Seguridad y Redes

Tips & Video Tutoriales, Wifislax, VMware, GNS3, VirtualBox, CCNA, Cisco Routers & Switches, [ Programming ]

Configuración de DHCP Server en FortiGate

El FortiGate puede actuar como un servidor DHCP para distribuir dirección IP a los hosts finales que ejecutan servicios de un cliente DHCP. Esta característica es importante si se tiene una pequeña sucursal que no posee un servidor DHCP dedicado.

Para habilitar el servicio de DHCP en el FortiGate se puede realizar desde la interfaz web en las opciones de System > Network > Interface. Para configurar este servicio desde el CLI.

Datos del servidor DHCP.

Interface: port3 (INSIDE)
Rango de direcciones IP: 192.168.23.50 - 192.168.23.100
Subnet: 255.255.255.0
Default Gateway: 192.168.23.1
DNS: Servicio de DNS por default
Nombre de Dominio: delfirosales.com

Configuracion de la interface Inside.
edit "port3"
    set vdom "root"
    set ip 192.168.23.1 255.255.255.0
    set allowaccess ping
    set type physical
    set alias "INSIDE"
    set snmp-index 3
next
Configuracion del DNS.
FortiGate-VM # show system dns 
config system dns
    set primary 8.8.8.8
    set secondary 8.8.4.4
    set domain "delfirosales.com"
    set source-ip 192.168.1.102
end
Configuración de DHCP Server desde CLI
FortiGate-VM # config system dhcp server 
FortiGate-VM (server) # edit 1
new entry '1' added
FortiGate-VM (1) # set auto-configuration disable 
FortiGate-VM (1) # set default-gateway 192.168.23.1
FortiGate-VM (1) # set dns-service default 
FortiGate-VM (1) # set interface port3
FortiGate-VM (1) # config ip-range 
FortiGate-VM (ip-range) # edit 1
new entry '1' added
FortiGate-VM (1) # set start-ip 192.168.23.50
FortiGate-VM (1) # set end-ip 192.168.23.100
FortiGate-VM (1) # next 
FortiGate-VM (ip-range) # end
FortiGate-VM (1) # set netmask 255.255.255.0
FortiGate-VM (1) # next 
FortiGate-VM (server) # end

FortiGate-VM # 
FortiGate-VM # show sys dhcp server 
config system dhcp server
    edit 1
        set auto-configuration disable
        set default-gateway 192.168.23.1
        set dns-service default
        set interface "port3"
            config ip-range
                edit 1
                    set end-ip 192.168.23.100
                    set start-ip 192.168.23.50
                next
            end
        set netmask 255.255.255.0
    next
end
FortiGate-VM # 
Verificacion del Servicio
root@labs:/home/delfi# ifconfig eth0
eth0      Link encap:Ethernet  HWaddr 00:00:AB:5C:A9:00  
          inet addr:192.168.23.50  Bcast:192.168.23.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:179 errors:0 dropped:0 overruns:0 frame:0
          TX packets:158 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:26721 (26.0 KiB)  TX bytes:50476 (49.2 KiB)

root@labs:/home/delfi# 

root@labs:/home/delfi# route -e
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
default         192.168.23.1    0.0.0.0         UG        0 0          0 eth0
127.0.0.1       *               255.255.255.255 UH        0 0          0 lo
192.168.23.0    *               255.255.255.0   U         0 0          0 eth0

root@labs:/home/delfi# ping www.google.com
PING www.google.com (173.194.115.176): 56 data bytes
64 bytes from 173.194.115.176: seq=0 ttl=57 time=134.307 ms
64 bytes from 173.194.115.176: seq=1 ttl=57 time=248.415 ms
64 bytes from 173.194.115.176: seq=2 ttl=57 time=166.495 ms
64 bytes from 173.194.115.176: seq=3 ttl=57 time=50.341 ms
64 bytes from 173.194.115.176: seq=4 ttl=57 time=283.354 ms
64 bytes from 173.194.115.176: seq=5 ttl=57 time=187.280 ms
64 bytes from 173.194.115.176: seq=6 ttl=57 time=69.864 ms
64 bytes from 173.194.115.176: seq=7 ttl=57 time=102.955 ms
64 bytes from 173.194.115.176: seq=8 ttl=57 time=107.317 ms
64 bytes from 173.194.115.176: seq=9 ttl=57 time=84.637 ms
64 bytes from 173.194.115.176: seq=10 ttl=57 time=142.454 ms


NetFlow - Monitorea los equipos de tu red

NetFlow es un protocolo de red desarrollado por Cisco Systems para recolectar información sobre tráfico IP. Netflow se ha convertido en un estándar de la industria para monitorización de tráfico de red, y actualmente está soportado para varias plataformas además de Cisco IOS y NXOS, como por ejemplo en dispositivos de fabricantes como Juniper, Enterasys Switches, y en sistemas operativos como Linux, FreeBSD, NetBSD y OpenBSD.

Existen varias diferencias entre la versión de implementación del Netflow original, por lo que algunas versiones incorporan algunos datos más, pero en líneas generales el Netflow básico envía al menos la siguiente información.
  • Dirección IP de origen.
  • Dirección IP de destino.
  • Puerto UDP o TCP de origen.
  • Puerto UDP o TCP de destino.
  • Protocolo IP.
  • Interfaz (SNMP ifIndex).
  • Tipo de servicio IP.

R1#configure terminal
R1(config)#interface fastethernet0/0
R1(config-if)#ip address 10.10.10.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#end
R1#

Configuración de SNMP y NetFlow
R1(config)#ip access-list standard ACL
R1(config-std-nacl)#permit host 10.10.10.10
R1(config-std-nacl)#exit

R1(config)#hostname RouterLocal

RouterLocal(config)#snmp-server community secreto rw ACL
RouterLocal(config)#snmp-server location Mexico
RouterLocal(config)#snmp-server contact delfirosales

RouterLocal(config)#interface fastEthernet0/0
RouterLocal(config-if)#ip flow egress 
RouterLocal(config-if)#ip flow ingress 
RouterLocal(config-if)#exit

RouterLocal(config)#ip flow-export version 9
RouterLocal(config)#ip flow-export destination 10.10.10.10 99
RouterLocal(config)#ip flow-export source fastEthernet0/0

RouterLocal(config)#service timestamps 
RouterLocal(config)#logging 10.10.10.10
RouterLocal(config)#ip domain name delfirosales.com
Comandos shows
RouterLocal#show ip cache flow
RouterLocal#show ip flow export
RouterLocal#show ip flow interface
RouterLocal#debug ip flow export


Configuración del NetFlow Collector

Hay varios colectores disponibles, algunos licenciados y otros libres, dependiendo de lo que necesites, con cualquier collector te será muy fácil generar el reporte de los top 10 terminales que consumen ancho de banda. Para esta practica se utilizo Real-Time NetFlow Analyzer de SolarisWinds para concentrar la información, analizarla y generar resportes.




Dynamic PAT en el Cisco ASA

El Cisco ASA soporta los siguientes tipos mas comunes de NAT.
  • Dynamic NAT: Traducción de muchos a muchos. Traduce las direcciones de origen en las interfaces de seguridad más altos en un rango de direcciones o pool a una interface menos segura para las conexiones salientes.
  • Dynamic PAT: Traducción de muchos a uno. Usualmente un pool de direcciones internas a una interface externa.
  • Static NAT: Traducción de uno a uno, entre una dirección IP en una interface más segura y otra interface menos segura (ejemplo internet) para así poder acceder a los host de una interface de mayor seguridad (ejemplo servidores web en la DMZ) sin exponer la dirección IP real del host en la interface de mayor seguridad.
  • Twice NAT: Permite definir origen y destino desde una sola regla. Son procesadas de acuerdo a la secuencia que fueron insertadas (sin diferenciar estáticos de dinámicos). Puede Referenciar objetos de tipo “network” y “service”.
Configuración Básica de NAT - ASA versión 8.4

Practica en GNS3
Topologia de red Dynamic PAT.

Lo primero es configurar las tres interfaces en el ASA. El segmento de la red ISP está conectada a la interface gigabitEthernet3 con la etiqueta de outside y nivel de seguridad 0. La red interna está conectada a la interface gigabitEthernet1 con etiqueta de nombre inside y con nivel de seguridad 100. El segmento DMZ, donde reside el WebServer está conectado a la interface gigabitEthernet2 del ASA y etiquetado con el nombre de dmz con nivel de seguridad 50.

Datos adicionales:

Interface inside: 192.168.0.1 y es default gateway para los host internos.
Interface dmz: 192.168.1.1 y es el default gateway para los host internos.
Interface outside: 198.51.100.100
Ruta de default: Next-Hop 198.50.100.101

Configuración de la Topología de Red

Configuración PC
Configuración WebServer
!
interface FastEthernet0/0
 ip address 192.168.1.100 255.255.255.0
!         
ip route 0.0.0.0 0.0.0.0 192.168.1.1
!

Configuración ISP
!
interface FastEthernet0/0
 ip address 198.51.100.101 255.255.255.0
 duplex auto
 speed auto
!
interface Serial1/1
 ip address 100.1.1.2 255.255.255.252
 serial restart-delay 0
!
ip route 50.50.50.0 255.255.255.0 100.1.1.1
ip route 89.89.89.0 255.255.255.248 198.51.100.100
ip route 192.168.0.0 255.255.255.0 198.51.100.100
!
Configuración R4
!
interface FastEthernet0/0
 ip address 50.50.50.1 255.255.255.0
 duplex auto
 speed auto
!
interface Serial1/1
 ip address 100.1.1.1 255.255.255.252
 serial restart-delay 0
!
ip route 89.89.89.0 255.255.255.248 Serial1/1
ip route 198.51.100.0 255.255.255.0 Serial1/1
!
Configuración R5
!
interface FastEthernet0/0
 ip address 50.50.50.17 255.255.255.0
 duplex auto
 speed auto
!         
ip route 0.0.0.0 0.0.0.0 50.50.50.1
!
line vty 0 5
 password cisco
 login
!
Configuración del ASA
!
interface GigabitEthernet1
 nameif inside
 security-level 100
 ip address 192.168.0.1 255.255.255.0 
!
interface GigabitEthernet2
 nameif dmz
 security-level 50
 ip address 192.168.1.1 255.255.255.0 
!
interface GigabitEthernet3
 nameif outside
 security-level 0
 ip address 198.51.100.100 255.255.255.0 
!
route outside 0.0.0.0 0.0.0.0 198.51.100.101 1
!

Configuración de Dynamic PAT en el ASA
CiscoASA# configure terminal
CiscoASA(config)# object network red-interna
CiscoASA(config-network-object)# subnet 192.168.0.0 255.255.255.0
CiscoASA(config-network-object)# nat (inside,outside) dynamic interface
CiscoASA(config-network-object)# exit

CiscoASA(config)# object network red-dmz
CiscoASA(config-network-object)# subnet 192.168.1.0 255.255.255.0
CiscoASA(config-network-object)# nat (dmz,outside) dynamic interface
CiscoASA(config-network-object)# end
CiscoASA#

Verificación.
Para verificar que está funcionando, volvemos a intentar realizando un telnet a la ip 50.50.50.17.



Habilitando el debug ip icmp para verificar el comportamiento y algunos comandos shows.
R5#debug ip icmp

CiscoASA# show xlate


CiscoASA# show nat detail
CiscoASA# show nat translated interface outside
CiscoASA# sh  local-host

Configuración de NTP con Autenticacion en un Router Cisco

NTP son las siglas de Network Time Protocol el cual nos permite sincronizar los dispositivos que funcionan en una red. Esto es muy importante ya que hay una gran variedad de servicios de red que se basan en la correcta sincronización de horarios de los servidores.

Para esto, el equipo realiza una referencia a un servidor de horario, que puede comparar y ajustar su fecha y la hora con otro servidor NTP publico en internet. El protocolo NTP utiliza el puerto UDP 123 para establecer la conexión con los servidores de horario. Es recomendable e importante configurar primero el protocolo NTP en los equipos de la nuestra red antes de implementar el protocolo estándar Syslog centralizado.

NTP en GNS3.

Configuración de un router Cisco para que sincronice la fecha y hora con un servidor de NTP público en internet.

Primero verificamos conectividad con el servidor NTP público en internet.
R1#ping pool.ntp.org
Translating "pool.ntp.org"...domain server (192.168.137.1) [OK]
 
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 132.248.30.3, timeout is 2 seconds:
!!!.!
Success rate is 80 percent (4/5), round-trip min/avg/max = 76/98/120 ms
R1#

Verificando conexión.
Configuración del Cliente NTP en R1.
R1#configure terminal
R1(config)#ntp server pool.ntp.org
Translating "pool.ntp.org"...domain server (192.168.137.1) [OK]
R1(config)#

Verificación.
R1#show clock detail
07:17:15.480 UTC Sun Mar 29 2015
Time source is NTP
 
R1#show ntp status
R1#show ntp associations


Verificación de NTP y comandos adicionales del estado de NTP.

Configuración en R2.
R2#configure terminal
R2(config)#ntp server 10.10.10.1
R2(config)#end
R2#
*Mar  1 00:14:15.523: %SYS-5-CONFIG_I: Configured from console by console
 
R2#show clock detail
.07:22:29.536 UTC Sun Mar 29 2015
Time source is NTP
R2#

NTP con Autenticación
R1#configure terminal
R1(config)#ntp authentication-key 1 md5 cisco
R1(config)#ntp authenticate
R1(config)#ntp trusted-key 1

Configuración de R2 como cliente NTP con autenticación.
R2#configure terminal
R2(config)#ntp authenticate
R2(config)#ntp authentication-key 1 md5 cisco
R2(config)#ntp trusted-key 1
R2(config)#ntp server 10.10.10.1 key 1

Syslog

El Syslog es enviar mensajes de información que puede ser a un router o a un servidor externo.

¿Para que nos va servir el Syslog?

El Syslog nos puede servir para sabes cual es la naturaleza de alguna ataque o amenaza de seguridad. También nos sirve de bastante para Troubleshooting y podemos correlacionar cualquier tipo de eventos, como por ejemplo.
  • Un intento de acceso con contraseña equivocada
  • Un acceso correcto al sistema
  • Anomalías: variaciones en el funcionamiento normal del sistema
  • Alertas cuando ocurre alguna condición especial
  • Información sobre las actividades del sistema operativo
  • Errores del hardware o el software
Por lo tanto, es vital la administración adecuada de esta información para mantener corriendo de manera estable una red y principalmente para poder mitigar las amenazas de seguridad a las que nos podamos ver expuestos.

Los logs también se pueden enviar a la consola (por default)
  • Al Logging Buffer del Router (por default)
  • A las Líneas VTY (Ingresando el comando terminal monitor)
  • A un Servidor de SNMP como puede ser un Cisco Works
  • A un servidor de Syslog.
Existe un Cliente y Servidor de Syslog.
  • El Syslog Client es el que envía los logs, es decir un router puede ser un cliente de Syslog.
  • Servidor Syslog es un aquel servidor que guarda todos los logs.
Syslog Levels.

La figura anterior muestra los niveles de Syslog que se tienen.
  • Nivel 0 son las Emergencias: Es cuando hay un error severo que hace que el sistema no sea usable
  • Nivel 1 son Alertas: Significa que requieren atención inmediata.
  • Nivel 2 Critica: Requiere atención para prevenir que haya interrupción en el servicio.
  • Nivel 3 Errores: Condiciones de errores en el Sistema.
  • Nivel 4 Warnings: Es cuando algo en específico falla.
  • Nivel 5 Notificaciones: Alerta sobre los cambios de estados.
  • Nivel 6 Información: Información detallada acerca de la operación normal.
  • Nivel 7 Debugging: Información detallada, comandos de debug, usualmente puede servir simplemente para troubleshooting.
Es importante saber que existen estos 8 niveles, que significa cada uno y como se llaman.

Iniciando un router se presentan varios log, ejemplo.
Press RETURN to get started!
*Mar  1 00:00:07.059: %LINEPROTO-5-UPDOWN: Line protocol on Interface VoIP-Null0, changed state to up
5 = Nivel 5
*Mar  1 00:00:07.059: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up
*Mar  1 00:00:07.063: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up
3 = Nivel 3
*Mar  1 00:00:07.287: %SYS-5-CONFIG_I: Configured from memory by console
*Mar  1 00:00:07.875: %SYS-5-RESTART: System restarted --
Cisco IOS Software, 3600 Software (C3660-IK9O3S-M), Version 12.4(13b), RELEASE SOFTWARE (fc3)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2007 by Cisco Systems, Inc.
Compiled Tue 24-Apr-07 21:18 by prod_rel_team
*Mar  1 00:00:07.887: %SNMP-5-COLDSTART: SNMP agent on host Router is undergoing a cold start
*Mar  1 00:00:08.059: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to down
*Mar  1 00:00:09.299: %LINK-5-CHANGED: Interface FastEthernet0/1, changed state to administratively down

En el IOS de Cisco por default está configurado el log en la consola.

DHCP Relay en el Cisco ASA

Las comunicaciones DHCP se realizan por broadcast y los mensajes broadcast no pasan a través de los routers. Por consiguiente, tanto las peticiones DHCP como las respuestas de los servidores no producen ninguna acción fuera de la red local. La solución mas fácil consiste evidentemente en poner un servidor DHCP en cada segmento de la red donde sean necesarios. Sin embargo, si se desea utilizar solo un servidor para varias redes, existe una solución , los agentes DHCP relay.

Un DHCP relay recibe las solicitudes de los clientes en formato de broadcast y las reenvía como unicast a la dirección del servidor DHCP.

Los mensajes unicast pueden pasar por los routers, llegando la información a buen puerto. En seguida, el servidor DHCP responderá con un mensaje en modo unicast con el agente relay como destino y este, a su vez enviara un mensaje broadcast que recibirá el equipo cliente. El cliente DHCP no sabrá que esta tratando con un agente relay, si no que piensa que hay un servidor DHCP real en su segmento.

Habilitar la función DHCP relay en el Cisco ASA.

Identificar el servidor DHCP
ciscoasa(config)# dhcprelay server ip-address interface

Si se tiene más de un servidor DHCP, puede repetir este comando para definir hasta cuatro servidores diferentes. En este caso, las solicitudes DHCP se transmiten a cada uno de los servidores de forma simultánea.

Identificar los clientes DHCP
ciscoasa(config)# dhcprelay enable interface

La palabra clave setroute instala automáticamente una ruta por defecto en el dispositivo.
ciscoasa(config)# dhcprelay setroute interface


CiscoASA(config)# dhcprelay server 20.1.1.2 DMZ
CiscoASA(config)# dhcprelay enable inside
CiscoASA(config)# dhcprelay setroute inside

Configurar la interface inside de los host para obtener la dirección IP por DHCP.
R1(config)#interface fastEthernet0/0
R1(config-if)#ip address dhcp 
R1(config-if)#no shutdown 
R1(config-if)#end
Interface FastEthernet0/0 assigned DHCP address 192.168.1.2, mask 255.255.255.0
R1#
R1#show ip int brief
Interface                  IP-Address      OK? Method Status                Protocol
FastEthernet0/0            192.168.1.2     YES DHCP   up                    up      
FastEthernet0/1            unassigned      YES unset  administratively down down   

Servidor DHCP en el Cisco ASA

El Cisco ASA puede actuar como un servidor DHCP para distribuir dirección IP a los hosts finales que ejecutan servicios de un cliente DHCP. Esta característica es importante si usted tiene una pequeña sucursal que no posee un servidor DHCP dedicado. 


Para configurar el servidor DHCP a través de ASDM, ir a Configuración > Device Management > DHCP > DHCP server y seleccione la interface en la que desea habilitar los servicios DHCP.



Para configurar un ASA como un servidor DHCP, desde la línea de comandos.

Configuramos la interface inside.
CiscoASA# configure terminal
CiscoASA(config)# interface gigabitEthernet0 
CiscoASA(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
CiscoASA(config-if)# ip address 192.168.1.1 255.255.255.0
CiscoASA(config-if)# no shutdown 

Definir el conjunto de direcciones IP y asignar el pool a los usuarios internos.
CiscoASA(config)# dhcpd address 192.168.1.10-192.168.1.30 inside

Habilitar el servicio de servidor DHCP en la interface
CiscoASA(config)# dhcpd enable inside

Definir el nombre de dominio para los clientes DHCP.
CiscoASA(config)# dhcpd domain delfirosales

Definir un servidor de nombres de dominio (DNS.
CiscoASA(config)# dhcpd dns 192.168.1.50

Tiempo de concesión en segundos. El valor predeterminado es de 3600 segundos (1 hora).
CiscoASA(config)# dhcpd lease 7200



Para comprobar la configuración de DHCP, podemos utilizar el comando show dhcpd state para mostrar el estado actual de DHCP en  las interfaces internas y externas. El comando show dhcpd binding para visualizar los enlaces actuales de los usuarios internos y el comando show dhcpd statistics para mostrar las estadísticas de DHCP.

CiscoASA# show dhcpd state    
Context  Configured as DHCP Server
Interface inside, Configured for DHCP SERVER

CiscoASA# show dhcpd binding
IP address       Client Identifier        Lease expiration        Type
   192.168.1.10  0063.6973.636f.2d63.           7020 seconds    Automatic
                 3830.302e.3037.3734.
                 2e30.3030.302d.4661.
                 302f.30


Para borrar los enlaces de DHCP o estadísticas, utilice el comando clear dhcpd binding o clear dhcpd statistics.

CiscoASA# clear dhcpd binding
CiscoASA# clear dhcpd statistics

AAA en Routers & Switches Cisco

Las principales funciones de AAA son.
  • Autenticación: comprueba que los usuarios y administradores sean quienes dicen ser.
  • Autorización: después de la autenticar al usuario o al administrador, decide a qué recursos puede acceder o qué operaciones puede realizar.
  • Registro (Accounting and Auditing): guarda el instante temporal en el que se efectúan las operaciones y acceden a los recursos.
Los Routers y Switches Cisco manejan AAA, de hecho también los Firewalls de Cisco pueden manejar AAA, los concentradores de VPN pueden manejar AAA, los Access Point pueden manejar AAA pero para este examen estamos viendo nada más los Routers y Switches.

Lo hay de tres maneras:

Cisco Secure ACS Solution Engine: Este es un equipo que contiene CSA, este casi no se usa en la vida real.

Cisco Secure Access Control Server (ACS): Se le conoce como ACS y este es el que se usa bastante en la vida real y es el que vamos a ver como se configura pero nada más la parte del router no la parte en si del servidor. El Router o el NAS es el que tiene contacto con el ACS en este caso el NAS puede ser un Router, puede ser un Switch, un Firewall, un concentrador de VPN. Entonces el router o NAS contacta a la base de datos externa el Cisco Secure ACS.

Self-contained AAA: Se le conoce también como Autenticacion Local y esto quiere decir que el Router no necesita de un equipo externo como el ACS para que pueda funcionar como AAA y simplemente usa la base de datos local de usuarios con contraseña para tener los servicios de AAA.

¿Cuáles son los servicios más comunes de AAA?
  • Puerto de Consola
  • Puerto Auxiliar
  • Telnet
  • SSH
  • HTTP
  • HTTPS
  • VPNs
  • Wireless
Podemos proteger todo el acceso al Router, es decir si por ejemplo queremos accesar al router por CCP ya sea por HTTP o HTTPS podemos usar AAA, si queremos entrar al router por Telnet y SSH se puede proteger con AAA, o de hecho si queremos conectarnos directamente a los puertos de consola y auxiliar podemos protegerlos con AAA.

También para los usuarios que entran por medio de VPN a nuestra red, puede ser controlado ese acceso por AAA, nuestros usuarios de Wireless se les puede pedir nombre de usuario y password para entrar a la red Wireless y este también puede estar con AAA. Entonces como podemos ver hay muchas opciones en los que AAA puede entrar en juego.

Configuración de AAA, Autenticacion Local

Vamos a configurar AAA en el Router usando Autenticacion Local, es decir sin un Servidor ACS o ningún servidor externo. Para configurar AAA vamos a realizarlo paso a paso.
  1. La primera es entrar en Modo Privilegiado
  2. La segunda es habilitar en modo global AAA
  3. Configurar las Listas de Autenticación que se les conoce como Method List
  4. Después configurar Autorización
  5. Configurar el Accounting
  6. Por ultimo verificar nuestra configuración
El primero paso para configurar AAA es habilitarlo de manera global e indicarle que la Autenticación sea Local.

Router#configure terminal
Router(config)#aaa new-model
Router(config)#aaa authentication ?
  arap             Set authentication lists for arap.
  attempts         Set the maximum number of authentication attempts
  banner           Message to use when starting login/authentication.
  dot1x            Set authentication lists for IEEE 802.1x.
  enable           Set authentication list for enable.
  eou              Set authentication lists for EAPoUDP
  fail-message     Message to use for failed login/authentication.
  login            Set authentication lists for logins.
  password-prompt  Text to use when prompting for a password
  ppp              Set authentication lists for ppp.
  sgbp             Set authentication lists for sgbp.
  username-prompt  Text to use when prompting for a username

Con el signo de interrogacion podemos ver todo lo que podemos configurar con AAA.

  • attempts: Cuantas veces o numero maximo de autentications queremos preguntarle a un usuario y password.
  • banner: Podemos configurarle un Banner.
  • enable: Podemos autenticar el enable
  • fail-message: Cual es el mensaje que se debe mostrar si la autenticación falla
  • Login: 
  • password-prompt: Lo mismo para el password, cual es el texto que quiero que diga cuando salga el password.
  • ppp: Autenticar ppp, en el caso de que si queremos autenticar a alguien que se conecte por ppp, esto se usaba mucho cuando eran por modem.
  • username-prompt: Si queremos cambiar en lugar de preguntar un username y password cambiarle a que diga usuario y contraseña por ejemplo.
Por ejemplo nosotros queremos autenticar el login, entonces le vamos a indicar que la Autenticación va hacer login, Luego le indicaremos que sea desde la Base de datos Local. Para esto ingremos el siguiente comando.

Router(config)#aaa authentication login default local

Con esto estamos indicando que la autenticación por default es la base de datos local. Ahora si verificamos Accediendo por telnet al Router.

User Access Verification
Username: delfi
Password: cisco
Router>enable
% Error in authentication.
Router>

Si le tratamos de ingresar enable, envía un mensaje de error en la Autenticación porque el enable no está dado de alta. Así que lo damos de alta el enable desde configuracion global.

Router(config)#enable secret cisco

Volvemos verificar ingresando nuevamente el comando enable.

Router>en
Password:
Router#

Autenticación, utilizando la Base de Datos Local

Autenticar en el Router mediante un Username y Password 
Lo que vamos a ver ahora es que a la hora de Autenticarnos en el Router nos pida el ingreso de nombre de usuario y contraseña.

El primer paso es definir desde configuración global el username y el password.
Router#configure terminal
Router(config)#username delfirosales password cisco

Con esto ya hemos creado un nombre de usuario con su respectiva contraseña. Ahora tenemos que indicarle al router que autentique con un username y un password. Esto se hace con el commando login local. En lugar de usar el commando login, vamos usar el login local.

Habilitar Login local para la Linea de Consola

Router(config)#line console 0
Router(config-line)#login local

Con esto estamos indicándole al router que ya no le haga caso al password configurado en consola, si no que busque la base de datos local de usuario y password.

Verificamos
User Access Verification

Username: delfirosales
Password:
Router>

Vemos que ahora nos pide un usuario y password desde consola.

Habilitar Login local en las Lineas VTY

Router#configure terminal
Router(config)#line vty 0 4
Router(config-line)#login local
Router(config-line)#exit
Router(config)#

Verificamos Telnet

Passwords en los Routers Cisco

¿Que tipo de Passwords se pueden configurar en los Routers Cisco? 
  • Console 
  • AUX 
  • VTY 
  • HTTP/HTTPS 
  • Enable secret 
  • Enable password
¿Cuales son las mejores practicas para un password que si sea fuerte, que si sea seguro? 
  • Por lo menos debe de tener 10 caracteres 
  • Usar minúsculas, mayúsculas, números y caracteres especiales 
  • Que no sea una palabra común, es decir que no esté en un diccionario 
  • Debemos de cambiar el password de manera periódica. Seria una muy buena idea es de que si tenemos una política de seguridad por escrito que ahí se mencione que tan seguido se debe de cambiar el password y que realmente se haga. 
Configurando Password en los Routers Cisco

Confiurar Password de Consola 

Router#configure terminal
Router(config)#line console 0
Router(config-line)#password console
Router(config-line)#login
Router(config-line)#exit

Configurar Password de AUX 

Router#configure terminal
Router(config)#line aux 0
Router(config-line)#password passaux
Router(config-line)#login
Router(config-line)#exit

Configurar Password en las Lineas VTY 

Router#configure terminal
Router(config)#line vty 0 4
Router(config-line)#password vty
Router(config-line)#login

Si en estos momentos vemos la configuración con el comando show running-config.

Router#show running-config
Building configuration...
!
line con 0
exec-timeout 0 0
password console
logging synchronous
login
line aux 0
exec-timeout 0 0
privilege level 15
password passaux
logging synchronous
login
line vty 0 4
password vty
login
!

Vemos los passwords tal cual. Esta manera de guardar las contraseñas es muy insegura ya que se pueden ver. Para esto Cisco tiene una manera de encriptar los passwords, que por cierto no es muy segura, el comando se llama service password-encryption

Configurar el service password-encryption 

Router#configure terminal
Router(config)#service password-encryption
Router(config)#exit

Si ahora le revisamos con un show running-config, veremos los passwords encriptados, pero tal como se ha mencionado esta encriptacion no es muy segura.

Router#show running-config
Building configuration...
!
line con 0
exec-timeout 0 0
password 7 02050B5518090324
logging synchronous
login
line aux 0
exec-timeout 0 0
privilege level 15
password 7 140713181F053F33
logging synchronous
login
line vty 0 4
password 7 08375857
login
!

Cuando veamos en la configuración password 7 lo que sigue significa que esta encriptado y tal como se menciona, esta encriptacion no es segura. Podemos descifrar el password con cualquier herramienta que podamos encontrar en google, como de la pagina Packetlife.net.


Algo importante que debemos de saber es si quitamos el service password-encryption (no service password-encryption).

Router(config)#no service password-encryption

Y le ponemos de nuevo un show running-config

Router#show running-config
Building configuration...
!
line con 0
exec-timeout 0 0
password 7 02050B5518090324
logging synchronous
login
line aux 0
exec-timeout 0 0
privilege level 15
password 7 140713181F053F33
logging synchronous
login
line vty 0 4
password 7 08375857
login
!

Vamos a ver que los deja encriptados. Es bien imporante el entender que si vemos que dice password 7y lo que sigue esta encriptado. Si nosotros copiamos password 7 08375857 y lo pegamos en otro Router el password que le estamos poniendo  no es 08375857, es el que esta encriptado porque le estamos poniendo un 7. Si le pusieramos password 0 (el 0 significa que lo que sigue no esta encriptado).

Habilitar enable password 

Router#configure terminal
Router(config)#enable password passenable

Habilitar enable secret 

Router#configure terminal
Router(config)#enable secret cisco2

Veamos la configuracion

Router#show running-config
Building configuration...
!
enable secret 5 $1$SfXz$VTQcZ6eOOVgZCBfvtmMBC0
enable password passenable
!

Podemos ver que el enable password tiene como contraseña passenable y el enable secret tiene un Hash de MD5. Cuando configuramos el enable secret ingrasamos cisco2 y automaticamente puso un 5 y un hash de MD5. Cualquier password que se ingrese automaticamente lo va convertir en un hasd de MD5 con valor de 128 bits aunque no tengamos habilitado el service password-encryption. Si en alguna configuracion ven enable secret 5 lo que sigue no es el password, es el hash de MD5.

Configuración de Cisco IOS Zone - Based Policy Firewall

Una de las principales diferencias entre un firewall usando CBAC y ZBPFW (zone based Firewall) es el uso de zonas de seguridad. Estas zonas separan las áreas específicas de seguridad dentro de una red. Cada organización tiene sus propias divisiones específicas de seguridad que deben ser definidos antes de la implementación de un ZBPFW.

Topologia de ejemplo para la Configuracion del IOS Zone Firewall.

Lo primero es crear el Par de Zonas, desde configuración global.
Creamos el inside security zona con el nombre de inside
Creamos el otra zona con el nombre de Outside

Router#configure terminal 
Router(config)#zone security inside
Router(config-sec-zone)#exit
Router(config)#zone security outside
Router(config-sec-zone)#exit

Creamos un class map con el nombre de MI-CLASS-MAP, luego los Matchs de ICMP y telnet.

Router(config)#class-map type inspect match-any MI-CLASS-MAP
Router(config-cmap)#match protocol telnet
Router(config-cmap)#match protocol icmp  
Router(config-cmap)#exit

Creamos una politica de servicio con el nombre de MI-POLITICA, identificamos el class map MI-CLASS-MAP Inspeccionamos todo el trafico.

Router(config)#policy-map type inspect MI-POLITICA
Router(config-pmap)#class type inspect MI-CLASS-MAP
Router(config-pmap-c)#inspect 
Router(config-pmap-c)#exit
Router(config-pmap)#exit

Creamos una Par de Zona o Zone pair identicando la zona fuente (inside) y el destino (outside). Asignamos la política de servicio MI-POLITICA para todo el trafico que pasa del origen al destino.

Router(config)#zone-pair security IN-TO-OUT source inside destination outside
Router(config-sec-zone-pair)#service-policy type inspect MI-POLITICA
Router(config-sec-zone-pair)#exit
Router(config)#

Asignamos las interfaces a su respectivas zonas.

Router(config)#interface fastEthernet0/0 
Router(config-if)#description Es la Zona Inside
Router(config-if)#zone-member security inside
Router(config-if)#exit
Router(config)#interface fastEthernet0/1
Router(config-if)#description Es la Zona Outside
Router(config-if)#zone-member security outside
Router(config-if)#exit
Router(config)#

Verificación desde el Cliente o Inside.

Video - Implementación de Cisco IOS Zone-Based Firewall usando CCP

Cisco ASA & ASDM en GNS3

Herramientas:
Configuración de ASA en GNS3

Abrimos GNS3, nos vamos al menu
Edit > Preference > QEMU > ASA

RAM: 1024 MiB
Number de Nics: 6
Quemu Options: -vnc none -vga none -m 1024 -icount auto -hdachs 980,16,32

Initrd: C:\Program Files\GNS3\ios\IOS_ASA\asa842-initrd.gz
Kernel: C:\Program Files\GNS3\ios\IOS_ASA\asa842-vmlinuz

Kernel cmd line: -append ide_generic.probe_mask=0x01 ide_core.chs=0.0:980,16,32 auto nousb console=ttyS0,9600 bigphysarea=65536

Configuración de ASA en GNS3.

Topologia.
Iniciamos ASA
Loading hardware drivers...
Intel(R) PRO/1000 Network Driver - version 7.3.21-k3-NAPI
Copyright (c) 1999-2006 Intel Corporation.
e1000 0000:00:02.0: found PCI INT A -> IRQ 9
e1000 0000:00:02.0: sharing IRQ 9 with 0000:00:06.0
e1000: 0000:00:02.0: e1000_probe: (PCI:33MHz:32-bit) 00:ab:cd:92:52:00
e1000: eth0: e1000_probe: Intel(R) PRO/1000 Network Connection
e1000 0000:00:03.0: found PCI INT A -> IRQ 11
e1000: 0000:00:03.0: e1000_probe: (PCI:33MHz:32-bit) 00:00:ab:b1:0b:01
e1000: eth1: e1000_probe: Intel(R) PRO/1000 Network Connection
e1000 0000:00:04.0: found PCI INT A -> IRQ 9

e1000: 0000:00:04.0: e1000_probe: (PCI:33MHz:32-bit) 00:00:ab:d6:5c:02
e1000: eth2: e1000_probe: Intel(R) PRO/1000 Network Connection
e1000 0000:00:05.0: found PCI INT A -> IRQ 11
pci 0000:00:01.3: IRQ routing conflict: have IRQ 9, want IRQ 11
e1000: 0000:00:05.0: e1000_probe: (PCI:33MHz:32-bit) 00:00:ab:d1:82:03
e1000: eth3: e1000_probe: Intel(R) PRO/1000 Network Connection
e1000 0000:00:06.0: found PCI INT A -> IRQ 9
e1000 0000:00:06.0: sharing IRQ 9 with 0000:00:02.0
e1000: 0000:00:06.0: e1000_probe: (PCI:33MHz:32-bit) 00:00:ab:52:cb:04
e1000: eth4: e1000_probe: Intel(R) PRO/1000 Network Connection
e1000: 0000:00:07.0: e1000_probe: (PCI:33MHz:32-bit) 00:00:ab:b5:3f:05
e1000: eth5: e1000_probe: Intel(R) PRO/1000 Network Connection
e100: Intel(R) PRO/100 Network Driver, 3.5.23-k6-NAPI
e100: Copyright(c) 1999-2006 Intel Corporation
loaded.
Initializing random number generator... done.
Starting network...
e1000: eth0 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: RX
device eth0 entered promiscuous mode
e1000: eth1 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: RX
device eth1 entered promiscuous mode
e1000: eth2 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: RX
device eth2 entered promiscuous mode
e1000: eth3 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: RX
device eth3 entered promiscuous mode
e1000: eth4 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: RX
device eth4 entered promiscuous mode
e1000: eth5 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: RX
device eth5 entered promiscuous mode
Initializing partition -  hda: hda1
done!
mkdosfs 2.11 (12 Mar 2005)

System tables written to disk
dosfsck 2.11, 12 Mar 2005, FAT32, LFN
Starting check/repair pass.
Starting verification pass.
/dev/hda1: 0 files, 0/65463 clusters
dosfsck(/dev/hda1) returned 0
FAT: "posix" option is obsolete, not supported now
TIPC: Started in network mode
TIPC: Own node address <1 data-blogger-escaped-.1.1=".1.1">, network identity 1234
TIPC: Enabled bearer , discovery domain <1 data-blogger-escaped-.1.0=".1.0">, priority 10
msrif: module license 'Cisco Systems, Inc' taints kernel.
msrif module loaded.
Clocksource tsc unstable (delta = 117925313 ns)
grep: /mnt/disk0/.private/startup-config: No such file or directory
Starting Likewise Service Manager
Processor memory 650117120, Reserved memory: 62914560
WARNING: LINA Monitor notification queue not created
No such file or directory
IMAGE ERROR: An error occurred when reading the controller type

Total NICs found: 6
secstore_buf_fill: Error reading secure store -  buffer 0xddfffb08, size 0x14
key_nv_init: read returned error 1, len 129
L4TM: Unknown ASA Model

INFO: Unable to read firewall mode from flash
       Writing default firewall mode (single) to flash
Verify the activation-key, it might take a while...
Failed to retrieve permanent activation key.
Running Permanent Activation Key: 0x00000000 0x00000000 0x00000000 0x00000000 0x00000000
The Running Activation Key is not valid, using default settings:

Licensed features for this platform:
Maximum Physical Interfaces       : Unlimited      perpetual
Maximum VLANs                     : 100            perpetual
Inside Hosts                      : Unlimited      perpetual
Failover                          : Disabled       perpetual
VPN-DES                           : Disabled       perpetual
VPN-3DES-AES                      : Disabled       perpetual
Security Contexts                 : 0              perpetual
GTP/GPRS                          : Disabled       perpetual
AnyConnect Premium Peers          : 5000           perpetual
AnyConnect Essentials             : Disabled       perpetual
Other VPN Peers                   : 5000           perpetual
Total VPN Peers                   : 0              perpetual
Shared License                    : Disabled       perpetual
AnyConnect for Mobile             : Disabled       perpetual
AnyConnect for Cisco VPN Phone    : Disabled       perpetual
Advanced Endpoint Assessment      : Disabled       perpetual
UC Phone Proxy Sessions           : 2              perpetual
Total UC Proxy Sessions           : 2              perpetual
Botnet Traffic Filter             : Disabled       perpetual
Intercompany Media Engine         : Disabled       perpetual

This platform has an ASA 5520 VPN Plus license.

Cisco Adaptive Security Appliance Software Version 8.4(2)
_le_open: fd:4, name:eth0 ---Device eth0 (fd: 4) opened succesful!
_le_open: fd:8, name:eth1 ---Device eth1 (fd: 8) opened succesful!
_le_open: fd:9, name:eth2 ---Device eth2 (fd: 9) opened succesful!
_le_open: fd:10, name:eth3 ---Device eth3 (fd: 10) opened succesful!
_le_open: fd:11, name:eth4 ---Device eth4 (fd: 11) opened succesful!
_le_open: fd:12, name:eth5 ---Device eth5 (fd: 12) opened succesful!

  ****************************** Warning *******************************
  This product contains cryptographic features and is
  subject to United States and local country laws
  governing, import, export, transfer, and use.
  Delivery of Cisco cryptographic products does not
  imply third-party authority to import, export,
  distribute, or use encryption. Importers, exporters,
  distributors and users are responsible for compliance
  with U.S. and local country laws. By using this
  product you agree to comply with applicable laws and
  regulations. If you are unable to comply with U.S.
  and local laws, return the enclosed items immediately.

  A summary of U.S. laws governing Cisco cryptographic
  products may be found at:
  http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

  If you require further assistance please contact us by
  sending email to export@cisco.com.
  ******************************* Warning *******************************

Copyright (c) 1996-2011 by Cisco Systems, Inc.

                Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

                Cisco Systems, Inc.
                170 West Tasman Drive
                San Jose, California 95134-1706

config_fetcher: channel open failed
ERROR: MIGRATION - Could not get the startup configuration.
COREDUMP UPDATE: open message queue fail: No such file or directory/2

INFO: MIGRATION - Saving the startup errors to file 'flash:upgrade_startup_errors_201210220208.log'
Type help or '?' for a list of available commands.
ciscoasa>

Inicialización de ASA.

Configuración para utilizar ASDM

Para utilizar ASDM debemos configurar algunos parametros minimos como el habilitar la conexion HTTP y crear un usuario.
ciscoasa> enable
Password:
ciscoasa#
ciscoasa# show int ip brief
Interface                  IP-Address      OK? Method Status                Protocol
GigabitEthernet0           unassigned      YES unset  administratively down up
GigabitEthernet1           unassigned      YES unset  administratively down up
GigabitEthernet2           unassigned      YES unset  administratively down up
GigabitEthernet3           unassigned      YES unset  administratively down up
GigabitEthernet4           unassigned      YES unset  administratively down up
GigabitEthernet5           unassigned      YES unset  administratively down up
ciscoasa#
ciscoasa# configure terminal
ciscoasa(config)#

***************************** NOTICE *****************************

Help to improve the ASA platform by enabling anonymous reporting,
which allows Cisco to securely receive minimal error and health
information from the device. To learn more about this feature,
please visit: http://www.cisco.com/go/smartcall

Would you like to enable anonymous error reporting to help improve
the product? [Y]es, [N]o, [A]sk later:
ciscoasa(config)#
ciscoasa(config)# interface gigabitEthernet0
ciscoasa(config-if)# ip address 192.168.2.1 255.255.255.0
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# nameif management
INFO: Security level for "management" set to 0 by default.
ciscoasa(config-if)# http server enable
ciscoasa(config)#
ciscoasa(config)# http 192.168.2.2 255.255.255.255 management
ciscoasa(config)# username delfirosales password cisco privilege 15
ciscoasa(config)# end
ciscoasa#

Configuración básica para utilizar ASDM.

Realizamos una prueba de conectividad con la interface Loopback de nuestra PC que tiene la direccion IP 192.168.2.2
ciscoasa# ping 192.168.2.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms

Tenemos conexion ahora configuramos el TFTP, en mi caso Solarwins que tiene una carpeta por default llamada TFTP-Root donde copiaremos el archivo ASDM asdm-645.bin

Copiar ASDM desde el Servidor TFTP

ciscoasa# copy tftp: flash:
Address or name of remote host []? 192.168.2.2
Source filename []? asdm-645.bin
Destination filename [asdm-645.bin]?
Accessing tftp://192.168.2.2/asdm-645.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing current ASDM file disk0:/asdm-645.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Comienza el proceso de copiado de ASDM.

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
16280544 bytes copied in 100.60 secs (162805 bytes/sec)
ciscoasa# conf t
ciscoasa(config)# dir

Directory of disk0:/

2      drwx  4096         02:08:09 Oct 22 2012  log
9      drwx  4096         02:08:14 Oct 22 2012  coredumpinfo
11     -rwx  196          02:08:14 Oct 22 2012  upgrade_startup_errors_201210220208.log
12     -rwx  16280544     02:17:56 Oct 22 2012  asdm-645.bin

268136448 bytes total (251813888 bytes free)



Al finalizar el copiado verificamos.

Especificamos el archivo imagen de ASDM. Una vez que hemos especificado el archivo de imagen ASDM, puede utilizar el comando show asdm image para ver la ubicación y nombre del archivo.
ciscoasa(config)#
ciscoasa(config)# asdm image flash:asdm-645.bin
ciscoasa(config)# end
ciscoasa# wr
Building configuration...
Cryptochecksum: 83e572a4 edd8be50 3a7df498 7eef42ca

2376 bytes copied in 1.50 secs (2376 bytes/sec)
[OK]
ciscoasa#

Acceso al ASDM

Despues habrimos un navegador web para acceder al ASDM por primera vez. En la siguiente imagen se muestra accesando al ASDM.

Accesando al ASDM

La pagina nos muestra tres opciones.

Install ASDM Launcher and Run ASDM: El launcher y ASDM se ejecutaran como aplicaciones nativas desde la PC sin necesidad de un navegador web.

Run ASDM: Ejecutara ASDM desde el navegador web como una aplicación Java.

Run Startup Wizard: ASDM iniciará un asistente que nos guiará a través de la configuracion inicial de ASA,
si aún no se ha hecho.

La primera opcion es la mas comun y se debe realizar solo una vez. Ya que tengamos instalado Cisco ASDM-IDM Launcher en nuestra PC ya podremos ejecutar la aplicacion directamente para iniciar una sesion ASDM. La primera opción es la opción más común y se debe hacer sólo una vez. Después de la aplicación Launcher está instalado, puede ejecutarlo directamente para iniciar una sesión de ASDM.

Para iniciar una sesion ejecutamos esta aplicacion el cual nos pedirá la direccion IP, nombre de usuario y contraseña. La dirección IP será almacenada en memoria caché para que la proxima vez que queramos iniciar sesion podamos elegirla de nuevo.

Aplicacion ASDM Launcher

Una vez que lanzamos esta aplicación se conecta al ASA correctamente y con esto ya tenemos ASDM listo para trabajar.

CCNA Security: GNS3 & Cisco Configuration Professional (CCP)

En la nueva versión del CCNA de Seguridad 640-554 se han agregado los siguientes features.

(1)Describe IPv4 to IPv6 transition
(2)Describe VLAN security
(3)Implement VLANs and trunking
(4)Implement spanning tree
(5)Implement zone-based policy firewall using CCP
(6)Implement the Cisco Adaptive Security Appliance (ASA)
(7)Implement Network Address Translation (NAT) and Port Address Translation (PAT)
(8)Configure Cisco IOS IPS using CCP
(9)Implement Secure Sockets Layer (SSL) VPN using ASA device manager

Se le ha quitado todo lo relacionado con SDM y agregaron Cisco Configuration Professional (CCP). Para configurar CCP en GNS3 debemos realizar los pasos similares a la configuración de SDM.
  1. Agregar un Router.
  2. Agregar una Nube configurada con una interface Loopback.
  3. Crear una cuenta de usuario local en el router con permisos de "nivel 15" permisos (modo privilegiado)
  4. Establer un hostname al router (opcional).
  5. Configurar una interface para conectividad con la interface Loopback
  6. Habilitar el servicio HTTP en el router.
  7. Habilita el servicio HTTPS en el router si la imagen IOS del router soporta cifrado crypto.
  8. Habilitar la autenticación HTTP utilizando la base de datos local.
R1#show ip int brief
Interface                  IP-Address      OK? Method Status                Protocol
FastEthernet0/0            unassigned      YES unset  administratively down down
FastEthernet0/1            unassigned      YES unset  administratively down down

R1#conf t
R1(config)#int f0/0
R1(config-if)#ip add 192.168.10.1 255.255.255.0
R1(config-if)#no shut
R1(config-if)#end
R1#
*Mar  1 00:00:38.975: %SYS-5-CONFIG_I: Configured from console by console
*Mar  1 00:00:40.347: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up
*Mar  1 00:00:41.347: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up
R1#ping 192.168.10.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 ms

R1#conf t
R1(config)#username delfirosales privilege 15 secret cisco
R1(config)#ip http server
R1(config)#ip http secure-server
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
*Mar  1 00:03:24.239: %SSH-5-ENABLED: SSH 1.99 has been enabled
*Mar  1 00:03:24.431: %PKI-4-NOAUTOSAVE: Configuration was modified.  Issue "write memory" to save new certificate
R1(config)#ip http authentication local   
R1(config)#line vty 0 4
R1(config-line)#privilege level 15
R1(config-line)#transport input ssh telnet
R1(config-line)#login local
R1(config-line)#end
R1#


Video utilizando CCP One-Step Lockdown & Security Audit
http://www.youtube.com/watch?v=UOASz3-NIj8

Cracking WPA/WPA2 con CoWPAtty & Aircrack-ng

Aunque WPA (Wi-Fi Protected Access) es más seguro que WEP (Wired Equivalent Privacy), en el instante inicial en que la conexión se establece, WPA es más vulnerable que WEP ya que es necesario capturar un menor número de frames (solo es necesario capturar un total de 4 frames del handshake intercambiadas entre el cliente y el punto de acceso para llevar el descubrimiento de claves) para obtener la clave inicial de cifrado mediante ataques de diccionario.

WPA es vulnerable a un ataque de diccionario y para este ataque es necesario el obtener el 4 way handshake entre el cliente y el punto de acceso. Es necesario también un wordlist o diccionario de palabras. Luego, utilizando herramientas como CoWPAtty y Aircrack-ng intentar obtener la clave pre compartida de WPA/WPA2.

CoWPAtty fue creado por Joshua Wright http://www.willhackforsushi.com/?page_id=50 y tiene todas las características que uno podría desear de una buena herramienta sin salir de su propósito. Esta herramienta es para automatizar el ataque de diccionario a las redes WPA-PSK y es muy sencillo de utilizar. Lo primero que haremos es lanzara airodump-ng para seleccionar un objetivo.
root@bt:~# airodump-ng mon0
En buscando de un Objetivo.

Tal como podemos ver en la imagen anterior, hay dos clientes conectados a la red "Wireless" y tiene encriptación WPA, con cifrado TKIP. Ahora lo que haremos es lanzar airodump-ng para que escuche en el canal donde esta transmitiendo el punto de acceso que tenemos como objetivo, en este caso "Wireless" que esta transmitiendo en el canal 11 y despues lanzar el "Ataque 0 Deautenticación" para desautenticar a un cliente y así obtener el 4 way handshake.
root@bt:~# airodump-ng --channel 11 --bssid FX:XX:XX:XF:AB:7C --write wpademo mon0
Para obtener la captura completa de 4 frames del handshake, es necesario que haya al menos un cliente conectado o esperar a que un cliente se conecte (esto si eres muy paciente :D). Si hay un cliente conectado lo que se hará es realizar el ataque “-–deauth” o también conocido como “ataque 0” utilizando aireplay-ng y lo que sucederá aquí es, que desasociaremos al cliente conectado actualmente al punto de acceso y cuando se vuelve a conectar obtendremos los 4 frames del handshake. El detalle es que si no hay clientes conectados al punto de acceso, no podremos obtener la clave WPA ya que es necesario que haya clientes conectados o esperar que alguien se conecte al AP para la obtención del four-way handshake.

Bueno en mi caso lo que hare es desautenticar el cliente con direccion MAC "0C:XX:76:XX:D5:5B" del ESSID "Wireless".
root@bt:~# aireplay-ng --deauth 1 -a FX:XX:XX:XF:AB:7C -c 00:60:76:71:D5:5B mon0

Desautentificación de un cliente wifi.

He desasociado al cliente del punto del acceso, ahora el cliente lo que hará es volver a reautenticarse y es entonces cuando obtendremos los 4 paquetes del handshake. En la reautenticación se generarán los 4 paquetes de autenticación (handshake) en los que estamos interesados en capturar. Después estos paquetes los usaremos para intentar obtener la clave precompartida WPA/WPA2.

Bueno ahora pongan atención en la siguiente imagen donde se muestra una sesión de airodump-ng y en la parte superior de la imagen se muestra un mensaje "WPA handshake F4:C7:14:6F:AB:7". El four-way handshake ha sido capturado.

Four-way handshake capturado.

Tal y como se muestra en la imagen anterior, hemos obtenido los 4 paquetes handshake. Estos cuatro paquetes como lo mencionamos anteriormente los utilizaremos para obtener la clave WPA/WPA2 precompartida. Para esto necesitaremos un wordlist o diccionario de palabras, el cual contiene la contraseña de WPA/WPA2-PSK.

Antes de pasar al siguiente paso, ahora lo que haremos es detener airodump-ng y abriremos el archivos ".cap" capturado con Wireshark para ver el “four-way handshake”. El archivo debe ser algo similar a la siguiente captura.

EAPOL Key

Bueno ahora lo que haremos es empezar el crackeo, para esto necesitaremos un wordlist y es aquí donde entra en juego CoWPAtty. Debemos de indicarle a CoWPAtty la ruta donde tenemos el wordlist o diccionario de palabras, también la captura del four-way handshake y por ultimo el SSID de la red wifi, que en este caso es "Wireless". Básicamente lo que hara CoWPAtty es ir comprobando cada una de esas palabras que contiene el diccionario si coincide con la clave. Este proceso todo será dependiendo de la velocidad de nuestro CPU, también de la calidad y el tamaño del diccionario de palabras (wordlist), esto puede llevar bastante tiempo, incluso días o años jeje si eres impaciente puedes esperar :D. Bueno Lanzamos CoWPAtty desde consola.
root@bt:~# cowpatty -r wpademo-02.cap -f /pentest/passwords/john/password.lst -2 -s Wireless
El Crackeo con CoWPAtty ha tenido éxito.

Para especificar nuestro diccionario de palabras lo hacemos con el parámetro –f (-f /pentest/passwords/john/password.lst), el SSID con el parámetro –s (-s Wireless) y el archivo capturado con el parámetro –r (-r wpademo-02.cap). El ultimo parámetro -2, es el modo no estricto, esto se requiere cuando no tenemos capturados los 4 frames del handshake, es decir el paquete completo. Por cierto una opción bastante buena.

En este ejemplo he utilizado un diccionario de palabras que lo trae incluido BackTrack de John the Ripper, el archivo se encuentra en el directorio /pentest/passwords/john/password.lst

Es importante comentar que para el crackeo de WPA debemos de tener un muy buen diccionario de palabras. La distribución de BackTrack incluye unos cuantos diccionarios pero estos puede que no sean suficientes, para esto deben de buscar en Google o igual existen generadores de palabras que automatizan este proceso de generar diccionarios.

Ahora veamos un ejemplo final utilizando Aircrak-ng. Vamos a especificar la ruta de nuestro diccionario con el parámetro –w (-w /pentest/passwords/john/password.lst) y nuestro archivo de captura (wpademo-02.cap).
root@bt:~# aircrack-ng -w /pentest/passwords/john/password.lst wpademo-02.cap
Aircrack-ng en Acción.

Para el crackeo de WPA2 el proceso es el mismo, no hay diferencia. También hay que tener muy en cuenta de que al tratarse de un ataque de diccionario el requisito previo es que la contraseña debe estar en el diccionario de palabras que le estamos indicando, si la frase u contraseña no se encuentra en el diccionario, el ataque no tendrá éxito.