Para comenzar esta préctica describiremos conceptos básicos de NTP, Syslog y SSH
NTP
Network Time Protocol es un protocolo de Internet comúnmente llamado NTP y sirve para sincronizar los relojes de los dispositivos en un red, haciendo uso de intercambio de paquetes. Fue desarrollado en la Universidad de Delaware por el Profesor David Mills y sus colaboradores.
NTP utiliza el algoritmo de Marzullo el cual sirve para seleccionar fuentes de origen para la estimación exacta del tiempo a partir de un número determinado de fuentes de origen desordenadas, utilizando la escala UTC (Coordinated Universal Time).
El protocolo NTP está organizado en una jerarquía dinámica de servidores, los servidores de orden superior reciben la calificación de Stratum-0 (que contienen relojes de precisión como los relojes Atómicos de Cesio y los Satélites GPS), ningún ordenador tiene la categoría Stratum-0, así pues, los servidores que toman su hora de los stratum-0 reciben la categoría stratum-1 (que es la jerarquía mas alta que puede alcanzarse en Internet), a su vez los que toman su hora de un stratum-1 son stratum-2 y así sucesivamente. El nivel más bajo es definido como stratum-16.
El protocolo comienza leyendo sus ficheros de configuración, direcciones IP, nombre de los servidores de referencia (peers), máximo y mínimo intervalo de tiempo transcurrido entre dos consultas de servidores, entre otros.
Utilizando la lista de los Peers solicita información horaria de todos ellos (junto con datos de retado de los paquetes por la red, estabilidad y calidad de los servidores), de todos ellos elije el servidor con el stratum más bajo, y comienza a calcular su hora contando los ciclos que completa ciertos osciladores, de forma que sincroniza su reloj.
SYSLOG
Syslog es un estándar de facto para envío de mensajes de registro en una red IP, permite ser configurado para recibir y aceptar conexiones remotas, lo que implica recibir datos y almacenarlos de clientes externos (syslog de otros rervidoes) para centralizar servicios de logueo de aplicaciones y dispositivos.
Syslog permite clasificar y priorizar mensajes (Archivos de Log, Terminales, Otros Hosts), centralizar logs de clusters, el monitoreo centralizado con único punto de acceso, facilidades para Data Mining, patrones sospechosos pueden ser reconocidos mas fácilmente, entre otras cosas.
Los mensajes de Log o registro suele tener información sobre la seguridad del systema, aunque pueden contener cualquier información y junto a cada mensaje se incluye la fecha y hora del envío.
SSH
Por ultimo, Secure SHell (Intérprete de órdenes seguras, SSH) es un protocolo que permite las comunicaciones seguras ente dos sistemas conectados remotamente mediante una arquitectura cliente/servidor, a diferencia de FTP y Telnet, SSH encripta la sesión de conexión haciendo imposible que alguien obtenga contraseñas no encriptadas.
A continuación se mostrara la programación de estos protocolos en el programa Packet Tracer de Cisco.
Este sera la topologia utilizada.
Fig1. Topologia de la red a usar
Para comenzar estableceremos las IP y las puertas de Acceso para las PC, abrimos cada PC y nos dirigimos a la pestaña "Desktop", seleccionamos "IP Configuration" y anotamos los siguientes valores en cada campo.
PC-A
IP Address: 192.168.1.5
Subnet Mask: 255.255.255.0
Default Gateway 192.168.1.1
PC-B
IP Address: 192.168.1.5
Subnet Mask: 255.255.255.0
Default Gateway 192.168.1.1
PC-C
IP Address: 192.168.3.5
Subnet Mask: 255.255.255.0
Default Gateway 192.168.3.1
Ahora configuramos cada router para inicializarlos, para ello abrimos cada router y seleccionamos la pestaña de CLI y escribimos estos datos.
Router R1
(Solo se configuraran las interfases Fast Ethernet 0/1 y Serial 0/0/0)
(Solo se configuraran las interfases Fast Ethernet 0/1 y Serial 0/0/0)
Router>enable
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname R1 <----- Se cambia el nombre del Host a R1
R1(config)#interface fa0/1
R1(config-if)#ip address 192.168.1.1 255.255.255.0
R1(config-if)#description conexion con PCA y PACB
R1(config-if)#clock rate 64000
R1(config-if)#no shutdown
%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
R1(config-if)#exit
R1(config)#interface s0/0/0
R1(config-if)#ip address 10.1.1.1 255.255.255.252
R1(config-if)#description conexion con R2
R1(config-if)#no shutdown
%LINK-5-CHANGED: Interface Serial0/0/0, changed state to down
R1(config-if)#exi
R1(config)#
Router R2
(Solo se configuraran las interfases Serial 0/0/0 y Serial 0/0/1)
(Solo se configuraran las interfases Serial 0/0/0 y Serial 0/0/1)
Router>enable
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname R2
R2(config)#interface s0/0/0
R2(config-if)#ip address 10.1.1.2 255.255.255.252
R2(config-if)#description conexion R1
R2(config-if)#no shutdown
%LINK-5-CHANGED: Interface Serial0/0/0, changed state to up
R2(config-if)#
%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to up
R2(config-if)#exit
R2(config)#interface s0/0/1
R2(config-if)#ip address 10.2.2.2 255.255.255.252
R2(config-if)#description conexion con R3
R2(config-if)#clock rate 64000
R2(config-if)#no shutdown
%LINK-5-CHANGED: Interface Serial0/0/1, changed state to down
R2(config-if)#exit
R2(config)#
Router R3
(Solo se configuraran las interfases Fast Ethernet 0/1 y Serial 0/0/1)
(Solo se configuraran las interfases Fast Ethernet 0/1 y Serial 0/0/1)
Router>enable
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname R3
R3(config)#interface fa0/1
R3(config-if)#ip address 192.168.3.1 255.255.255.0
R3(config-if)#description conexion PCA
R3(config-if)#no shutdown
%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
R3(config-if)#exit
R3(config)#interface s0/0/1
R3(config-if)#ip address 10.2.2.1 255.255.255.252
R3(config-if)#description Conexion a R2
R3(config-if)#no shutdown
%LINK-5-CHANGED: Interface Serial0/0/1, changed state to up
R3(config-if)#
%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to up
R3(config-if)#exit
R3(config)#
TELNET
Ahora probaremos la configuración de Telnet, desde el CLI, en cada uno de los router colocaremos los siguientes comando por igual en cada uno de ellos.
Router R1, R2 y R3 (las siguientes lineas pertenecen al router R1, pero se debe escribir lo mismo en R2 y R3)
R1(config)#line vty 0 4
R1(config-line)#password contrasena <---- La contraseña es contrasena
R1(config-line)#login
R1(config-line)#exit
R1(config)#
Ahora desde la PC-C en la pestaña "Desktop" en "Command Prompt" comprobamos la conexión remota
PC>telnet 192.168.3.1
Trying 192.168.3.1 ...Open
User Access Verification
Password:
R3>telnet 10.2.2.2 <-------Conectado al R3
Trying 10.2.2.2 ...Open
User Access Verification
Password:
R2>telnet 10.1.1.1 <-------Conectado al R2
Trying 10.1.1.1 ...Open
User Access Verification
Password:
R1> <-------Conectado al R1
Usted puede realizar estas conexiones entre routers directamente conectados con el mismo comando Telnet, PRACTIQUE LO!!!
Ahora procedemos a configurar los router R1, R2 y R3 como clientes NTP
Router R1
R1(config)#ntp server 192.168.1.5 <------ El servidor NTP es la PC-A
R1(config)#ntp update-calendar <------Se actualiza el reloj con el del servidor
R1(config)#exit
R1#
%SYS-5-CONFIG_I: Configured from console by console
R1#show ntp status <-----Mostrar el status del NTP
Clock is synchronized, stratum 2, reference is 192.168.1.5
nominal freq is 250.0000 Hz, actual freq is 249.9990 Hz, precision is 2**19
reference time is D5C8FFFF.000001D1 (23:02:23.465 UTC sáb sep 28 2013)
clock offset is 0.00 msec, root delay is 0.00 msec
root dispersion is 0.02 msec, peer dispersion is 0.02 msec.
R1#show clock <-----Reloj que tiene actualizado
*23:4:11.499 UTC sáb sep 28 2013
R1#
Router 2
R2(config)#ntp server 192.168.1.5
R2(config)#ntp update-calendar
R2(config)#exit
R2#
%SYS-5-CONFIG_I: Configured from console by console
R2#show ntp status
Clock is unsynchronized, stratum 16, no reference clock
nominal freq is 000.0000 Hz, actual freq is 000.0000 Hz, precision is 0**00
reference time is 00000000.00000000 (00:00:00.000 UTC Mon Jan 1 1990)
clock offset is 0.00 msec, root delay is 0.00 msec
root dispersion is 0.00 msec, peer dispersion is 0.00 msec.
R2#show clock
*0:6:2.514 UTC lun mar 1 1993
R2#
Router R3
R3(config)#ntp server 192.168.1.5
R3(config)#ntp update-calendar
R3(config)#exit
R3#
%SYS-5-CONFIG_I: Configured from console by console
R3#show ntp status
Clock is unsynchronized, stratum 16, no reference clock
nominal freq is 000.0000 Hz, actual freq is 000.0000 Hz, precision is 0**00
reference time is 00000000.00000000 (00:00:00.000 UTC Mon Jan 1 1990)
clock offset is 0.00 msec, root delay is 0.00 msec
root dispersion is 0.00 msec, peer dispersion is 0.00 msec.
R3#show clock
*0:7:32.267 UTC lun mar 1 1993
R3#
Ya que configuramos los router como servidores NTP le configuramos una estampa de tiempo en cada router, como se muestra a continuacion.
Router R1
R1(config)#service timestamps log datetime msec
Router R2
R2(config)#service timestamps log datetime msec
Router R3
R3(config)#service timestamps log datetime msec
Ahora configuraremos los routers para registrar los mensajes del servidor Syslog, y también comprobamos con el comando "show logging"
Router R1
R1(config)#logging 192.168.1.6 <----- El server SYSLOG es la PC-B
R1(config)#
*sep 28, 23:17:30.1717: SYS-6-LOGGINGHOST_STARTSTOP: Logging to host 192.168.1.6 port 514 started - CLI initiated
R1(config)#exit
R1#
*sep 28, 23:17:34.1717: *sep 28, 23:17:34.1717: %SYS-5-CONFIG_I: Configured from console by console
R1#show logging <-----Mostramos el estado de syslog
Syslog logging: enabled (0 messages dropped, 0 messages rate-limited,
0 flushes, 0 overruns, xml disabled, filtering disabled)
No Active Message Discriminator.
No Inactive Message Discriminator.
Console logging: level debugging, 14 messages logged, xml disabled,
filtering disabled
Monitor logging: level debugging, 0 messages logged, xml disabled,
filtering disabled
Buffer logging: disabled, xml disabled,
filtering disabled
Logging Exception size (4096 bytes)
Count and timestamp logging messages: disabled
Persistent logging: disabled
No active filter modules.
ESM: 0 messages dropped
Trap logging: level informational, 14 message lines logged
Logging to 192.168.6.1 (udp port 514, audit disabled,
authentication disabled, encryption disabled, link up),
4 message lines logged,
0 message lines rate-limited,
0 message lines dropped-by-MD,
xml disabled, sequence number disabled
filtering disabled
Logging to 192.168.1.6 (udp port 514, audit disabled,
authentication disabled, encryption disabled, link up),
2 message lines logged,
0 message lines rate-limited,
0 message lines dropped-by-MD,
xml disabled, sequence number disabled
filtering disabled
Router R2
R2(config)#logging 192.168.1.6
R2(config)#
*mar 01, 00:19:06.1919: SYS-6-LOGGINGHOST_STARTSTOP: Logging to host 192.168.1.6 port 514 started - CLI initiated
R2(config)#exit
R2#
*mar 01, 00:19:08.1919: *mar 01, 00:19:08.1919: %SYS-5-CONFIG_I: Configured from console by console
R2#show logging
Syslog logging: enabled (0 messages dropped, 0 messages rate-limited,
0 flushes, 0 overruns, xml disabled, filtering disabled)
No Active Message Discriminator.
No Inactive Message Discriminator.
Console logging: level debugging, 14 messages logged, xml disabled,
filtering disabled
Monitor logging: level debugging, 0 messages logged, xml disabled,
filtering disabled
Buffer logging: disabled, xml disabled,
filtering disabled
Logging Exception size (4096 bytes)
Count and timestamp logging messages: disabled
Persistent logging: disabled
No active filter modules.
ESM: 0 messages dropped
Trap logging: level informational, 14 message lines logged
Logging to 192.168.1.6 (udp port 514, audit disabled,
authentication disabled, encryption disabled, link up),
2 message lines logged,
0 message lines rate-limited,
0 message lines dropped-by-MD,
xml disabled, sequence number disabled
filtering disabled
Router R3
R3(config)#logging 192.168.1.6
R3(config)#
*mar 01, 00:20:17.2020: SYS-6-LOGGINGHOST_STARTSTOP: Logging to host 192.168.1.6 port 514 started - CLI initiated
R3(config)#exit
R3#
*mar 01, 00:20:20.2020: *mar 01, 00:20:20.2020: %SYS-5-CONFIG_I: Configured from console by console
R3#show logging
Syslog logging: enabled (0 messages dropped, 0 messages rate-limited,
0 flushes, 0 overruns, xml disabled, filtering disabled)
No Active Message Discriminator.
No Inactive Message Discriminator.
Console logging: level debugging, 12 messages logged, xml disabled,
filtering disabled
Monitor logging: level debugging, 0 messages logged, xml disabled,
filtering disabled
Buffer logging: disabled, xml disabled,
filtering disabled
Logging Exception size (4096 bytes)
Count and timestamp logging messages: disabled
Persistent logging: disabled
No active filter modules.
ESM: 0 messages dropped
Trap logging: level informational, 12 message lines logged
Logging to 192.168.1.6 (udp port 514, audit disabled,
authentication disabled, encryption disabled, link up),
2 message lines logged,
0 message lines rate-limited,
0 message lines dropped-by-MD,
xml disabled, sequence number disabled
filtering disabled
Una vez realizados estos cambios usted puede ver desde el servidor los mensajes enviados en el servidor syslog desde la pestaña "Config" y el boton "SYSLOG" como la imagen siguiente:
Fig2. Cuadro de dialogo de mensajes SYSLOG del server
Ahora procedemos a configurar el Router R3 como soporte de conexiones SSH
Router R3
R3(config)#ip domain-name paginadedominio.com <----- el nombre del dominio puede
ser cualquiera
ser cualquiera
R3(config)#username SSHadmin privilege 15 secret contrasena <-----El usuario puede colocar
cualquier nombre de
usuario y contraseña
cualquier nombre de
usuario y contraseña
R3(config)#line vty 0 4 <-----Se configura la conexión remota
R3(config-line)#login local
R3(config-line)#transport input ssh
R3(config-line)#crypto key generate rsa
The name for the keys will be: R3.paginadedominio.com
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]: 1024 <-----Se seleccionan palabras de 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
R3(config)#ip ssh time-out 90 <-----Tiempo máximo de espera
*mar 1 0:28:14.952: %SSH-5-ENABLED: SSH 1.99 has been enabled
R3(config)#ip ssh authentication-retries 3 <-----Numero máximo de intentos
R3(config)#ip ssh version 2 <-----Versión de SSH
R3(config)#
Ahora desde PC-C realizamos la conexión de prueba en la pestaña "Desktop" en "Command Prompt"
PC-C
PC> ssh -l SSHadmin 192.168.3.1
Open
Password:
R3#
Usted puede confirmarlo realizando la conexión desde el Touter R2 (recuerde desconectarse de PC-C con el comando "exit" antes de intentarlo.
Gracias por leer esta entrada, esperamos que les haya sido de ayuda...
sansaker, esta práctica me sirvió de mucho para aclarar y afianzar los tres temas... solo encontré que en R1 aparece el comando de sincronización en fa0/1 en vez de estar en s0/0/0 y tampoco configuraste ningun enrutamiento. Sin embargo, esto también supuso un reto para mi. No se si lo diste por sabido o fue un olvido. Muy agradecido
ResponderBorrar