Seguridad Cap6 Lab-A Asegurando-Capa2

CCNA Security

Captulo 6 Lab A, Asegurando Switches de Capa 2Topologa

Tabla de direccionamiento IPDispositiv R1 S1 S2 PC-A PC-B Interfaz Fa0/1 VLAN 1 VLAN 1 NIC NIC Direccin IP 192.168.1.1 192.168.1.2 192.168.1.3 192.168.1.10 192.168.1.11 Mscara de subred 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 Gateway por defecto N/A N/A N/A 192.168.1.1 192.168.1.1 Puerto del switch S1 FA0/5 N/A N/A S1 FA0/6 S2 FA0/18

ObjetivosParte 1: Configuracin Bsica del Switch Construir la topologa. Configurar el nombre de host, direccin IP y contraseas de acceso.

Parte 2: Configuracin de Acceso SSH a los SwitchesTodos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Este documento es Informacin Pblica de Cisco. Page 1 of 30

CCNA Security

Configurar el acceso SSH al switch. Configurar un cliente SSH para acceder switch. Verificar la configuracin.

Parte 3: Asegurar los Puertos Troncales y de Acceso Configurar el modo de puerto troncal. Cambiar la VLAN nativa por puertos troncales. Verificar la configuracin troncal. Habilitar el control de tormentas para broadcasts. Configurar los puertos de acceso. Habilitar PortFast y BPDU guard. Verificar BPDU guard. Habilitar root guard. Configurar seguridad de puertos. Verificar seguridad de puertos. Inhabilitar los puertos no utilizados.

Parte 4: Configuracin de SPAN y Monitor Traffic Configurar Switched Port Analyzer (SPAN). Monitorear la actividad de los puertos con Wireshark. Analizar el origen de un ataque.

EscenarioLa infraestructura de capa 2 (Enlace de Datos) consiste bsicamente en switches Ethernet interconectados. La mayora de los dispositivos de usuario final, como computadoras, impresoras, telfonos IP y otros hosts se conectan a la red va switches de acceso de capa 2. Como resultado, pueden presentar un riesgo para la seguridad de la red. De manera similar a los routers, los switches estn sujetos a ataques de usuarios internos maliciosos. El software IOS de Cisco para switches proporciona muchas funciones de seguridad que son especficas a las funciones y los protocolos de los switches. En este laboratorio, usted configurar la seguridad de acceso SSH y capa 2 para los switches S1 y S2. Tambin puede configurar varias medidas de proteccin para el switch, incluyendo seguridad de puerto de acceso, control de tormentas de switch y funciones del Spanning Tree Protocol (STP) como BPDU guard y root guard. Adems, utilizar Cisco SPAN para monitorear el trfico a puertos especficos del switch. Nota: Los comandos de router y su salida pertenecen a un router Cisco 1841 with Cisco IOS Versin 12.4(20)T (Advanced IP image). Los comandos y la salida del switch son de un Cisco WS-C2960-24TT-L con un IOS versin 12.2(46)SE (C2960-LANBASEK9-M image). Pueden utilizarse otras versiones de equipos e IOS. Ver la tabla de Resumen de Interfaces del Router al final de esta actividad para determinar qu identificadores de interfaz deben utilizarse en base al equipamiento del laboratorio. Dependiendo del modelo de router y de la versin del IOS, los comandos disponibles y la salida generada pueden variar con respecto a lo presentado en esta prctica de laboratorio. Nota: Asegurarse de que los routers y los switches han sido limpiados y no poseen configuraciones previas.

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Este documento es Informacin Pblica de Cisco.

Pgina 2 de 30

CCNA Security

Recursos Requeridos 1 router (Cisco 1841 con IOS versin 12.4(20)T1 o equivalente) 2 switches (Cisco 2960 o equivalente con imagen IOS de cifrado para soportar SSH Versin 12.2(46)SE o equivalente) PC-A (Windows XP o Vista con un cliente SSH PuTTY y Wireshark) PC-B (Windows XP o Vista con un cliente SSH PuTTY y SuperScan) Cables Ethernet de acuerdo a la topologa Cables Rollover para configurar los routers a travs de la consola

Parte 1: Configuracin bsica del dispositivoEn la Parte 1 de esta prctica de laboratorio, usted configurar la topologa de la red y realizar las configuraciones bsicas, tales como nombres de host, direcciones IP, el enrutamiento dinmico y las contraseas de acceso a los dispositivos. Nota: Todas las Tareas deben realizarse en el router R1 y los switches S1 y S2. El procedimiento para S1 se muestra aqu como ejemplo.

Paso 1: Conectar los cables de la red como se muestra en la topologa.Conectar los dispositivos de la red como se muestra en el diagrama de topologa, utilizando los cables necesarios.

Paso 2: Realizar la configuracin bsica del router y cada switch.a. Configurar los nombres de host como se muestra en la topologa. b. Configurar las direcciones IP de las interfaces, de acuerdo a la tabla de direccionamiento IP. Aqu se muestra la configuracin de la interfaz de administracin de la VLAN 1. S1(config)#interface vlan 1 S1(config-if)#ip address 192.168.1.2 255.255.255.0 S1(config-if)#no shutdown c. Configurar las contraseas enable secret y de consola S1(config)#enable secret cisco12345 S1(config)#line console 0 S1(config-line)#password ciscoconpass S1(config-line)#exec-timeout 5 0 S1(config-line)#login S1(config-line)#logging synchronous Nota: No configure el acceso vty en los switches por ahora. Las lneas vty se configuran en los switches en la Parte 2 para acceso SSH. d. Configurar las lneas vty y contraseas en R1. R1(config)#line vty 0 4 R1(config-line)#password ciscovtypass R1(config-line)#exec-timeout 5 0Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Este documento es Informacin Pblica de Cisco. Pgina 3 de 30

CCNA Security R1(config-line)#login e. Para prevenir que el router o switch intente traducir los comandos ingresados incorrectamente, inhabilite DNS lookup. Aqu se muestra al router R1 como un ejemplo. R1(config)#no ip domain-lookup f. El acceso HTTP al switch est habilitado por defecto. Para prevenir el acceso HTTP, inhabilite el servidor HTTP y el servidor HTTP seguro. S1(config)#no ip http server S1(config)#no ip http secure-server Nota: El switch debe tener una imagen IOS de cifrado para soportar el comando ip http secureserver. El acceso HTTP al router est inhabilitado por defecto.

Paso 3. Configurar la IP del host PC.Configurar una direccin IP esttica, mscara de subred y gateway por defecto para la PC-A y la PC-B como se muestra en la tabla de enrutamiento IP.

Paso 4: Verificar la conectividad de red bsica.Ejecutar un ping de PC-A y PC-B a la interfaz R1 Fa0/1 en la direccin IP 192.168.1.1. El resultado fue exitoso? _____ Si el ping no fue exitoso, realice la resolucin de problemas de la configuracin bsica de los dispositivos antes de continuar. Ejecutar un ping de PC-A a PC-B. El resultado fue exitoso? _____ Si el ping no fue exitoso, realice la resolucin de problemas de la configuracin bsica de los dispositivos antes de continuar.

Paso 5: Guardar las configuraciones bsicas del router y ambos switches.Guarde la configuracin actual a la configuracin de inicio desde el prompt de modo EXEC privilegiado. S1#copy running-config startup-config


Pgina 4 de 30

CCNA Security

Parte 2: Configuracin de SSHEn la Parte 2 de este laboratorio, usted configurar los switches S1 y S2 para soportar conexiones SSH e instalar el software de cliente SSH en las PCs. Nota: Se requiere una imagen de IOS para switch que soporte cifrado para configurar SSH. De lo contrario, no podr especificar SSH como protocolo para las lneas vty y los comandos crypto no estarn disponibles.

Tarea 1: Configurar el Servidor SSH en los Switches S1 y S2 Usando la CLIEn esta Tarea, usted usar la CLI para configurar el switch para ser administrado con seguridad usando SSH en lugar de Telnet. Secure Shell (SSH) es un protocolo de red que establece una conexin de emulacin de terminal segura a un switch u otro dispositivo de red. SSH cifra toda la informacin que pasa a travs del enlace de red y proporciona autenticacin en la computadora remota. SSH est reemplazando a Telnet con rapidez como la herramienta de inicio de sesin remoto privilegiada por los profesionales de las redes. Nota: Para que un switch soporte SSH, debe configurarse con autenticacin, servicios AAA o nombre de usuario local. En esta Tarea, usted configurar un nombre de usuario y autenticacin local SSH en S1 y S2. S1 se muestra aqu como ejemplo.

Paso 1: Configurar un nombre de dominio.Ingresar al modo de configuracin global y establecer el nombre de dominio. S1#conf t S1(config)#ip domain-name ccnasecurity.com

Paso 2: Configurar un usuario privilegiado para ingresar desde el cliente SSH.a. Usar el comando username para crear el ID de usuario con el nivel ms alto de privilegios posible y una contrasea secret. S1(config)#username admin privilege 15 secret cisco12345 b. Salir a la pantalla de inicio de sesin inicial del switch e ingresar con este nombre de usuario. Qu prompt se muestra luego de ingresar la contrasea? __________________________________________________________

Paso 3: Configurar las lneas vty de entrada.a. Configurar el acceso vty en las lneas 0 hasta 4. Especificar un nivel de privilegios de 15 para que el usuario con el mayor nivel de privilegios (15) ingrese por defecto al modo EXEC privilegiado al acceder a las lneas vty. Los otros usuarios ingresarn por defecto al modo EXEC de usuario. Especifique el uso de cuentas de usuario locales para ingreso y validacin obligatorios y acepte solo conexiones SSH. S1(config)#line vty 0 4 S1(config-line)#privilege level 15 S1(config-line)#exec-timeout 5 0 S1(config-line)#login local S1(config-line)#transport input ssh S1(config-line)#exit b. Inhabilitar el inicio de sesin para las lneas vty desde la 5 hasta la 15. S1(config)#line vty 5 15Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Este documento es Informacin Pblica de Cisco. Pgina 5 de 30

CCNA Security S1(config-line)#no login

Paso 4: Generar el par de claves de cifrado RSA para el router.El switch usa el par de claves RSA para autenticacin y cifrado de datos SSH transmitidos. Configurar las claves RSA con 1024 como el nmero de bits de mdulo. El nmero por defecto es 512 y el rango es desde 360 hasta 2048. S1(config)#crypto key generate rsa general-keys modulus 1024 The name for the keys will be: S1.ccnasecurity.com % The key modulus size is 1024 bits % Generating 1024 bit RSA keys, keys will be non-exportable...[OK] S1(config)# 00:15:36: %SSH-5-ENABLED: SSH 1.99 has been enabled Nota: Los detalles de los mtodos de cifrado se ven en el Captulo 7.

Paso 5: Verificar la configuracin SSH.a. Usar el comando show ip ssh para ver la configuracin actual. S1#show ip ssh b. Completar la siguiente informacin basndose en la salida del comando show ip ssh. Versin SSH habilitada: __________________ Vencimiento de la autenticacin: __________________ Reintentos de autenticacin: __________________

Paso 6: Configurar los parmetros de vencimiento y autenticacin SSH.Los parmetros de vencimiento y autenticacin SSH por defecto pueden ser alterados para ser ms restrictivos utilizando los siguientes comandos. S1(config)#ip ssh time-out 90 S1(config)#ip ssh authentication-retries 2

Paso 7: Guardar la configuracin actual.S1#copy running-config startup-config

Tarea 2: Configurar el Cliente SSHTeraTerm y PuTTY son dos programas de emulacin de terminales que soportan conexiones de cliente SSHv2. Esta prctica usa PuTTY.

Paso 1: (Opcional) Descargar e instalar un cliente SSH en PC-A y PC-B.Si el cliente SSH no est ya instalado, descargar TeraTerm o PuTTY. Nota: El procedimiento descrito aqu es para PuTTY y PC-A.

Paso 2: Verificar la conectividad SSH a S1 de PC-A.a. Lanzar PuTTY haciendo doble clic sobre el cono putty.exe.Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Este documento es Informacin Pblica de Cisco. Pgina 6 de 30

CCNA Security

b. Ingresar la direccin IP de S1 192.168.1.2 en el campo Host Name or IP address. c. Verificar que el botn de opcin excluyente de SSH est seleccionado. PuTTY usa SSH versin 2 por defecto.

d. Hacer clic en Open. e. En la ventana PuTTY Security Alert, hacer clic Yes. f. Ingresar el nombre de usuario admin y la contrasea cisco12345 en la ventana PuTTY.

g. En el prompt de EXEC privilegiado de S1, ingresar el comando show users. S1#show users Qu usuarios estn conectados al switch S1 en este momento? ______________________________________________________________________________


Pgina 7 de 30

CCNA Security

h. Cerrar la ventana de sesin SSH PuTTy con el comando exit o quit. i. Intentar abrir una sesin Telnet al switch S1 desde PC-A. Puede hacerlo? Por qu? _______________________________________________________________

Paso 3: Guardar la configuracin.Guardar la configuracin actual desde el modo EXEC privilegiado. R1#copy running-config startup-config

Parte 3: Seguridad de los Puertos Troncales y de AccesoEn la Parte 3 de esta prctica de laboratorio, usted configurar puertos troncales, cambiar la VLAN nativa de los puertos troncales, verificar la configuracin troncal y habilitar un control de tormentas de broadcast en los puertos troncales. Asegurar los puertos troncales puede ayudar a detener ataques de salto de VLAN. La mejor forma de prevenir un ataque de salto de VLAN bsico es inhabilitar el trunking en todos los puertos excepto los que lo requieren especficamente. En los puertos troncales requeridos, inhabilitar las negociaciones DTP (trunking automtico) y habilitar el trunking manualmente. Si no se requiere trunking en una interfaz, configurar el puerto como puerto de acceso. Esto inhabilita el trunking en la interfaz. Nota: Las tareas deben ser llevadas a cabo en los switches S1 o S2 segn se indica.

Tarea 1: Asegurar los Puertos TroncalesPaso 1: Configurar el switch S1 como raz.Para los fines de esta prctica de laboratorio, asuma que el switch S2 es actualmente el puente raz y que el switch S1 es el preferido como switch raz. Para forzar al S1 a volverse el nuevo puente raz, configurar una nueva prioridad para l. a. En la consola de S1, ingresar al modo EXEC privilegiado y luego al modo de configuracin global. a. La prioridad por defecto de los switches S1 y S2 es 32769 (32768 + 1 con System ID Extension). Establecer la prioridad de S1 en 0 para volverlo el switch raz. S1(config)#spanning-tree vlan 1 priority 0 S1(config)#exit b. Emitir el comando show spanning-tree para verificar que S1 sea el puente raz y para ver los puertos en uso y su estado. S1#show spanning-tree VLAN0001 Spanning tree enabled protocol ieee Root ID Priority 1 Address 001d.4635.0c80 This bridge is the root Hello Time 2 sec Max Age 20 sec

Forward Delay 15 sec


Pgina 8 de 30

CCNA Security Bridge ID Priority 1 (priority 0 sys-id-ext 1) Address 001d.4635.0c80 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 Role Sts Cost Prio.Nbr Type ---- --- --------- -------- --------------------------Desg FWD 19 Desg FWD 19 Desg FWD 19 128.1 128.5 128.6 P2p P2p P2p

Interface -------------------Fa0/1 Fa0/5 Fa0/6 c.

Cul es la prioridad de S1? ______________________________________________________

d. Qu puertos estn siendo usados y cul es su estado? _________________________________

Paso 2: Configurar los puertos troncales en S1 y S2.a. Configurar el puerto Fa0/1 en S1 como troncal. S1(config)#interface FastEthernet 0/1 S1(config-if)#switchport mode trunk b. Configurar el puerto Fa0/1 en S2 como troncal. S2(config)#interface FastEthernet 0/1 S2(config-if)#switchport mode trunk c. Verificar que el puerto Fa0/1 en S1 est en modo troncal con el comando show interfaces trunk. S1#show interfaces trunk Port Fa0/1 Port Fa0/1 Port Fa0/1 Port Fa0/1 Mode on Encapsulation 802.1q Status trunking Native vlan 1

Vlans allowed on trunk 1-4094 Vlans allowed and active in management domain 1 Vlans in spanning tree forwarding state and not pruned 1

Paso 3: Cambiar la VLAN nativa de los puertos troncales en S1 y S2.Cambiar la VLAN nativa de los puertos troncales por una VLAN no utilizada ayuda a prevenir ataques de salto de VLAN. a. A partir de la salida del comando show interfaces trunk en el paso anterior, cul es la VLAN nativa actual de la interfaz troncal Fa0/1 de S1? ______________________________________________ b. Establecer la VLAN nativa en la interfaz troncal Fa0/1 de S1 como la VLAN 99 no utilizada. S1(config)#interface Fa0/1 S1(config-if)#switchport trunk native vlan 99Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Este documento es Informacin Pblica de Cisco. Pgina 9 de 30

CCNA Security S1(config-if)#end a. El siguiente mensaje debera aparecer luego de un corto tiempo. 02:16:28: %CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on FastEthernet0/1 (99), with S2 FastEthernet0/1 (1). What does the message mean? __________________________________________________ c. Establecer la VLAN nativa en la interfaz troncal Fa0/1 de S2 como la VLAN 99 no utilizada. S2(config)#interface Fa0/1 S2(config-if)#switchport trunk native vlan 99 S2(config-if)#end

Paso 4: Prevenir el uso de DTP en S1 y S2.Hacer que el puerto troncal no negocie tambin ayuda a mitigar los ataques de salto de VLAN, ya que evita la generacin de tramas DTP. S1(config)#interface Fa0/1 S1(config-if)#switchport nonegotiate S2(config)#interface Fa0/1 S2(config-if)#switchport nonegotiate

Paso 5: Verificar la configuracin de trunking en el puerto Fa0/1.S1#show interface fa0/1 trunk Port Fa0/1 Port Fa0/1 Port Fa0/1 Port Fa0/1 Mode on Encapsulation 802.1q Status trunking Native vlan 99

Vlans allowed on trunk 1-4094 Vlans allowed and active in management domain 1 Vlans in spanning tree forwarding state and not pruned 1

S1#show interface fa0/1 switchport Name: Fa0/1 Switchport: Enabled Administrative Mode: trunk Operational Mode: trunk Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: dot1q Negotiation of Trunking: Off Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 99 (Inactive) Administrative Native VLAN tagging: enabled Voice VLAN: none Administrative private-vlan host-association: none Administrative private-vlan mapping: none Administrative private-vlan trunk native VLAN: none Administrative private-vlan trunk Native VLAN tagging: enabled Administrative private-vlan trunk encapsulation: dot1qTodos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Este documento es Informacin Pblica de Cisco. Pgina 10 de 30

CCNA Security Administrative private-vlan trunk normal VLANs: none Administrative private-vlan trunk private VLANs: none Operational private-vlan: none Trunking VLANs Enabled: ALL Pruning VLANs Enabled: 2-1001 Capture Mode Disabled Capture VLANs Allowed: ALL Protected: false Unknown unicast blocked: disabled Unknown multicast blocked: disabled Appliance trust: none

Paso 6: Habilitar el control de tormentas de broadcast.Habilitar un control de tormentas de broadcast en el puerto troncal con un incremento del 50 por ciento en el nivel de supresin usando el comando storm-control broadcast. S1(config)#interface FastEthernet 0/1 S1(config-if)#storm-control broadcast level 50 S2(config)#interface FastEthernet 0/1 S2(config-if)#storm-control broadcast level 50

Paso 7: Verificar la configuracin con el comando show run.Usar el comando show run para mostrar la configuracin actual, empezando por la primera lnea que contiene la cadena de texto 0/1. S1#show run | beg 0/1 interface FastEthernet0/1 switchport trunk native vlan 99 switchport mode trunk switchport nonegotiate storm-control broadcast level 50.00

Tarea 2: Asegurar los Puertos de AccesoAl manipular los parmetros STP del puente raz, los atacantes de redes buscan hacer pasar su sistema o un rogue switch que agreguen a la red, por el puente raz de la topologa. Si un puerto configurado con PortFast recibe una BPDU, STP puede bloquear el puerto usando una funcin llamada BPDU guard.

Paso 1: Inhabilitar trunking en los puertos de acceso de S1.a. En S1, configurar Fa0/5, el puerto al que se conecta R1, como de acceso solamente. S1(config)#interface FastEthernet 0/5 S1(config-if)#switchport mode access b. En S1, configurar Fa0/6, el puerto al que se conecta PC-A, como de acceso solamente. S1(config)#interface FastEthernet 0/6 S1(config-if)#switchport mode access c. En S2, configurar Fa0/18, el puerto al que se conecta PC-B, como de acceso solamente. S2(config)#interface FastEthernet 0/18Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Este documento es Informacin Pblica de Cisco. Pgina 11 de 30

CCNA Security S2(config-if)#switchport mode access

Tarea 3: Protegerse contra Ataques STPLa topologa consta solo de dos switches y no tiene conexiones redundantes, pero STP todava est activo. En este paso, usted habilitar algunas funciones de seguridad de switches que pueden ayudar a reducir la posibilidad de manipulacin de los switches por un atacante que use mtodos relacionados con STP.

Paso 1: Habilitar PortFast en los puertos de acceso de S1 y S2.PortFast se configura en los puertos de acceso que se conectan con una sola estacin de trabajo o servidor para permitirles volverse activos ms rpidamente. a. Habilitar PortFast en el puerto de acceso Fa0/5 de S1. S1(config)#interface FastEthernet 0/5 S1(config-if)#spanning-tree portfast Se mostrar el siguiente mensaje de advertencia: %Warning: portfast should only be enabled on ports connected to a single host. Connecting hubs, concentrators, switches, bridges, etc... to this interface when portfast is enabled, can cause temporary bridging loops. Use with CAUTION %Portfast has been configured on FastEthernet0/5 but will only have effect when the interface is in a non-trunking mode. b. Habilitar PortFast en el puerto de acceso Fa0/6 de S1. S1(config)#interface FastEthernet 0/6 S1(config-if)#spanning-tree portfast c. Habilitar PortFast en el puerto de acceso Fa0/18 de S1. S2(config)#interface FastEthernet 0/18 S2(config-if)#spanning-tree portfast

Paso 2: Habilitar BPDU guard en los puertos de acceso de S1 y S2BPDU guard es una funcin que puede ayudar a prevenir rogue switches y falsificacin de los puertos de acceso. a. Habilitar BPDU guard en los puertos del switch previamente configurados como de solo acceso. S1(config)#interface FastEthernet 0/5 S1(config-if)#spanning-tree bpduguard enable S1(config)#interface FastEthernet 0/6 S1(config-if)#spanning-tree bpduguard enable S2(config)#interface FastEthernet 0/18 S2(config-if)#spanning-tree bpduguard enable b. PortFast y BPDU guard tambin pueden ser habilitados globalmente con los comandos de configuracin global spanning-tree portfast default y spanning-tree portfast bpduguard.


Pgina 12 de 30

CCNA Security

Nota: BPDU guard puede ser habilitado en todos los puertos de acceso que tengan PortFast habilitado. Estos puertos nunca deben recibir una BPDU. Se prefiere desplegar BPDU guard en los puertos del lado del usuario para prevenir extensiones de la red por medio de rogue switches. Si un puerto que tiene BPDU guard habilitado recibe una BPDU, se inhabilita y debe ser rehabilitado manualmente. Puede configurarse un tiempo de vencimiento en el puerto para que este pueda recuperarse automticamente luego de un perodo de tiempo determinado. c. Verificar que BPDU guard est configurado usando el comando show spanning-tree interface fa0/5 detail en el switch S1. S1#show spanning-tree interface fa0/5 detail Port 5 (FastEthernet0/5) of VLAN0001 is designated forwarding Port path cost 19, Port priority 128, Port Identifier 128.5. Designated root has priority 1, address 001d.4635.0c80 Designated bridge has priority 1, address 001d.4635.0c80 Designated port id is 128.5, designated path cost 0 Timers: message age 0, forward delay 0, hold 0 Number of transitions to forwarding state: 1 The port is in the portfast mode Link type is point-to-point by default Bpdu guard is enabled BPDU: sent 3349, received 0

Paso 3: (Opcional) Habilitar root guard.Root guard es otra opcin que ayuda a prevenir rogue switches y spoofing. Root guard puede ser habilitado en todos los puertos de un switch que no son puertos raz. Normalmente, se encuentra habilitado solo en los puertos que estn conectados con switches de borde, en los que no deben recibirse nunca BPDUs. Cada switch debe tener solo un puerto raz que ser la mejor ruta al switch raz. a. El siguiente comando configura root guard en la interfaz Gi0/1 de S2. Normalmente, esto se hace si otro switch est conectado a este puerto. Es preferible desplegar root guard en los puertos que se conectan con switches que no deben ser el puente raz. S2(config)#interface gigabitEthernet 0/1 S2(config-if)#spanning-tree guard root b. Emitir el comando show run para verificar que root guard est configurado. S2#sh run | beg Gig interface GigabitEthernet0/1 spanning-tree guard root Nota: El puerto Gi0/1 de S2 no est activo actualmente, por lo que no participa de STP. De lo contrario, podra usarse el comando show spanning-tree interface Gi0/1 detail. c. Si un puerto que tiene BPDU guard habilitado recibe una BPDU superior, ingresa a un estado de raz inconsistente (root-inconsistent state). Usar el comando show spanning-tree inconsistentports para determinar si actualmente hay puertos que estn recibiendo BPDUs superiores y no deberan hacerlo. S2#show spanning-tree inconsistentports Name Interface Inconsistency -------------------- ---------------------- -----------------Number of inconsistent ports (segments) in the system : 0


Pgina 13 de 30

CCNA Security

Nota: Root guard permite a un switch conectado participar en STP siempre y cuando el dispositivo no intente ser raz. Si root guard bloquea el puerto, la recuperacin subsiguiente es automtica. Si las BPDUs superiores se detienen, el puerto vuelve al estado de reenvo.

Tarea 4: Configurar Seguridad de Puertos e Inhabilitar Puertos no UtilizadosLos switches tambin pueden ser vctimas de desbordamientos de tablas CAM, ataques de falsificacin de MAC y conexiones no autorizadas a sus puertos. En esta tarea, usted configurar la seguridad de los puertos para limitar el nmero de direcciones MAC que pueden ser aprendidas en un puerto de un switch e inhabilitar el puerto si ese nmero es excedido.

Paso 1: Registrar la direccin MAC de Fa0/0 en R1.a. En la CLI del router R1, usar el comando show interface y registrar la direccin MAC de la interfaz. R1#show interface fa0/1 FastEthernet0/1 is up, line protocol is up Hardware is Gt96k FE, address is 001b.5325.256f (bia 001b.5325.256f) Internet address is 192.168.1.1/24 MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Full-duplex, 100Mb/s, 100BaseTX/FX b. Cul es la direccin MAC de la interfaz Fa0/1 de R1? ____________________________________

Paso 2: Configurar seguridad bsica de puertos.Este procedimiento debe llevarse a cabo en todos los puertos de acceso en uso. El puerto Fa0/5 del switch S1 se muestra aqu como ejemplo. Nota: Debe configurarse un puerto del switch como puerto de acceso para habilitar la seguridad de puertos. a. En la CLI del switch S1, ingresar al modo de configuracin de la interfaz del puerto que se conecta al router (Fast Ethernet 0/5). S1(config)#interface FastEthernet 0/5 b. Inhabilitar el puerto del switch. S1(config-if)#shutdown c. Habilitar seguridad de puertos en el puerto. S1(config-if)#switchport port-security Nota: Al ingresar solo el comando switchport port-security se establece el mximo de direcciones MAC como 1 y la accin de violacin como inhabilitar el puerto. Los comandos switchport port-security maximum y switchport port-security violation pueden ser utilizados para cambiar el comportamiento por defecto. d. Configurar una entrada esttica para la direccin MAC de la interfaz Fa0/1 de R1 registrada en el Paso 1.Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Este documento es Informacin Pblica de Cisco. Pgina 14 de 30

CCNA Security S1(config-if)#switchport port-security mac-address xxxx.xxxx.xxxx (xxxx.xxxx.xxxx is the actual MAC address of the router Fast Ethernet 0/1 interface.) Nota: Opcionalmente, puede usarse el comando switchport port-security mac-address sticky para agregar todas las direcciones MAC seguras que se aprenden dinmicamente en un puerto (hasta el mximo) a la configuracin actual del router. e. Habilitar el puerto del switch. S1(config-if)#no shutdown

Paso 3: Verificar la seguridad de los puertos en Fa0/5 de S1.a. En S1, emitir el comando show port-security para verificar que se haya configurado la seguridad de los puertos en Fa0/5 de S1. S1#show port-security interface f0/5 Port Security : Enabled Port Status : Secure-up Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1 Total MAC Addresses : 1 Configured MAC Addresses : 1 Sticky MAC Addresses : 0 Last Source Address:Vlan : 001b.5325.256f:1 Security Violation Count : 0 b. Cul es el estado del puerto Fa0/5? ___________________________________________________ Cul es la ltima direccin de origen (Last Source Address) y VLAN? _______________________________________________ c. En la CLI del router R1, ejecutar un ping a PC-A para verificar la conectividad. De esta forma, tambin se asegura de que el switch aprenda la direccin MAC de Fa0/1 en R1. R1#ping 192.168.1.10 d. Ahora, usted violar la seguridad cambiando la direccin MAC en la interfaz del router. Ingresar al modo de configuracin de la interfaz Fast Ethernet 0/1 e inhabilitarla. R1(config)#interface FastEthernet 0/1 R1(config-if)#shutdown e. Configurar una direccin MAC para la interfaz en la interfaz, utilizando aaaa.bbbb.cccc como nueva direccin. R1(config-if)#mac-address aaaa.bbbb.cccc f. Habilitar la interfaz Fast Ethernet 0/1. R1(config-if)#no shutdown R1(config-if)#end g. En la CLI del router R1, ejecutar un ping a PC-A. Tuvo xito? Por qu? _______________________________________________________________________________


Pgina 15 de 30

CCNA Security

h. En la consola del switch S1, observar los mensajes cuando el puerto Fa0/5 detecta la direccin MAC alterada. *Jan 14 01:34:39.750: %PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/5, putting Fa0/5 in err-disable state *Jan 14 01:34:39.750: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address aaaa.bbbb.cccc on port FastEthernet0/5. *Jan 14 01:34:40.756: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changed state to down *Mar 1 01:34:41.755: %LINK-3-UPDOWN: Interface FastEthernet0/5, changed state to down i. En el switch, usar los diferentes comandos show port-security para verificar si la seguridad del puerto ha sido violada. S1#show port-security Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action (Count) (Count) (Count) -------------------------------------------------------------------Fa0/5 1 1 1 Shutdown ---------------------------------------------------------------------S1#show port-security interface fastethernet0/5 Port Security : Enabled Port Status : Secure-shutdown Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1 Total MAC Addresses : 1 Configured MAC Addresses : 1 Sticky MAC Addresses : 0 Last Source Address:Vlan : aaaa.bbbb.cccc:1 Security Violation Count : 1 S1#show port-security address Secure Mac Address Table -----------------------------------------------------------------------Vlan Mac Address Type Ports Remaining Age (mins) ---- -----------------------------1 001b.5325.256f SecureConfigured Fa0/5 ----------------------------------------------------------------------j. En el router, inhabilitar la interfaz Fast Ethernet 0/1, remover la direccin MAC ingresada estticamente del router y rehabilitar la interfaz. R1(config)#interface FastEthernet 0/1 R1(config-if)#shutdown R1(config-if)#no mac-address aaaa.bbbb.cccc R1(config-if)#no shutdown Nota: Esto restaurar la direccin MAC original de la interfaz FastEthernet. k. En R1, intentar ejecutar un nuevo ping a PC-A con la direccin 192.168.1.10. Tuvo xito? Por qu? ________________________________________________________________________________Pgina 16 de 30


CCNA Security

Paso 4: Borrar el estado de error de Fa0/5 en S1.a. En la consola de S1, limpiar el error y rehabilitar el puerto con los siguientes comandos. Esto cambiar el estado del puerto de Secure-shutdown a Secure-up. S1(config)#interface FastEthernet 0/5 S1(config-if)#shutdown S1(config-if)#no shutdown Nota: Aqu se asume que el dispositivo o interfaz con la direccin MAC alterada ha sido eliminado y reemplazado por la configuracin inicial. b. En R1, ejecutar un nuevo ping a PC-A. Esta vez debera tener xito. R1#ping 192.168.1.10

Paso 5: Eliminar la seguridad bsica de puertos de Fa0/5 en S1.a. En la consola de S1, eliminar la seguridad del puerto Fa0/5. Este procedimiento tambin puede ser utilizado para rehabilitar el puerto, pero los comandos de seguridad de puertos debern ser reconfigurados. S1(config)#interface FastEthernet 0/5 S1(config-if)#shutdown S1(config-if)#no switchport port-security S1(config-if)#no switchport port-security mac-address 001b.5325.256f S1(config-if)#no shutdown b. Tambin puede utilizar los siguientes comandos para restaurar la configuracin por defecto en la interfaz. S1(config)#interface FastEthernet 0/5 S1(config-if)#shutdown S1(config-if)#exit S1(config)#default interface fastethernet 0/5 S1(config)#interface FastEthernet 0/5 S1(config-if)#no shutdown Nota: El comando default interface tambin requiere la reconfiguracin del puerto como puerto de acceso para poder rehabilitar los comandos de seguridad.

Paso 6: (Opcional) Configurar la seguridad de puertos para VoIP.El siguiente ejemplo muestra una configuracin tpica de seguridad de puerto para un puerto de voz. Se permiten dos direcciones MAC que sern aprendidas dinmicamente. Una de las direcciones MAC es para el telfono IP y la otra es para la PC conectada al telfono IP. Las violaciones de esta poltica resultan en la inhabilitacin del puerto. El tiempo de vencimiento de las direcciones MAC est establecido como de dos horas. Este ejemplo muestra la configuracin para el puerto Fa0/18 del switch S2. S2(config)#interface Fa0/18 S2(config-if)#switchport mode access S2(config-if)#switchport port-security S2(config-if)#switchport port-security S2(config-if)#switchport port-security S2(config-if)#switchport port-security S2(config-if)#switchport port-security

maximum 2 violation shutdown mac-address sticky aging time 120Pgina 17 de 30


CCNA Security

Paso 7: Inhabilitar los puertos no utilizados en S1 y S2.Como medida de seguridad adicional, inhabilitar puertos no utilizados en el switch. a. En el switch S1, se estn utilizando los puertos Fa0/1, Fa0/5 y Fa0/6. Los dems puertos Fast Ethernet y los dos puertos Gigabit Ethernet debern ser inhabilitados. S1(config)#interface range Fa0/2 - 4 S1(config-if-range)#shutdown S1(config-if-range)#interface range Fa0/7 - 24 S1(config-if-range)#shutdown S1(config-if-range)#interface range gigabitethernet0/1 - 2 S1(config-if-range)#shutdown b. En el switch S2, se estn utilizando os puertos Fa0/18 y Gi0/1. Los dems puertos Fast Ethernet y los dos puertos Gigabit Ethernet debern ser inhabilitados. S2(config)#interface range Fa0/2 - 17 S2(config-if-range)#shutdown S2(config-if-range)#interface range Fa0/19 - 24 S2(config-if-range)#shutdown S2(config-if-range)#exit S2(config)#interface gigabitethernet0/2 S2(config-if)#shutdown

Paso 8: (Opcional) Mover los puertos activos a una VLAN diferente de la VLAN 1 por defectoComo medida de seguridad adicional, usted puede mover todos los puertos de router y usuario final activos a una VLAN diferente de la VLAN 1 por defecto en ambos switches. a. Configurar una nueva VLAN para usuarios de cada switch usando los siguientes comandos: S1(config)#vlan 20 S1(config-vlan)#name Users S2(config)#vlan 20 S2(config-vlan)#name Users b. Agregar los puertos de acceso (no troncales) activos a la nueva VLAN. S1(config)#interface range fa0/5 - 6 S1(config-if)#switchport access vlan 20 S2(config)#interface fa0/18 S2(config-if)#switchport access vlan 20 Nota: Esto prevendr la comunicacin entre los hosts de usuario final y la direccin IP de la VLAN de administracin en el switch, que actualmente es la VLAN 1. Todava es posible acceder al switch y configurarlo a travs de una conexin de consola. Si se necesita proporcionar acceso Telnet o SSH al switch, puede designarse un puerto especfico como puerto de administracin, agregndolo a la VLAN 1 con una estacin de trabajo especficamente para administracin. Una solucin ms elaborada sera crear una nueva VLAN para la administracin del switch (o usar la VLAN 99 nativa existente) y configurar una subred aparte para las VLANs de usuarios y administracin. Habilite el trunking con subinterfaces en R1 para enrutar entre las subredes de las VLAN de usuarios y administracin.


Pgina 18 de 30

CCNA Security

Parte 4: Configuracin de SPAN y Monitoreo de trficoNota: Hay dos reas en esta parte de la prctica de laboratorio, la Tarea 1: Opcin 1, que debe llevarse a cabo con equipos fsicos, y la Tarea 2: Opcin 2, que ha sido modificada para ser compatible con el sistema NETLAB+ pero puede ser llevada a cabo con equipos fsicos. El IOS de Cisco proporciona una funcin que puede utilizarse para monitorear ataques de red, llamada Switched Port Analyzer (SPAN). Adems, el IOS de Cisco soporta SPAN local y remoto (RSPAN). Con SPAN local, las VLANs origen y los puertos de switch de origen y de destino estn en el mismo switch fsico. En esta parte de la prctica de laboratorio, usted configurar un SPAN local para que copie trfico de un puerto, al que est conectado el host, a otro puerto, al que se encuentra conectada una estacin de monitoreo. Esta estacin estar ejecutando la aplicacin sniffer de paquetes Wireshark para analizar el trfico. Nota: SPAN le permite seleccionar y copiar trfico de uno o ms puertos de switch o VLANs origen a uno o ms puertos destino.

Tarea 1: Opcin 1 Configurar una Sesin SPAN Usando Equipos Fsicos.Nota: La Opcin 1 asume que usted tiene acceso fsico a los dispositivos mostrados en la topologa de este laboratorio. Los usuarios de NETLAB+ que accedan a sus equipos remotamente debern proceder a la Tarea 2: Opcin 2. Paso 1: Configurar una sesin SPAN en S1 con origen y destinoa. Establecer la interfaz SPAN de origen con el comando monitor session en el modo de configuracin global. A continuacin se configura un puerto de origen SPAN en FastEthernet 0/5 para trfico de entrada y salida. El trfico copiado en el puerto de origen puede ser solo de entrada, solo de salida o ambos. El puerto Fa0/5 del switch S1 est conectado al router R1, por lo que el trfico desde (entrada) y hacia (salida) el puerto Fa0/5 del switch y R1 ser monitoreado. S1(config)#monitor session 1 source interface fa0/5 both Nota: Puede especificar el monitoreo de trfico tx (transmisin) o rx (recepcin). La palabra clave both incluye tanto a tx como a rx. El origen puede ser una sola interfaz, un rango de interfaces, una sola VLAN o un rango de VLANs. b. Establecer la interfaz SPAN de destino. S1(config)#monitor session 1 destination interface fa0/6 Todo el trfico de Fa0/5 en S1, que est conectado con R1, ser copiado al puerto destino SPAN Fa0/6, que est conectado con la PC-A con Wireshark. Nota: El destino puede ser tanto una interfaz como un rango de interfaces.

Paso 2: Verificar la configuracin de la sesin SPAN en S1.Verificar la configuracin de la sesin SPAN. S1#show monitor session 1Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Este documento es Informacin Pblica de Cisco. Pgina 19 de 30

CCNA Security Session 1 --------Type Source Ports Both Destination Ports Encapsulation Ingress

: : : : :

Local Session Fa0/5 Fa0/6 Native

: Disabled

Paso 3: (Opcional) Descargar e instalar Wireshark en PC-A.a. Wireshark es un analizador de protocolos de red (tambin llamado un sniffer de paquetes) compatible con Windows XP y Vista. Si Wireshark no est actualmente disponible en PC-A, puede descargar la ltima versin en http://www.wireshark.org/download.html. Esta prctica de laboratorio utiliza la versin 1.0.5. La pantalla de instalacin inicial de Wireshark se muestra a continuacin.

b. Hacer clic en I Agree al acuerdo de licencia y aceptar los valores por defecto haciendo clic en Next cuando sea solicitado. Nota: En la pantalla Install WinPcap, seleccionar las opciones install WinPcap y luego Start WinPcap service si desea que otros usuarios puedan ejecutar Wireshark adems de los que tienen acceso administrativo.

Paso 4: Monitorear la actividad de ping en Fa0/5 del switch S1 con Wireshark en PC-A.a. Si Wireshark se encuentra disponible, iniciar la aplicacin. b. En el men principal, seleccionar Capture > Interfaces.Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Este documento es Informacin Pblica de Cisco. Pgina 20 de 30

CCNA Security

c.

Hacer clic en el botn Start del adaptador de interfaz de red de rea local con la direccin IP 192.168.1.10.

d. Generar trfico desde la PC-B (192.168.1.11) a la interfaz Fa0/1 de R1 (192.168.1.1) ejecutando el comando ping. Este trfico se dirigir del puerto Fa0/18 de S2 al puerto Fa0/1 de S2 a travs del enlace troncal al puerto Fa0/1 de S1 y luego saldr por la interfaz Fa0/5 de S1 para llegar a R1. PC-B:\>ping 192.168.1.1 e. Observar los resultados en Wireshark en PC-A. Notar el broadcast inicial de solicitudes ARP desde la PC-B (Intel NIC), con el propsito de determinar la direccin MAC de la interfaz Fa0/1 de R1 con direccin IP 192.168.1.1 y la respuesta ARP de la interfaz Ethernet de Cisco de R1. Luego de la solicitud ARP, pueden verse pings (solicitudes y respuestas de eco) pasando desde PC-B hacia R1 y desde R1 hacia PC-B a travs del switch. Nota: Su pantalla debera ser similar a la que aqu se muestra. Pueden capturarse algunos paquetes adicionales a los pings, como la respuesta de LOOP de Fa0/1 en R1.


Pgina 21 de 30

CCNA Security

Paso 5: Monitorear la actividad SuperScan en Fa0/5 del switch S1 con Wireshark en PC-A.a. Si SuperScan no se encuentra disponible en PC-B, descargar la herramienta SuperScan 4.0 del grupo Scanning Tools en http://www.foundstone.com. Descomprimir el archivo en una carpeta. El archivo SuperScan4.exe es ejecutable y no requiere instalacin. b. Iniciar el programa SuperScan en PC-B. Hacer clic en la pestaa Host and Service Discovery tab. Marcar la casilla Timestamp Request y desmarcar la casilla Echo Request. Revisar la lista de seleccin de puertos UDP y TCP y notar el rango de puertos a ser escaneados. c. En el programa SuperScan, hacer clic sobre la pestaa Scan e ingresar la direccin IP de Fa0/1 en R1 (192.168.1.1) en el campo Hostname/IP.

d. Hacer clic sobre la flecha derecha para poblar los campos Start IP y End IP.


Pgina 22 de 30

CCNA Security

e. Limpiar la captura anterior de Wireshark e iniciar una nueva captura haciendo clic sobre Capture > Start. Cuando se lo solicite, hacer clic en el botn Continue without saving. f. En el programa SuperScan, hacer clic en el botn de la flecha azul abajo a la izquierda para iniciar el escaneo.

g. Observar los resultados en la ventana de Wireshark en PC-A. Notar el nmero y los tipos de puertos probados por el ataque simulado de SuperScan de PC-B (192.168.1.11) a Fa0/1 en R1 (192.168.1.1). Su pantalla debera verse similar a la siguiente:


Pgina 23 de 30

CCNA Security

Tarea 2: Opcin 2 Configurar una Sesin SPAN con Equipos Remotos NETLAB+.Nota: Esta porcin de la prctica de laboratorio ha sido reescrita para mejorar la compatibilidad con el sistema NETLAB+.En el switch S1, usted configurar un SPAN local para reflejar el trfico de salida del puerto Fa0/5, en este caso, el trfico desde PC-A hacia Fa0/1 en R1. Este trfico debe ser recibido por el switch S2 y reenviado a PC-B, donde Wireshark se encuentra capturando los paquetes. Refirase al siguiente diagrama que ilustra el flujo de trfico SPAN. Nota: Para llevar a cabo esta tarea, debe instalarse Wireshark en PC-B.


Pgina 24 de 30

CCNA Security

Nota: El switch S2 est actuando como un switch normal, reenviando tramas basndose en direcciones MAC y puertos de switch. El trfico que entra a S2 a travs del puerto Fa0/1 usa la direccin MAC de R1 como destino para la trama Ethernet, por lo tanto, para reenviar esos paquetes a PC-B, la direccin MAC de R1 debe ser la misma de PC-B. Para lograr esto, la direccin MAC de Fa0/1 en R1 es modificada usando la CLI del IOS para simular la direccin MAC de PC-B. Este es un requisito especfico del ambiente NETLAB+.

Paso 1: Configurar una sesin SPAN en S1 con origen y destinoa. Devolver las Fa0/1 de S1 y S2 a sus configuraciones iniciales. Este enlace entre Fa0/1 de S1 y Fa0/1 de S2 ser utilizado para transportar el trfico que ser monitoreado. S1(config)#default interface fastethernet 0/1 S2(config)#default interface fastethernet 0/1 b. Anotar la direccin MAC de PC-B Direccin MAC de PC-B: ___________________________ La direccin MAC de PC-B en este ejemplo ser 000c-299a-e61a c. Configurar la direccin MAC de PC-B en la Fa0/1 de R1. R1(config)#interface fa0/1 R1(config-if)#mac-address 000c.299a.e61a d. Establecer la interfaz de origen de SPAN usando el comando monitor session en el modo de configuracin global. A continuacin se configura un puerto de origen SPAN en FastEthernet 0/5 para trfico de salida. El trfico copiado en el puerto de origen puede ser solo de entrada, solo de salida o ambos. El puerto Fa0/5 del switch S1 est conectado al router R1, por lo que el trfico desde (entrada) y hacia (salida) el puerto Fa0/5 del switch y R1 ser monitoreado. S1(config)#monitor session 1 source interface fa0/5 tx


Pgina 25 de 30

CCNA Security

Nota: El origen puede ser una sola interfaz, un rango de interfaces, una sola VLAN o un rango de VLANs. e. Establecer la interfaz de destino de SPAN. S1(config)#monitor session 1 destination interface fa0/1 Se copiar todo el trfico de salida de Fa0/5 de S1, que est conectado con R1, al puerto SPAN destino Fa0/1, al que la PC-B que usa Wireshark est conectada. Nota: El destino puede ser una interfaz o un rango de interfaces.

Paso 2: Verificar la configuracin de la sesin SPAN en S1.Confirmar la configuracin de la sesin SPAN con el comando show monitor session 1. S1#show monitor session 1 Session 1 --------Type Source Ports TX Only Destination Ports Encapsulation Ingress

: : : : :

Local Session Fa0/5 Fa0/1 Native

: Disabled

Paso 3: (Opcional) Descargar e instalar Wireshark en PC-B.a. Wireshark es un analizador de protocolos de red (tambin llamado un sniffer de paquetes) compatible con Windows XP y Vista. Si Wireshark no est actualmente disponible en PC-B, puede descargar la ltima versin en http://www.wireshark.org/download.html e instalarla como se describe en la Parte 4, Tarea 1, Paso 3.

Paso 4: Monitorear la actividad de ping en Fa0/5 del switch S1 con Wireshark en PC-B.a. Si WireShark se encuentra disponible, iniciar la aplicacin. b. En el men principal, seleccionar Capture > Interfaces. c. Hacer clic sobre el botn Start del adaptador de interfaz de red de rea local.

d. Generar trfico de PC-A (192.168.1.10) a la interfaz Fa0/1 de R1 (192.168.1.1) ejecutando el comando ping. Este trfico se dirigir desde el puerto Fa0/6 de S1 al puerto Fa0/5 de S1. Adicionalmente, el trfico que va desde PC-A hacia la interfaz Fa0/1 de R1 se reenva a travs del enlace entre S1 y S2, y luego S2 reenviar este trfico a PC-B, donde Wireshark est capturando los paquetes. Antes de ejecutar los ping, borrar la tabla ARP en PC-A para generar una solicitud ARP. Notar que la sesin SPAN est configurada solo en S1 y S2 est operando como un switch normal. C:\>arp d * C:\>ping 192.168.1.1 e. Observar los resultados en WireShark en PC-B. Notar el broadcast de solicitudes de ARP inicial de PC-A para determinar la direccin MAC de la interfaz Fa0/1 en R1 con la direccin IP 192.168.1.1 yTodos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Este documento es Informacin Pblica de Cisco. Pgina 26 de 30

CCNA Security

la solicitud ARP de la interfaz Ethernet de Cisco de R1. Luego de la solicitud ARP, pueden verse los pings (solicitudes de eco) yendo de PC-a a R1 a travs del switch. Nota: Su pantalla debera verse similar a la siguiente. Pueden capturarse algunos paquetes adicionales a los pings, como la respuesta de LOOP de Fa0/1 en R1 y los paquetes Spanning Tree.

Paso 5: Monitorear la actividad SuperScan en Fa0/5 del switch S1 con Wireshark en PC-B.a. Si SuperScan no se encuentra disponible en PC-B, descargar la herramienta SuperScan 4.0 del grupo Scanning Tools en http://www.foundstone.com. Descomprimir el archivo en una carpeta. El archivo SuperScan4.exe es ejecutable y no requiere instalacin. b. Iniciar el programa SuperScan en PC-B. Hacer clic en la pestaa Host and Service Discovery tab. Marcar la casilla Timestamp Request y desmarcar la casilla Echo Request. Revisar la lista de seleccin de puertos UDP y TCP y notar el rango de puertos a ser escaneados. c. En el programa SuperScan, hacer clic sobre la pestaa Scan e ingresar la direccin IP de Fa0/1 en R1 (192.168.1.1) en el campo Hostname/IP.

d. Hacer clic sobre la flecha derecha para poblar los campos Start IP y End IP.


Pgina 27 de 30

CCNA Security

e. Limpiar la captura anterior de Wireshark e iniciar una nueva captura haciendo clic sobre Capture > Start. Cuando se lo solicite, hacer clic en el botn Continue without saving. f. En el programa SuperScan, hacer clic en el botn de la flecha azul abajo a la izquierda para iniciar el escaneo.

g. Observar los resultados en la ventana de Wireshark en PC-B. Notar el nmero y los tipos de puertos probados por el ataque simulado de SuperScan de PC-A (192.168.1.11) a Fa0/1 en R1 (192.168.1.1). Su pantalla debera verse similar a la siguiente:


Pgina 28 de 30

CCNA Security

Paso 6: Reflexin.a. Por qu debe habilitarse seguridad en los puertos de acceso del switch? ________________________________________________________________________________ ________________________________________________________________________________ b. Por qu debe habilitarse seguridad en los puertos troncales del switch? ________________________________________________________________________________ ________________________________________________________________________________ c. Por que deben deshabilitarse los puertos no utilizados del switch? ________________________________________________________________________________ ________________________________________________________________________________

Tabla de Resumen de Interfaces del Router

Resumen de Interfaces del Router Modelo de Router 1700 Interfaz Ethernet #1 Fast Ethernet 0 Interfaz Ethernet #2 Fast Ethernet 1 Interfaz Serial #1 Serial 0 (S0) Interfaz Serial #2 Serial 1 (S1)Pgina 29 de 30


CCNA Security

Resumen de Interfaces del Router (FA0) 1800 2600 2800 Fast Ethernet 0/0 (FA0/0) Fast Ethernet 0/0 (FA0/0) Fast Ethernet 0/0 (FA0/0) (FA1) Fast Ethernet 0/1 (FA0/1) Fast Ethernet 0/1 (FA0/1) Fast Ethernet 0/1 (FA0/1) Serial 0/0/0 (S0/0/0) Serial 0/0 (S0/0) Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1) Serial 0/1 (S0/1) Serial 0/0/1 (S0/0/1)

Nota: Para identificar cmo se encuentra configurado el router, mire las interfaces para identificar el tipo de router y cuntas interfaces posee. No existe un mtodo para listar de forma efectiva todas las combinaciones de configuracin para cada clase de router. Esta tabla incluye los identificadores para las combinaciones posibles de interfaces Ethernet y Serial en el dispositivo. La tabla no incluye otros tipos de interfaces, incluso cuando un router especfico puede tener una. Un ejemplo de esto puede ser la interfaz ISDN BRi. La cadena entre parntesis es la abreviatura legal que puede utilizarse en los comandos del IOS para representar a la interfaz.


Pgina 30 de 30

Seguridad Cap6 Lab-A Asegurando-Capa2

Documents

Transcript of Seguridad Cap6 Lab-A Asegurando-Capa2