SSH o Security Shell es un interprete de comando seguro y cifra el trafico, haciendo inservible un ataque de sniffing.

SSH provee soporte para autenticacion basada en usuario/contraseña y autenticacion basada en RSA por tal motivo supera a Telnet que envia los paquetes en texto plano.

Configuración:

Router(config)#hostname ADC

(Es necesario configurar el nombre del Router sino no dejar configurar SSH)

ADC(config)#ip domain-name ADC.com.ve

(Cisco se basa en estas 2 variables para generar las claves RSA. El nombre y el Dominio para generarlas)

ADC(config)#crypto key generate rsa 1024

(Genera las claves RSA con un tamaño de 1024 bits)

ADC(config)#ip ssh time-out 30

(Configura el Tiempo de Espera esto es en Segundos)

ADC(config)#ip ssh authentication-retries 3

(Configura un maximo de logins fallidos)

ADC(config)#ip ssh version 2

(Habilitar de SSH version 2)

ADC(config)#username Andeco privilege 15 password 4dcbl0g5p0t

(Configura los Usuario que tendran acceso via SSH y los privilegios)

ADC(config)#line vty 0 4

(Linea donde se aplicara el SSH)

ADC(config-line)#transport input ssh

(Activa el SSH en la Line VTY)

ADC(config-line)#login local

(Para que se haga uso del usuario)

Comandos para verificación

ADC#show ip ssh
(Muestras las opciones de SSH Activas)

ADC#show ssh
(Muestras los usuarios conectados por SSH)

ADC(config)#logging on
ADC(config)#logging console
ADC(config)#exit
ADC#debug ip ssh

(Habilitación de Debugging para SSH)

ADC#disconnect ssh 4

ADC#Clear Line 4
(Desconexión de Un Usuario Remoto el Numero indica la VTY)

Cliente SSH Desde El Router

LinkOut#ssh -l USUARIO DIRECCION IP

Ejemplo:
ADC#ssh -l Andeco 200.84.12.192

Esta configuración funciona con las versiones de IOS que soportan QoS. Con esto lo que se hará es limitar el ancho de banda de los servicios que están detrás del Router Cisco.

Para configurar el rate-limit necesitaremos también dos valores más que se recomienda calcular con la formula proporcionada por Cisco. Estos valores son el "normal burst" y el "extended burst".

Según Cisco estos valores se calcula por:

"normal burst" = rate * (1 byte)/(8 bits) * 1.5 seconds

"extended burst" = 2 * "normal burst"

Lo que haremos es limitar el ancho de banda a estos servicios. Lo primero que haremos es especificar cuanto ancho de banda quiero para cada servicio teniendo en cuenta los 1mbps/512kbps.

Para entrada de correo una limitación de 256kbps (respecto los 1mbps).
Para salida de correo una limitación de 128kbps (respecto los 512kbps).
Para salida de contenido Web una limitación de 256kbps (respecto los 512kbps).

Para restringir el ancho de banda a los servicios se utilizara una ACL.

Configuración:

Router(config)# access-list 10 permit tcp any eq www any

(limitamos el trafico Web saliente)

Router(config)# access-list 11 permit tcp any any eq smtp

(limitamos el trafico smtp entrante)

Router(config)# access-list 12 permit tcp any eq smtp any

(limitamos el trafico smtp saliente)

Implementar el comando rate-limit en la interfaz que conecta a internet o cualquier otro Router:

Router(config)# interface GigabitEthernet0/0

Router(config-if)#

rate-limit output access-group 10 256000 48000 96000 conform-action transmit exceed-action drop

(liminado el ancho de banda del trafico Web saliente)

Router(config-if)# 

rate-limit input access-group 11 256000 48000 96000 conform-action transmit exceed-action drop

(limitamos el ancho de banda del correo entrante)

Router(config-if)#

rate-limit output access-group 12 128000 24000 48000 conform-action transmit exceed-action drop

(limitamos el ancho de banda del correo saliente)

Comandos para verificación

show interfaces rate-limit

(Para Muestra información sobre un determinado rate-limit en la interfaz)

Compania(config)# interface GigabitEthernet0/1
Compania(config-if)# description Segmento Privado
Compania(config-if)# ip address 192.168.1.1 255.255.255.0


Compania(config)# interface GigabitEthernet0/0
Compania(config-if)# description Segmento ISP (ISP= Internet Service Provider)
Compania(config-if)# ip address dhcp
(Se Aplica este Comando para negociar Dirección IP a través de DHCP del ISP)

Compania(config-if)# ip nat outside (Se Aplica para que el Nat Salga por esta Interfaz)

Compania(config)# ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/0 dhcp
(Se Aplica este Comando para indicarle la enrrutar todo el trafico)

Compania(config)# access-list 100 permit ip 192.168.1.0 0.0.0.255 any
(Se Aplica este Comando para Controlar que Segmento de IP puede Salir a Internet)

Compania(config)# ip nat inside source list 100 interface GigabitEthernet0/0 overload
(Se Aplica este Comando para Realizar el NAT al Segmento de IP Privado)

NAT ESTÁTICO

La IP pública que nos otorga nuestro ISP es únicamente la 161.196.198.145 255.255.255.248

Configuración:

Compania(config)#ip nat inside source static 192.168.1.254 194.194.194.5

(Se configura el tipo de NAT como estático y le decimos que IP privada va a ser cambiada a la IP pública)

Compania(config)#int fa0/0

(Aplicamos en la interfaz de entrada en este caso la LAN)

Compania(config-if)# ip nat inside

(Se Aplica para lo que entre a la interfaz sea cambiado)

Compania(config-if)#int s0/0

(Aplicamos en la interfaz de Salida en este caso la Serial)

Compania(config-if)#ip nat outside

(Se Aplica para lo que Nat Salga por esta Interfaz)

Compania(config-if)#end

(Para salir el mode privilegiado)

Compania# write memory

(Se guarda la Configuración)

NAT DINÁMICO

La Network públicas que nos otorga nuestro ISP es 161.196.198.140 255.255.255.248 con un rango de IPS disponible 161.196.198.145 - 161.196.198.146

Configuración:

Compania(config)#ip nat pool NAVEGACION 194.194.194.1 194.194.194.6 netmask 255.255.255.248

(Creamos un pool con las direcciones públicas y la damos un nombre en este caso NAVEGACION)

Compania(config)#access-list 1 permit 192.168.1.0 0.0.0.255

(Creamos una access-list para hacer un filtro de las IPS privadas que podrán Cambiarse a las públicas)

Compania(config)#ip nat inside source list 1 pool NAVEGACIÓN OVERLOAD

(Indicamos el rango de las IP privadas que se filtro con la access-list que van a hacer cambiadas a las IP públicas del pool NAVEGACIÓN. La opción OVERLOAD nos permite que todos los hosts se asignen a una sóla ip por diferentes Puertos no utilizando la siguiente ip del pool hasta que no se agote la primera)

Compania(config)#int fa0/0

(Aplicamos en la interfaz de entrada en este caso la LAN)

Compania(config-if)# ip nat inside

(Se Aplica para lo que entre a la interfaz sea cambiado)

Compania(config-if)#int s0/0

(Aplicamos en la interfaz de Salida en este caso la Serial)

Compania(config-if)#ip nat outside

(Se Aplica para lo que Nat Salga por esta Interfaz)

Compania(config-if)#end

(Para salir el mode privilegiado)

Compania# write memory

(Se guarda la Configuración)

Comandos para verificación de la tabla NAT

show ip nat translations

(Para mostrar las traducciones activa)

show ip nat statistics

(Para mostrar las traducciones estáticas activa)

show ip nat translations verbose

(Muestra información adicional para cada entrada en la tabla de traducción, incluyendo cómo hace mucho tiempo la entrada se ha creado y utilizado)

debug ip nat