de comando de Cisco CLI (Command line interface) utiliza niveles jerárquicos de acceso, que son modo EXEC usuario y modo EXEC privilegiado.
Por defecto, no se requiere autenticación. Si conecta un cable de consola Cisco a nuestro switch o router, esto es lo que sucede:
Switch con0 is now available
Press RETURN to get started.
Switch>
Una vez que presionamos el botón Intro de nuestro teclado, terminamos en el modo de usuario de inmediato. No hay contraseña ni nada. Lo mismo se aplica al modo enable:
Switch>enable
Switch#
El acceso a modo privilegiado podemos bloquearla utilizando una clave encriptada por medio del siguiente comando
Switch(config)# enable secret [clave]
Seguridad del modo de usuario
Clave simple:
La opción más simple para proteger el modo de usuario es agregar una contraseña, como sigue:
Switch(config)#line console 0
Switch(config-line)#password cisco
Switch(config-line)#login
Username y Password:
En lugar de una sola contraseña, también es posible usar nombres de usuario y contraseñas. Esta es una mejor opción, si tenemos varias personas que necesitan acceder a un switch o router. Aquí se explica cómo hacer esto:
Switch(config)#line console 0
Switch(config-line)#login local
Switch(config-line)#exit
Switch(config)#username admin privilege 15 secret adminpass
El comando “login local” le indica al switch que consulte una base de datos local de nombres de usuarios y contraseñas.
El comando “username [user] privilege [nivel] secret [clave]”, indica el nombre del usuario, el nivel de privilegio del usuario y una clave secreta encriptada.
Cisco IOS permite configurar 16 niveles de usuario diferente (0 a 15).
- Usuario nivel 0 – Sólo accede a modo usuario.
- Usuario nivel 1 a 14 – Se pueden asignar diferentes comandos para cada nivel.
- Usuario nivel 15 – Acceso a modo privilegiado completo.
La próxima vez que abra la consola, esto es lo que ve:
Switch con0 is now available
Press RETURN to get started.
User Access Verification
Username: admin
Password:
Switch>

CCNA Practica de Configuración de port security

CCNA Configuración de listas de accesos para filtro de tráfico IPv4

Como decodificar contraseña de Cisco IOS
Hay distintos tipos de contraseñas como las siguientes:
- De tipo 0, se guardan en texto plano. Es decir seguridad nula.
- Por ejemplo: enable password eclassvirtual
- De tipo 5, a cada contraseña se le aplica el algoritmo MD5 Unix, almacenándose su correspondiente hash. Se considera el más seguro.
- Por ejemplo: enable secret eclassvirtual
- De tipo 7, similar al anterior siéndole aplicado un algoritmo definido por Cisco. Fácilmente descifrable.
- Por ejemplo: enable password eclassvirtual
service password-encryption
Veamos un ejemplo más concreto con “contraseña de tipo 0”, supongamos que tenemos la configuración de un router con la siguiente configuración:
hostname R1
!
enable password cisco
En este caso la password en texto claro es “cisco”
Ahora tenemos la siguiente configuración:
service password-encryption
!
hostname R1
!
enable password 7 094F471A1A0A
La clave ahora aparece cifrada (Contraseña de tipo 7) y se muestra como “094F471A1A0A”, sin embargo este mecanismo de cifrado es muy débil y podemos descifrar incluso en paginas en internet, como por ejemplo el siguiente sitio web:
http://www.ifm.net.nz/cookbooks/passwordcracker.html
También es posible descifrar “contraseñas del tipo 5”, tenemos ahora la siguiente configuración:
hostname R1
!
enable secret 5 $1$6TwN$c3UXTuHI5vOy/tS4MMYPx.
http://www.ifm.net.nz/cookbooks/cisco-ios-enable-secret-password-cracker.html
En este caso y como se indica en la página de ifm.net.nz, el descifrado de la contraseña tipo 5, se logra en contraseñas débiles, en este caso “cisco123”, por lo que para contraseñas más fuertes se deben usar otro tipo de herramientas como “cain” con diccionarios de contraseñas más completos.