Vip ccna 32 pags 72171400-seguridad-cap4-lab-a-cbac-zbf

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 1 de 32
Este documento es Información Pública de Cisco.
CCNA Security
Capítulo 4 Lab A, Configurando CBAC y Firewalls Basados en Zonas
Topología
Tabla de Direccionamiento IP
Dispositivo Interfaz Dirección IP Máscara de Subred Gateway por Defecto Puerto del Switch
R1
FA0/1
192.168.1.1
255.255.255.0
N/A
S1 FA0/5
S0/0/0 (DCE)
10.1.1.1
255.255.255.252
N/A
N/A
R2
S0/0/0
10.1.1.2
255.255.255.252
N/A
N/A
S0/0/1 (DCE)
10.2.2.2
255.255.255.252
N/A
N/A
R3
FA0/1
192.168.3.1
255.255.255.0
N/A
S3 FA0/5
S0/0/1
10.2.2.1
255.255.255.252
N/A
N/A
PC-A
NIC
192.168.1.3
255.255.255.0
192.168.1.1
S1 FA0/6
PC-C
NIC
192.168.3.3
255.255.255.0
192.168.3.1
S3 FA0/18

CCNA Security
Objetivos
Parte 1: Configuración Básica del Router
 Configurar los nombres de host, direcciones IP de las interfaces, y contraseñas de acceso.
 Configurar el protocolo de enrutamiento dinámico EIGRP.
 Utilizar el escáner de puertos Nmap para buscar vulnerabilidades en el router
Parte 2: Configuración de un Firewall de Control de Acceso Basado en el Contexto (CBAC)
 Configurar CBAR utilizando AutoSecure.
 Examinar la configuración resultante de CBAC.
 Verificar la funcionalidad del firewall.
Parte 3: Configuración de un Firewall de Políticas Basado en Zonas (ZBF, ZPF o ZFW)
 Configurar un Firewall de Políticas Basado en Zonas utilizando el SDM.
 Examinar la configuración resultante de CBAC.
 Utilizar el Monitor del SDM para verificar la configuración.
Escenario
La forma más básica del firewall del IOS utiliza listas de control de acceso (ACLs) con fitrado de tráfico IP y monitoreo de patrones de tráfico establecido. Esto es conocido como un firewall de IOS tradicional de Cisco. En versiones más recientes del IOS, este enfoque ha evolucionado en un método llamado control de acceso basado en el contexto (CBAC) o Inspect/CBAC, el cual se basa en la Inspección de Packetes con Estado (SPI – Stateful Packet Inspection). CBAC facilita la creación de firewalls y da al administrador un mayor control sobre diferentes tipos de tráfico de aplicaciones originado dentro y fuera de la red protegida. Cuando se ejecuta el AutoSecure del IOS de Cisco, se genera un firewall CBAC con una configuración básica. Para redes simples, con una única interfaz entre el interior y el exterior, CBAC más sencillo de configurar que un firewall tradicional del IOS. Las configuraciones con múltiples interfaces y requerimientos de DMZ pueden ser difíciles y complejas de administrar utilizando CBAC.
El método actual utilizado por el SDM para asegurar el router se llama firewall de políticas basado en zonas (puede ser abreviado como ZBF, ZPF o ZFW). Un firewall de políticas basado en zonas provee el mismo tipo de funcionalidades que CBAC, pero se adapta mejor a múltiples interfaces con requerimientos de seguridad que pueden ser similares o diferentes. Mientras que AutoSecure genera un firewall CBAC, el SDM genera un firewall de políticas basado en zonas.
En esta práctica de laboratori, usted construrá una red de múltiples routers y configurará los routers y los hosts. Utilizará AutoSecure para configurar un firewall CBAC y el SDM para configurar un firewall de políticas basado en zonas.
Nota: Los comandos y salida del router en esta práctica de laboratorio corresponden con un equipo Cisco 1841 con un IOS versión 12.4(20)T (Advanced IP image). Pueden utilizarse otras versiones de equipos e IOS. Ver la tabla de Resumen de Interfaces del Router al final de esta actividad para determinar qué identificadores de interfaz deben utilizarse en base al equipamiento del laboratorio. Dependiendo del modelo de router y de la versión del IOS, los comandos disponibles y la salida generada pueden variar con respecto a lo presentado en esta práctica de laboratorio.
Nota: Asegurarse de que los routers y los switches han sido limpiados y no poseen configuraciones previas.
Recursos Requeridos
 3 routers con SDM 2.5 instalado (Cisco 1841 con Cisco IOS Versión 12.4(20)T1 o equivalente)
 2 switches (Cisco 2960 o equivalente)
 PC-A (Windows XP o Vista)
 PC-C (Windows XP o Vista)

CCNA Security
 Cables Serial y Ethernet de acuerdo a la topología
 Cables Rollover para configurar los routers a través de la consola
Parte 1: Confguración Básica del Router
En la Parte 1 de esta práctica de laboratorio, configurará la topología de la red incluyendo las direcciones IP de las interfaces, el enrutamiento dinámico, el acceso a los dispositivos y las contraseñas.
Nota: Todas las tareas deben realizarse sobre los routers R1, R2 y R3. Se muestran los procedimientos sobre R1 como ejemplo.
Tarea 1: Realizar la Configuración Básica del Router
Paso 1: Conectar los dispositivos como se muestra en la topología.
Cablear los dispositivos de acuerdo al diagrama de la topología, utilizando los cables necesarios.
Paso 2: Configurar las opciones básicas de cada router.
a. Configurar los nombres de host de acuerdo a la topología.
b. Configurar las direcciones de las interfaces IP de acuerdoa la tabla de direccionamiento IP.
c. Configurar el clock rate para las interfaces seriales del router con un cable DCE conectado.
R1(config)#interface S0/0/0
R1(config-if)#clock rate 64000
Paso 3. Deshabilitar la búsqueda DNS.
Para evitar que el router intente traducir los comandos ingresados incorrectamente, deshabilitar la búsqueda DNS.
R1(config)#no ip domain-lookup
Paso 4: Configurar el protocolo de enrutamiento EIGRP en R1, R2 y R3.
a. En R1, utilizar los siguientes comandos.
R1(config)#router eigrp 101
R1(config-router)#network 192.168.1.0 0.0.0.255
R1(config-router)#no auto-summary
b. En R2, utilizar los siguientes comandos.
c. En R3, utilizar los siguientes comandos.

CCNA Security
Paso 5: Configurar las opciones IP de la PC.
a. Configurar una dirección IP estática, máscara de subred, y gateway por defecto para PC-A, de acuerdo a la tabla de direccionamiento IP.
b. Configurar una dirección IP estática, máscara de subred y gateway por defecto para PC-C, de acuerdo a la tabla de direccionamiento IP.
Paso 6: Verificar la conectividad básica de la red.
a. Ejecutar un ping desde R1 hacia R3.
¿El resultado fue exitoso? _____
Si el ping no fue exitoso, realizar la resolución de problemas de configuración antes de continuar.
b. Ejecutar un ping desde PC-A en la LAN de R1 hacia PC-C en la LAN de R3.
¿El resultado fue exitoso? _____
Nota: Si puede ejecutar un ping desde PC-A hasta PC-C, ha demostrado que el protocolo de enrutamiento EIGRP se encuentra configurado y funcionando correctamente. Si no puede ejecutar un ping pero las interfaces del dispositivo se encuentran levantadas y las direcciones IP con correctas, utilice los comandos show run y show ip route para identificar los problemas relacionados con el protocolo de enrutamientoto.
Paso 7: Configurar una longitud mínima de contraseñas.
Nota: Las contraseñas en esta práctica de laboratorio se encuentran configuradas con un mínimo de 10 caracteres, pero son relativamente simples para el beneficio de la ejecución de esta actividad. Se recomienda utilizar contraseñas más complejas en las redes en producción.
Utilizar el comando security passwords para configurar una longitud mínima de contraseñas de 10 caracteres.
R1(config)#security passwords min-length 10
Paso 8: Configure basic console, auxiliary port, and vty lines.
a. Configurar una contraseña de consola y de modo enable para el router R1. Para mayor seguridad, el comando exec-timeout provoca la desconexión de la línea luego de 5 minutos de inactividad. El comando logging synchronous evita que los mensajes de la consola interrumpan la entrada de comandos.
Nota: Para evitar los logins repetitivos durante la realización de esta actividad, el comando exec- timeout debe configurarse con 0 0, lo que evita que expire. Sin embargo, esto no es considerado una buena práctica de seguridad.
R1(config)#line console 0
R1(config-line)#password ciscoconpass
R1(config-line)#exec-timeout 5 0
R1(config-line)#login
R1(config-line)#logging synchronous
b. Configurar la contraseña para el puerto aux del router R1.
R1(config)#line aux 0
R1(config-line)#password ciscoauxpass
c. Configurar la contraseña de las líneas vty del router R1.

CCNA Security
R1(config)#line vty 0 4
R1(config-line)#password ciscovtypass
d. Repetir esta configuración en R2 y R3.
Paso 8: Habilitar el servidor HTTP y el servidor HTTP seguro.
Habilitar estos servicios permite administrar el router utilizando la interfaz gráfica (GUI) y un navegador web.
R1(config)#ip http server
Paso 9: Cifrar las contraseñas en texto claro.
a. Utilizar el comando service password-encryption para cifrar las contraseñas de consola, aux y vty.
R1(config)# service password-encryption
b. Ejecutar el comando show run. ¿Puede leer las contraseñas de consola, aux y vty? ¿Por qué sí o por qué no? ______________________________________________________________________
c. Repetir esta configuración en R2 y R3.
Paso 10: Guardar la configuración básica para los tres routers.
Guardar la configuración actual desde el modo EXEC privilegiado.
R1#copy running-config startup-config
Tarea 2: Utilizar el Escáner de Puertos Nmap para Determinar las Vulnerabilidades del Router
En esta tarea, usted determinará los puertos abiertos o servicios que se están ejecutando en R1 utilizando Nmap, antes de configurar el firewall.
Paso 1: (Opcional) Descargar e instalar Nmap y la interfaz gráfica Zenmap.
Nmap ("Network Mapper") es una herramienta de código abierto para realizar exploración y auditorías de seguridad de redes.
a. Si Nmap ya se encuentra instalado en PC-A y PC-C, ir al Paso 2. En caso contrario, descargar la última versión disponible para Windows desde http://nmap.org/download.html.
b. En PC-A y PC-C, ejecutar la herramienta Nmap e instalar todos los componentes listados, incluyendo la interfaz gráfica Zenmap. Hacer click sobre Next para aceptar los valores por defecto.

CCNA Security
Paso 2: Realizar un escaneo de puertos abiertos en R1 utilizando Nmap desde el host interno PC-A.
a. Desde el host interno PC-A, iniciar la aplicación Nmap-Zenmap e ingresar la dirección IP del gateway por defecto, la interfaz Fa0/1 de R1 (192.168.1.1), en el campo Target. Aceptar el comando Nmap por defecto ingresado en el campo Command y utilizar el perfil Intense scan.
Nota: Si la PC está ejecutando un firewall personal, puede ser necesario desactivarlo en forma temporal para obtener resultados exactos.
b. Hacer click sobre el botón Scan para iniciar el escaneo de R1 desde el host interno PC-A. Esperar un tiempo para que se complete el escaneo. Las siguientes dos pantallas muestran la salida completa luego de completar el escaneo.

CCNA Security

CCNA Security
c. Hacer click sobre el botón Service en la parte superios izquierda de la pantalla. ¿Qué puertos se encuentran abiertos en la interfaz Fa0/1 de R1 desde la perspectiva del host interno PC-A? ________________________________________________
¿Cuál es la dirección MAC de la interfaz Fa0/1 de R1? ________________________________________
Para R1, ¿qué tipo de dispositivo y qué versión de OS detecta Nmap? ___________________________
Paso 3: Escanear los puertos abiertos de R1 utilizando Nmap desde el host externo PC-C.
a. Desde el host externo PC-C, iniciar la aplicación Nmap-Zenmap e ingresar la dirección IP de la interfaz S0/0/0 de R1 (10.1.1.1) como Target. Aceptar el comando Nmap por defecto ingresado en el campo Command y utilizar el perfil Intense scan.
b. Hacer click sobre el botón Scan. Esperar un tiempo para que se complete el escaneo. Las siguientes dos pantallas muestran la salida completa del escaneo.

CCNA Security

CCNA Security
c. Hacer click sobre el botón Services debajo del campo Command. ¿Qué servicios se están ejecutando y están disponibles en R1 desde la perspectiva de PC-C? _________________________
d. En la salida del escaneo de Nmap, referirse a la información de TRACEROUTE. ¿Cuántos saltos existen entre PC-C y R1, y a través de qué direcciones IP debe pasar el escáner para alcanzar a R1? _____________________________________________________________________________
Nota: En la Parte 2 de esta práctica de laboratorio configurará un firewall CBAC y luego ejecutará Nmap nuevamente para probar el acceso desde el host externo PC-C a R1.

CCNA Security
Parte 2: Configurar un Firewall de Control de Acceso Basado en el Contexto (CBAC)
En la Parte 2 de esta práctica de laboratorio, usted configurará CBAC en R1 utilizando AutoSecure. Luego revisará y probará la configuración resultante.
Tarea 1: Verificar el Acceso a la LAN de R1 desde R2
Ene sta tarea, verificará que al no existir un firewall, el router externo R2 puede hacer ping a la interfaz S0/0/0 de R1 y a PC-A en la LAN interna de R1.
Paso 1: Ejecutar un ping desde R2 a R1.
a. Desde R2, ejecutar un ping a la interfaz S0/0/0 de R1 con la dirección IP 10.1.1.1.
R2#ping 10.1.1.1
b. ¿El resultado fue exitoso? _____
Paso 2: Ejecutar un ping desde R2 hacia PC-A en la LAN de R1.
a. Desde R2, ejecutar un ping hacia PC-A en la LAN de R1, con la dirección IP 192.168.1.3.
R2#ping 192.168.1.3
Paso 3: Mostrar la configuración actual de R1 antes de utilizar AutoSecure.
a. Ejecutar el comando show run para ver la configuración actual de R1.
b. ¿Existen comandos de seguridad relacionados con el control de acceso? _______________________________________________________________________________
Tarea 2: Utilizar AutoSecure para Asegurar R1 y Habilitar CBAC
AutoSecure simplifica la configuración de seguridad de un router y refuerza la configuración del router. En esta tarea, ejecutará AutoSecure y habilitará CBAC durante el proceso.
Paso 1: Utilizar la función AutoSecure del IOS para habilitar CBAC.
a. Ingresar al modo EXEC privilegiado utilizando el comando enable.
b. Ejecutar el comando auto secure en R1. Responder como se muestra a continuación a las preguntas y solicitudes de AutoSecure. Las respuestas se muestran en negrita.
Nota: El objetivo aquí son los comandos generados por AutoSecure para CBAC, por lo que no debe habilitar todas las funciones potenciales de seguridad que provee AutoSecure, como el acceso por SH. Asegurarse de responder “yes” a la pregunta Configure CBAC Firewall feature?.
R1#auto secure
--- AutoSecure Configuration ---
*** AutoSecure configuration enhances the security of the router, but it will not make it absolutely resistant to all security attacks ***

CCNA Security
AutoSecure will modify the configuration of your device. All configuration changes will be shown. For a detailed explanation of how the configuration changes enhance security and any possible side effects, please refer to Cisco.com for
Autosecure documentation.
At any prompt you may enter '?' for help.
Use ctrl-c to abort this session at any prompt.
Gathering information about the router for AutoSecure
Is this router connected to internet? [no]: yes
Enter the number of interfaces facing the internet [1]: 1
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 unassigned YES unset administratively down down
FastEthernet0/1 192.168.1.1 YES manual up up
Serial0/0/0 10.1.1.1 YES SLARP up up
Serial0/0/1 unassigned YES unset administratively down down
Enter the interface name that is facing the internet: serial0/0/0
Securing Management plane services...
Disabling service finger
Disabling service pad
Disabling udp & tcp small servers
Enabling service password encryption
Enabling service tcp-keepalives-in
Enabling service tcp-keepalives-out
Disabling the cdp protocol
Disabling the bootp server
Disabling the http server
Disabling the finger service
Disabling source routing
Disabling gratuitous arp
Here is a sample Security Banner to be shown
at every access to device. Modify it to suit your
enterprise requirements.
Authorized Access only
This system is the property of So-&-So-Enterprise.
UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED.
You must have explicit permission to access this
device. All activities performed on this device
are logged. Any violations of access policy will result
in disciplinary action.
Enter the security banner {Put the banner between
k and k, where k is any character}:
$ Unauthorized Access Prohibited $

CCNA Security
Enable secret is either not configured or
is the same as enable password
Enter the new enable secret: cisco12345
Confirm the enable secret : cisco12345
Enter the new enable password: cisco67890
Confirm the enable password: cisco67890
Configuration of local user database
Enter the username: admin
Enter the password: cisco12345
Confirm the password: cisco12345
Configuring AAA local authentication
Configuring Console, Aux and VTY lines for
local authentication, exec-timeout, and transport
Securing device against Login Attacks
Configure the following parameters
Blocking Period when Login Attack detected: 60
Maximum Login failures with the device: 2
Maximum time period for crossing the failed login attempts: 30
Configure SSH server? [yes]: no
Configuring interface specific AutoSecure services
Disabling the following ip services on all interfaces:
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply
Disabling mop on Ethernet interfaces
Securing Forwarding plane services...
Enabling CEF (This might impact the memory requirements for your platform)
Enabling unicast rpf on all interfaces connected
to internet
Configure CBAC Firewall feature? [yes/no]: yes
This is the configuration generated:
no service finger
no service pad
no service udp-small-servers
no service tcp-small-servers
service password-encryption
service tcp-keepalives-in
service tcp-keepalives-out
no cdp run
no ip bootp server
no ip http server
no ip finger
no ip source-route

CCNA Security
no ip gratuitous-arps
no ip identd
banner motd ^C Unauthorized Access Prohibited ^C
security authentication failure rate 10 log
enable secret 5 $1$m.de$Mp5tQr/I8W5VhuQoG6AoA1
enable password 7 05080F1C2243185E415C47
username admin password 7 02050D4808095E731F1A5C
aaa new-model
aaa authentication login local_auth local
line con 0
login authentication local_auth
exec-timeout 5 0
transport output telnet
line aux 0
exec-timeout 10 0
transport output telnet
line vty 0 4
transport input telnet
line tty 1
exec-timeout 15 0
login block-for 60 attempts 2 within 30
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
logging facility local2
logging trap debugging
service sequence-numbers
logging console critical
logging buffered
interface FastEthernet0/0
no ip redirects
no ip proxy-arp
no ip unreachables
no ip mask-reply
no mop enabled
interface FastEthernet0/1
no ip redirects
no ip proxy-arp
no ip unreachables
no ip mask-reply
no mop enabled
interface Serial0/0/0
no ip redirects
no ip proxy-arp
no ip unreachables
no ip mask-reply
no ip redirects
no ip proxy-arp
no ip unreachables
no ip mask-reply
interface Vlan1

CCNA Security
no ip redirects
no ip proxy-arp
no ip unreachables
no ip mask-reply
no mop enabled
access-list 100 permit udp any any eq bootpc
ip verify unicast source reachable-via rx allow-default 100
ip inspect audit-trail
ip inspect dns-timeout 7
ip inspect tcp idle-time 14400
ip inspect udp idle-time 1800
ip inspect name autosec_inspect cuseeme timeout 3600
ip inspect name autosec_inspect ftp timeout 3600
ip inspect name autosec_inspect http timeout 3600
ip inspect name autosec_inspect rcmd timeout 3600
ip inspect name autosec_inspect realaudio timeout 3600
ip inspect name autosec_inspect smtp timeout 3600
ip inspect name autosec_inspect tftp timeout 30
ip inspect name autosec_inspect udp timeout 15
ip inspect name autosec_inspect tcp timeout 3600
ip access-list extended autosec_firewall_acl
permit udp any any eq bootpc
deny ip any any
ip inspect autosec_inspect out
ip access-group autosec_firewall_acl in
!
end
Apply this configuration to running-config? [yes]: yes
Applying the config generated to running-config
R1#
000043: *Dec 29 21:28:59.223 UTC: %AUTOSEC-1-MODIFIED: AutoSecure configuration has been Modified on this device
Paso 2: Configurar el firewall de R1 para permitir las actualizaciones EIGRP.
El firewall CBAC de AutoSecure en R1 no permite que ocurran los mensajes hello y las asociaciones de vecinos de EIGRP y, por lo tanto, no pueden enviarse ni recibirse actualizaciones. Debido a que las actualizaciones EIGRP se encuentran bloqueadas, R1 no conoce las redes 10.2.2.0/30 o 192.168.3.0/24, y R2 no conoce a la red 192.168.1.0/24.
Nota: Cuando configure el firewall ZBF de R3 en la parte 3 de esta práctica de laboratorio, el SDM presenta la opción de permitir la recepción de las actualizaciones de EIGRP en R3.
a. Mostrar la ACL Extendida llamada autosec_firewall_acl, la cual está aplicada a la interfaz S0/0/0.
R1#show access-list autosec_firewall_acl
Extended IP access list autosec_firewall_acl
10 permit udp any any eq bootpc
20 deny ip any any (10)
b. Observar que hay 10 coincidencias en la línea 20 de la ACL. ¿De qué son resultado? ___________________________________________________________________________

CCNA Security
c. Configurar R1 para permitir las actualizaciones de EIGRP agregando una sentencia a la ACL Extendida autosec_firewall_acl que permite el protocolo EIGRP.
R1(config)#ip access-list extended autosec_firewall_acl
R1(config-ext-nacl)#15 permit eigrp any any
R1(config-ext-nacl)#end
d. Mostrar nuevamente la ACL Extendida autosec_firewall_acl again.
15 permit eigrp any any (5)
20 deny ip any any (10)
Notar que ahora existe cierta actividad de paquetes EIGRP para la sentencia 15 de la ACL.
Paso 3: Guardar la configuración actual.
Ingresar al modo EXEC privilegiado utilizando el comando enable con la contraseña cisco12345.
R1#copy run start
Paso 4: Escanear los puertos abiertos de R1 utilizando Nmap desde el host externo PC-C.
a. Desde el host externo PC-C, utilizar Nmap-Zenmap para escanear R1 con la dirección IP 10.1.1.1. Aceptar el comando Nmap por defecto que se presenta en el campo Command. Utilizar el perfil Intense scan.
b. Hacer click sobre el botón Scan para comenzar en escaneo de R1.

CCNA Security
Ahora que el firewall CBAC de R1 se encuentra configurado, ¿qué servicios se encuentran disponibles en R1 y cuál es el estado de R1 desde la perspectiva del host externo PC-C? _____________________
Tarea 3: Repasar la Configuración para CBAC de AutoSecure
Paso 1: Repasar los comandos que fueron enviados al router R1.
a. Mostrar la configuración actual para R1. La salida de AutoSecure debe verse similar a la presentada en la Tarea 2, Paso 1.
b. ¿Cuál es el comando más común ejecutado que se relaciona con CBAC? ________________________________________________________________________________
c. CBAC crea reglas para rastrear flujos TCP y UDP utilizando el comando ip inspect name name protocol. ¿A qué interfaz se aplica el nombre autosec_inspect y en qué dirección? ________________________________________________________________________________
Paso 2: Mostrar los protocolos disponibles con el comando ip inspect.
a. Para ver los protocolos disponibles, ingresar el comando de configuración global ip inspect name name, seguido de un signo de pregunta (?).
Nota: La mayor parte de los protocolos listados son protocolos de la capa de aplicación. Versiones más nuevas del IOS de Cisco tienen más protocolos listados.

CCNA Security
R1(config)# ip inspect name autosec_inspect ?
802-11-iapp IEEE 802.11 WLANs WG IAPP
ace-svr ACE Server/Propagation
appfw Application Firewall
appleqtc Apple QuickTime
bgp Border Gateway Protocol
biff Bliff mail notification
bittorrent bittorrent
<Output Omitted>
b. ¿Cuántos protocolos pueden ser configurados para su inspección? ___________________________
c. Referirse a la configuración actual o a la salida de AutoSecure en la Tarea 2, Paso 1. ¿Qué protocolos configuró AutoSecure para que sean inspeccionados cuando abandonan la interfaz S0/0/0? __________________________________________________________________________
d. ¿A qué interfaz se aplicó la ACL autosec_firewall_acl y en qué dirección? _______________
e. ¿Cuál es el objetivo de la ACL autosec_firewall_acl? ________________________________________________________________________________
Tarea 4: Verificar la Funcionalidad de CBAC
Para los protocolos identificados para su inspección, el firewall CBAC permite el retorno del tráfico para las conexiones iniciadas desde el interior, pero bloquea todas las otras conexiones desde el exterior.
Paso 1: Desde PC-A, ejecutar un ping desde la interfaz de la LAN interna de R1.
a. Desde PC-A, ejecutar un ping hacia la interfaz Fa0/1 de R1 con la dirección IP 192.168.1.1.
C:>ping 192.168.1.1
b. ¿Fue exitoso el ping? ¿Por qué sí o por qué no? ____________________________________________
Paso 2: Desde PC-A, ejecutar un ping hacia la interfaz WAN externa de R2.
a. Desde PC-A, ejecutar un ping hacia la interfaz S0/0/0 de R2 con la dirección IP 10.1.1.2.
C:>ping 10.1.1.2
b. ¿Fue exitoso el ping? ¿Por qué sí o por qué no? ________________________________________________________________________________
Paso 3: Agregar ICMP a la lista autosec_inspect.
Desde el modo de configuración global, configurar R1 para inspeccionar ICMP y permitir las respuestas de eco ICMP desde los hosts externos.
R1(config)#ip inspect name autosec_inspect icmp timeout 5
Paso 4: Desde PC-A, ejecutar un ping hacia la interfaz WAN externa de R2.
a. Desde PC-A, ejecutar un ping a la interfaz S0/0/0 de R2 con la dirección IP 10.1.1.2.
C:>ping 10.1.1.2
b. ¿Fue exitoso el ping? ¿Por qué sí o por qué no? ___________________________________________
c. Remover ICMP de la lista de inspección. Esto revierte la configuración de CBAC a la generada por AutoSecure.
R1(config)#no ip inspect name autosec_inspect icmp timeout 5

CCNA Security
Paso 5: Probar el acceso por Telnet desde R2 a R1.
a. Desde el router externo R2, conectarse por telnet a R1 con la dirección IP 10.1.1.1.
R2>telnet 10.1.1.1
Trying 10.1.1.1 ...
% Connection timed out; remote host not responding
b. ¿Fue exitosa la conexión? ¿Por qué sí o por qué no? _________________________________________
Paso 6: Configurar R1 para permitir el acceso por Telnet desde hosts externos.
a. Mostrar la ACL Extendida llamada autosec_firewall_acl que fue aplicada a la interfaz S0/0/0.
20 deny ip any any (57 matches)
b. Observar que hay 57 coincidencias con la línea 20 de la ACL. ¿De qué son resultado? ___________
c. Configurar R1 para permitir el acceso por Telnet agregando una sentencia a la ACL Extendida autosec_firewall_acl que permita el puerto TCP 23 (Telnet).
R1(config-ext-nacl)#18 permit tcp any any eq 23
d. Desde el router externo R2, conectarse por telnet nuevamente a R1 con la dirección IP 10.1.1.1.
R2>telnet 10.1.1.1
Trying 10.1.1.1 ... Open
Unauthorized Access Prohibited
User Access Verification
Username: admin
Password: cisco12345
R1>
e. Desde la sesión Telnet con R1, mostrar la ACL Extendida autosec_firewall_acl modificada.
R1>show access-list autosec_firewall_acl
18 permit tcp any any eq telnet (12 matches)
20 deny ip any any (57 matches)
f. Observar la nueva línea 18 en la ACL y las 12 coincidencias que posee. ¿De qué son resultado? _______________________________________________________________________________
g. Remover el acceso externo por Telnet de la ACL del firewall de R1.
R1(config-ext-nacl)#no 18 permit tcp any any eq telnet

CCNA Security
Nota: Se recomienda el uso de SSH en lugar de Telnet, debido a que provee una vía más segura para el acceso a la administración remota de un router u otro dispositivo de red. SSH provee una comunicación cifrada, sin embargo se requiere configuración adicional para soportar la conexión SSH. Referirse al Capítulo 2 Lab A por el procedimiento para habilitar SSH. Para mayor seguridad, configurar SSH como el único transporte de entrada para las líneas vty y remover Telnet como transporte de entrada. Permitir el acceso por SSH a R1 desde hosts externos también requiere la incorporación de sentencias a la ACL Extendida autosec_firewall_acl que permitan el puerto TCP 22 (SSH).
Paso 7: Probar el acceso por Telnet desde el host interno PC-A al router externo R2.
a. Desde PC-A, conectarse por telnet a R2 con la dirección IP 10.1.1.2.
C:>telnet 10.1.1.2
b. ¿Fue el intento exitoso? ¿Por qué sí o por qué no? ______________________________________
c. Ingresar a R2 con la contraseña de vty ciscovtypass.
d. Dejar abierta la sesión de Telnet.
Tarea 5: Verificar la Configuración y Operación de CBAC
Paso 1: Mostrar la información de inspección de CBAC.
a. Utilizar el comando show ip inspect all para ver la configuración y el estado de inspección.
Nota: El final de la salida del comando muestra las sesiones establecidas y la conexión Telnet inspeccionada entre PC-A y R2.
R1#show ip inspect all
Session audit trail is enabled
Session alert is enabled
one-minute (sampling period) thresholds are [unlimited : unlimited] connections
max-incomplete sessions thresholds are [unlimited : unlimited]
max-incomplete tcp connections per host is unlimited. Block-time 0 minute.
tcp synwait-time is 30 sec -- tcp finwait-time is 5 sec
tcp idle-time is 14400 sec -- udp idle-time is 1800 sec
tcp reassembly queue length 16; timeout 5 sec; memory-limit 1024 kilo bytes
dns-timeout is 7 sec
Inspection Rule Configuration
Inspection name autosec_inspect
cuseeme alert is on audit-trail is on timeout 3600
ftp alert is on audit-trail is on timeout 3600
http alert is on audit-trail is on timeout 3600
rcmd alert is on audit-trail is on timeout 3600
smtp max-data 20000000 alert is on audit-trail is on timeout 3600
tftp alert is on audit-trail is on timeout 30
udp alert is on audit-trail is on timeout 15
tcp alert is on audit-trail is on timeout 3600
Interface Configuration
Interface Serial0/0/0
Inbound inspection rule is not set
Outgoing inspection rule is autosec_inspect
cuseeme alert is on audit-trail is on timeout 3600
ftp alert is on audit-trail is on timeout 3600
http alert is on audit-trail is on timeout 3600
realaudio alert is on audit-trail is on timeout 3600

CCNA Security
smtp max-data 20000000 alert is on audit-trail is on timeout 3600
tftp alert is on audit-trail is on timeout 30
udp alert is on audit-trail is on timeout 15
tcp alert is on audit-trail is on timeout 3600
Inbound access list is autosec_firewall_acl
Outgoing access list is not set
Established Sessions
Session 6556C128 (192.168.1.3:1185)=>(10.1.1.2:23) tcp SIS_OPEN
b. En la sección Established Sessions, ¿cuál es la dirección IP de origen y el número de puerto para la sesión 655C128? ___________________________________________________________________
c. ¿Cuál es la dirección IP de destino y el número de puerto para la sesión 655C128? ____________________________________________________________________________
Paso 2: Ver la información detallada.
a. Ver la información detallada de la sesión utilizando el comando show ip inspect sessions detail en R1.
R1#show ip inspect sessions detail
Session 6556C128 (192.168.1.3:1185)=>(10.1.1.2:23) tcp SIS_OPEN
Created 00:00:09, Last heard 00:00:02
Bytes sent (initiator:responder) [45:154]
In SID 10.1.1.2[23:23]=>192.168.1.3[1185:1185] on ACL autosec_firewall_acl (19 matches)
b. Cerrar la conexión de Telnet cuando termine de verificar la operación de CBAC.
Parte 3: Configurar un Firewall Basado den Zonas (ZBF) Utilizando el SDM
En la Parte 3 de esta práctica de laboratorio, configurará un firewall basado en zonas (ZBF) en R3 utilizando el SDM.
Tarea 1: Verificar el Acceso a la LAN de R3 desde R2
En esta tarea, verificará que al no existir firewalls, el router externo R2 puede acceder a la interfaz S0/0/1 de R3 y al host PC-C en la LAN interna de R3.
Paso 1: Ejecutar un ping desde R2 a R3.
a. Desde R2, ejecutar un ping a la interfaz S0/0/1 de R3 con la dirección IP 10.2.2.1.
R2#ping 10.2.2.1
Paso 2: Ping from R2 to PC-C on the R3 LAN.
a. Desde R2, ejecutar un ping al host PC-C en la LAN de R3 con la dirección IP 192.168.3.3.
R2#ping 192.168.3.3

CCNA Security
Paso 3: Mostrar la configuración actual de R3 antes de iniciar el SDM.
a. Ejecutar el comando show run para revisar la configuración actual de R3.
b. Verificar que la configuración de R3 coincide con la realizada en la Parte 1 de esta práctica de laboratorio. ¿Existen comandos de seguridad relacionados al control de acceso? ___________________________________________________________
Tarea 2: Crear un Firewall de Políticas Basado en Zonas
En esta tarea, utilizará el SDM de Cisco para crear un firewall de políticas basado en zonas en R3.
Paso 1: Configurar la contraseña secreta de modo enable y el acceso al router por HTTP antes de iniciar el SDM.
a. Desde la CLI, configurar la contraseña secreta de modo enable para utilizat con el SDM en R3.
R3(config)#enable secret cisco12345
b. Habilitar el servidor HTTP en R3.
R3(config)#ip http server
Paso 2: Acceder al SDM y configurar las preferencias de entrega de comandos.
a. Ejecutar la aplicación del SDM o abrir un navegador en PC-C e iniciar el SDM ingresando la dirección IP de R3 (192.168.3.1) en el campo de dirección.
b. Ingresar sin nombre de usuario y con la contraseña secreta de modo enable cisco12345.
c. En el cuadro de diálogo Password Needed – Networking, ingresar cisco12345 en el campo Password y hacer click sobre Yes.
d. Seleccionar Edit > Preferences para configurar el SDM para permitir una vista previa de los comandos antes de enviarlos al router. En la ventana User Preferences, seleccionar la opción Preview commands before delivering to router y hacer click sobre OK.
Paso 3: Utilizar el asistente de Firewall del SDM para configurar un firewall basado en zonas.
a. En la página inicial del SDM, referirse a la sección Configuration Overview. ¿Cuál es el estado de las Políticas de Firewall? ____________________________________________________________
b. Hacer click sobre el botón Configure en la parte superior de la pantalla del SDM, y luego hacer click sobre Firewall and ACL. Leer las descripciones de las opciones Basic and Advanced Firewall. ¿Cuáles son las diferencias claves? ___________________________________________________
________________________________________________________________________________

CCNA Security
c. Seleccionar Basic Firewall y hacer click sobre el botón Launch the selected task.
d. En la ventana Basic Firewall Configuration Wizard, familiarizarse con la descripción del Basic Firewall. ¿Qué hace el Basic Firewall con el tráfico de las zonas interna y externa? ____________
e. Hacer click sobre Next para continuar.
f. Seleccionar la opción Inside (trusted) para FastEthernet0/1 y la opción Outside (untrusted) para Serial0/0/1. Hacer click sobre Next.
g. Hacer click sobre OK cuando se muestre la advertencia indicando que no se podrá utilizar el SDM desde la interfaz S0/0/1 una vez que el asistente del Firewall se complete.
h. Desplazarse entre las opciones de seguridad High, Medium, y Low para familiarizarse con cada una. ¿Cuál es la diferencia principal entre ellas? ________________________________________________________________________________

CCNA Security
________________________________________________________________________________ ________________________________________________________________________________ ________________________________________________________________________________
i. Desplazarse a la opción Low Security y hacer click sobre el botón Preview Commands para tener una vista previa de los comandos que son enviados al router. Cuando finalice la revisión de los comandos, hacer click sobre Close y luego sobre Next.
j. Revisar el Configuration Summary. ¿Qué provee esta pantalla? ________________________________________________________________________________
k. Hacer click sobre Finish para completar el asistente de Firewall.
l. Cuando se muestre la ventana Routing traffic configuration, asegurarse de que la opción Allow EIGRP updates to come through the firewall se encuentra seleccionada, y hacer click sobre OK.
Nota: Esta pantalla sólo se muestra si se encuentra configurado un protocolo de enrutamiento dinámico.
m. ¿Qué sucedería si esta opción no fuera seleccionada? ___________________________________ _______________________________________________________________________________
n. Además de EIGRP, ¿para qué otros protocolos de enrutamiento permite actualizaciones el firewall? _______________________________________________________________________________
o. En la ventana Deliver Configuration to Router, asegurarse de que la opción Save running config to router’s startup config se encuentra seleccionada, y hacer click sobre Deliver.
p. Hacer click sobre OK en la ventana Commands Delivery Status. ¿Cuántos comandos fueron generados por el asistente de Firewall? _________________________________________________
q. Hacer click sobre OK para mostrar el mensaje de configuración exitosa del firewall en el router. Hacer click sobre OK para cerrar la ventana del mensaje.
r. Se muestra la ventana Edit Firewall Policy con el diagrama Rule Diagram.

CCNA Security
s. En el diagrama Rule Diagram, ubicar la lista de acceso 100 (ícono de carpeta). ¿Qué acción se toma y qué opciones de reglas se aplican para el tráfico con una dirección de origen inválida en el rango de direcciones 127.0.0.0/8? _______________________________________________________________________________
Tarea 3: Revisar la Configuración del Firewall Basado en Zonas
Paso 1: Examinar la configuración actual de R3 con la CLI.
a. Desde la CLI de R3, examinar la configuración actual para ver los cambios que el asistente de Firewall del SDM realizó sobre el router.
b. Los siguientes comandos están relacionados con la ACL 100 y el mapa de clases sdm-invalid- source.
class-map type inspect match-all sdm-invalid-src
match access-group 100
policy-map type inspect sdm-inspect
class type inspect sdm-invalid-src
drop log
<output omitted>

CCNA Security
access-list 100 remark SDM_ACL Category=128
access-list 100 permit ip host 255.255.255.255 any
access-list 100 permit ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip 10.2.2.0 0.0.0.3 any
c. En la ACL 100, observar que las direcciones de origen listadas se encuentran permitidas. La ACL utiliza las sentencias permit para identificar estas direcciones como un grupo para que puedan ser comparadas con el comando class-map type inspect match-all sdm-invalid-src y luego descartadas y registradas por el comando class type inspect sdm-invalid-src, que es uno de los tipos de clases especificados por el mapa de políticas sdm-inspect.
d. Ejecutar el comando show run | beg EIGRP para ver las líneas de configuración que comienzan con la línea que contiene la primer ocurrencia del texto “EIGRP”. Continuar presionando Enter hasta ver todos los comandos en la configuración del firewall relacionados a las actualizaciones del protocolo de enrutamiento EIGRP en R3. Debe ver los siguientes comandos:
class-map type inspect match-any SDM_EIGRP
match access-group name SDM_EIGRP
class-map type inspect match-any SDM_EIGRP_TRAFFIC
match class-map SDM_EIGRP
class-map type inspect match-all SDM_EIGRP_PT
policy-map type inspect sdm-permit
class type inspect SDM_EIGRP_PT
pass
class class-default
drop
Paso 2: Examinar la configuración del firewall de R3 utilizando el SDM.
a. Retornar a la página inicial del SDM. Referirse a la sección Configuration Overview de la pantalla. ¿Cuál es el estado de las Políticas de Firewall? __________________________________________
b. Hacer click sobre la flecha doble hacia abajo a la derecha de la sección Firewall Policies. ¿Qué se muestra en la pantalla? _____________________________________________________________
c. Hacer click sobre el botón Configure y seleccinar Additional Tasks > ACL Editor > Firewall Rules. Debe haber una ACL que liste direcciones de origen falses, tales como las direcciones de broadcast de las redes 255.255.255.255 y 127.0.0.0/8. Éstas fueron identificadas en la configuración en la Tarea 3, Paso 1b.
d. Hacer click sobre el botón Configure y seleccionar Additional Tasks > Zones para verificar la configuración de zonas. ¿Qué interfaces se listan y en qué zona se encuentra cada una? _______________________________________________________________________________
e. Hacer click sobre Configure y seleccionar Additional Tasks > Zones Pairs para verificar la configuración de pares de zonas. Completar la siguiente información.
Par de Zonas
Origen
Destino
Política
f. Hacer click sobre Configure y seleccionar Additional Tasks > C3PL.
g. ¿Qué representa la sigla C3PL? ______________________________________________________

CCNA Security
h. Expandir el menú C3PL y seleccionar Class Map > Inspection. ¿Cuántos mapas de clase fueron creados por el asistente de Firewall del SDM? _____
i. Seleccionar C3PL > Policy Map > Protocol Inspection. ¿Cuántos mapas de políticas fueron creados por el asistente de Firewall del SDM? _____
j. Examinar los detalles del mapa de políticas sdm-permit que fue aplicado al par de zonas sdm-zp-out- self. Completar la información siguiente. Listar la acción para el tráfico que coincide con cada uno de los mapas de clase referenciados dentro del mapa de políticas sdm-permit.
Match Class Name: ______________________ Action: ___________ Match Class Name: ______________________ Action: ___________
Tarea 4: Verificar el Funcionamiento del Enrutamiento EIGRP en R3
Paso 1: Mostrar la tabla de enrutamiento de R3 utilizando la CLI.
a. En la Tarea 2, Paso 3, el asistente de Firewall configuró el router para permitir las actualizaciones EIGRP. Verificar que los mensajes EIGRP todavía son intercambiados utilizando el comando show ip route y verificar que existen rutas aprendidas por EIGRP en la tabla de enrutamiento.
R3#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
<Output omitted>
Gateway of last resort is not set
10.0.0.0/30 is subnetted, 2 subnets
C 10.2.2.0 is directly connected, Serial0/0/1
D 10.1.1.0 [90/21024000] via 10.2.2.2, 00:34:12, Serial0/0/1
D 192.168.1.0/24 [90/21026560] via 10.2.2.2, 00:32:16, Serial0/0/1
C 192.168.3.0/24 is directly connected, FastEthernet0/1
b. ¿Qué redes ha aprendido R3 por medio del protocolo de enrutamietno EIGRP? _________________
Tarea 5: Verificar el Funcionamiento del Firewall Basado en Zonas
Paso 1: Desde PC-C, ejecutar un ping hacia la interfaz de la LAN interna de R3.
a. Desde PC-C, ejecutar un ping a la interfaz Fa0/1 de R3 con la dirección IP 192.168.3.1.
C:>ping 192.168.3.1
b. ¿Fue exitoso el ping? ¿Por qué sí o por qué no? _______________________________________________________________________________
Paso 2: Desde PC-C, ejecutar unping hacia la interfaz de la WAN externa de R2.
a. Desde PC-C, ejecutar un ping hacia la nterfaz S0/0/1 de R2 con la dirección IP 10.2.2.2.
C:>ping 10.2.2.2
Paso 3: Desde R2 ejecutar un ping a PC-C.
a. Desde el router externo R2, ejecutar un ping hacia PC-C con la dirección IP 192.168.3.3.
R2#ping 192.168.3.3

CCNA Security
Paso 4: Conectarse por Telnet desde R2 a R3.
a. Desde el router R2, conectarse por telnet a R3 con la dirección IP 10.2.2.1.
R2#telnet 10.2.2.1
Trying 10.2.2.1 ... Open
Trying 10.2.2.1 ...
% Connection timed out; remote host not responding
b. ¿Por qué no fue exitosa la conexión? _________________________________________________
Paso 5: Conectarse por Telnet desde el host interno PC-C al router externo R2.
a. Desde PC-C en la LAN interna de R3, conectarse por telnet a R2 con la dirección IP 10.2.2.2.
C:>telnet 10.2.2.2
User Access verification
Password: ciscovtypass
b. Con la sesión Telnet abierta desde PC-C a R2, ingresar al modo EXEC privilegiado con el comando enable y la contraseña cisco12345.
c. Ejecutar el comando show policy-map type inspect zone-pair session en R3. Continuar presionando enter hasta ver la sección Inspect Established session cerca del final. Su salida debe verse similar a la siguiente.
Inspect
Number of Established Sessions = 1
Session 657344C0 (192.168.3.3:1274)=>(10.2.2.2:23) tacacs:tcp SIS_OPEN
Created 00:01:20, Last heard 00:01:13
Bytes sent (initiator:responder) [45:65]
d. En la sección Established Sessions, ¿cuál es la dirección IP de origen y el número de puerto para la sesión 657344C0? ______________________________________________________________________
e. ¿Cuál es la dirección IP de destino y el nñumero de puerto para la sesión 657344C0? ________________________________________________________________________________
Paso 6: Verificar el funcionamiento del ZBF utilizando el Monitor del SDM.
a. Desde el SDM, hacer click sobre el botón Monitor en la parte superior de la pantalla y seleccionar Firewall Status.
b. Seleccionar la política sdm-zp-out-self de la lista de políticas. Esta política se aplica al tráfico desde la zona externa hacia la zona interna del router..
c. Verificar que la opción Active Sessions se encuentra seleccionara y que el intervalo de vista está configurado en Real-time data every 10 sec. Hacer click sobre el botón Monitor Policy para iniciar el monitireo de tráfico deade la zona externa a la zona interna.

CCNA Security
d. Desde la CLI de R2, ejecutar un ping a la interfaz S0/0/1 de R3 con la dirección IP 10.2.2.1. Esteping debe fallar.
e. Desde la CLI de R2, conectarse por telnet a la interfaz S0/0/1 de R3 con la dirección IP 10.2.2.1. El intento de iniciar la sesión telnet debe fallar.
f. Hacer click sobre la opción Dropped Packets y observar el gráfico que muestra el número de paquetes descartados resultantes de los intentos fallidos de ping y telnet- La pantalla debe verse similar a la siguiente.

CCNA Security
g. Hacer click sobre la opción Allowed Packets y observar el gráfico quemuestra el número de paquetes EIGRP recibidos desde el router R3. Este número continuará creciendo a un paso uniforme a medida que las actualizaciones EIGRP son recibidas desde R2.

CCNA Security
h. Hacer click sobre el botón Stop Monitoring y cerrar el SDM.
Tarea 6: Reflexión
¿Cuáles son algunos factores a considerar cuando se configuran firewalls utilizando los métodos tradicionales de la CLI, en comparación con utilizar métodos automatizados como el CBAC de AutoSecure y el asistente gráfico de Firewall del SDM?
_______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________

CCNA Security
Tabla de Resumen de Interfaces del Router
Resumen de Interfaces del Router
Modelo de Router
Interfaz Ethernet #1
Interfaz Ethernet #2
Interfaz Serial #1
Interfaz Serial #2
1700
Fast Ethernet 0 (FA0)
Fast Ethernet 1 (FA1)
Serial 0 (S0)
Serial 1 (S1) 1800 Fast Ethernet 0/0 (FA0/0) Fast Ethernet 0/1 (FA0/1) Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
2600
Fast Ethernet 0/0 (FA0/0)
Serial 0/0 (S0/0)
Serial 0/1 (S0/1)
2800
Serial 0/0/0 (S0/0/0)
Serial 0/0/1 (S0/0/1)
Nota: Para identificar cómo se encuentra configurado el router, mire las interfaces para identificar el tipo de router y cuántas interfaces posee. No existe un método para listar de forma efectiva todas las combinaciones de configuración para cada clase de router. Esta tabla incluye los identificadores para las combinaciones posibles de interfaces Ethernet y Serial en el dispositivo. La tabla no incluye otros tipos de interfaces, incluso cuando un router específico puede tener una. Un ejemplo de esto puede ser la interfaz ISDN BRi. La cadena entre paréntesis es la abreviatura legal que puede utilizarse en los comandos del IOS para representar a la interfaz.

Vip ccna 32 pags 72171400-seguridad-cap4-lab-a-cbac-zbf

Recommended

Recommended

More Related Content

More from xavazquez

More from xavazquez (20)

Vip ccna 32 pags 72171400-seguridad-cap4-lab-a-cbac-zbf