PROTOCOLOS SSH,ACLS Y SNMP

CONFIGURAR SSH EN UN ROUTER CISCO

Usar Telnet para gestionar un router, un switch o un firewall no es seguro, ya que transmite en texto claro a través de la red, lo cual es un problema cuando se transmite el nombre de usuario o password. Una alternativa a usar Telnet y que es capaz de remediar esta laguna es el uso de SSH. Al igual que con Telnet, tu puedes usar SSH para entrar comandos IOS a través de la red o copiar ficheros sobre la red a un dispositivo. Pero con SSH, el cual usa certificados digitales encriptadas, apenas tienes que preocuparte por la seguridad. Hay dos versiones de Secure Shell : SSH1 y SSH2. Cisco IOS 12.1(3)T fue la primera versión en soportar SSH1, no requiere encriptación de datos standard ( DES ) o 3DES. Con la versión SSH2 soportar 3DES. SSH1 y SSH2 son dos protocolos diferentes. SSH2 ofrece mucha más seguridad y es recomendable usarlo siempre que sea posible.Cisco IOS ofrece la posibilidad de actuar como servidor SSH o cliente SSH. Así tu puedes conectarte al servidor SSH en el router desde un cliente SSH o desde el cliente SSH en el router a un servidor SSH. Para configurar SSH en el router, debemos asegurarnos de tener la imagen IOS apropiada: c2600-ik9o3s3-mz.122-15.T9.bin.

Los siguientes pasos habilitarán SSH en un router Cisco, también deshabilitaráTelnet:

1.Enter configuration mode.

2.Assign a host name for the router.

3.Create at least one local user account.

4.Assign a DNS domain name for the router.

5.Generate an RSA key.

6.Configure SSH timeout and retries settings.

7.Enable SSH on virtual type terminals (VTYs).

! Assign a host name for the router

hostname myrouter

! Create at least one local user account

aaa new-model

username cisco password cisco

! Assign a DNS domain name for the router

ip domain-name yourdomain.com

! Generate an RSA key

crypto key generate rsa

! Configure SSH timeout and retries settings

ip ssh time-out 60

ip ssh authentication-retries 3

! Enable SSH on VTYs

line vty 0 4

transport input ssh

ACLS

El proceso de creación de una ACL se lleva a cabo creando la lista y posteriormente asociándola a una interfaz entrante o saliente.

Configuración de ACL estándar

Router(config)#access-list[1-99][permit|deny][dirección de origen][mascara comodín]

Donde:

1-99 Identifica el rango y la lista.

Permit|deny indica si esta entrada permitirá o bloqueará el tráfico a partir de la dirección especificada.

Dirección de origen identifica la dirección IP de origen.

Mascara comodín o wildcard identifica los bits del campo de la dirección que serán comprobados.

La mascara predeterminada es 0.0.0.0 (coincidencia de todos los bits).

Asociación de la lista a una interfaz

Router(config-if)#ip access-group[nº de lista de acceso][in|out]

Donde:

Número de lista de acceso indica el número de lista de acceso que será aplicada a esa interfaz.

In|out selecciona si la lista de acceso se aplicará como filtro de entrada o de salida.

Ejemplo de una ACL estándar denegando una red:

Router#configure terminal

Router(config)#access-list 10 deny 192.168.1.0 0.0.0.0

Router(config)#access-list 10 permit any

Router(config)#interface serial 0

Router(config-if)#ip access-group 10 in

Se ha denegado al host 192.168.1.0 y luego se ha permitido a cualquier origen,

Posteriormente se asocio la ACL a la interfaz Serial 0.

Configuración de ACL extendida

El proceso de configuración de una ACL IP extendida es el siguiente:

Router(config)#access-list[100-199][permit|deny][protocol][dirección de origen][mascara comodín][dirección de destino][mascara de destino][puerto][establisehed][log]

100-199 identifica el rango y número de lista

Permit|deny: indica si la entrada permitirá o bloqueara la dirección especificada.

Protocolo: como por ejemplo IP, TCP, UDP, ICMP

Dirección origen y destino: identifican direcciones IP de origen y destino.

Mascara wildcard origen y mascara destino: Son las mascaras comodín. Las 0 indican las posiciones que deben coincidir, y los 1 las “que no importan”.

Puerto opcional) puede ser por ejemplo: lt (menor que), gt (mayor que),

...