FUP. Rodrguez.

Taller 4

Configurar la seguridad del switch

Gabriel Rodrguez Nemojn e-mail: gabriel_r_n@hotmail.com

Objetivos de aprendizaje Configurar la administracin bsica del switch Configurar la seguridad del puerto dinmico Probar la seguridad dinmica del puerto Asegurar los puertos no utilizados Tarea 1: Configurar la administracin bsica del switch Paso 1. Desde PC1, acceda a la conexin de la consola para S1. Haga clic en PC1 y luego en la pestaa Escritorio. Seleccione Terminal en la pestaa Escritorio. Mantenga estas configuraciones predeterminadas para la configuracin de la terminal y luego haga clic en Aceptar: Para acceder al modo EXEC privilegiado, escriba el comando enable. El indicador cambia de > a #. Observe cmo pudo ingresar al modo EXEC privilegiado sin proporcionar una contrasea. Por qu la falta de una contrasea para el modo EXEC privilegiado es una amenaza de seguridad? Paso 3. Cambie al modo de configuracin global y configure la contrasea de EXEC privilegiado. En el modo EXEC privilegiado, usted puede acceder al modo de configuracin global con el comando configure terminal. Utilice el comando enable secret para establecer la contrasea. Para esta

actividad, establezca la contrasea como class. Nota: PT no califica el comando enable secret. Paso 4. Configure las contraseas de la terminal virtual y de la consola, y pida a los usuarios que inicien sesin. Se requerir una contrasea para acceder a la lnea de consola. Incluso el modo EXEC del usuario bsico puede proporcionar informacin significativa a un usuario malicioso. Adems, las lneas vty deben tener una contrasea antes de que los usuarios puedan acceder al switch de forma remota. Acceda al indicador de la consola con el comando line console 0. Utilice el comando password para configurar la consola y las lneas vty con cisco como contrasea. Nota: PT no califica el comando password cisco en este caso. Luego ingrese el comando login, que requiere que los usuarios ingresen una contrasea antes de lograr el acceso al modo EXEC del usuario. Repita el proceso con las lneas vty. Utilice el comando line vty 0 15 para acceder al indicador correcto. Escriba el comando exit para volver al indicador de configuracin global. Paso 5. Configure la encriptacin de la contrasea. La contrasea de EXEC privilegiado ya est encriptada. Para encriptar las contraseas de lnea que acaba de configurar, ingrese el comando service password-encryption en el modo de configuracin global.

FUP. Rodrguez. Taller 4

S1(config)#service password-encryption S1(config)# Paso 6. Configure y pruebe el mensaje MOTD. Configure el mensaje del da (MOTD) con Authorized Access Only como texto. El texto del mensaje distingue maysculas de minsculas. Asegrese de no agregar espacios antes o despus del texto del mensaje. Utilice un carcter delimitante antes y despus del texto del mensaje para indicar dnde comienza y dnde finaliza. El carcter delimitante que se utiliza en el siguiente ejemplo es &, pero es posible utilizar cualquier caracter que no se utilice en el texto del mensaje. Despus de configurar el MOTD, finalice la sesin del switch para verificar que aparezca el mensaje cuando vuelva a iniciar sesin. Tarea 2: Configurar la seguridad dinmica del puerto

Paso 1. Habilite VLAN99.

Packet Tracer se abre con la interfaz VLAN 99 en estado de desconexin, a diferencia del funcionamiento de un switch. Usted debe habilitar VLAN 99 con el comando no shutdown antes de que la interfaz se active en Packet Tracer.

Paso 2. Ingrese al modo de configuracin de interfaz para FastEthernet 0/18 y habilite la seguridad del puerto.

Antes de que pueda configurarse cualquier otro comando de seguridad del puerto en la interfaz, se debe habilitar la seguridad del puerto.
2

FUP. Rodrguez. Taller 4

Tome en cuenta que no tiene que volver al modo de configuracin global antes de ingresar al modo de configuracin de interfaz para fa0/18.

Paso 5. Configure el puerto para que se desconecte de forma automtica en caso de que se viole la seguridad.

Paso 3. Configure el nmero mximo de direcciones MAC.

Si usted no configura el siguiente comando, S1 slo registra la violacin en las estadsticas de seguridad del puerto, pero no lo desconecta.

Para configurar el puerto y conocer slo una direccin MAC, configure maximum en 1:

Nota: PT no califica el comando switchport port-security violation shutdown, sin embargo, este comando es vital para configurar la seguridad del puerto.

Nota: PT no califica el comando switchport port-security maximum 1, sin embargo, este comando es vital para configurar la seguridad del puerto.

Paso 6. Confirme que S1 haya adquirido la direccin MAC para PC1.

Paso 4. Configure el puerto para agregar la direccin MAC a la configuracin en ejecucin.

Haga ping de PC1 a S1.

La direccin MAC conocida en el puerto puede agregarse ("ajustarse") a la configuracin en ejecucin para ese puerto.

Confirme que S1 posea ahora una entrada de direccin MAC esttica para PC1 en la tabla de MAC:

Nota: PT no califica el comando switchport port-security mac-address sticky, sin embargo, este comando es vital para configurar la seguridad del puerto.

FUP. Rodrguez. Taller 4

Para probar la seguridad del puerto, borre la conexin Ethernet entre PC1 y S1. Si borra accidentalmente la conexin del cable de la consola, slo vuelva a conectarla. Conecte PC2 a Fa0/18 en S1. Espere que la luz de enlace mbar se ponga verde y luego haga ping de PC2 a S1. Entonces, el puerto se debe desconectar automticamente. Paso 2. Verifique que la seguridad del puerto sea la razn por la cual el puerto est desconectado.

Para verificar que la seguridad del puerto ha desconectado el mismo, ingrese el comando show interface fa0/18.

El protocolo de lnea est desconectado debido a un error (err) al aceptar una trama con una direccin MAC diferente a la conocida, por lo tanto el software IOS de Cisco desconecta (disabled) el puerto.

Tambin puede verificar una violacin de seguridad con el comando show portsecurity interface fa0/18. Tarea 3: Probar la seguridad dinmica del puerto

Observe que el estado del puerto es secure-shutdown, y que el conteo de la violacin de seguridad es 1.

Paso 1. Quite la conexin entre PC1 y S1 y conecte PC2 a S1. Paso 3. Restablezca la conexin entre PC1 y S1 y reconfigure la seguridad del puerto.

FUP. Rodrguez. Taller 4

Quite la conexin entre PC2 y S1. Vuelva a conectar PC1 al puerto Fa0/18 en S1.

Entre al modo de configuracin de interfaz para FastEthernet 0/17 y desconecte el puerto.

Observe que el puerto an est apagado, aunque usted haya vuelto a conectar la PC habilitada en el mismo. Un puerto que est en estado apagado debido a una violacin de seguridad se debe reactivar manualmente. Desconecte el puerto y luego actvelo con no shutdown.

Paso 2. Pruebe el puerto conectando PC2 a Fa0/17 en S1.

Conecte PC2 a la interfaz Fa0/17 en S1. Observe que las luces de enlace son rojas. PC2 no tiene acceso a la red.

Paso 3. Verifique los resultados. Paso 4. Pruebe la conectividad haciendo ping en S1 desde PC1. Su porcentaje de finalizacin debe ser del 100%. De lo contrario, haga clic en Verificar resultados para saber cules son los componentes requeridos que an no se completan.

El ping de PC1 a S1 debe tener xito.

Su porcentaje de finalizacin an debe ser del 70% al terminar esta tarea.

Tarea 4: Asegurar los puertos sin utilizar

Un mtodo simple que muchos administradores utilizan para asegurar su red de acceso no autorizado es deshabilitar todos los puertos sin utilizar en un switch de red.

Paso 1. Deshabilite la interfaz Fa0/17 en S1.

FUP. Rodrguez. Taller 4