Escolar Documentos
Profissional Documentos
Cultura Documentos
Tabla de direccionamiento IP
Dispositivo
R1
Interfaz
FA0/1
Direccin IP
192.168.1.1
Mscara
de
Subred
255.255.255.0
Gateway
defecto
N/A
por
Puerto
del
Switch
S1 FA0/5
10.1.1.1
255.255.255.252
N/A
N/A
R2
S0/0/0
(DCE)
S0/0/0
10.1.1.2
255.255.255.252
N/A
N/A
10.2.2.2
255.255.255.252
N/A
N/A
R3
S0/0/1
(DCE)
FA0/1
192.168.3.1
255.255.255.0
N/A
S3 FA0/5
S0/0/1
10.2.2.1
255.255.255.252
N/A
N/A
PC-A
NIC
192.168.1.3
255.255.255.0
192.168.1.1
S1 FA0/6
PC-C
NIC
192.168.3.3
255.255.255.0
192.168.3.1
S3 FA0/18
CCNA Security
Objetivos
Parte 1: Configuracin Bsica de los Dispositivos de la Red
Realizar la configuracin bsica, como nombre de host, direcciones IP de las interfaces, y contraseas
de acceso.
Configurar un usuario de la base de datos local y un acceso local para las lneas de consola, vty y aux.
Probar la configuracin.
Probar la configuracin.
Configurar servicios AAA en un router para acceder al servidor RADIUS para autenticacin con IOS .
Configurar servicios AAA en un router para acceder al servidor RADIUS para la autenticacin con SDM .
Escenario
La forma ms bsica de seguridad de acceso a un router consiste en crear contraseas de acceso para las
lneas de consola, vty y aux. Al usuario se le solicita una nica contrasea cuando intent a accede al router.
Configurando la contrasea secreta de modo EXEC privilegiado aumenta el nivel de seguridad, pero an as
se requiere una nica contrasea para cada modo de acceso.
Adems de las contraseas bsicas, es posible definir nombres de usuario o cuentas especficas con
diferentes niveles de privilegios en la base de datos del router local, que pueden aplicarse a todo el router.
Cuando se configuran las lneas de consola, vty o aux para referirse a esta base de datos local, al usuario se
le solicitan un nombre de usuario y una contrasea al intentar acceder cualquiera de estas lneas para
acceder al router.
Es posible obtener un control adicional sobre el proceso de login utilizando AAA. Para la autenticacin
bsica, AAA puede ser configurado para acceder a la base de datos local de usuarios, y tambin pueden
definirse procedimientos de respaldo. Sin embargo, esta solucin no es muy escalable ya que debe ser
configurada en cada router. Para aprovechar al mximo AAA y obtener la mayor escalabilidad, es utilizado en
conjunto con la base de datos de un servidor TACACS+ o RADIUS externo. Cuando un usuario intenta
ingresar, el router referencia a la base de datos del servidor externo para verificar que el nombre de usuario y
la contrasea sean vlidos.
En esta prctica de laboratorio, usted construir una red con mltiples routers, y configurar los routers y los
hosts. Utilizar diferentes comandos de la CLI y las herramientas del SDM para configurar los routers con
autenticacin local utilizando AAA. Instalar un servidor RADIUS en una computadora externa y utilizar AAA
para autenticar a los usuarios con dicho servidor.
Nota: Los comandos y salida del router en esta prctica de laboratorio corresponden con un equipo Cisco
1841 con un IOS versin 12.4(20)T (Advanced IP image). Pueden utilizarse otras versiones de equipos e
IOS. Ver la tabla de Resumen de Interfaces del Router al final de esta actividad para determinar qu
identificadores de interfaz deben utilizarse en base al equipamiento del laboratorio. Dependiendo del modelo
de router y de la versin del IOS, los comandos disponibles y la salida generada pueden variar con respecto
a lo presentado en esta prctica de laboratorio.
CCNA Security
Nota: Asegurarse de que los routers y los switches han sido limpiados y no poseen configuraciones previas.
Recursos Requeridos
3 routers con SDM 2.5 instalado (Cisco 1841 con Cisco IOS Versin 12.4(20)T1 o equivalente)
PC-A: Windows XP, Vista, o Windows Server con un servidor RADIUS disponible
PC-C: Windows XP
b.
c.
Configurar el clock rate de los routers con un cable serial DCE conectado a sus interfaces seriales.
R1(config)#interface S0/0/0
R1(config-if)#clock rate 64000
d.
Para evitar que el router intente traducir los comandos ingresados en forma incorrecta como si se
tratara de nombres de host, deshabilitar la bsqueda DNS.
R1(config)#no ip domain-lookup
Configurar la ruta esttica por defecto desde R1 hacia R2 y desde R3 hacia R2.
b.
Configurar una ruta esttica desde R2 hacia la LAN de R1 y desde R2 hacia la LAN de R3.
CCNA Security
b.
Nota: Si puede ejecutar un ping desde PC-A hasta PC-C, ha demostrado que el enrutamiento esttico se
encuentra configurado y funciona correctamente. Si no puede ejecutar el ping, pero las interfaces de los
dispositivos y las direcciones IP son correctos, utilizar los comandos show run y show ip route para
identificar los problemas relacionados con el enrutamiento.
b.
c.
d.
Configurar una contrasea de consola y habilitar el login en el router R1. Para mayor seguridad, el
comando exec-timeout provoca la desconexin de la lnea luego de 5 minutos de inactividad. El
comando logging synchronous previene la aparicin de mensajes de consola que interrumpan la
entrada de comandos.
e.
Nota: Para evitar la reiteracin de logins durante esta actividad, el comando exec-timeout puede
ser configurado con 0 0, lo cual evita que expire. Sin embargo, esto no es considerado una buena
prctica de seguridad.
R1(config)#line console 0
R1(config-line)#password ciscoconpass
R1(config-line)#exec-timeout 5 0
R1(config-line)#login
R1(config-line)#logging synchronous
f.
g.
CCNA Security
R1(config-line)#login
g.
h.
Ejecutar el comando show run. Puede leer ahora las contraseas de consola, aux y vty? Por qu
s o por qu no?
________________________________________________________________________
Configurar una advertencia para el uso no autorizado, utilizando un banner MOTD (message-of-theday) con el comando banner motd. Cuando un usuario se conecta al router, el banner MOTD
aparece antes del prompt de login. En este ejemplo, el signo de dlares ($) es utilizado para
comenzar y terminar el mensaje.
R1(config)#banner motd $Unauthorized access
prosecuted to the full extent of the law$
R1(config)#exit
strictly
proh ibited
and
b.
c.
Salir del modo EXEC privilegiado utilizando el comando disable o exit y presionar Enter para
comenzar. El banner MOTD se ve como lo esperaba? _____
Nota: Si la respuesta es no, recrearlo utilizando nuevamente el comando banner motd.
Crear una cuenta de usuario local utilizando hashing MD5 para cifrar la contrasea.
R1(config)#username user01 secret user01pass
b.
Salir del modo de configuracin global y mostrar la configuracin actual. Puede leer la contrasea
del usuario? ________________________
Configurar la lnea de consola para que utilice los nombre de usuario y contraseas definidos
localmente.
R1(config)#line console 0
R1(config-line)#login local
b.
Salir a la pantalla inicial del router que muestra: R1 con0 is now available, Press RETURN to get
started.
c.
d.
CCNA Security
e.
Luego de ingresar, ejecutar el comando show run. Fue capaz de ejecutar el comando? Por qu
s o por qu no? __________________________________
f.
Ingresar al modo EXEC privilegiado utilizando el comando enable. Le fue solicitada una
contrasea? Por qu s o por qu no?
______________________________________________________________________
b.
c.
d.
Configurar las lneas vty para que utilicen las cuentas de login definidas localmente.
R1(config)#line vty 0 4
R1(config-line)#login local
e.
f.
g.
h.
Mientras est conectado a R1 mediante Telnet, acceder al modo EXEC privilegiado con el comando
enable.
i.
j.
Para mayor seguridad, configurar el puerto aux para que utilice las cuentas de login definidas
localmente.
R1(config)#line aux 0
R1(config-line)#login local
k.
b.
Nota: Remover todas las ocurrencias de - - More - -. Remover cualquier comando que no se relacione
con los tems configurados en las Partes 1 y 2 de la prctica de laboratorio, tales como el nmero de
versin del IOS, etc. Muchos comandos son ingresados en forma automtica por el IOS. Adems,
reemplace las contraseas cifradas con las correctas especificadas anteriormente.
CCNA Security
b.
Crear una cuenta de usuario local utilizando hashing MD5 para cifrar la contrasea.
R3(config)#username Admin01 privilege 15 secret Admin01pass
b.
Salir del modo de configuracin global y mostrar la configuracin actual. Puede leer la contrasea
del usuario? _________________________________________________________________
En R3, habilitar los servicios con el comando de configuracin global aaa new-model. Debido a
que se est implementando la autenticacin local, utilizar autenticacin local como primer mtodo, y
sin autenticacin como mtodo secundario.
Si estuviera utilizando un mtodo de autenticacin con un servidor remoto, como TACACS+ o
RADIUS, se debera configurar un mtodo de autenticacin secundario de respaldo, si el servidor se
encontrara inaccesible. En general, el mtodo secundario es la base de datos local. En este caso, si
no se configuran nombres de usuario en la base de datos local, el router permite el ingreso de todos
los usuarios con acceso al dispositivo.
b.
Paso 2: Implementar los servicios AAA para el acceso por consola utilizando la base de datos
local.
a.
Crear una lista de autenticacin de login por defecto ejecutando el comando aaa authentication
login default method1[method2][method3] con una lista de mtodos utilizando las palabras
clave local y none.
R3(config)#aaa authentication login default local none
Nota: Si no ha configurado una lista de autenticacin de login por defecto, puede quedar bloqueado
fuera del router y verse forzado a utilizar el procedimiento de recuperacin de contraseas para
dicho equipo.
b.
Salir a la pantalla inicial del router, que muestra: R3 con0 is now available, Press RETURN to get
started.
c.
Ingresar a la consola como Admin01 con la contrasea Admin01pass. Recordar que las contraseas
son sensibles a las maysculas. Pudo ingresar al sistema? Por qu s o por qu no?
_______________________________________________________________________________
CCNA Security
Nota: Si su sesin con el Puerto de consola del router expira, puede ser necesario que vuelva a
ingresar utilizando la lista de autenticacin por defecto.
d.
Salir a la pantalla inicial del router, que muestra: R3 con0 is now available, Press RETURN to get
started.
e.
Intentar ingresar a la consola como baduser con cualquier contrasea. Pudo ingresar al sistema?
Por qu s o por qu no?
____________________________________________________________________________
f.
Paso 3: Crear un perfil de autenticacin AAA para Telnet utilizando la base de datos local.
a.
Crear una lista nica de autenticacin para el acceso por Telnet al router. Esto no posee el respaldo
del ingreso sin autenticacin, por lo que si no existen usuarios definidos en la base de datos local, el
acceso por Telnet se encuentra deshabilitado. Para crear un perfil de autenticaci n que no sea el
perfil por defecto, especificar la lista de nombre TELNET_LINES y aplicarla a las lneas vty.
R3(config)#aaa authentication login TELNET_LINES local
R3(config)#line vty 0 4
R3(config-line)#login authentication TELNET_LINES
b.
Verificar que este perfil de autenticacin sea utilizado para abrir una sesin Telnet desde PC-C a R3.
PC-C>telnet 192.168.3.1
Trying 192.168.10.1 ... Open
c.
Ingresar como Admin01 con la contrasea Admin01pass. Pudo ingresar al sistema? Por qu s o
por qu no? ______________________________________________________________________
d.
Salir de la sesin Telnet utilizando el comando exit, y conectarse a R3 por telnet nuevamente.
e.
Intentar ingresar como baduser con cualquier contrasea. Pudo ingresar al sistema? Por qu s o
por qu no? ______________________________________________________________________
Paso 1: Implementar los servicios AAA y el acceso HTTP al router antes de iniciar el SDM.
a.
Desde el modo de configuracin global del CLI, habilitar un nuevo modelo AAA.
R3(config)#aaa new-model
b.
Nota: Para mayor seguridad, habilitar el servidor de http seguro utilizando el comando ip http
secure-server.
CCNA Security
b.
Ingresar sin nombre de usuario y con la contrasea secreta de modo enable cisco12345.
c.
d.
Configurar el SDM para realizar una vista previa de los comandos antes de enviarlos al router.
Seleccionar Edit > Preferences.
e.
b.
c.
d.
e.
Ingresar la contrasea Admin01pass en los campos New Password y Confirm New Password.
(Recordar que las contraseas son sensibles a las maysculas .)
f.
Confirmar que la opcin Encrypt Password using MD5 Hash Algorithm est seleccionada.
g.
CCNA Security
h.
En la ventana Deliver Configuration to Router, asegurarse de que la opcin Save running config to
routers startup config se encuentra seleccionada, y hacer click sobre Deliver.
i.
b.
Seleccionar Additional Tasks > AAA > Authentication Policies > Login.
c.
d.
En la ventana Add a Method List for Authentication Login, verificar que la opcin Default se
encuentra seleccionada en el campo Name.
CCNA Security
e.
f.
En la ventana Select Method List(s) for Authentication Login, seleccionar local y hacer click sobre
OK. Tomar nota de los otros mtodos listados, los cuales incluyen RADIUS (group radius) y
TACACS+ (group tacacs+).
CCNA Security
g.
h.
Repetir los pasos 4f y 4g, y seleccionar none como Segundo mtodo de autenticacin.
i.
En la ventana Deliver Configuration to Router, asegurarse de que la opcin Save running config to
router's startup config se encuentra seleccionada, y hacer click sobre Deliver. En la ventana
Commands Delivery Status, hacer click sobre OK.
j.
Qu
comandos
fueron
enviados
al
router?
________________________________________________________________________________
Salir a la pantalla inicial del router que muestra: R3 con0 is now available, Press RETURN to get
started.
b.
Ingresar a la consola como Admin01 con la contrasea Admin01pass. Pudo ingresar al sistema?
Por qu s o por qu no? ___________________________________________________________
c.
Salir a la pantalla inicial del router que muestra: R3 con0 is now available, Press RETURN to get
started.
d.
Intentar ingresar a la consola como baduser. Pudo ingresar al sistema? Por qu s o por qu no?
________________________________________________ ________________________________
Si no existen cuentas de usuario configuradas en la base de daros local, qu usuarios tienen
permiso de acceso al dispositivo? ____________________________________________________
e.
Ingresar a la consola como Admin01 con la contrasea Admin01pass. Ingresar al modo EXEC
privilegiado utilizando la contrasea secreta de modo enable cisco12345 y luego ver la configuracin
actual. Qu comandos se encuentran asociados a la sesin del SDM?
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
CCNA Security
Paso 1: Verificar que el reloj del sistema y las marcas de tiempo del debug estn configurados
correctamente.
a.
Desde el usuario o modo EXEC privilegiado de R3, utilizar el comando show clock para determinar
la hora actual del router. Si la fecha y hora son incorrectas, configurar el reloj con el comando de
modo EXEC privilegiado clock set HH:MM:SS DD month YYYY. A continuacin se provee un
ejemplo para R3.
R3#clock set 14:15:00 26 December 2008
b.
c.
d.
b.
c.
Ingresar con el nombre de usuario Admin01 y la contrasea Admin01pass. Observar los eventos de
autenticacin AAA en la ventana de la sesin de consola. Los mensajes de debug deben verse
similares a los siguientes.
R3#
Dec 26 14:36:42.323: AAA/BIND(000000A5): Bind i/f
Dec 26 14:36:42.323: AAA/AUTHEN/LOGIN (000000A5):
'default'
d.
Pick
method
list
Desde la ventana de Telnet, ingresar al modo EXEC privilegiado. Utilizar la contrasea secreta de
modo enable cisco12345. Deben mostrarse mensajes de debug similares a los siguientes. En el
tercer mensaje, notar el nombre de usuario (Admin01), el nmero de puerto virtual (tty194), y la
direccin del cliente remoto Telnet (192.168.3.3). Adems notar que el estado del ltimo mensaje es
PASS.
R3#
Dec 26 14:40:54.431: AAA: parse name=tty194 idb type=-1 tty=-1
Dec 26 14:40:54.431: AAA: name=tty194 flags=0x11 type=5 shelf=0 slot=0
adapter=0 port=194 channel=0
Dec
26
14:40:54.431:
AAA/MEMORY:
create_user
(0x64BB5510)
user='Admin01' ruser=' NULL' ds0=0 port='tty194' rem_addr='192.168.3.3'
CCNA Security
authen_type=ASCII
service=ENABLE
priv=15
initial_task_id='0',
vrf=
(id=0)
Dec 26 14:40:54.431: AAA/AUTHEN/START (2467624222) : port='tty194'
list='' action=LOGIN service=ENABLE
Dec 26 14:40:54.431: AAA/AUTHEN/START (2467624222): non -console enable
default to enable password
Dec 26 14:40:54.431: AAA/AUTHEN/START (2467624222): Method=ENABLE
R3#
Dec 26 14:40:54.435: AAA/AUTHEN(2467624222): Status=GETPASS
R3#
Dec 26 14:40:59.275: AAA/AUTHEN/CONT (2467624222): continue_login
(user='(undef)')
Dec 26 14:40:59.275: AAA/AUTHEN(2467624222): Status=GETPASS
Dec 26 14:40:59.275: AAA/AUTHEN/CONT (2467624222): Method=ENABLE
Dec 26 14:40:59.287: AAA/AUTHEN(2467624222): Status=PASS
Dec 26 14:40:59.287: AAA/MEMORY: free_user (0x64BB5510) user='NULL'
ruser='NULL'
port='tty194'
rem_addr='192.168.3.3'
authen_type=ASCII
service=ENABLE priv=15 v
rf= (id=0)
e.
Desde la ventana de Telnet, salir del modo EXEC privilegiado utilizando el comando disable. Intentar
ingresar nuevamente al modo EXEC privilegiado, pero utilizando una contrasea errnea esta vez.
Observar la salida de debug en R3, notando que el estado esta vez indica FAIL.
Dec 26 15:46:54.027: AAA/AUTHEN(2175919868): Status=GETPASS
Dec 26 15:46:54.027: AAA/AUTHEN/CONT (2175919868): Method=ENABLE
Dec 26 15:46:54.039: AAA/AUTHEN(2175919868): password incorrect
Dec 26 15:46:54.039: AAA/AUTHEN(2175919868): Status=FAIL
Dec 26 15:46:54.039: AAA/MEMORY: free_user (0x6615BFE4) user='NULL'
ruser='NULL'
port='tty194' rem_addr='192.168.3.3' authen_type=ASCII service=ENABLE
priv=15 v
rf= (id=0)
f.
Desde la ventana de Telnet, salir de la sesin Telnet del router. Luego, intentar abrir una nueva
sesin Telnet con el router, pero esta vez ingresando con el nombre de usuario Admin01 y una
contrasea incorrecta. Desde la ventana de consola, la salida de debug debe verse similar a la
siguiente..
Dec 26 15:49:32.339:
'default'
AAA/AUTHEN/LOGIN
(000000AA):
Pick
method
list
CCNA Security
b.
c.
Cuando el router reinicie, ingresar al modo EXEC privilegiado con el comando enable, e ingresar
luego al modo de configuracin global. Utilizar la funcin de HyperTerminal Transfer > Send File,
copiar y pegar o utilizar otro mtodo para cargar la configuracin inicial bsica para R1 creada y
guardada previamente en la Parte 2 de esta prctica de laboratorio.
b.
Probar la conectividad ejecutando un ping desde PC-A hacia PC-C. Si el ping no es exitoso, realizar
la resolucin de problemas de configuracin en la PC y en el router.
c.
d.
Crear una carpeta llamada WinRadius en el escritorio u otra ubicacin donde se almacenen archivos.
b.
c.
Guardar el archivo zip descargado en la carpeta creada en el Paso 1, y extraer los archivos
comprimidos dentro de la misma carpeta. No existe un programa de instalacin. El archivo
WinRadius.exe extrado es ejecutable.
d.
CCNA Security
Please go
database.
to
Settings/Database
and
create
the
ODBC
for
your
RADIUS
Seleccionar Settings > Database en el men principal, y se mostrar la siguiente pantalla. Hacer
click sobre el botn Configure ODBC automatically y luego hacer click sobre OK. Debe ver un
mensaje indicando que la ODBC fue creada con xito. Salir de WinRadius y reiniciar la aplicacin
para que los cambios tengan efecto.
c.
CCNA Security
d.
b.
Ingresar el nombre de usuario RadUser con la contrasea RadUserpass. Recordar que las
contraseas son sensibles a las maysculas.
c.
Hacer click sobre OK. Debe ver un mensaje en la ventana de registro indicando que el usuario ha
sido creado correctamente.
El archivo zip descargado incluye una herramienta de pruebas de WinRadius. Recorrer la carpeta
donde se colocaron los archivos descomprimidos y buscar un archivo llamado RadiusTest.exe.
b.
CCNA Security
c.
Hacer click sobre Send para ver un mensaje Send Access_Request indicando que el servidor en
192.168.1.3, con nmero de puerto 1813, recibi 44 caracteres hexadecimales. En la ventana de
registro de WinRadius, debe ver tambin un mensaje indicando que el usuario RadUser fue
autenticado con xito.
d.
Configurar la lista que utilizar primero el servicio de autenticacin RADIUS. Si no puede alcanzarse
ningn servidor RADIUS y no puede realizarse la autenticacin, el router permite el acceso global sin
autenticacin. Esta es una medida de seguridad en el caso en que el router se inicie sin conectividad
con un servidor RADIUS activo.
R1(config)#aaa authentication login default group radius none
b.
Nota: Si no configura una lista por defecto de autenticacin de login, puede quedar bloqueado fuera del
router, y puede ser necesario realizar el procedimiento de recuperacin de contraseas.
CCNA Security
y el cliente RADIUS (R1 en este caso), que es utilizada para autenticar la conexin entre el router y el
servidor antes de que el proceso de autenticacin se realice. El cliente RADIUS puede ser un NAS
(Network Access Server), pero el router R1 juega ese rol en esta prctica de laboratorio. Utilizar la clave
secreta por defecto del NAS especificada en el servidor RADIUS (ver Tarea 2, paso 5). Recordar que las
contraseas son sensibles a las maysculas.
R1(config)#radius-server host 192.168.1.3 key WinRadius
Si se reinici el servidor WinRadius, debe volver a crearse el usuario RadUser con la contrasea
RadUserpass seleccionando Operation > Add User.
b.
Limpiar el log del servidor WinRadius seleccionando Log > Clear en el men principal.
c.
En R1, salid a la pantalla inicial del router que muestra: R1 con0 is now available, Press RETURN
to get started.
d.
e.
Salir a la pantalla inicial del router que muestra: R1 con0 is now available, Press RETURN to get
started.
f.
g.
Se generaron mensajes en la ventana de log del servidor RADIUS para cada ingreso? _____
h.
Por qu fue posible ingresar al router con un nombre de usuario no existente, y no se mostr
ningn
mensaje
en
la
ventana
de
log
del
servidor
RADIUS?
________________________________________________________
i.
RADIUS
server
RADIUS
server
Comprobar que los nmeros de puerto UDP por defecto de RADIUS del IOS se encuentran en uso
con el comando radius-server host y la funcin de ayuda del IOS.
R1(config)#radius-server host 192.168.1.3 ?
acct-port UDP port for RADIUS accounting server (default is 1646)
alias 1-8 aliases for this server (max. 8)
auth-port UDP port for RADIUS authentication server (default is 1645)
< Output omitted >
CCNA Security
b.
Comprobar la configuracin actual de R1 para las lneas que contengan el comando radius. El
siguiente comando muestra todas las lneas de configuracin que incluyen el texto radius.
R1#show run | incl radius
aaa authentication login default group radius none
radius-server host 192.168.1.3 auth-port 1645 acct-port
097B47072B04131B1E1F
1646
key
Cules son los nmeros de puerto UDP por defecto del IOS de R1 para el servidor RADIUS ?
________________________________________________________________________________
Paso 4: Verificar los nmeros de puerto por defecto en el servidor WinRadius en PC-A.
a.
b.
Cules son los nmeros de puerto UDP por defecto de WinRadius ? ________________________
Nota: El primer desarrollo de RADIUS fue realizado utilizando el nmero de puerto UDP 1645 para
autenticacin y 1646 para el registro de auditora, lo que entra en conflicto con el servicio de mtrica de
datos. Debido a este conflicto, la RFC 2855 asign oficialmente los nmeros de puerto 1812 y 1813 para
RADIUS.
Paso 5: Cambiar los nmeros de puerto de RADIUS en R1 para que coincidan con los del
servidor WinRadius.
A menos que se especifique de otra forma, la configuracin por defecto de RADIUS del IOS utiliza los
nmeros de puerto UDP 1645 y 1646. Por lo tanto, deben cambiarse los nmeros de puerto del IOS para que
coincidan con los del servidor RADIUS, o los puertos del servidor RADIUS deben cambiarse para que
coincidan con los del IOS del router. En este paso, se modificarn los nmeros de puerto del IOS por los del
servidor RADIUS, de acuerdo a lo especificado en la RFC 2865.
a.
b.
Ejecutar el comando radius-server host nuevamente y esta vez especificar los nmeros de
puerto 1812 y 1813, junto con la direccin IP y la clave secreta del servidor RADIUS.
R1(config)#radius-server host 192.168.1.3 auth-port 1812 acct-port 1813
key WinRadius
CCNA Security
Salir a la pantalla inicial del router que muestra: R1 con0 is now available, Press RETURN to get
started.
b.
c.
d.
Salir a la pantalla inicial del router que muestra: R1 con0 is now available, Press RETURN to get
started.
e.
Ingresar con el nombre de usuario invlido Userxxx y la contrasea Userxxxpass. Pudo ingresar?
_________________________________________________________________________
Qu mensaje se muestra en el router? ___________________________________________
Crear una lista de mtodos de autenticacin nica para el acceso por Telnet al router. Esto no tiene
un respaldo de no autenticacin, por lo que si no es posible acceder al servidor RADIUS, el acceso
por Telnet queda deshabilitado. Nombrar a la lista de mtodos de autenticacin TELNET_LINES.
R1(config)#aaa authentication login TELNET_LINES group radius
b.
Aplicar la lista a las lneas vty del router utilizando el comando de autenticacin de login.
R1(config)#line vty 0 4
R1(config-line)#login authentication TELNET_LINES
c.
Conectarse con Telnet desde PC-A hacia R1, e ingresar con el nombre de usuario RadUser y la
contrasea RadUserpass. Pudo ingresar al router? _____________________________________
d.
Salir de la sesin, y conectarse con telnet desde PC-A hacia R1 nuevamente. Ingresar con el nombre
de usuario Userxxx y la contrasea Userxxxpass. Pudo ingresar al router? ____________________
CCNA Security
RadUserpass. Si el servidor RADIUS no se encuentra disponible en este momento, todava ser capaz de
ingresar a travs de la consola.
Si no realiza esta tarea, lea los pasos para familiarizarse con el proces o del SDM.
Paso 1: Implementar los servicios AAA y el acceso al router por HTTP antes de iniciar el SDM .
a.
b.
b.
c.
d.
Configurar el SDM para que permita realizar una vista previa de los comandos antes de enviarlos al
router. Seleccionar Edit > Preferences.
e.
b.
Seleccionar Additional Tasks > AAA > AAA Servers and Groups > AAA Servers.
c.
d.
En la ventana Add AAA Server, verificar que el campo Server Type indique RADIUS.
e.
f.
Cambiar el campo Authorization Port de 1645 a 1812, y cambiar el campo Accounting Port de
1646 a 1813 para coincidir con los nmeros de puerto del servidor RADIUS.
g.
h.
CCNA Security
i.
En la ventana Deliver Configuration to Router, hacer click sobre Deliver, y en la ventana Commands
Delivery Status, hacer click sobre OK.
j.
b.
Seleccionar Additional Tasks > AAA > Authentication Policies > Login.
c.
d.
En la ventana Select Method List(s) for Authentication Login, seleccionar group radius y hacer
click sobre OK.
e.
En la ventana Select Method List(s) for Authentication Login, seleccionar local como segundo
mtodo y hacer click sobre OK.
CCNA Security
f.
En la ventana Deliver Configuration to Router, hacer click sobre Deliver y en la ventana Commands
Delivery Status, hacer click sobre OK.
g.
b.
c.
Probar la configuracin abriendo una sesin Telnet desde PC-A hacia R1.
C:>telnet 192.168.1.1
d.
e.
CCNA Security
Tarea 6. Reflexin
a.
Por qu una organizacin puede desear utilizar un servidor centralizado de autenticacin en lugar
de configurar usuarios y contraseas en cada router individual?
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
____________________________________________________________________________
b.
c.
de
Interfaz Ethernet #1
Ethernet
Interfaz Ethernet #2
1700
Fast
(FA0)
Fast
(FA1)
Ethernet
1800
Fast Ethernet
(FA0/0)
0/0
Fast Ethernet
(FA0/1)
2600
Fast Ethernet
(FA0/0)
0/0
2800
Fast Ethernet
(FA0/0)
0/0
Interfaz
#1
1
Serial
Interfaz
#2
Serial
Serial 0 (S0)
Serial 1 (S1)
0/1
Serial
(S0/0/0)
Serial
(S0/0/1)
Fast Ethernet
(FA0/1)
0/1
Fast Ethernet
(FA0/1)
0/1
Serial
(S0/0/0)
Serial
(S0/0/1)
0/0/0
0/0/0
0/0/1
0/0/1
Nota: Para identificar cmo se encuentra configurado el router, mire las interfaces para identificar
el tipo de router y cuntas interfaces posee. No existe un mtodo para listar de forma efectiva
todas las combinaciones de configuracin para cada clase de router. Esta tabla incluye los
identificadores para las combinaciones posibles de interfaces Ethernet y Serial en el dispositivo. La
tabla no incluye otros tipos de interfaces, incluso cuando un router especfico puede tener una. Un
ejemplo de esto puede ser la interfaz ISDN BRi. La cadena entre parntesis es la abreviatura legal
que puede utilizarse en los comandos del IOS para representar a la interfaz.