Configura Lista de Control de Acceso para Line VTY en Cisco Packet Tracer

in #spanish5 years ago (edited)

Hola A Todos, Hoy Aprenderemos Nuevas Habilidades.

acl ssh.jpg
[ Imagen de mi autoría, Captura de Pantalla Packet Tracer]

Vamos a configurar una lista de control de acceso para limitar a los usuarios acceder a la línea VTY para el acceso remoto a los equipos (Router, Switch) estamos hablando de un tema que es muy importante en la implementación de una red corporativa pequeña, mediana o de gran escala, ya que la administración de los equipos es de vital importancia que la realice solo el personal autorizado. Si notamos la topología presentada en la imagen anterior podremos notar que existen 3 localidades que están conectadas en troncal con la sede central, pero el personal de redes está ubicado en el edificio 2 la idea principal es hacer que los usuarios no tengan acceso a la administración de los equipos de red, podría usted pensar que esta protección se la podríamos dar utilizando otros mecanismos y así evitar la lista de control de acceso, pero en la era actual debemos protegernos contra todo tipo de violación de seguridad en los sistemas de redes, antes de iniciar con la configuración quisiera mostrar todo lo que debería pasar un usuario mal intencionado para acceder remotamente a los equipos y propiciar un caos, nosotros como ingenieros y administradores debemos evitar esto a toda costa. Cuando iniciamos la configuración de un equipo CISCO lo primero a tomar en cuenta es la seguridad para el acceso ENABLE Y PRIVILEGIADO, es este el primer obstáculo; pero vamos a suponer que el usuario por otros medios pudo encontrar la contraseña para acceder a los equipos, el tema más importante es que cuando iniciamos la planificación para la puesta en producción de un red debemos hacer una segmentación de la misma, esto implica apartar la red perteneciente a usuarios, administradores y otros, esto lo realizamos con la configuración de VLAN. Las VLAN nos permite realizar una segmentación de la red y así dentro de un mismo dominio implementar diferentes redes, entonces el sistema de seguridad también implica un orden establecido, en esta configuración apartamos la VLAN de administración de las VLAN de los usuarios que se conectan en las diferentes localidades, la VLAN 100 está creada para administración la VLAN 2 y 3 para usuarios, con esto cada usuarios está conectado a su VLAN respectiva y tendrá asignada por DHCP un dirección IP que va en función a las red que se está asignado a dicha VLAN, el usuario mal intencionado necesitara estar conectado dentro de la VLAN de administración para poder acceder de forma remota al equipo. Con todos estas acciones presentadas y que aportan una mayor confiabilidad en la red podríamos aplicar una más que nos permitirá crear pared divisoria para exclusivamente el acceso remoto por VTY utilizando SSH y esto se efectúa con la implantación de Listas De Control De Acceso.

AHORA SI, VALLAMOS A LA CONFIGURACIÓN

Vamos a iniciar con la configuración del switch capa 3 en el edificio 1.

switch capa 3 EDIF1.

Lo primero a configurar es el nombre al equipos con el comando Hostname nombre-del-equipo

hostname MLSW1CORE

Configuramos la seguridad para el acceso Enable

Enable secret 12345

Configuramos la seguridad para el acceso por línea de consola

line con 0
password 12345
login

Configuramos la seguridad para el acceso por línea vty

line vty 0 15
password 12345
logging synchronous
login
transport input ssh

Note que en la línea VTY configuramos el transporte por SSH

Configuramos el Protocolo Troncal Virtual (VTP) en modo servidor ya que desde este equipo se publicaran todas la VLAN por medio de los enlaces troncales.

vtp domain cisco.com
vtp mode server

Configuramos todas las VLAN que funcionaran en la red

Vlan 2
Name edif3
Vlan 3
Name edif4
Vlan 100
Name admin

Configuramos el SSH

ip domain-name cisco.com
cryto key generate rsa

Al dar clic en Enter le pedirá que ingrese el tamaño de la clave puede elegir un tamaño de 1024

Creamos el usuario para el login por SSH

Username Michely password 12345

Configuramos las interfaces que van conectadas a los edificios 2, 3 y 4 en modo troncal y permitimos por dichos enlaces solo las VLAN 2, 3, 100

interface GigabitEthernet1/0/1
switchport trunk allowed vlan 2-3,100
switchport trunk encapsulation dot1q
switchport mode trunk

interface GigabitEthernet1/0/2
switchport trunk allowed vlan 2-3,100
switchport trunk encapsulation dot1q
switchport mode trunk

interface GigabitEthernet1/0/3
switchport trunk allowed vlan 2-3,100
switchport trunk encapsulation dot1q
switchport mode trunk

Configuramos el enrutamiento entre VLAN

interface Vlan2
mac-address 0001.c712.8901
ip address 192.168.2.1 255.255.255.0

interface Vlan3
mac-address 0001.c712.8902
ip address 192.168.3.1 255.255.255.0

interface Vlan100
mac-address 0001.c712.8903
ip address 192.168.100.1 255.255.255.0

Una de las cosas que nunca puede faltar cuando configuramos enrutamiento entre vlan en un switch capa 3 es activar el enrutamiento

ip Routing

Por ultimo configuramos la lista de control de acceso estándar

access-list 10 permit host 192.168.100.5
access-list 10 deny any

Ingresamos a la línea vty nuevamente y anexamos la lista de control creada

line vty 0 15
access-class 10 in

----------------------------------------<0>----------------------------------------

Pasamos a la configuración del switch ubicado en el edificio 2

En esta parte vamos a omitir la configuración inicial, es decir el nombre de host, la seguridad para el acceso enable, consola y vty, ya que sería el mismo procedimiento realizado anteriormente para los equipo ubicados en el edificio 2, 3, 4 es la misma solo difiere en el password que usted configure, en ese sentido también omitiremos la configuración del ssh ya que sería la misma realizada en el equipo del edificio 1.

configuramos las interfaces donde están conectados los host para que tengan acceso a la vlan 100

interface FastEthernet0/1
switchport access vlan 100
switchport mode access
switchport nonegotiate

interface FastEthernet0/2
switchport access vlan 100
switchport mode access
switchport nonegotiate

configuramos una dirección IP al equipo para el acceso remoto

interface Vlan100
ip address 192.168.100.2 255.255.255.0

Configuramos el VTP en modo cliente

Vtp domain cisco.com
Vtp mode client

----------------------------------------<0>----------------------------------------

configuración del equipo ubicado en el edificio 3

configuramos el puerto donde se conecta el host como acceso para la vlan 2

interface FastEthernet0/1
switchport access vlan 2
switchport mode access
switchport nonegotiate

configuramos la dirección IP al equipo para el acceso remoto

interface Vlan100
ip address 192.168.100.3 255.255.255.0

Note que la dirección IP que se debe configurar para el acceso remoto a todos los equipos es la perteneciente a la vlan de administración, es decir la vlan 100.

configuramos el VTP en modo cliente

Vtp domain cisco.com
Vtp mode client

Con esto hemos terminado, en esta parte también omitimos la configuración inicial para el acceso enable, consola y vty, también hemos omitido la configuración del ssh por ser la misma configurada anteriormente a diferencia del password que usted decida, otra cosa a tomar en cuenta es, que no configuramos usuarios (username) en el equipo del edificio 2 y 3 ya que el switch principal del edifico 1 posee esta configuración, no es necesario configurar el los switch del edificio 2 y 3 enlaces troncales ya que al configurarlo en el edificio principal automáticamente se inicia la negociación para el establecimiento del enlace como troncal.

#stem-espanol #tecnologia #cervantes #steemstem
5 years ago in #spanish by
$0.15
  • Past Payouts $0.15, 0.00 TRX
  • - Author $0.12, 0.00 TRX
  • - Curators $0.03, 0.00 TRX
65 votes
Reply 3
Sort:  
  • Trending
    • [-]
     5 years ago 

    Congratulations @michelylopez! You have completed the following achievement on the Steem blockchain and have been rewarded with new badge(s) :

    You received more than 3000 upvotes. Your next target is to reach 4000 upvotes.

    You can view your badges on your Steem Board and compare to others on the Steem Ranking
    If you no longer want to receive notifications, reply to this comment with the word STOP

    Do not miss the last post from @steemitboard:

    The Steem blockchain survived its first virus plague!
    Vote for @Steemitboard as a witness to get one more award and increased upvotes!
    $0.00
      Reply
      [-]
       5 years ago 

      Hola, @michelylopez. Gusto en leer tu post. La información que compartes es valiosa. Tengo algunas recomendaciones sobre cómo puedes mejorar tu post y futuros posts. Puedes unirte a nuestro servidor en Discord de #STEM-Espanol y por allí podemos contactarnos para el feedback. Saludos.


      Mentor de #STEM-Espanol

      $0.00
        Reply
        [-]
         5 years ago 

        Congratulations @michelylopez! You received a personal award!

        Happy Birthday! - You are on the Steem blockchain for 1 year!

        You can view your badges on your Steem Board and compare to others on the Steem Ranking

        Do not miss the last post from @steemitboard:

        SteemitBoard - Witness Update
        SteemitBoard to support the german speaking community meetups
        Vote for @Steemitboard as a witness to get one more award and increased upvotes!
        $0.00
          Reply

          Coin Marketplace

          STEEM 0.28
          TRX 0.13
          JST 0.032
          BTC 61185.89
          ETH 2933.50
          USDT 1.00
          SBD 3.68