CCNA Security

Captulo 4 Lab A, Configurando CBAC y Firewalls Basados en Zonas

Topologa

Tabla de Direccionamiento IP
Mscara de Subred 255.255.255.0 255.255.255.252 255.255.255.252 255.255.255.252 255.255.255.0 255.255.255.252 255.255.255.0 255.255.255.0 Gateway por Defecto N/A N/A N/A N/A N/A N/A 192.168.1.1 192.168.3.1 Puerto del Switch S1 FA0/5 N/A N/A N/A S3 FA0/5 N/A S1 FA0/6 S3 FA0/18

Dispositivo R1

Interfaz FA0/1 S0/0/0 (DCE) S0/0/0 S0/0/1 (DCE) FA0/1 S0/0/1 NIC NIC

Direccin IP 192.168.1.1 10.1.1.1 10.1.1.2 10.2.2.2 192.168.3.1 10.2.2.1 192.168.1.3 192.168.3.3

R2

R3 PC-A PC-C

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Este documento es Informacin Pblica de Cisco.

Pgina 1 de 32

CCNA Security

Objetivos
Parte 1: Configuracin Bsica del Router Configurar los nombres de host, direcciones IP de las interfaces, y contraseas de acceso. Configurar el protocolo de enrutamiento dinmico EIGRP. Utilizar el escner de puertos Nmap para buscar vulnerabilidades en el router

Parte 2: Configuracin de un Firewall de Control de Acceso Basado en el Contexto (CBAC) Configurar CBAR utilizando AutoSecure. Examinar la configuracin resultante de CBAC. Verificar la funcionalidad del firewall.

Parte 3: Configuracin de un Firewall de Polticas Basado en Zonas (ZBF, ZPF o ZFW) Configurar un Firewall de Polticas Basado en Zonas utilizando el SDM. Examinar la configuracin resultante de CBAC. Utilizar el Monitor del SDM para verificar la configuracin.

Escenario
La forma ms bsica del firewall del IOS utiliza listas de control de acceso (ACLs) con fitrado de trfico IP y monitoreo de patrones de trfico establecido. Esto es conocido como un firewall de IOS tradicional de Cisco. En versiones ms recientes del IOS, este enfoque ha evolucionado en un mtodo llamado control de acceso basado en el contexto (CBAC) o Inspect/CBAC, el cual se basa en la Inspeccin de Packetes con Estado (SPI Stateful Packet Inspection). CBAC facilita la creacin de firewalls y da al administrador un mayor control sobre diferentes tipos de trfico de aplicaciones originado dentro y fuera de la red protegida. Cuando se ejecuta el AutoSecure del IOS de Cisco, se genera un firewall CBAC con una configuracin bsica. Para redes simples, con una nica interfaz entre el interior y el exterior, CBAC ms sencillo de configurar que un firewall tradicional del IOS. Las configuraciones con mltiples interfaces y requerimientos de DMZ pueden ser difciles y complejas de administrar utilizando CBAC. El mtodo actual utilizado por el SDM para asegurar el router se llama firewall de polticas basado en zonas (puede ser abreviado como ZBF, ZPF o ZFW). Un firewall de polticas basado en zonas provee el mismo tipo de funcionalidades que CBAC, pero se adapta mejor a mltiples interfaces con requerimientos de seguridad que pueden ser similares o diferentes. Mientras que AutoSecure genera un firewall CBAC, el SDM genera un firewall de polticas basado en zonas. En esta prctica de laboratori, usted construr una red de mltiples routers y configurar los routers y los hosts. Utilizar AutoSecure para configurar un firewall CBAC y el SDM para configurar un firewall de polticas basado en zonas. Nota: Los comandos y salida del router en esta prctica de laboratorio corresponden con un equipo Cisco 1841 con un IOS versin 12.4(20)T (Advanced IP image). Pueden utilizarse otras versiones de equipos e IOS. Ver la tabla de Resumen de Interfaces del Router al final de esta actividad para determinar qu identificadores de interfaz deben utilizarse en base al equipamiento del laboratorio. Dependiendo del modelo de router y de la versin del IOS, los comandos disponibles y la salida generada pueden variar con respecto a lo presentado en esta prctica de laboratorio. Nota: Asegurarse de que los routers y los switches han sido limpiados y no poseen configuraciones previas.

Recursos Requeridos
3 routers con SDM 2.5 instalado (Cisco 1841 con Cisco IOS Versin 12.4(20)T1 o equivalente) 2 switches (Cisco 2960 o equivalente) PC-A (Windows XP o Vista) PC-C (Windows XP o Vista)
Pgina 2 de 32

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Este documento es Informacin Pblica de Cisco.

CCNA Security Cables Serial y Ethernet de acuerdo a la topologa Cables Rollover para configurar los routers a travs de la consola

Parte 1: Confguracin Bsica del Router

En la Parte 1 de esta prctica de laboratorio, configurar la topologa de la red incluyendo las direcciones IP de las interfaces, el enrutamiento dinmico, el acceso a los dispositivos y las contraseas. Nota: Todas las tareas deben realizarse sobre los routers R1, R2 y R3. Se muestran los procedimientos sobre R1 como ejemplo.

Tarea 1: Realizar la Configuracin Bsica del Router

Paso 1: Conectar los dispositivos como se muestra en la topologa.
Cablear los dispositivos de acuerdo al diagrama de la topologa, utilizando los cables necesarios.

Paso 2: Configurar las opciones bsicas de cada router.

a. Configurar los nombres de host de acuerdo a la topologa. b. Configurar las direcciones de las interfaces IP de acuerdoa la tabla de direccionamiento IP. c. Configurar el clock rate para las interfaces seriales del router con un cable DCE conectado. R1(config)#interface S0/0/0 R1(config-if)#clock rate 64000

Paso 3. Deshabilitar la bsqueda DNS.

Para evitar que el router intente traducir los comandos ingresados incorrectamente, deshabilitar la bsqueda DNS. R1(config)#no ip domain-lookup

Paso 4: Configurar el protocolo de enrutamiento EIGRP en R1, R2 y R3.

a. En R1, utilizar los siguientes comandos. R1(config)#router eigrp 101 R1(config-router)#network 192.168.1.0 0.0.0.255 R1(config-router)#network 10.1.1.0 0.0.0.3 R1(config-router)#no auto-summary b. En R2, utilizar los siguientes comandos. R2(config)#router eigrp 101 R2(config-router)#network 10.1.1.0 0.0.0.3 R2(config-router)#network 10.2.2.0 0.0.0.3 R2(config-router)#no auto-summary c. En R3, utilizar los siguientes comandos. R3(config)#router eigrp 101 R3(config-router)#network 192.168.3.0 0.0.0.255 R3(config-router)#network 10.2.2.0 0.0.0.3 R3(config-router)#no auto-summary

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Este documento es Informacin Pblica de Cisco.

Pgina 3 de 32

CCNA Security

Paso 5: Configurar las opciones IP de la PC.

a. Configurar una direccin IP esttica, mscara de subred, y gateway por defecto para PC-A, de acuerdo a la tabla de direccionamiento IP. b. Configurar una direccin IP esttica, mscara de subred y gateway por defecto para PC-C, de acuerdo a la tabla de direccionamiento IP.

Paso 6: Verificar la conectividad bsica de la red.

a. Ejecutar un ping desde R1 hacia R3. El resultado fue exitoso? _____ Si el ping no fue exitoso, realizar la resolucin de problemas de configuracin antes de continuar. b. Ejecutar un ping desde PC-A en la LAN de R1 hacia PC-C en la LAN de R3. El resultado fue exitoso? _____ Si el ping no fue exitoso, realizar la resolucin de problemas de configuracin antes de continuar. Nota: Si puede ejecutar un ping desde PC-A hasta PC-C, ha demostrado que el protocolo de enrutamiento EIGRP se encuentra configurado y funcionando correctamente. Si no puede ejecutar un ping pero las interfaces del dispositivo se encuentran levantadas y las direcciones IP con correctas, utilice los comandos show run y show ip route para identificar los problemas relacionados con el protocolo de enrutamientoto.

Paso 7: Configurar una longitud mnima de contraseas.

Nota: Las contraseas en esta prctica de laboratorio se encuentran configuradas con un mnimo de 10 caracteres, pero son relativamente simples para el beneficio de la ejecucin de esta actividad. Se recomienda utilizar contraseas ms complejas en las redes en produccin. Utilizar el comando security passwords para configurar una longitud mnima de contraseas de 10 caracteres. R1(config)#security passwords min-length 10

Paso 8: Configure basic console, auxiliary port, and vty lines.

a. Configurar una contrasea de consola y de modo enable para el router R1. Para mayor seguridad, el comando exec-timeout provoca la desconexin de la lnea luego de 5 minutos de inactividad. El comando logging synchronous evita que los mensajes de la consola interrumpan la entrada de comandos. Nota: Para evitar los logins repetitivos durante la realizacin de esta actividad, el comando exectimeout debe configurarse con 0 0, lo que evita que expire. Sin embargo, esto no es considerado una buena prctica de seguridad. R1(config)#line console 0 R1(config-line)#password ciscoconpass R1(config-line)#exec-timeout 5 0 R1(config-line)#login R1(config-line)#logging synchronous b. Configurar la contrasea para el puerto aux del router R1. R1(config)#line aux 0 R1(config-line)#password ciscoauxpass R1(config-line)#exec-timeout 5 0 R1(config-line)#login c. Configurar la contrasea de las lneas vty del router R1.
Pgina 4 de 32

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Este documento es Informacin Pblica de Cisco.

CCNA Security R1(config)#line vty 0 4 R1(config-line)#password ciscovtypass R1(config-line)#exec-timeout 5 0 R1(config-line)#login d. Repetir esta configuracin en R2 y R3.

Paso 8: Habilitar el servidor HTTP y el servidor HTTP seguro.

Habilitar estos servicios permite administrar el router utilizando la interfaz grfica (GUI) y un navegador web. R1(config)#ip http server

Paso 9: Cifrar las contraseas en texto claro.

a. Utilizar el comando service password-encryption para cifrar las contraseas de consola, aux y vty. R1(config)# service password-encryption b. Ejecutar el comando show run. Puede leer las contraseas de consola, aux y vty? Por qu s o por qu no? ______________________________________________________________________ c. Repetir esta configuracin en R2 y R3.

Paso 10: Guardar la configuracin bsica para los tres routers.

Guardar la configuracin actual desde el modo EXEC privilegiado. R1#copy running-config startup-config

Tarea 2: Utilizar el Escner de Puertos Nmap para Determinar las Vulnerabilidades del Router
En esta tarea, usted determinar los puertos abiertos o servicios que se estn ejecutando en R1 utilizando Nmap, antes de configurar el firewall.

Paso 1: (Opcional) Descargar e instalar Nmap y la interfaz grfica Zenmap.

Nmap ("Network Mapper") es una herramienta de cdigo abierto para realizar exploracin y auditoras de seguridad de redes. a. Si Nmap ya se encuentra instalado en PC-A y PC-C, ir al Paso 2. En caso contrario, descargar la ltima versin disponible para Windows desde http://nmap.org/download.html. b. En PC-A y PC-C, ejecutar la herramienta Nmap e instalar todos los componentes listados, incluyendo la interfaz grfica Zenmap. Hacer click sobre Next para aceptar los valores por defecto.

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Este documento es Informacin Pblica de Cisco.

Pgina 5 de 32

CCNA Security

Paso 2: Realizar un escaneo de puertos abiertos en R1 utilizando Nmap desde el host interno PC-A.
a. Desde el host interno PC-A, iniciar la aplicacin Nmap-Zenmap e ingresar la direccin IP del gateway por defecto, la interfaz Fa0/1 de R1 (192.168.1.1), en el campo Target. Aceptar el comando Nmap por defecto ingresado en el campo Command y utilizar el perfil Intense scan. Nota: Si la PC est ejecutando un firewall personal, puede ser necesario desactivarlo en forma temporal para obtener resultados exactos.

b. Hacer click sobre el botn Scan para iniciar el escaneo de R1 desde el host interno PC-A. Esperar un tiempo para que se complete el escaneo. Las siguientes dos pantallas muestran la salida completa luego de completar el escaneo.

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Este documento es Informacin Pblica de Cisco.

Pgina 6 de 32

CCNA Security

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Este documento es Informacin Pblica de Cisco.

Pgina 7 de 32

CCNA Security

c.

Hacer click sobre el botn Service en la parte superios izquierda de la pantalla. Qu puertos se encuentran abiertos en la interfaz Fa0/1 de R1 desde la perspectiva del host interno PC-A? ________________________________________________

Cul es la direccin MAC de la interfaz Fa0/1 de R1? ________________________________________ Para R1, qu tipo de dispositivo y qu versin de OS detecta Nmap? ___________________________

Paso 3: Escanear los puertos abiertos de R1 utilizando Nmap desde el host externo PC-C.
a. Desde el host externo PC-C, iniciar la aplicacin Nmap-Zenmap e ingresar la direccin IP de la interfaz S0/0/0 de R1 (10.1.1.1) como Target. Aceptar el comando Nmap por defecto ingresado en el campo Command y utilizar el perfil Intense scan. b. Hacer click sobre el botn Scan. Esperar un tiempo para que se complete el escaneo. Las siguientes dos pantallas muestran la salida completa del escaneo.
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Este documento es Informacin Pblica de Cisco. Pgina 8 de 32

CCNA Security

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Este documento es Informacin Pblica de Cisco.

Pgina 9 de 32

CCNA Security

c.

Hacer click sobre el botn Services debajo del campo Command. Qu servicios se estn ejecutando y estn disponibles en R1 desde la perspectiva de PC-C? _________________________

d. En la salida del escaneo de Nmap, referirse a la informacin de TRACEROUTE. Cuntos saltos existen entre PC-C y R1, y a travs de qu direcciones IP debe pasar el escner para alcanzar a R1? _____________________________________________________________________________

Nota: En la Parte 2 de esta prctica de laboratorio configurar un firewall CBAC y luego ejecutar Nmap nuevamente para probar el acceso desde el host externo PC-C a R1.

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Este documento es Informacin Pblica de Cisco.

Pgina 10 de 32

CCNA Security

Parte 2: Configurar un Firewall de Control de Acceso Basado en el Contexto (CBAC)

En la Parte 2 de esta prctica de laboratorio, usted configurar CBAC en R1 utilizando AutoSecure. Luego revisar y probar la configuracin resultante.

Tarea 1: Verificar el Acceso a la LAN de R1 desde R2

Ene sta tarea, verificar que al no existir un firewall, el router externo R2 puede hacer ping a la interfaz S0/0/0 de R1 y a PC-A en la LAN interna de R1.

Paso 1: Ejecutar un ping desde R2 a R1.

a. Desde R2, ejecutar un ping a la interfaz S0/0/0 de R1 con la direccin IP 10.1.1.1. R2#ping 10.1.1.1 b. El resultado fue exitoso? _____ Si el ping no fue exitoso, realizar la resolucin de problemas de configuracin antes de continuar.

Paso 2: Ejecutar un ping desde R2 hacia PC-A en la LAN de R1.

a. Desde R2, ejecutar un ping hacia PC-A en la LAN de R1, con la direccin IP 192.168.1.3. R2#ping 192.168.1.3 b. El resultado fue exitoso? _____ Si el ping no fue exitoso, realizar la resolucin de problemas de configuracin antes de continuar.

Paso 3: Mostrar la configuracin actual de R1 antes de utilizar AutoSecure.

a. Ejecutar el comando show run para ver la configuracin actual de R1. b. Existen comandos de seguridad relacionados con el control de acceso? _______________________________________________________________________________

Tarea 2: Utilizar AutoSecure para Asegurar R1 y Habilitar CBAC

AutoSecure simplifica la configuracin de seguridad de un router y refuerza la configuracin del router. En esta tarea, ejecutar AutoSecure y habilitar CBAC durante el proceso.

Paso 1: Utilizar la funcin AutoSecure del IOS para habilitar CBAC.

a. Ingresar al modo EXEC privilegiado utilizando el comando enable. b. Ejecutar el comando auto secure en R1. Responder como se muestra a continuacin a las preguntas y solicitudes de AutoSecure. Las respuestas se muestran en negrita. Nota: El objetivo aqu son los comandos generados por AutoSecure para CBAC, por lo que no debe habilitar todas las funciones potenciales de seguridad que provee AutoSecure, como el acceso por SH. Asegurarse de responder yes a la pregunta Configure CBAC Firewall feature?. R1#auto secure --- AutoSecure Configuration --*** AutoSecure configuration enhances the security of the router, but it will not make it absolutely resistant to all security attacks ***

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Este documento es Informacin Pblica de Cisco.

Pgina 11 de 32

CCNA Security AutoSecure will modify the configuration of your device. All configuration changes will be shown. For a detailed explanation of how the configuration changes enhance security and any possible side effects, please refer to Cisco.com for Autosecure documentation. At any prompt you may enter '?' for help. Use ctrl-c to abort this session at any prompt. Gathering information about the router for AutoSecure Is this router connected to internet? [no]: Interface FastEthernet0/0 FastEthernet0/1 Serial0/0/0 Serial0/0/1 IP-Address unassigned 192.168.1.1 10.1.1.1 unassigned yes

Enter the number of interfaces facing the internet [1]: 1 OK? Method Status Protocol YES unset administratively down down YES manual up YES SLARP YES unset up up up

administratively down down

Enter the interface name that is facing the internet: serial0/0/0 Securing Management plane services... Disabling service finger Disabling service pad Disabling udp & tcp small servers Enabling service password encryption Enabling service tcp-keepalives-in Enabling service tcp-keepalives-out Disabling the cdp protocol Disabling Disabling Disabling Disabling Disabling the bootp server the http server the finger service source routing gratuitous arp

Here is a sample Security Banner to be shown at every access to device. Modify it to suit your enterprise requirements. Authorized Access only This system is the property of So-&-So-Enterprise. UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED. You must have explicit permission to access this device. All activities performed on this device are logged. Any violations of access policy will result in disciplinary action. Enter the security banner {Put the banner between k and k, where k is any character}: $ Unauthorized Access Prohibited $
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Este documento es Informacin Pblica de Cisco. Pgina 12 de 32

CCNA Security Enable secret is either not configured or is the same as enable password Enter the new enable secret: cisco12345 Confirm the enable secret : cisco12345 Enter the new enable password: cisco67890 Confirm the enable password: cisco67890 Configuration of local user database Enter the username: admin Enter the password: cisco12345 Confirm the password: cisco12345 Configuring AAA local authentication Configuring Console, Aux and VTY lines for local authentication, exec-timeout, and transport Securing device against Login Attacks Configure the following parameters Blocking Period when Login Attack detected: 60 Maximum Login failures with the device: 2 Maximum time period for crossing the failed login attempts: 30 Configure SSH server? [yes]: no Configuring interface specific AutoSecure services Disabling the following ip services on all interfaces: no ip redirects no ip proxy-arp no ip unreachables no ip directed-broadcast no ip mask-reply Disabling mop on Ethernet interfaces Securing Forwarding plane services... Enabling CEF (This might impact the memory requirements for your platform) Enabling unicast rpf on all interfaces connected to internet Configure CBAC Firewall feature? [yes/no]: yes This is the configuration generated: no service finger no service pad no service udp-small-servers no service tcp-small-servers service password-encryption service tcp-keepalives-in service tcp-keepalives-out no cdp run no ip bootp server no ip http server no ip finger no ip source-route
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Este documento es Informacin Pblica de Cisco. Pgina 13 de 32

CCNA Security no ip gratuitous-arps no ip identd banner motd ^C Unauthorized Access Prohibited ^C security authentication failure rate 10 log enable secret 5 $1$m.de$Mp5tQr/I8W5VhuQoG6AoA1 enable password 7 05080F1C2243185E415C47 username admin password 7 02050D4808095E731F1A5C aaa new-model aaa authentication login local_auth local line con 0 login authentication local_auth exec-timeout 5 0 transport output telnet line aux 0 login authentication local_auth exec-timeout 10 0 transport output telnet line vty 0 4 login authentication local_auth transport input telnet line tty 1 login authentication local_auth exec-timeout 15 0 login block-for 60 attempts 2 within 30 service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone logging facility local2 logging trap debugging service sequence-numbers logging console critical logging buffered interface FastEthernet0/0 no ip redirects no ip proxy-arp no ip unreachables no ip directed-broadcast no ip mask-reply no mop enabled interface FastEthernet0/1 no ip redirects no ip proxy-arp no ip unreachables no ip directed-broadcast no ip mask-reply no mop enabled interface Serial0/0/0 no ip redirects no ip proxy-arp no ip unreachables no ip directed-broadcast no ip mask-reply interface Serial0/0/1 no ip redirects no ip proxy-arp no ip unreachables no ip directed-broadcast no ip mask-reply interface Vlan1
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Este documento es Informacin Pblica de Cisco. Pgina 14 de 32

CCNA Security no ip redirects no ip proxy-arp no ip unreachables no ip directed-broadcast no ip mask-reply no mop enabled access-list 100 permit udp any any eq bootpc interface Serial0/0/0 ip verify unicast source reachable-via rx allow-default 100 ip inspect audit-trail ip inspect dns-timeout 7 ip inspect tcp idle-time 14400 ip inspect udp idle-time 1800 ip inspect name autosec_inspect cuseeme timeout 3600 ip inspect name autosec_inspect ftp timeout 3600 ip inspect name autosec_inspect http timeout 3600 ip inspect name autosec_inspect rcmd timeout 3600 ip inspect name autosec_inspect realaudio timeout 3600 ip inspect name autosec_inspect smtp timeout 3600 ip inspect name autosec_inspect tftp timeout 30 ip inspect name autosec_inspect udp timeout 15 ip inspect name autosec_inspect tcp timeout 3600 ip access-list extended autosec_firewall_acl permit udp any any eq bootpc deny ip any any interface Serial0/0/0 ip inspect autosec_inspect out ip access-group autosec_firewall_acl in ! end Apply this configuration to running-config? [yes]: yes Applying the config generated to running-config R1# 000043: *Dec 29 21:28:59.223 UTC: %AUTOSEC-1-MODIFIED: AutoSecure configuration has been Modified on this device

Paso 2: Configurar el firewall de R1 para permitir las actualizaciones EIGRP.

El firewall CBAC de AutoSecure en R1 no permite que ocurran los mensajes hello y las asociaciones de vecinos de EIGRP y, por lo tanto, no pueden enviarse ni recibirse actualizaciones. Debido a que las actualizaciones EIGRP se encuentran bloqueadas, R1 no conoce las redes 10.2.2.0/30 o 192.168.3.0/24, y R2 no conoce a la red 192.168.1.0/24. Nota: Cuando configure el firewall ZBF de R3 en la parte 3 de esta prctica de laboratorio, el SDM presenta la opcin de permitir la recepcin de las actualizaciones de EIGRP en R3. a. Mostrar la ACL Extendida llamada autosec_firewall_acl, la cual est aplicada a la interfaz S0/0/0. R1#show access-list autosec_firewall_acl Extended IP access list autosec_firewall_acl 10 permit udp any any eq bootpc 20 deny ip any any (10) b. Observar que hay 10 coincidencias en la lnea 20 de la ACL. De qu son resultado? ___________________________________________________________________________

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Este documento es Informacin Pblica de Cisco.

Pgina 15 de 32

CCNA Security c. Configurar R1 para permitir las actualizaciones de EIGRP agregando una sentencia a la ACL Extendida autosec_firewall_acl que permite el protocolo EIGRP. R1(config)#ip access-list extended autosec_firewall_acl R1(config-ext-nacl)#15 permit eigrp any any R1(config-ext-nacl)#end d. Mostrar nuevamente la ACL Extendida autosec_firewall_acl again. R1#show access-list autosec_firewall_acl Extended IP access list autosec_firewall_acl 10 permit udp any any eq bootpc 15 permit eigrp any any (5) 20 deny ip any any (10) Notar que ahora existe cierta actividad de paquetes EIGRP para la sentencia 15 de la ACL.

Paso 3: Guardar la configuracin actual.

Ingresar al modo EXEC privilegiado utilizando el comando enable con la contrasea cisco12345. R1#copy run start

Paso 4: Escanear los puertos abiertos de R1 utilizando Nmap desde el host externo PC-C.
a. Desde el host externo PC-C, utilizar Nmap-Zenmap para escanear R1 con la direccin IP 10.1.1.1. Aceptar el comando Nmap por defecto que se presenta en el campo Command. Utilizar el perfil Intense scan. b. Hacer click sobre el botn Scan para comenzar en escaneo de R1.

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Este documento es Informacin Pblica de Cisco.

Pgina 16 de 32

CCNA Security

Ahora que el firewall CBAC de R1 se encuentra configurado, qu servicios se encuentran disponibles en R1 y cul es el estado de R1 desde la perspectiva del host externo PC-C? _____________________

Tarea 3: Repasar la Configuracin para CBAC de AutoSecure

Paso 1: Repasar los comandos que fueron enviados al router R1.
a. Mostrar la configuracin actual para R1. La salida de AutoSecure debe verse similar a la presentada en la Tarea 2, Paso 1. b. Cul es el comando ms comn ejecutado que se relaciona con CBAC? ________________________________________________________________________________ c. CBAC crea reglas para rastrear flujos TCP y UDP utilizando el comando ip inspect name name protocol. A qu interfaz se aplica el nombre autosec_inspect y en qu direccin? ________________________________________________________________________________

Paso 2: Mostrar los protocolos disponibles con el comando ip inspect.

a. Para ver los protocolos disponibles, ingresar el comando de configuracin global ip inspect name name, seguido de un signo de pregunta (?). Nota: La mayor parte de los protocolos listados son protocolos de la capa de aplicacin. Versiones ms nuevas del IOS de Cisco tienen ms protocolos listados.
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Este documento es Informacin Pblica de Cisco. Pgina 17 de 32

CCNA Security R1(config)# ip inspect name autosec_inspect ? 802-11-iapp IEEE 802.11 WLANs WG IAPP ace-svr ACE Server/Propagation appfw Application Firewall appleqtc Apple QuickTime bgp Border Gateway Protocol biff Bliff mail notification bittorrent bittorrent <Output Omitted> b. Cuntos protocolos pueden ser configurados para su inspeccin? ___________________________ c. Referirse a la configuracin actual o a la salida de AutoSecure en la Tarea 2, Paso 1. Qu protocolos configur AutoSecure para que sean inspeccionados cuando abandonan la interfaz S0/0/0? __________________________________________________________________________

d. A qu interfaz se aplic la ACL autosec_firewall_acl y en qu direccin? _______________ e. Cul es el objetivo de la ACL autosec_firewall_acl? ________________________________________________________________________________

Tarea 4: Verificar la Funcionalidad de CBAC

Para los protocolos identificados para su inspeccin, el firewall CBAC permite el retorno del trfico para las conexiones iniciadas desde el interior, pero bloquea todas las otras conexiones desde el exterior.

Paso 1: Desde PC-A, ejecutar un ping desde la interfaz de la LAN interna de R1.
a. Desde PC-A, ejecutar un ping hacia la interfaz Fa0/1 de R1 con la direccin IP 192.168.1.1. C:\>ping 192.168.1.1 b. Fue exitoso el ping? Por qu s o por qu no? ____________________________________________

Paso 2: Desde PC-A, ejecutar un ping hacia la interfaz WAN externa de R2.
a. Desde PC-A, ejecutar un ping hacia la interfaz S0/0/0 de R2 con la direccin IP 10.1.1.2. C:\>ping 10.1.1.2 b. Fue exitoso el ping? Por qu s o por qu no? ________________________________________________________________________________

Paso 3: Agregar ICMP a la lista autosec_inspect.

Desde el modo de configuracin global, configurar R1 para inspeccionar ICMP y permitir las respuestas de eco ICMP desde los hosts externos. R1(config)#ip inspect name autosec_inspect icmp timeout 5

Paso 4: Desde PC-A, ejecutar un ping hacia la interfaz WAN externa de R2.
a. Desde PC-A, ejecutar un ping a la interfaz S0/0/0 de R2 con la direccin IP 10.1.1.2. C:\>ping 10.1.1.2 b. Fue exitoso el ping? Por qu s o por qu no? ___________________________________________ c. Remover ICMP de la lista de inspeccin. Esto revierte la configuracin de CBAC a la generada por AutoSecure. R1(config)#no ip inspect name autosec_inspect icmp timeout 5

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Este documento es Informacin Pblica de Cisco.

Pgina 18 de 32

CCNA Security

Paso 5: Probar el acceso por Telnet desde R2 a R1.

a. Desde el router externo R2, conectarse por telnet a R1 con la direccin IP 10.1.1.1. R2>telnet 10.1.1.1 Trying 10.1.1.1 ... % Connection timed out; remote host not responding b. Fue exitosa la conexin? Por qu s o por qu no? _________________________________________

Paso 6: Configurar R1 para permitir el acceso por Telnet desde hosts externos.
a. Mostrar la ACL Extendida llamada autosec_firewall_acl que fue aplicada a la interfaz S0/0/0. R1#show access-list autosec_firewall_acl Extended IP access list autosec_firewall_acl 10 permit udp any any eq bootpc 15 permit eigrp any any (15) 20 deny ip any any (57 matches) b. Observar que hay 57 coincidencias con la lnea 20 de la ACL. De qu son resultado? ___________ c. Configurar R1 para permitir el acceso por Telnet agregando una sentencia a la ACL Extendida autosec_firewall_acl que permita el puerto TCP 23 (Telnet). R1(config)#ip access-list extended autosec_firewall_acl R1(config-ext-nacl)#18 permit tcp any any eq 23 R1(config-ext-nacl)#end d. Desde el router externo R2, conectarse por telnet nuevamente a R1 con la direccin IP 10.1.1.1. R2>telnet 10.1.1.1 Trying 10.1.1.1 ... Open Unauthorized Access Prohibited User Access Verification Username: admin Password: cisco12345 R1> e. Desde la sesin Telnet con R1, mostrar la ACL Extendida autosec_firewall_acl modificada.

R1>show access-list autosec_firewall_acl Extended IP access list autosec_firewall_acl 10 permit udp any any eq bootpc 15 permit eigrp any any (25) 18 permit tcp any any eq telnet (12 matches) 20 deny ip any any (57 matches)
f. Observar la nueva lnea 18 en la ACL y las 12 coincidencias que posee. De qu son resultado? _______________________________________________________________________________

g. Remover el acceso externo por Telnet de la ACL del firewall de R1.

R1(config)#ip access-list extended autosec_firewall_acl R1(config-ext-nacl)#no 18 permit tcp any any eq telnet R1(config-ext-nacl)#end

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Este documento es Informacin Pblica de Cisco.

Pgina 19 de 32

CCNA Security Nota: Se recomienda el uso de SSH en lugar de Telnet, debido a que provee una va ms segura para el acceso a la administracin remota de un router u otro dispositivo de red. SSH provee una comunicacin cifrada, sin embargo se requiere configuracin adicional para soportar la conexin SSH. Referirse al Captulo 2 Lab A por el procedimiento para habilitar SSH. Para mayor seguridad, configurar SSH como el nico transporte de entrada para las lneas vty y remover Telnet como transporte de entrada. Permitir el acceso por SSH a R1 desde hosts externos tambin requiere la incorporacin de sentencias a la ACL Extendida autosec_firewall_acl que permitan el puerto TCP 22 (SSH).

Paso 7: Probar el acceso por Telnet desde el host interno PC-A al router externo R2.
a. Desde PC-A, conectarse por telnet a R2 con la direccin IP 10.1.1.2. C:\>telnet 10.1.1.2 b. Fue el intento exitoso? Por qu s o por qu no? ______________________________________ c. Ingresar a R2 con la contrasea de vty ciscovtypass.

d. Dejar abierta la sesin de Telnet.

Tarea 5: Verificar la Configuracin y Operacin de CBAC

Paso 1: Mostrar la informacin de inspeccin de CBAC.
a. Utilizar el comando show ip inspect all para ver la configuracin y el estado de inspeccin. Nota: El final de la salida del comando muestra las sesiones establecidas y la conexin Telnet inspeccionada entre PC-A y R2. R1#show ip inspect all Session audit trail is enabled Session alert is enabled one-minute (sampling period) thresholds are [unlimited : unlimited] connections max-incomplete sessions thresholds are [unlimited : unlimited] max-incomplete tcp connections per host is unlimited. Block-time 0 minute. tcp synwait-time is 30 sec -- tcp finwait-time is 5 sec tcp idle-time is 14400 sec -- udp idle-time is 1800 sec tcp reassembly queue length 16; timeout 5 sec; memory-limit 1024 kilo bytes dns-timeout is 7 sec Inspection Rule Configuration Inspection name autosec_inspect cuseeme alert is on audit-trail is on timeout 3600 ftp alert is on audit-trail is on timeout 3600 http alert is on audit-trail is on timeout 3600 rcmd alert is on audit-trail is on timeout 3600 rcmd alert is on audit-trail is on timeout 3600 smtp max-data 20000000 alert is on audit-trail is on timeout 3600 tftp alert is on audit-trail is on timeout 30 udp alert is on audit-trail is on timeout 15 tcp alert is on audit-trail is on timeout 3600 Interface Configuration Interface Serial0/0/0 Inbound inspection rule is not set Outgoing inspection rule is autosec_inspect cuseeme alert is on audit-trail is on timeout 3600 ftp alert is on audit-trail is on timeout 3600 http alert is on audit-trail is on timeout 3600 rcmd alert is on audit-trail is on timeout 3600 realaudio alert is on audit-trail is on timeout 3600
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Este documento es Informacin Pblica de Cisco. Pgina 20 de 32

CCNA Security smtp max-data 20000000 alert is on audit-trail is on timeout 3600 tftp alert is on audit-trail is on timeout 30 udp alert is on audit-trail is on timeout 15 tcp alert is on audit-trail is on timeout 3600 Inbound access list is autosec_firewall_acl Outgoing access list is not set Established Sessions Session 6556C128 (192.168.1.3:1185)=>(10.1.1.2:23) tcp SIS_OPEN b. En la seccin Established Sessions, cul es la direccin IP de origen y el nmero de puerto para la sesin 655C128? ___________________________________________________________________ c. Cul es la direccin IP de destino y el nmero de puerto para la sesin 655C128? ____________________________________________________________________________

Paso 2: Ver la informacin detallada.

a. Ver la informacin detallada de la sesin utilizando el comando show ip inspect sessions detail en R1. R1#show ip inspect sessions detail Established Sessions Session 6556C128 (192.168.1.3:1185)=>(10.1.1.2:23) tcp SIS_OPEN Created 00:00:09, Last heard 00:00:02 Bytes sent (initiator:responder) [45:154] In SID 10.1.1.2[23:23]=>192.168.1.3[1185:1185] on ACL autosec_firewall_acl (19 matches) b. Cerrar la conexin de Telnet cuando termine de verificar la operacin de CBAC.

Parte 3: Configurar un Firewall Basado den Zonas (ZBF) Utilizando el SDM

En la Parte 3 de esta prctica de laboratorio, configurar un firewall basado en zonas (ZBF) en R3 utilizando el SDM.

Tarea 1: Verificar el Acceso a la LAN de R3 desde R2

En esta tarea, verificar que al no existir firewalls, el router externo R2 puede acceder a la interfaz S0/0/1 de R3 y al host PC-C en la LAN interna de R3.

Paso 1: Ejecutar un ping desde R2 a R3.

a. Desde R2, ejecutar un ping a la interfaz S0/0/1 de R3 con la direccin IP 10.2.2.1. R2#ping 10.2.2.1 b. El resultado fue exitoso? _____ Si el ping no fue exitoso, realizar la resolucin de problemas de configuracin antes de continuar.

Paso 2: Ping from R2 to PC-C on the R3 LAN.

a. Desde R2, ejecutar un ping al host PC-C en la LAN de R3 con la direccin IP 192.168.3.3. R2#ping 192.168.3.3 b. El resultado fue exitoso? _____ Si el ping no fue exitoso, realizar la resolucin de problemas de configuracin antes de continuar.
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Este documento es Informacin Pblica de Cisco. Pgina 21 de 32

CCNA Security

Paso 3: Mostrar la configuracin actual de R3 antes de iniciar el SDM.

a. Ejecutar el comando show run para revisar la configuracin actual de R3. b. Verificar que la configuracin de R3 coincide con la realizada en la Parte 1 de esta prctica de laboratorio. Existen comandos de seguridad relacionados al control de acceso? ___________________________________________________________

Tarea 2: Crear un Firewall de Polticas Basado en Zonas

En esta tarea, utilizar el SDM de Cisco para crear un firewall de polticas basado en zonas en R3.

Paso 1: Configurar la contrasea secreta de modo enable y el acceso al router por HTTP antes de iniciar el SDM.
a. Desde la CLI, configurar la contrasea secreta de modo enable para utilizat con el SDM en R3. R3(config)#enable secret cisco12345 b. Habilitar el servidor HTTP en R3. R3(config)#ip http server

Paso 2: Acceder al SDM y configurar las preferencias de entrega de comandos.

a. Ejecutar la aplicacin del SDM o abrir un navegador en PC-C e iniciar el SDM ingresando la direccin IP de R3 (192.168.3.1) en el campo de direccin. b. Ingresar sin nombre de usuario y con la contrasea secreta de modo enable cisco12345. c. En el cuadro de dilogo Password Needed Networking, ingresar cisco12345 en el campo Password y hacer click sobre Yes.

d. Seleccionar Edit > Preferences para configurar el SDM para permitir una vista previa de los comandos antes de enviarlos al router. En la ventana User Preferences, seleccionar la opcin Preview commands before delivering to router y hacer click sobre OK.

Paso 3: Utilizar el asistente de Firewall del SDM para configurar un firewall basado en zonas.
a. En la pgina inicial del SDM, referirse a la seccin Configuration Overview. Cul es el estado de las Polticas de Firewall? ____________________________________________________________ b. Hacer click sobre el botn Configure en la parte superior de la pantalla del SDM, y luego hacer click sobre Firewall and ACL. Leer las descripciones de las opciones Basic and Advanced Firewall. Cules son las diferencias claves? ___________________________________________________ ________________________________________________________________________________

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Este documento es Informacin Pblica de Cisco.

Pgina 22 de 32

CCNA Security

c.

Seleccionar Basic Firewall y hacer click sobre el botn Launch the selected task.

d. En la ventana Basic Firewall Configuration Wizard, familiarizarse con la descripcin del Basic Firewall. Qu hace el Basic Firewall con el trfico de las zonas interna y externa? ____________ e. Hacer click sobre Next para continuar. f. Seleccionar la opcin Inside (trusted) para FastEthernet0/1 y la opcin Outside (untrusted) para Serial0/0/1. Hacer click sobre Next.

g. Hacer click sobre OK cuando se muestre la advertencia indicando que no se podr utilizar el SDM desde la interfaz S0/0/1 una vez que el asistente del Firewall se complete. h. Desplazarse entre las opciones de seguridad High, Medium, y Low para familiarizarse con cada una. Cul es la diferencia principal entre ellas? ________________________________________________________________________________
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Este documento es Informacin Pblica de Cisco. Pgina 23 de 32

CCNA Security ________________________________________________________________________________ ________________________________________________________________________________ ________________________________________________________________________________ i. Desplazarse a la opcin Low Security y hacer click sobre el botn Preview Commands para tener una vista previa de los comandos que son enviados al router. Cuando finalice la revisin de los comandos, hacer click sobre Close y luego sobre Next. Revisar el Configuration Summary. Qu provee esta pantalla? ________________________________________________________________________________ Hacer click sobre Finish para completar el asistente de Firewall. Cuando se muestre la ventana Routing traffic configuration, asegurarse de que la opcin Allow EIGRP updates to come through the firewall se encuentra seleccionada, y hacer click sobre OK. Nota: Esta pantalla slo se muestra si se encuentra configurado un protocolo de enrutamiento dinmico.

j. k. l.

m. Qu sucedera si esta opcin no fuera seleccionada? ___________________________________ _______________________________________________________________________________ n. Adems de EIGRP, para qu otros protocolos de enrutamiento permite actualizaciones el firewall? _______________________________________________________________________________ o. En la ventana Deliver Configuration to Router, asegurarse de que la opcin Save running config to routers startup config se encuentra seleccionada, y hacer click sobre Deliver. p. Hacer click sobre OK en la ventana Commands Delivery Status. Cuntos comandos fueron generados por el asistente de Firewall? _________________________________________________ q. Hacer click sobre OK para mostrar el mensaje de configuracin exitosa del firewall en el router. Hacer click sobre OK para cerrar la ventana del mensaje. r. Se muestra la ventana Edit Firewall Policy con el diagrama Rule Diagram.

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Este documento es Informacin Pblica de Cisco.

Pgina 24 de 32

CCNA Security

s.

En el diagrama Rule Diagram, ubicar la lista de acceso 100 (cono de carpeta). Qu accin se toma y qu opciones de reglas se aplican para el trfico con una direccin de origen invlida en el rango de direcciones 127.0.0.0/8? _______________________________________________________________________________

Tarea 3: Revisar la Configuracin del Firewall Basado en Zonas

Paso 1: Examinar la configuracin actual de R3 con la CLI.
a. Desde la CLI de R3, examinar la configuracin actual para ver los cambios que el asistente de Firewall del SDM realiz sobre el router. b. Los siguientes comandos estn relacionados con la ACL 100 y el mapa de clases sdm-invalidsource. class-map type inspect match-all sdm-invalid-src match access-group 100 policy-map type inspect sdm-inspect class type inspect sdm-invalid-src drop log <output omitted>
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Este documento es Informacin Pblica de Cisco. Pgina 25 de 32

CCNA Security

access-list access-list access-list access-list c.

100 100 100 100

remark permit permit permit

SDM_ACL Category=128 ip host 255.255.255.255 any ip 127.0.0.0 0.255.255.255 any ip 10.2.2.0 0.0.0.3 any

En la ACL 100, observar que las direcciones de origen listadas se encuentran permitidas. La ACL utiliza las sentencias permit para identificar estas direcciones como un grupo para que puedan ser comparadas con el comando class-map type inspect match-all sdm-invalid-src y luego descartadas y registradas por el comando class type inspect sdm-invalid-src, que es uno de los tipos de clases especificados por el mapa de polticas sdm-inspect.

d. Ejecutar el comando show run | beg EIGRP para ver las lneas de configuracin que comienzan con la lnea que contiene la primer ocurrencia del texto EIGRP. Continuar presionando Enter hasta ver todos los comandos en la configuracin del firewall relacionados a las actualizaciones del protocolo de enrutamiento EIGRP en R3. Debe ver los siguientes comandos: class-map type inspect match-any SDM_EIGRP match access-group name SDM_EIGRP class-map type inspect match-any SDM_EIGRP_TRAFFIC match class-map SDM_EIGRP class-map type inspect match-all SDM_EIGRP_PT policy-map type inspect sdm-permit class type inspect SDM_EIGRP_PT pass class class-default drop

Paso 2: Examinar la configuracin del firewall de R3 utilizando el SDM.

a. Retornar a la pgina inicial del SDM. Referirse a la seccin Configuration Overview de la pantalla. Cul es el estado de las Polticas de Firewall? __________________________________________ b. Hacer click sobre la flecha doble hacia abajo a la derecha de la seccin Firewall Policies. Qu se muestra en la pantalla? _____________________________________________________________ c. Hacer click sobre el botn Configure y seleccinar Additional Tasks > ACL Editor > Firewall Rules. Debe haber una ACL que liste direcciones de origen falses, tales como las direcciones de broadcast de las redes 255.255.255.255 y 127.0.0.0/8. stas fueron identificadas en la configuracin en la Tarea 3, Paso 1b.

d. Hacer click sobre el botn Configure y seleccionar Additional Tasks > Zones para verificar la configuracin de zonas. Qu interfaces se listan y en qu zona se encuentra cada una? _______________________________________________________________________________ e. Hacer click sobre Configure y seleccionar Additional Tasks > Zones Pairs para verificar la configuracin de pares de zonas. Completar la siguiente informacin. Par de Zonas Origen Destino Poltica

f.

Hacer click sobre Configure y seleccionar Additional Tasks > C3PL.

g. Qu representa la sigla C3PL? ______________________________________________________

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Este documento es Informacin Pblica de Cisco. Pgina 26 de 32

CCNA Security h. Expandir el men C3PL y seleccionar Class Map > Inspection. Cuntos mapas de clase fueron creados por el asistente de Firewall del SDM? _____ i. j. Seleccionar C3PL > Policy Map > Protocol Inspection. Cuntos mapas de polticas fueron creados por el asistente de Firewall del SDM? _____ Examinar los detalles del mapa de polticas sdm-permit que fue aplicado al par de zonas sdm-zp-outself. Completar la informacin siguiente. Listar la accin para el trfico que coincide con cada uno de los mapas de clase referenciados dentro del mapa de polticas sdm-permit. Match Class Name: ______________________ Match Class Name: ______________________ Action: ___________ Action: ___________

Tarea 4: Verificar el Funcionamiento del Enrutamiento EIGRP en R3

Paso 1: Mostrar la tabla de enrutamiento de R3 utilizando la CLI.
a. En la Tarea 2, Paso 3, el asistente de Firewall configur el router para permitir las actualizaciones EIGRP. Verificar que los mensajes EIGRP todava son intercambiados utilizando el comando show ip route y verificar que existen rutas aprendidas por EIGRP en la tabla de enrutamiento. R3#show ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area <Output omitted> Gateway of last resort is not set C D D C 10.0.0.0/30 is subnetted, 2 subnets 10.2.2.0 is directly connected, Serial0/0/1 10.1.1.0 [90/21024000] via 10.2.2.2, 00:34:12, Serial0/0/1 192.168.1.0/24 [90/21026560] via 10.2.2.2, 00:32:16, Serial0/0/1 192.168.3.0/24 is directly connected, FastEthernet0/1

b. Qu redes ha aprendido R3 por medio del protocolo de enrutamietno EIGRP? _________________

Tarea 5: Verificar el Funcionamiento del Firewall Basado en Zonas

Paso 1: Desde PC-C, ejecutar un ping hacia la interfaz de la LAN interna de R3.
a. Desde PC-C, ejecutar un ping a la interfaz Fa0/1 de R3 con la direccin IP 192.168.3.1. C:\>ping 192.168.3.1 b. Fue exitoso el ping? Por qu s o por qu no? _______________________________________________________________________________

Paso 2: Desde PC-C, ejecutar unping hacia la interfaz de la WAN externa de R2.
a. Desde PC-C, ejecutar un ping hacia la nterfaz S0/0/1 de R2 con la direccin IP 10.2.2.2. C:\>ping 10.2.2.2 b. Fue exitoso el ping? Por qu s o por qu no? ________________________________________________________________________________

Paso 3: Desde R2 ejecutar un ping a PC-C.

a. Desde el router externo R2, ejecutar un ping hacia PC-C con la direccin IP 192.168.3.3. R2#ping 192.168.3.3

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Este documento es Informacin Pblica de Cisco.

Pgina 27 de 32

CCNA Security b. Fue exitoso el ping? Por qu s o por qu no? ________________________________________________________________________________

Paso 4: Conectarse por Telnet desde R2 a R3.

a. Desde el router R2, conectarse por telnet a R3 con la direccin IP 10.2.2.1. R2#telnet 10.2.2.1 Trying 10.2.2.1 ... Open Trying 10.2.2.1 ... % Connection timed out; remote host not responding b. Por qu no fue exitosa la conexin? _________________________________________________

Paso 5: Conectarse por Telnet desde el host interno PC-C al router externo R2.
a. Desde PC-C en la LAN interna de R3, conectarse por telnet a R2 con la direccin IP 10.2.2.2. C:\>telnet 10.2.2.2 User Access verification Password: ciscovtypass b. Con la sesin Telnet abierta desde PC-C a R2, ingresar al modo EXEC privilegiado con el comando enable y la contrasea cisco12345. c. Ejecutar el comando show policy-map type inspect zone-pair session en R3. Continuar presionando enter hasta ver la seccin Inspect Established session cerca del final. Su salida debe verse similar a la siguiente. Inspect Number of Established Sessions = 1 Established Sessions Session 657344C0 (192.168.3.3:1274)=>(10.2.2.2:23) tacacs:tcp SIS_OPEN Created 00:01:20, Last heard 00:01:13 Bytes sent (initiator:responder) [45:65] d. En la seccin Established Sessions, cul es la direccin IP de origen y el nmero de puerto para la sesin 657344C0? ______________________________________________________________________ e. Cul es la direccin IP de destino y el numero de puerto para la sesin 657344C0? ________________________________________________________________________________

Paso 6: Verificar el funcionamiento del ZBF utilizando el Monitor del SDM.

a. Desde el SDM, hacer click sobre el botn Monitor en la parte superior de la pantalla y seleccionar Firewall Status. b. Seleccionar la poltica sdm-zp-out-self de la lista de polticas. Esta poltica se aplica al trfico desde la zona externa hacia la zona interna del router.. c. Verificar que la opcin Active Sessions se encuentra seleccionara y que el intervalo de vista est configurado en Real-time data every 10 sec. Hacer click sobre el botn Monitor Policy para iniciar el monitireo de trfico deade la zona externa a la zona interna.

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Este documento es Informacin Pblica de Cisco.

Pgina 28 de 32

CCNA Security

d. Desde la CLI de R2, ejecutar un ping a la interfaz S0/0/1 de R3 con la direccin IP 10.2.2.1. Esteping debe fallar. e. Desde la CLI de R2, conectarse por telnet a la interfaz S0/0/1 de R3 con la direccin IP 10.2.2.1. El intento de iniciar la sesin telnet debe fallar. f. Hacer click sobre la opcin Dropped Packets y observar el grfico que muestra el nmero de paquetes descartados resultantes de los intentos fallidos de ping y telnet- La pantalla debe verse similar a la siguiente.

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Este documento es Informacin Pblica de Cisco.

Pgina 29 de 32

CCNA Security

g. Hacer click sobre la opcin Allowed Packets y observar el grfico quemuestra el nmero de paquetes EIGRP recibidos desde el router R3. Este nmero continuar creciendo a un paso uniforme a medida que las actualizaciones EIGRP son recibidas desde R2.

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Este documento es Informacin Pblica de Cisco.

Pgina 30 de 32

CCNA Security

h. Hacer click sobre el botn Stop Monitoring y cerrar el SDM.

Tarea 6: Reflexin
Cules son algunos factores a considerar cuando se configuran firewalls utilizando los mtodos tradicionales de la CLI, en comparacin con utilizar mtodos automatizados como el CBAC de AutoSecure y el asistente grfico de Firewall del SDM? _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Este documento es Informacin Pblica de Cisco.

Pgina 31 de 32

CCNA Security

Tabla de Resumen de Interfaces del Router

Resumen de Interfaces del Router Modelo de Router 1700 1800 2600 2800 Interfaz Ethernet #1 Fast Ethernet 0 (FA0) Fast Ethernet 0/0 (FA0/0) Fast Ethernet 0/0 (FA0/0) Fast Ethernet 0/0 (FA0/0) Interfaz Ethernet #2 Fast Ethernet 1 (FA1) Fast Ethernet 0/1 (FA0/1) Fast Ethernet 0/1 (FA0/1) Fast Ethernet 0/1 (FA0/1) Interfaz Serial #1 Serial 0 (S0) Serial 0/0/0 (S0/0/0) Serial 0/0 (S0/0) Serial 0/0/0 (S0/0/0) Interfaz Serial #2 Serial 1 (S1) Serial 0/0/1 (S0/0/1) Serial 0/1 (S0/1) Serial 0/0/1 (S0/0/1)

Nota: Para identificar cmo se encuentra configurado el router, mire las interfaces para identificar el tipo de router y cuntas interfaces posee. No existe un mtodo para listar de forma efectiva todas las combinaciones de configuracin para cada clase de router. Esta tabla incluye los identificadores para las combinaciones posibles de interfaces Ethernet y Serial en el dispositivo. La tabla no incluye otros tipos de interfaces, incluso cuando un router especfico puede tener una. Un ejemplo de esto puede ser la interfaz ISDN BRi. La cadena entre parntesis es la abreviatura legal que puede utilizarse en los comandos del IOS para representar a la interfaz.

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Este documento es Informacin Pblica de Cisco.

Pgina 32 de 32