Configuracion predeterminada de un router (Cisco)

Configuracion de un Router Cisco

Paso 1: Configure el nombre de host del router Router#enable Router#configure terminal Router(config)#hostname CustomerRouter Paso 2: Configure la contrasea secret y en modo privilegiado a.En el modo de configuracin global, establezca la contrasea en cisco: CustomerRouter(config)#enable password cisco b.Establezca la contrasea privilegiada encriptadacisco123 con el comando secret: CustomerRouter(config)#enable secret cisco123 Paso 3: Configure la contrasea de consola a.En el modo de configuracin global, cambie al modo de configuracin de lnea para especificar la lnea de consola: CustomerRouter(config)#line console 0 b.Establezca la contrasea en cisco123, determine que la contrasea debe ingresarse en el momento de iniciar sesin y a continuacin salga del modo de configuracin de lnea: CustomerRouter(config-line)#password cisco123 CustomerRouter(config-line)#login CustomerRouter(config-line)#exit CustomerRouter(config)# Paso 4: Configure la contrasea vty para permitir el acceso telnet al router En el modo de configuracin global, cambie al modo de configuracin de lnea para especificar las lneas vty: CustomerRouter(config)#line vty 0 4 Configure la contrasea en cisco123, establezca que la contrasea se ingrese al iniciar sesin, salga del modo de configuracin de lnea y finalice la sesin de configuracin: CustomerRouter(config-line)#password cisco123 CustomerRouter(config-line)#login CustomerRouter(config-line)#exit CustomerRouter(config)#end En el modo EXEC privilegiado, guarde la configuracin en ejecucin en la configuracin de inicio: CustomerRouter#copy run start

Asignar contrasea de acceso al modo exe privilegiado

Router#config t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#enable secret contrasea Router(config)#exit As la prxima vez que un usuario ingrese al modo exe privilegiado le solicitara una contrasea.

Asignar contrasea de acceso via telnet

Router#config t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#line vty 0 4 Router(config-line)#password contrasea Router(config-line)#login Router(config-line)#exit Se aplica una contrasea de acceso para las primeras cinco lineas de telnet; es decir para un mximo de cinco usuarios simultneos al router para poder configurarlo via remota y al final se aplica el comando login para activar la seguridad.

Nota Importante: a nivel de pruebas de laboratorio se puede utilizar telnet para restringir
acceso; no asi cuando se trate de restringir en una infraestructura de red empresarial ya que la clave puede ser capturada por un usuario no autorizado ya que la misma viaja por la red en texto sin cifrar.

Asignar contrasea de acceso a la interfaz de consola

Router#config t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#line console 0 Router(config-line)#password contrasea Router(config-line)#login Router(config-line)#exit Imagen de los dos routers conectados en packet tracer

Analisis forense Router Cisco

En este post se van a tratar las prcticas forenses que se deben aplicar a un router Cisco o basados en Cisco. En primer lugar hay que tener muy claro porque motivos se ataca un router. Los principales motivos son los siguientes: Porque atacar un router: Procedemos a asignar una direccin ip a cada interfaz serial para que exista una conexin lgica entre los dispositivos. Lo haremos primero en Router 1 de la siguiente manera: Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#interface serial 0/0/0 Router1(config-if)#ip address 10.10.10.1 255.255.255.0 Router1(config-if)#no shutdown Router1(config-if)#clock rate 64000 * Con el comando "no shutdown" indicamos a Router 1 que debe de encender la interfaz para activar la conexion. * El comando "clock rate" establece el relog de la interfaces seriales; no es bandwith pero si designa cual enrutador sera el DCE. De igual manera se asignara una direccin ip a la interfaz serial del Router 2 con los siguientes comandos : Router2#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router2(config)#interface serial 0/0/0 Router2(config-if)#ip address 10.10.10.2 255.255.255.0 Router2(config-if)#no shutdown Si la conexin tuvo xito nos deber mostrar el siguiente resultado en Router 1: -Realizar un ataque de denegacin de servicios (DoS) al router y a la red a la que pertenece. -Comprometer otros routers a travs de el. -Desviar firewalls de red, IDS o otros servicios. -Monitorizar y grabar el trfico entrante o saliente de la red. -Redirigir el trfico de la red a otro punto. Tambin hay que tener claro la filosofa de trabajo de un router Cisco. Esta compuesto principalmente por dos memorias donde almacena los datos: Las memorias son: Memoria RAM: Es una memoria no persistente, quiere decir que lo que esta almacenado en ella se borra al apagar el equipo. En ella se almacena: -Configuracin activa. -Tablas dinmicas: ARP, Routing, NAT, Violaciones ACL, estadsticas protocolos

Memoria Flash: Es persistente, aun apagando el equipo, esta memoria no se borra. En esta memoria se almacena: -Configuracin de arranque. -Archivos del sistema IOS. Para empezar el anlisis tenemos que tener en cuenta, basndonos en los datos relativos a la filosofa de trabajo del router, una metodologa concreta, que consiste en: -No apagar ni reiniciar el router, evidentemente perderemos todos los datos almacenados en la RAM. Que son todos los datos que importan para el anlisis,

As con estos pocos y sencillos pasos tendremos una conexin directa de dos Routers Cisco con un 100% de funcionalidad.

sin ests datos, el anlisis no tiene sentido. -Aislar el router de la red, sobre todo si el ataque ya se ha realizado. Siempre con el cuidado de no desconectar la alimentacin. En algunas casos se puede realizar sin aislar pero despus de recoger informacin, para monitorizar si la actividad continua. -Conectarse para realizar el anlisis forense a travs del puerto consola del router y no a travs de la red, porque se corrompera la escena. -Grabar la sesin completa de anlisis de la consola en un archivo de log. -Ejecutar comandos que muestran configuraciones, pero nunca ejecutar comandos de configuracin del router. -Una vez extrada la informacin voltil, podemos analizar las vulnerabilidades del router y escanear sus servicios a travs de la red. Despus de tener en cuenta estas recomendaciones, pasamos a los comandos que tenemos que utilizar en la consola para extraer la configuracin activa y las tablas dinmicas. La sesin de consola en la que se ejecuten ests comandos, debe ser grabada. Los comandos son:
show clock detail show version show running-config show startup-config show reload show ip route show ip arp show users show logging show ip interface show interfaces show tcp brief all show ip sockets show ip nat translations verbose show ip cache flow show ip cef show snmp user show snmp group show clock detail

Despus de obtener est informacin pasaremos a encontrar las vulnerabilidades o servicios por los que se ha podido comprometer la seguridad del router. Para analizar vulnerabilidades utilizamos herramientas como: Router Audit Tool (RAT) y Nipper. Para analizar servicios utilizamos: nmap, Cisco Torch, Cisco Snmp Tool

Como crear una sola red de computadoras con 2 proveedores de internet?

Asi esta el asunto: ISP1 = Proveedor de Internet 1 ISP2 = Proveedor de Internet 2 R1 = Router ADSL de ISP1 = DHCP = solo 10 IP's. (router muy limitado) R2 = Router ADSL de ISP2 = DHCP = 255 IP's. (router muy amplio en configuracion) SW1 = Switch de 24 puertos PC = 10 computadoras Instalacion alambrica(Fsica): ISP1 R1 IP's:192.168.1.3-12 P.ENLACE:192.168.1.1 MASCARA : 255.255.255.0 DNS1(ISP1)+DNS2(ISP1) SW1 +-----+-----+-----+-----+-----+-----+-----+-----+-----+-----+ PC1, PC2, PC3..........................................PC10 A cada PC se le asigno manualmente direcciones ip de la siguiente manera: IP : 192.168.1.3 ---> hasta la 192.168.1.x PC disponible MASCARA : 255.255.255.0 P.ENLACE : 192.168.1.1 --> Y AGREGAR NUEVA PUERTA DE ENLACE 192.168.1.2 Aqui es donde se rutean las puertas de enlace para obtener el servicio de internet y la red a cualquiera de los routers DNS1 : 192.168.1.1 <--- OJO, aqui rutean el internet a cualquiera de los routers disponibles DNS2 : 192.168.1.2 <--- OJO, aqui rutean el internet a cualquiera de los routers disponibles ISP2 R2 IP's:192.168.1.3-254 P.ENLACE:192.168.1.2 MASCARA : 255.255.255.0 DNS1(ISP1)+DNS2(ISP1)

Tambin podemos utilizar una herramienta automatizada para recabar esta informacin, se trata de CREED (Cisco Router Evidence Extraction Disk). Un disco auto arrancable que ejecuta un script para obtener esta informacin, ejecutando estos comandos: # terminal length 0 # show ip interfaces # dir /all # show access-lists # show clock detail # show tcp brief all # show ntp # show ip sockets # show version # show ip nat translations verbose # show running-config # show ip cache flow # show startup-config # show ip cef # show reload # show snmp users # show ip route # show snmp groups # show ip arp # show clock detail # show users # exit # show logging # show interfaces

comandos para configurar un router o un switch cisco El siguiente es un pequeo resumen sobre comandos para configurar un switch cisco : Rip NewYork(config)#interface fastethernet0/0 NewYork(config-if)#ip address 192.168.50.129 255.255.255.192 NewYork(config-if)#ip rip send version 1 NewYork(config-if)#ip rip receive version 1 NewYork(config)#interface fastethernet0/1 NewYork(config-if)#ip address 172.25.150.193 255.255.255.240 NewYork(config-if)#ip rip send version 1 2 Show ip protocols show interface interface show ip interface interface show running-config Show ip rip database OSPF Router(config)#router ospf process-id Router(config-router)#network address wildcard-mask area area-id Router(config)#interface lookback 0 Router(config-if)#ip address 192.168.3.33 255.255.255.255 Rtr(config-if)# bandwidth 64 Rtr(config-if)# ip ospf cost 1562 Autenticacin sin md5 Router(config-if)#ip ospf authentication-key password Router(config-router)#area area-number authentication Autenticacin con md5 Router(config-if)#ip ospf message-digest-key key-id encryption-type md5 key Router(config-router)#area area-id authentication message-digest Router(config-if)#ip ospf hello-interval seconds Router(config-if)#ip ospf dead-interval seconds debug ip ospf events --aumentar la prioridad para elegir un router DR sw(config)#interface fasethernet 0/0 sw(config-if)#ip osfp priority 50 sw(config-if)#end EIGRP Router(config)#router eigrp as-id Router(config-router)#network 192.168.3.0

Router(config-router)#end Router# show ip eigrp topology eigrp log-neighbor-changes resumen de rutas: router(config-router)#no auto-summary Switch Switch# dir flash: Switch#show flash Switch#show vlan Switch#vlan database Switch(vlan)#vlan vlan_number Switch(vlan)#exit Switch(config)#interface fastethernet 0/9 Switch(config-if)#switchport access vlan vlan_number Switch#vlan database Switch(vlan)#no vlan 300 Switch(config)#interface fastethernet 0/9 Switch(config-if)#switchport access vlan vlan_number Sw1#delete flash:vlan.dat Sw1#erase startup-config Sw1#reload Interface web Sw1(config)#ip http port 80 Ver la tabla MAC: Switch#show mac-address-table (? Mas opciones) Switch#clear mac-address-table Asignar una mac estatica Switch(config)#mac-address-table static interface FastEthernet vlan Switch(config)#no mac-address-table static interface FastEthernet vlan

Seguridad de Puerto
Sw1(config)#interface fastETehernet 0/2 Sw1(config-if)#switchport port-security ?(sale las opciones)

Catalyst 2950
Sw(config)#interface Vlan1 Sw(config-if)#ip address 192.168.1.2 255.255.255.0 Sw(config-if)#no shutdown Sw(config)# ip default-gateway 192.168.1.1

Limitar la cantidad de host por puerto Catalyst 1900:

Sw1(config)#interface fastETehernet 0/2 Sw1(config-if)#port secure mas-mac-count 1

Catalyst 1900
Sw(config)#ip address 192.168.1.2 255.255.255.0 Sw(config)# ip default-gateway 192.168.1.1

Catalyst 2950:
Sw1(config)#interface fastETehernet 0/2 Sw1(config-if)#switchport port-security maximum 1 Configuracion del Puerto que se desconecte cuando se produce una violacion de seguridad Sw(config-if)#switchport port-security violation shutdown

Archivos de configuracion
Sw# copy running-config startup-config

Catalyst 1900 :
Sw#copy nvram tftp://tftp server ip add/destination_filename COnfiguracion de la velocidad Switch(config)#interface fastethernet 0/9 Switch(config-if)#duplex full Switch(config-if)#speed 100

Catalyst 2900xl:
Sw(config-if)#port security action shutdown

Poner Ip a la Vlan1 Crear el trunk del switch

Sw(config)#interface fastethernet 0/1 Sw(config-if)#swicthport mode trunk Sw(config-if)#end router1#copy running-config tftp Quitar un Puerto de una VLAN Switch(config)#interface fasethernet 0/9 Switch(config-if)#no switchport access vlan 300

Catalyst 2900:
Sw(config)#interface fastethernet 0/1 Sw(config-if)#swicthport mode trunk Sw(config-if)#swicthport trunk encapsulation dot1q Sw(config-if)#end

Eliminar una vlan

Switch#vlan database Switch(vlan)#no vlan 300 Spanning tree

Catalyst 1900:
Sw(config)#interface fastethernet 0/1 Sw(config-if)#swicthport mode trunk Sw(config-if)#swicthport trunk encapsulation dot1q Sw(config-if)#end Trunk en el router Router(config)#interface fastethernet 0/0 Router(config-if)#no shutdown Router(config-if)#interface fastEthernet 0/0.1 Router(config-subif)#encapsulation dot1q vlannumber Router(config-subif)#ip address.

show spanning-tree

Configuracion de VTP
switch#vlan database switch#vtp v2-mode switch(vlan)#vtp domain password switch#vtp {client | server | transparent}

Copiar el IOS a un server tftp

Sw#copy flash tftp

Catalyst 2900:
sw#copy flash:nombre_del_archivo tftp