Packet Tracer: configuracin de SSHTabla de direccionamientoDispositivoInterfazDireccin IPMscara de subred

S1VLAN 110.10.10.2255.255.255.0

PC1NIC10.10.10.10255.255.255.0

ObjetivosParte 1: proteger las contraseasParte 2: cifrar las comunicacionesParte 3: verificar la implementacin de SSHInformacin bsicaSSH debera reemplazar a Telnet para las conexiones de administracin. Telnet utiliza comunicaciones no seguras de texto no cifrado. SSH proporciona seguridad para conexiones remotas mediante el cifrado potente de todos los datos transmitidos entre los dispositivos. En esta actividad, proteger un switch remoto con el cifrado de contraseas y SSH.Parte 1:proteger las contraseasa.Desde el smbolo del sistema en la PC1, acceda al S1mediante Telnet. La contrasea de los modos EXEC del usuario y EXEC privilegiado escisco.b. la configuracin actual, de manera que pueda revertir cualquier error que cometa reiniciando el S1.c.Muestre la configuracin actual y observe que las contraseas estn en texto no cifrado. Introduzca el comando para cifrar las contraseas de texto no cifrado.d.Verifique que las contraseas estn cifradas.

Packet Tracer PC Command Line 1.0PC>telnet 10.10.10.2Trying 10.10.10.2 ...Open

User Access Verification

Password: S1>enablePassword: S1#copy run startDestination filename [startup-config]? Building configuration...[OK]S1#show running-configBuilding configuration...

Current configuration : 1107 bytes!version 12.2no service timestamps log datetime msecno service timestamps debug datetime msecno service password-encryption!hostname S1!enable password cisco!!!!!spanning-tree mode pvst!interface FastEthernet0/1!interface FastEthernet0/2!interface FastEthernet0/3!interface FastEthernet0/4!interface FastEthernet0/5!interface FastEthernet0/6!interface FastEthernet0/7!interface FastEthernet0/8!interface FastEthernet0/9!interface FastEthernet0/10!interface FastEthernet0/11!interface FastEthernet0/12!interface FastEthernet0/13!interface FastEthernet0/14!interface FastEthernet0/15!interface FastEthernet0/16!interface FastEthernet0/17!interface FastEthernet0/18!interface FastEthernet0/19!interface FastEthernet0/20!interface FastEthernet0/21!interface FastEthernet0/22!interface FastEthernet0/23!interface FastEthernet0/24!interface GigabitEthernet0/1!interface GigabitEthernet0/2!interface Vlan1ip address 10.10.10.2 255.255.255.0!!!!line con 0!line vty 0 4password ciscologinline vty 5 15password ciscologin!!end

S1#configure terminalEnter configuration commands, one per line. End with CNTL/Z.S1(config)#service password-encryptionS1(config)#endS1#show running-configBuilding configuration...

Current configuration : 1131 bytes!version 12.2no service timestamps log datetime msecno service timestamps debug datetime msecservice password-encryption!hostname S1!enable password 7 0822455D0A16!!!!!spanning-tree mode pvst!interface FastEthernet0/1!interface FastEthernet0/2!interface FastEthernet0/3!interface FastEthernet0/4!interface FastEthernet0/5!interface FastEthernet0/6!interface FastEthernet0/7!interface FastEthernet0/8!interface FastEthernet0/9!interface FastEthernet0/10!interface FastEthernet0/11!interface FastEthernet0/12!interface FastEthernet0/13!interface FastEthernet0/14!interface FastEthernet0/15!interface FastEthernet0/16!interface FastEthernet0/17!interface FastEthernet0/18!interface FastEthernet0/19!interface FastEthernet0/20!interface FastEthernet0/21!interface FastEthernet0/22!interface FastEthernet0/23!interface FastEthernet0/24!interface GigabitEthernet0/1!interface GigabitEthernet0/2!interface Vlan1ip address 10.10.10.2 255.255.255.0!!!!line con 0!line vty 0 4password 7 0822455D0A16loginline vty 5 15password 7 0822455D0A16login!!endParte 2 las comunicacionesPaso 1:establecer el nombre de dominio IP y generar claves seguras.En general no es seguro utilizar Telnet, porque los datos se transfieren en texto no cifrado. Por lo tanto, utilice SSH siempre que est disponible.a.Configure el nombre de dominio netacad.pka.b.Para cifrar los datos se necesitan claves seguras. Genere las claves RSA con una longitud de clave de 1024.Paso 2:crear un usuario de SSH y reconfigurar las lneas VTY para que solo admitan acceso por SSH.a.Cree un usuario llamado administrator con la contrasea cisco.b.Configure las lneas VTY para verificar en la base de datos de nombres de usuario local las credenciales de inicio de sesin y para permitir solamente SSH para el acceso remoto. Quite la contrasea existente de la lnea vty.

S1#configure terminalEnter configuration commands, one per line. End with CNTL/Z.S1(config)#ip domain-name netacad.pkaS1(config)#crypto key generate rsa The name for the keys will be: S1.netacad.pkaChoose the size of the key modulus in the range of 360 to 2048 for yourGeneral Purpose Keys. Choosing a key modulus greater than 512 may takea few minutes.

How many bits in the modulus [512]: 1024% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

S1(config)#user administrator password cisco*Mar 1 0:4:6.96: %SSH-5-ENABLED: SSH 1.99 has been enabled S1(config)#line vty 0 15S1(config-line)#no passS1(config-line)#no passwordS1(config-line)#no loginS1(config-line)#login localS1(config-line)#transport input ?all All protocolsnone No protocolsssh TCP/IP SSH protocoltelnet TCP/IP Telnet protocolS1(config-line)#transport input sshS1(config-line)#exitS1(config)#exitS1#exitParte 3:verificar la implementacin de SSHa.Cierre la sesin de Telnet e intente iniciar sesin nuevamente con Telnet. El intento debera fallar.b.Intente iniciar sesin a travs de SSH. Escriba ssh y presione la tecla Enter, sin ningn parmetro que revele las instrucciones de uso de comandos. Sugerencia: la opcin -l representa la letra L, no el nmero 1.c.Cuando haya iniciado sesin correctamente, ingrese al modo EXEC privilegiado y guarde la configuracin. Si no pudo acceder de forma correcta al S1, reinicie y comience de nuevo en la parte 1.[Connection to 10.10.10.2 closed by foreign host]PC>ssh -l administrator 10.10.10.2OpenPassword:

S1>enablePassword: S1#exit

[Connection to 10.10.10.2 closed by foreign host]PC>exit