CCNA Security

Capítulo 6 Lab A, Asegurando Switches de Capa 2
Topología

Tabla de direccionamiento IP
Dispositiv R1 S1 S2 PC-A PC-B Interfaz Fa0/1 VLAN 1 VLAN 1 NIC NIC Dirección IP 192.168.1.1 192.168.1.2 192.168.1.3 192.168.1.10 192.168.1.11 Máscara de subred 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 Gateway por defecto N/A N/A N/A 192.168.1.1 192.168.1.1 Puerto del switch S1 FA0/5 N/A N/A S1 FA0/6 S2 FA0/18

Objetivos
Parte 1: Configuración Básica del Switch   Construir la topología. Configurar el nombre de host, dirección IP y contraseñas de acceso.

Parte 2: Configuración de Acceso SSH a los Switches
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Este documento es Información Pública de Cisco. Page 1 of 30

CCNA Security   

Configurar el acceso SSH al switch. Configurar un cliente SSH para acceder switch. Verificar la configuración.

Parte 3: Asegurar los Puertos Troncales y de Acceso            Configurar el modo de puerto troncal. Cambiar la VLAN nativa por puertos troncales. Verificar la configuración troncal. Habilitar el control de tormentas para broadcasts. Configurar los puertos de acceso. Habilitar PortFast y BPDU guard. Verificar BPDU guard. Habilitar root guard. Configurar seguridad de puertos. Verificar seguridad de puertos. Inhabilitar los puertos no utilizados.

Parte 4: Configuración de SPAN y Monitor Traffic    Configurar Switched Port Analyzer (SPAN). Monitorear la actividad de los puertos con Wireshark. Analizar el origen de un ataque.

Escenario
La infraestructura de capa 2 (Enlace de Datos) consiste básicamente en switches Ethernet interconectados. La mayoría de los dispositivos de usuario final, como computadoras, impresoras, teléfonos IP y otros hosts se conectan a la red vía switches de acceso de capa 2. Como resultado, pueden presentar un riesgo para la seguridad de la red. De manera similar a los routers, los switches están sujetos a ataques de usuarios internos maliciosos. El software IOS de Cisco para switches proporciona muchas funciones de seguridad que son específicas a las funciones y los protocolos de los switches. En este laboratorio, usted configurará la seguridad de acceso SSH y capa 2 para los switches S1 y S2. También puede configurar varias medidas de protección para el switch, incluyendo seguridad de puerto de acceso, control de tormentas de switch y funciones del Spanning Tree Protocol (STP) como BPDU guard y root guard. Además, utilizará Cisco SPAN para monitorear el tráfico a puertos específicos del switch. Nota: Los comandos de router y su salida pertenecen a un router Cisco 1841 with Cisco IOS Versión 12.4(20)T (Advanced IP image). Los comandos y la salida del switch son de un Cisco WS-C2960-24TT-L con un IOS versión 12.2(46)SE (C2960-LANBASEK9-M image). Pueden utilizarse otras versiones de equipos e IOS. Ver la tabla de Resumen de Interfaces del Router al final de esta actividad para determinar qué identificadores de interfaz deben utilizarse en base al equipamiento del laboratorio. Dependiendo del modelo de router y de la versión del IOS, los comandos disponibles y la salida generada pueden variar con respecto a lo presentado en esta práctica de laboratorio. Nota: Asegurarse de que los routers y los switches han sido limpiados y no poseen configuraciones previas.

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Este documento es Información Pública de Cisco.

Página 2 de 30

CCNA Security

Recursos Requeridos
      1 router (Cisco 1841 con IOS versión 12.4(20)T1 o equivalente) 2 switches (Cisco 2960 o equivalente con imagen IOS de cifrado para soportar SSH – Versión 12.2(46)SE o equivalente) PC-A (Windows XP o Vista con un cliente SSH PuTTY y Wireshark) PC-B (Windows XP o Vista con un cliente SSH PuTTY y SuperScan) Cables Ethernet de acuerdo a la topología Cables Rollover para configurar los routers a través de la consola

Parte 1: Configuración básica del dispositivo
En la Parte 1 de esta práctica de laboratorio, usted configurará la topología de la red y realizará las configuraciones básicas, tales como nombres de host, direcciones IP, el enrutamiento dinámico y las contraseñas de acceso a los dispositivos. Nota: Todas las Tareas deben realizarse en el router R1 y los switches S1 y S2. El procedimiento para S1 se muestra aquí como ejemplo.

Paso 1: Conectar los cables de la red como se muestra en la topología.
Conectar los dispositivos de la red como se muestra en el diagrama de topología, utilizando los cables necesarios.

Paso 2: Realizar la configuración básica del router y cada switch.
a. Configurar los nombres de host como se muestra en la topología. b. Configurar las direcciones IP de las interfaces, de acuerdo a la tabla de direccionamiento IP. Aquí se muestra la configuración de la interfaz de administración de la VLAN 1. S1(config)#interface vlan 1 S1(config-if)#ip address 192.168.1.2 255.255.255.0 S1(config-if)#no shutdown c. Configurar las contraseñas enable secret y de consola S1(config)#enable secret cisco12345 S1(config)#line console 0 S1(config-line)#password ciscoconpass S1(config-line)#exec-timeout 5 0 S1(config-line)#login S1(config-line)#logging synchronous Nota: No configure el acceso vty en los switches por ahora. Las líneas vty se configuran en los switches en la Parte 2 para acceso SSH. d. Configurar las líneas vty y contraseñas en R1. R1(config)#line vty 0 4 R1(config-line)#password ciscovtypass R1(config-line)#exec-timeout 5 0
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Este documento es Información Pública de Cisco. Página 3 de 30

Página 4 de 30 . realice la resolución de problemas de la configuración básica de los dispositivos antes de continuar. S1(config)#no ip http server S1(config)#no ip http secure-server Nota: El switch debe tener una imagen IOS de cifrado para soportar el comando ip http secureserver.1. ¿El resultado fue exitoso? _____ Si el ping no fue exitoso.CCNA Security R1(config-line)#login e. El acceso HTTP al switch está habilitado por defecto. ¿El resultado fue exitoso? _____ Si el ping no fue exitoso. Configurar la IP del host PC. Guarde la configuración actual a la configuración de inicio desde el prompt de modo EXEC privilegiado. Inc. Este documento es Información Pública de Cisco. Para prevenir el acceso HTTP. inhabilite el servidor HTTP y el servidor HTTP seguro. R1(config)#no ip domain-lookup f. Aquí se muestra al router R1 como un ejemplo. Todos los derechos reservados.1. Paso 5: Guardar las configuraciones básicas del router y ambos switches. inhabilite DNS lookup. Paso 4: Verificar la conectividad de red básica. El acceso HTTP al router está inhabilitado por defecto. Configurar una dirección IP estática. (Copyright © 1992–2009). realice la resolución de problemas de la configuración básica de los dispositivos antes de continuar. máscara de subred y gateway por defecto para la PC-A y la PC-B como se muestra en la tabla de enrutamiento IP. Ejecutar un ping de PC-A y PC-B a la interfaz R1 Fa0/1 en la dirección IP 192. Para prevenir que el router o switch intente traducir los comandos ingresados incorrectamente. S1#copy running-config startup-config Todos los contenidos son propiedad intelectual de Cisco Systems. Ejecutar un ping de PC-A a PC-B.168. Paso 3.

¿Qué prompt se muestra luego de ingresar la contraseña? __________________________________________________________ Paso 3: Configurar las líneas vty de entrada. En esta Tarea. Ingresar al modo de configuración global y establecer el nombre de dominio. a. Paso 1: Configurar un nombre de dominio.com Paso 2: Configurar un usuario privilegiado para ingresar desde el cliente SSH. (Copyright © 1992–2009). Nota: Para que un switch soporte SSH. usted configurará un nombre de usuario y autenticación local SSH en S1 y S2. Inhabilitar el inicio de sesión para las líneas vty desde la 5 hasta la 15. De lo contrario. usted usará la CLI para configurar el switch para ser administrado con seguridad usando SSH en lugar de Telnet. SSH cifra toda la información que pasa a través del enlace de red y proporciona autenticación en la computadora remota. Salir a la pantalla de inicio de sesión inicial del switch e ingresar con este nombre de usuario. Todos los derechos reservados. Inc. Especifique el uso de cuentas de usuario locales para ingreso y validación obligatorios y acepte solo conexiones SSH. Configurar el acceso vty en las líneas 0 hasta 4. S1#conf t S1(config)#ip domain-name ccnasecurity. no podrá especificar SSH como protocolo para las líneas vty y los comandos crypto no estarán disponibles. S1(config)#line vty 5 15 Todos los contenidos son propiedad intelectual de Cisco Systems. a. S1(config)#line vty 0 4 S1(config-line)#privilege level 15 S1(config-line)#exec-timeout 5 0 S1(config-line)#login local S1(config-line)#transport input ssh S1(config-line)#exit b. Especificar un nivel de privilegios de 15 para que el usuario con el mayor nivel de privilegios (15) ingrese por defecto al modo EXEC privilegiado al acceder a las líneas vty.CCNA Security Parte 2: Configuración de SSH En la Parte 2 de este laboratorio. Este documento es Información Pública de Cisco. servicios AAA o nombre de usuario local. Los otros usuarios ingresarán por defecto al modo EXEC de usuario. Tarea 1: Configurar el Servidor SSH en los Switches S1 y S2 Usando la CLI En esta Tarea. S1(config)#username admin privilege 15 secret cisco12345 b. Página 5 de 30 . S1 se muestra aquí como ejemplo. Nota: Se requiere una imagen de IOS para switch que soporte cifrado para configurar SSH. SSH está reemplazando a Telnet con rapidez como la herramienta de inicio de sesión remoto privilegiada por los profesionales de las redes. Secure Shell (SSH) es un protocolo de red que establece una conexión de emulación de terminal segura a un switch u otro dispositivo de red. debe configurarse con autenticación. usted configurará los switches S1 y S2 para soportar conexiones SSH e instalará el software de cliente SSH en las PCs. Usar el comando username para crear el ID de usuario con el nivel más alto de privilegios posible y una contraseña secret.

El switch usa el par de claves RSA para autenticación y cifrado de datos SSH transmitidos. Paso 1: (Opcional) Descargar e instalar un cliente SSH en PC-A y PC-B. Paso 2: Verificar la conectividad SSH a S1 de PC-A. Usar el comando show ip ssh para ver la configuración actual. keys will be non-exportable. Lanzar PuTTY haciendo doble clic sobre el ícono putty. Los parámetros de vencimiento y autenticación SSH por defecto pueden ser alterados para ser más restrictivos utilizando los siguientes comandos.CCNA Security S1(config-line)#no login Paso 4: Generar el par de claves de cifrado RSA para el router. Si el cliente SSH no está ya instalado.99 has been enabled Nota: Los detalles de los métodos de cifrado se ven en el Capítulo 7. Este documento es Información Pública de Cisco.com % The key modulus size is 1024 bits % Generating 1024 bit RSA keys.ccnasecurity.[OK] S1(config)# 00:15:36: %SSH-5-ENABLED: SSH 1. Paso 5: Verificar la configuración SSH. a. S1(config)#crypto key generate rsa general-keys modulus 1024 The name for the keys will be: S1.. Nota: El procedimiento descrito aquí es para PuTTY y PC-A.. Todos los derechos reservados. (Copyright © 1992–2009).exe. Página 6 de 30 . Todos los contenidos son propiedad intelectual de Cisco Systems. Versión SSH habilitada: __________________ Vencimiento de la autenticación: __________________ Reintentos de autenticación: __________________ Paso 6: Configurar los parámetros de vencimiento y autenticación SSH. S1#show ip ssh b. a. Esta práctica usa PuTTY. Completar la siguiente información basándose en la salida del comando show ip ssh. S1#copy running-config startup-config Tarea 2: Configurar el Cliente SSH TeraTerm y PuTTY son dos programas de emulación de terminales que soportan conexiones de cliente SSHv2. S1(config)#ip ssh time-out 90 S1(config)#ip ssh authentication-retries 2 Paso 7: Guardar la configuración actual. El número por defecto es 512 y el rango es desde 360 hasta 2048. Inc. Configurar las claves RSA con 1024 como el número de bits de módulo. descargar TeraTerm o PuTTY.

d. En el prompt de EXEC privilegiado de S1. g. Hacer clic en Open. e. Ingresar la dirección IP de S1 192.2 en el campo Host Name or IP address. Este documento es Información Pública de Cisco.168.CCNA Security b. Inc. (Copyright © 1992–2009). hacer clic Yes. Ingresar el nombre de usuario admin y la contraseña cisco12345 en la ventana PuTTY. Todos los derechos reservados. En la ventana PuTTY Security Alert. ingresar el comando show users.1. S1#show users ¿Qué usuarios están conectados al switch S1 en este momento? ______________________________________________________________________________ Todos los contenidos son propiedad intelectual de Cisco Systems. Página 7 de 30 . Verificar que el botón de opción excluyente de SSH esté seleccionado. c. f. PuTTY usa SSH versión 2 por defecto.

0c80 This bridge is the root Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Todos los contenidos son propiedad intelectual de Cisco Systems. inhabilitar las negociaciones DTP (trunking automático) y habilitar el trunking manualmente. La mejor forma de prevenir un ataque de salto de VLAN básico es inhabilitar el trunking en todos los puertos excepto los que lo requieren específicamente. i. Emitir el comando show spanning-tree para verificar que S1 sea el puente raíz y para ver los puertos en uso y su estado. Todos los derechos reservados. ¿Puede hacerlo? ¿Por qué? _______________________________________________________________ Paso 3: Guardar la configuración. Esto inhabilita el trunking en la interfaz. Este documento es Información Pública de Cisco. Establecer la prioridad de S1 en 0 para volverlo el switch raíz.CCNA Security h. En la consola de S1. En los puertos troncales requeridos. Intentar abrir una sesión Telnet al switch S1 desde PC-A. Inc. La prioridad por defecto de los switches S1 y S2 es 32769 (32768 + 1 con System ID Extension). Si no se requiere trunking en una interfaz. Guardar la configuración actual desde el modo EXEC privilegiado. Cerrar la ventana de sesión SSH PuTTy con el comando exit o quit. S1(config)#spanning-tree vlan 1 priority 0 S1(config)#exit b. configurar una nueva prioridad para él. verificará la configuración troncal y habilitará un control de tormentas de broadcast en los puertos troncales. R1#copy running-config startup-config Parte 3: Seguridad de los Puertos Troncales y de Acceso En la Parte 3 de esta práctica de laboratorio. configurar el puerto como puerto de acceso. asuma que el switch S2 es actualmente el puente raíz y que el switch S1 es el preferido como switch raíz. a. Tarea 1: Asegurar los Puertos Troncales Paso 1: Configurar el switch S1 como raíz. ingresar al modo EXEC privilegiado y luego al modo de configuración global. Para forzar al S1 a volverse el nuevo puente raíz. Nota: Las tareas deben ser llevadas a cabo en los switches S1 o S2 según se indica. S1#show spanning-tree VLAN0001 Spanning tree enabled protocol ieee Root ID Priority 1 Address 001d. Asegurar los puertos troncales puede ayudar a detener ataques de salto de VLAN. (Copyright © 1992–2009). cambiará la VLAN nativa de los puertos troncales. usted configurará puertos troncales. Página 8 de 30 .4635. a. Para los fines de esta práctica de laboratorio.

S1(config)#interface FastEthernet 0/1 S1(config-if)#switchport mode trunk b.CCNA Security Bridge ID Priority 1 (priority 0 sys-id-ext 1) Address 001d. Inc. Todos los derechos reservados. (Copyright © 1992–2009).--.5 128. Verificar que el puerto Fa0/1 en S1 esté en modo troncal con el comando show interfaces trunk. S2(config)#interface FastEthernet 0/1 S2(config-if)#switchport mode trunk c. a. ¿Cuál es la prioridad de S1? ______________________________________________________ d. Cambiar la VLAN nativa de los puertos troncales por una VLAN no utilizada ayuda a prevenir ataques de salto de VLAN. Este documento es Información Pública de Cisco. S1#show interfaces trunk Port Fa0/1 Port Fa0/1 Port Fa0/1 Port Fa0/1 Mode on Encapsulation 802.1q Status trunking Native vlan 1 Vlans allowed on trunk 1-4094 Vlans allowed and active in management domain 1 Vlans in spanning tree forwarding state and not pruned 1 Paso 3: Cambiar la VLAN nativa de los puertos troncales en S1 y S2.--------------------------Desg FWD 19 Desg FWD 19 Desg FWD 19 128. ¿Qué puertos están siendo usados y cuál es su estado? _________________________________ Paso 2: Configurar los puertos troncales en S1 y S2. Página 9 de 30 .4635. Establecer la VLAN nativa en la interfaz troncal Fa0/1 de S1 como la VLAN 99 no utilizada.6 P2p P2p P2p Interface -------------------Fa0/1 Fa0/5 Fa0/6 c.--------.-------. Configurar el puerto Fa0/1 en S1 como troncal. ¿cuál es la VLAN nativa actual de la interfaz troncal Fa0/1 de S1? ______________________________________________ b. a. Configurar el puerto Fa0/1 en S2 como troncal. S1(config)#interface Fa0/1 S1(config-if)#switchport trunk native vlan 99 Todos los contenidos son propiedad intelectual de Cisco Systems. A partir de la salida del comando show interfaces trunk en el paso anterior.0c80 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 Role Sts Cost Prio.1 128.Nbr Type ---.

S1#show interface fa0/1 trunk Port Fa0/1 Port Fa0/1 Port Fa0/1 Port Fa0/1 Mode on Encapsulation 802.1q Status trunking Native vlan 99 Vlans allowed on trunk 1-4094 Vlans allowed and active in management domain 1 Vlans in spanning tree forwarding state and not pruned 1 S1#show interface fa0/1 switchport Name: Fa0/1 Switchport: Enabled Administrative Mode: trunk Operational Mode: trunk Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: dot1q Negotiation of Trunking: Off Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 99 (Inactive) Administrative Native VLAN tagging: enabled Voice VLAN: none Administrative private-vlan host-association: none Administrative private-vlan mapping: none Administrative private-vlan trunk native VLAN: none Administrative private-vlan trunk Native VLAN tagging: enabled Administrative private-vlan trunk encapsulation: dot1q Todos los contenidos son propiedad intelectual de Cisco Systems.CCNA Security S1(config-if)#end a. Establecer la VLAN nativa en la interfaz troncal Fa0/1 de S2 como la VLAN 99 no utilizada. Hacer que el puerto troncal no negocie también ayuda a mitigar los ataques de salto de VLAN. Página 10 de 30 . Todos los derechos reservados. El siguiente mensaje debería aparecer luego de un corto tiempo. (Copyright © 1992–2009). with S2 FastEthernet0/1 (1). What does the message mean? __________________________________________________ c. S1(config)#interface Fa0/1 S1(config-if)#switchport nonegotiate S2(config)#interface Fa0/1 S2(config-if)#switchport nonegotiate Paso 5: Verificar la configuración de trunking en el puerto Fa0/1. 02:16:28: %CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on FastEthernet0/1 (99). ya que evita la generación de tramas DTP. Este documento es Información Pública de Cisco. S2(config)#interface Fa0/1 S2(config-if)#switchport trunk native vlan 99 S2(config-if)#end Paso 4: Prevenir el uso de DTP en S1 y S2. Inc.

S1(config)#interface FastEthernet 0/1 S1(config-if)#storm-control broadcast level 50 S2(config)#interface FastEthernet 0/1 S2(config-if)#storm-control broadcast level 50 Paso 7: Verificar la configuración con el comando show run. Página 11 de 30 .00 <Output omitted> Tarea 2: Asegurar los Puertos de Acceso Al manipular los parámetros STP del puente raíz. como de acceso solamente. En S1. S1(config)#interface FastEthernet 0/6 S1(config-if)#switchport mode access c. Si un puerto configurado con PortFast recibe una BPDU. los atacantes de redes buscan hacer pasar su sistema o un rogue switch que agreguen a la red. En S2. S1(config)#interface FastEthernet 0/5 S1(config-if)#switchport mode access b. En S1. el puerto al que se conecta PC-B. STP puede bloquear el puerto usando una función llamada BPDU guard. S2(config)#interface FastEthernet 0/18 Todos los contenidos son propiedad intelectual de Cisco Systems. configurar Fa0/6. por el puente raíz de la topología. Este documento es Información Pública de Cisco. Paso 1: Inhabilitar trunking en los puertos de acceso de S1. Todos los derechos reservados. Usar el comando show run para mostrar la configuración actual. S1#show run | beg 0/1 interface FastEthernet0/1 switchport trunk native vlan 99 switchport mode trunk switchport nonegotiate storm-control broadcast level 50.CCNA Security Administrative private-vlan trunk normal VLANs: none Administrative private-vlan trunk private VLANs: none Operational private-vlan: none Trunking VLANs Enabled: ALL Pruning VLANs Enabled: 2-1001 Capture Mode Disabled Capture VLANs Allowed: ALL Protected: false Unknown unicast blocked: disabled Unknown multicast blocked: disabled Appliance trust: none Paso 6: Habilitar el control de tormentas de broadcast. a. Inc. configurar Fa0/18. el puerto al que se conecta PC-A. como de acceso solamente. el puerto al que se conecta R1. como de acceso solamente. configurar Fa0/5. Habilitar un control de tormentas de broadcast en el puerto troncal con un incremento del 50 por ciento en el nivel de supresión usando el comando storm-control broadcast. empezando por la primera línea que contiene la cadena de texto “0/1”. (Copyright © 1992–2009).

S1(config)#interface FastEthernet 0/5 S1(config-if)#spanning-tree bpduguard enable S1(config)#interface FastEthernet 0/6 S1(config-if)#spanning-tree bpduguard enable S2(config)#interface FastEthernet 0/18 S2(config-if)#spanning-tree bpduguard enable b. switches. S2(config)#interface FastEthernet 0/18 S2(config-if)#spanning-tree portfast Paso 2: Habilitar BPDU guard en los puertos de acceso de S1 y S2 BPDU guard es una función que puede ayudar a prevenir rogue switches y falsificación de los puertos de acceso. Página 12 de 30 . a.. Habilitar BPDU guard en los puertos del switch previamente configurados como de solo acceso. Este documento es Información Pública de Cisco. Habilitar PortFast en el puerto de acceso Fa0/18 de S1. a.. En este paso. can cause temporary bridging loops. (Copyright © 1992–2009). PortFast se configura en los puertos de acceso que se conectan con una sola estación de trabajo o servidor para permitirles volverse activos más rápidamente. Use with CAUTION %Portfast has been configured on FastEthernet0/5 but will only have effect when the interface is in a non-trunking mode. Inc. pero STP todavía está activo. PortFast y BPDU guard también pueden ser habilitados globalmente con los comandos de configuración global spanning-tree portfast default y spanning-tree portfast bpduguard. Habilitar PortFast en el puerto de acceso Fa0/6 de S1. Todos los derechos reservados. S1(config)#interface FastEthernet 0/6 S1(config-if)#spanning-tree portfast c. Todos los contenidos son propiedad intelectual de Cisco Systems. Connecting hubs. b. bridges. Paso 1: Habilitar PortFast en los puertos de acceso de S1 y S2. Habilitar PortFast en el puerto de acceso Fa0/5 de S1. S1(config)#interface FastEthernet 0/5 S1(config-if)#spanning-tree portfast Se mostrará el siguiente mensaje de advertencia: %Warning: portfast should only be enabled on ports connected to a single host. etc. usted habilitará algunas funciones de seguridad de switches que pueden ayudar a reducir la posibilidad de manipulación de los switches por un atacante que use métodos relacionados con STP. concentrators. to this interface when portfast is enabled.CCNA Security S2(config-if)#switchport mode access Tarea 3: Protegerse contra Ataques STP La topología consta solo de dos switches y no tiene conexiones redundantes.

address 001d. Si un puerto que tiene BPDU guard habilitado recibe una BPDU superior. Port Identifier 128. Designated root has priority 1.4635.5.---------------------. Normalmente.0c80 Designated port id is 128. ingresa a un estado de raíz inconsistente (root-inconsistent state). en los que no deben recibirse nunca BPDUs. hold 0 Number of transitions to forwarding state: 1 The port is in the portfast mode Link type is point-to-point by default Bpdu guard is enabled BPDU: sent 3349. S2(config)#interface gigabitEthernet 0/1 S2(config-if)#spanning-tree guard root b.5. Inc. S1#show spanning-tree interface fa0/5 detail Port 5 (FastEthernet0/5) of VLAN0001 is designated forwarding Port path cost 19. Se prefiere desplegar BPDU guard en los puertos del lado del usuario para prevenir extensiones de la red por medio de rogue switches. Puede configurarse un tiempo de vencimiento en el puerto para que este pueda recuperarse automáticamente luego de un período de tiempo determinado. forward delay 0. Usar el comando show spanning-tree inconsistentports para determinar si actualmente hay puertos que están recibiendo BPDUs superiores y no deberían hacerlo. Todos los derechos reservados. (Copyright © 1992–2009). Verificar que BPDU guard esté configurado usando el comando show spanning-tree interface fa0/5 detail en el switch S1. Root guard puede ser habilitado en todos los puertos de un switch que no son puertos raíz. Es preferible desplegar root guard en los puertos que se conectan con switches que no deben ser el puente raíz. El siguiente comando configura root guard en la interfaz Gi0/1 de S2. address 001d. podría usarse el comando show spanning-tree interface Gi0/1 detail. por lo que no participa de STP.-----------------Number of inconsistent ports (segments) in the system : 0 Todos los contenidos son propiedad intelectual de Cisco Systems. Emitir el comando show run para verificar que root guard esté configurado. Estos puertos nunca deben recibir una BPDU. esto se hace si otro switch está conectado a este puerto. Este documento es Información Pública de Cisco.CCNA Security Nota: BPDU guard puede ser habilitado en todos los puertos de acceso que tengan PortFast habilitado. received 0 Paso 3: (Opcional) Habilitar root guard.0c80 Designated bridge has priority 1. c. Normalmente.4635. S2#sh run | beg Gig interface GigabitEthernet0/1 spanning-tree guard root Nota: El puerto Gi0/1 de S2 no está activo actualmente. se inhabilita y debe ser rehabilitado manualmente. Cada switch debe tener solo un puerto raíz que será la mejor ruta al switch raíz. Página 13 de 30 . a. se encuentra habilitado solo en los puertos que están conectados con switches de borde. De lo contrario. Port priority 128. Si un puerto que tiene BPDU guard habilitado recibe una BPDU. designated path cost 0 Timers: message age 0. S2#show spanning-tree inconsistentports Name Interface Inconsistency -------------------. Root guard es otra opción que ayuda a prevenir rogue switches y spoofing. c.

DLY 100 usec. Este procedimiento debe llevarse a cabo en todos los puertos de acceso en uso. 100Mb/s.256f (bia 001b. Configurar una entrada estática para la dirección MAC de la interfaz Fa0/1 de R1 registrada en el Paso 1. loopback not set Keepalive set (10 sec) Full-duplex. BW 100000 Kbit/sec. usted configurará la seguridad de los puertos para limitar el número de direcciones MAC que pueden ser aprendidas en un puerto de un switch e inhabilitar el puerto si ese número es excedido. reliability 255/255. Página 14 de 30 . En la CLI del router R1.5325. usar el comando show interface y registrar la dirección MAC de la interfaz.168. ataques de falsificación de MAC y conexiones no autorizadas a sus puertos. Paso 1: Registrar la dirección MAC de Fa0/0 en R1. S1(config-if)#shutdown c.CCNA Security Nota: Root guard permite a un switch conectado participar en STP siempre y cuando el dispositivo no intente ser raíz. line protocol is up Hardware is Gt96k FE. Inc.5325.1. d. R1#show interface fa0/1 FastEthernet0/1 is up. S1(config)#interface FastEthernet 0/5 b. Tarea 4: Configurar Seguridad de Puertos e Inhabilitar Puertos no Utilizados Los switches también pueden ser víctimas de desbordamientos de tablas CAM. a. Los comandos switchport port-security maximum y switchport port-security violation pueden ser utilizados para cambiar el comportamiento por defecto. El puerto Fa0/5 del switch S1 se muestra aquí como ejemplo. Nota: Debe configurarse un puerto del switch como puerto de acceso para habilitar la seguridad de puertos.256f) Internet address is 192. Este documento es Información Pública de Cisco. Si root guard bloquea el puerto. el puerto vuelve al estado de reenvío. ¿Cuál es la dirección MAC de la interfaz Fa0/1 de R1? ____________________________________ Paso 2: Configurar seguridad básica de puertos. Habilitar seguridad de puertos en el puerto. (Copyright © 1992–2009). S1(config-if)#switchport port-security Nota: Al ingresar solo el comando switchport port-security se establece el máximo de direcciones MAC como 1 y la acción de violación como inhabilitar el puerto. En la CLI del switch S1. txload 1/255. la recuperación subsiguiente es automática. Todos los derechos reservados. Inhabilitar el puerto del switch. Si las BPDUs superiores se detienen. address is 001b. rxload 1/255 Encapsulation ARPA.1/24 MTU 1500 bytes. ingresar al modo de configuración de la interfaz del puerto que se conecta al router (Fast Ethernet 0/5). Todos los contenidos son propiedad intelectual de Cisco Systems. 100BaseTX/FX b. a. En esta tarea.

) Nota: Opcionalmente. utilizando aaaa. En la CLI del router R1.256f:1 Security Violation Count : 0 b. Ingresar al modo de configuración de la interfaz Fast Ethernet 0/1 e inhabilitarla. Ahora. De esta forma. ¿Tuvo éxito? ¿Por qué? _______________________________________________________________________________ Todos los contenidos son propiedad intelectual de Cisco Systems. S1#show port-security interface f0/5 Port Security : Enabled Port Status : Secure-up Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1 Total MAC Addresses : 1 Configured MAC Addresses : 1 Sticky MAC Addresses : 0 Last Source Address:Vlan : 001b. R1(config-if)#mac-address aaaa.CCNA Security S1(config-if)#switchport port-security mac-address xxxx. S1(config-if)#no shutdown Paso 3: Verificar la seguridad de los puertos en Fa0/5 de S1.168. Todos los derechos reservados.cccc f. Habilitar la interfaz Fast Ethernet 0/1.xxxx (xxxx. Inc. también se asegura de que el switch aprenda la dirección MAC de Fa0/1 en R1. emitir el comando show port-security para verificar que se haya configurado la seguridad de los puertos en Fa0/5 de S1.bbbb. Configurar una dirección MAC para la interfaz en la interfaz. ejecutar un ping a PC-A.bbbb.cccc como nueva dirección.xxxx. R1#ping 192.xxxx. En la CLI del router R1.xxxx is the actual MAC address of the router Fast Ethernet 0/1 interface.1. Este documento es Información Pública de Cisco. R1(config)#interface FastEthernet 0/1 R1(config-if)#shutdown e. Página 15 de 30 . e. En S1. Habilitar el puerto del switch. puede usarse el comando switchport port-security mac-address sticky para agregar todas las direcciones MAC seguras que se aprenden dinámicamente en un puerto (hasta el máximo) a la configuración actual del router. a.5325. ejecutar un ping a PC-A para verificar la conectividad. R1(config-if)#no shutdown R1(config-if)#end g. usted violará la seguridad cambiando la dirección MAC en la interfaz del router.10 d. (Copyright © 1992–2009). ¿Cuál es el estado del puerto Fa0/5? ___________________________________________________ ¿Cuál es la última dirección de origen (Last Source Address) y VLAN? _______________________________________________ c.

changed state to down i. En R1.CCNA Security h.5325. usar los diferentes comandos show port-security para verificar si la seguridad del puerto ha sido violada. ¿Tuvo éxito? ¿Por qué? ________________________________________________________________________________ Página 16 de 30 Todos los contenidos son propiedad intelectual de Cisco Systems.756: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5.168.755: %LINK-3-UPDOWN: Interface FastEthernet0/5. observar los mensajes cuando el puerto Fa0/5 detecta la dirección MAC alterada. remover la dirección MAC ingresada estáticamente del router y rehabilitar la interfaz.256f SecureConfigured Fa0/5 ----------------------------------------------------------------------j. intentar ejecutar un nuevo ping a PC-A con la dirección 192.cccc on port FastEthernet0/5.10.1. Inc.bbbb.-----------------------------1 001b.cccc:1 Security Violation Count : 1 S1#show port-security address Secure Mac Address Table -----------------------------------------------------------------------Vlan Mac Address Type Ports Remaining Age (mins) ---.cccc R1(config-if)#no shutdown Nota: Esto restaurará la dirección MAC original de la interfaz FastEthernet. putting Fa0/5 in err-disable state *Jan 14 01:34:39. R1(config)#interface FastEthernet 0/1 R1(config-if)#shutdown R1(config-if)#no mac-address aaaa. Todos los derechos reservados.bbbb. caused by MAC address aaaa. changed state to down *Mar 1 01:34:41. *Jan 14 01:34:39.750: %PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/5. Este documento es Información Pública de Cisco.750: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred. En el switch. inhabilitar la interfaz Fast Ethernet 0/1. (Copyright © 1992–2009). *Jan 14 01:34:40. En la consola del switch S1.bbbb. . k. S1#show port-security Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action (Count) (Count) (Count) -------------------------------------------------------------------Fa0/5 1 1 1 Shutdown ---------------------------------------------------------------------S1#show port-security interface fastethernet0/5 Port Security : Enabled Port Status : Secure-shutdown Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1 Total MAC Addresses : 1 Configured MAC Addresses : 1 Sticky MAC Addresses : 0 Last Source Address:Vlan : aaaa. En el router.

Se permiten dos direcciones MAC que serán aprendidas dinámicamente.168. S2(config)#interface Fa0/18 S2(config-if)#switchport mode access S2(config-if)#switchport port-security S2(config-if)#switchport port-security S2(config-if)#switchport port-security S2(config-if)#switchport port-security S2(config-if)#switchport port-security maximum 2 violation shutdown mac-address sticky aging time 120 Página 17 de 30 Todos los contenidos son propiedad intelectual de Cisco Systems. El siguiente ejemplo muestra una configuración típica de seguridad de puerto para un puerto de voz. S1(config)#interface FastEthernet 0/5 S1(config-if)#shutdown S1(config-if)#no shutdown Nota: Aquí se asume que el dispositivo o interfaz con la dirección MAC alterada ha sido eliminado y reemplazado por la configuración inicial.1. Una de las direcciones MAC es para el teléfono IP y la otra es para la PC conectada al teléfono IP. Esta vez debería tener éxito. Todos los derechos reservados. limpiar el error y rehabilitar el puerto con los siguientes comandos. Este documento es Información Pública de Cisco. a. En la consola de S1. S1(config)#interface FastEthernet 0/5 S1(config-if)#shutdown S1(config-if)#no switchport port-security S1(config-if)#no switchport port-security mac-address 001b. En la consola de S1. S1(config)#interface FastEthernet 0/5 S1(config-if)#shutdown S1(config-if)#exit S1(config)#default interface fastethernet 0/5 S1(config)#interface FastEthernet 0/5 S1(config-if)#no shutdown Nota: El comando default interface también requiere la reconfiguración del puerto como puerto de acceso para poder rehabilitar los comandos de seguridad. El tiempo de vencimiento de las direcciones MAC está establecido como de dos horas. a.10 Paso 5: Eliminar la seguridad básica de puertos de Fa0/5 en S1. Este ejemplo muestra la configuración para el puerto Fa0/18 del switch S2. R1#ping 192. Inc.5325. pero los comandos de seguridad de puertos deberán ser reconfigurados. ejecutar un nuevo ping a PC-A.256f S1(config-if)#no shutdown b. . Esto cambiará el estado del puerto de “Secure-shutdown” a “Secure-up”. Este procedimiento también puede ser utilizado para rehabilitar el puerto. Las violaciones de esta política resultan en la inhabilitación del puerto. (Copyright © 1992–2009). También puede utilizar los siguientes comandos para restaurar la configuración por defecto en la interfaz. En R1. eliminar la seguridad del puerto Fa0/5. b.CCNA Security Paso 4: Borrar el estado de error de Fa0/5 en S1. Paso 6: (Opcional) Configurar la seguridad de puertos para VoIP.

4 S1(config-if-range)#shutdown S1(config-if-range)#interface range Fa0/7 . Inc. S1(config)#interface range fa0/5 . se están utilizando los puertos Fa0/1. agregándolo a la VLAN 1 con una estación de trabajo específicamente para administración. Fa0/5 y Fa0/6. Todos los contenidos son propiedad intelectual de Cisco Systems.17 S2(config-if-range)#shutdown S2(config-if-range)#interface range Fa0/19 . En el switch S1. Todavía es posible acceder al switch y configurarlo a través de una conexión de consola.CCNA Security Paso 7: Inhabilitar los puertos no utilizados en S1 y S2. Habilite el trunking con subinterfaces en R1 para enrutar entre las subredes de las VLAN de usuarios y administración.6 S1(config-if)#switchport access vlan 20 S2(config)#interface fa0/18 S2(config-if)#switchport access vlan 20 Nota: Esto prevendrá la comunicación entre los hosts de usuario final y la dirección IP de la VLAN de administración en el switch. se están utilizando os puertos Fa0/18 y Gi0/1. a. Los demás puertos Fast Ethernet y los dos puertos Gigabit Ethernet deberán ser inhabilitados. Los demás puertos Fast Ethernet y los dos puertos Gigabit Ethernet deberán ser inhabilitados. Como medida de seguridad adicional. que actualmente es la VLAN 1. a. Este documento es Información Pública de Cisco. inhabilitar puertos no utilizados en el switch. S1(config)#interface range Fa0/2 .24 S1(config-if-range)#shutdown S1(config-if-range)#interface range gigabitethernet0/1 . puede designarse un puerto específico como puerto de administración. Si se necesita proporcionar acceso Telnet o SSH al switch.24 S2(config-if-range)#shutdown S2(config-if-range)#exit S2(config)#interface gigabitethernet0/2 S2(config-if)#shutdown Paso 8: (Opcional) Mover los puertos activos a una VLAN diferente de la VLAN 1 por defecto Como medida de seguridad adicional. usted puede mover todos los puertos de router y usuario final activos a una VLAN diferente de la VLAN 1 por defecto en ambos switches. Todos los derechos reservados.2 S1(config-if-range)#shutdown b. Una solución más elaborada sería crear una nueva VLAN para la administración del switch (o usar la VLAN 99 nativa existente) y configurar una subred aparte para las VLANs de usuarios y administración. Configurar una nueva VLAN para usuarios de cada switch usando los siguientes comandos: S1(config)#vlan 20 S1(config-vlan)#name Users S2(config)#vlan 20 S2(config-vlan)#name Users b. S2(config)#interface range Fa0/2 . En el switch S2. Agregar los puertos de acceso (no troncales) activos a la nueva VLAN. Página 18 de 30 . (Copyright © 1992–2009).

S1(config)#monitor session 1 destination interface fa0/6 Todo el tráfico de Fa0/5 en S1. Este documento es Información Pública de Cisco.CCNA Security Parte 4: Configuración de SPAN y Monitoreo de tráfico Nota: Hay dos áreas en esta parte de la práctica de laboratorio. al que está conectado el host. Inc. La palabra clave both incluye tanto a tx como a rx. Paso 2: Verificar la configuración de la sesión SPAN en S1. Establecer la interfaz SPAN de destino. y la Tarea 2: Opción 2. Establecer la interfaz SPAN de origen con el comando monitor session en el modo de configuración global. Paso 1: Configurar una sesión SPAN en S1 con origen y destino a. Además. llamada Switched Port Analyzer (SPAN). al que se encuentra conectada una estación de monitoreo. que está conectado con R1. que debe llevarse a cabo con equipos físicos. S1(config)#monitor session 1 source interface fa0/5 both Nota: Puede especificar el monitoreo de tráfico tx (transmisión) o rx (recepción). Tarea 1: Opción 1 – Configurar una Sesión SPAN Usando Equipos Físicos. El IOS de Cisco proporciona una función que puede utilizarse para monitorear ataques de red. a otro puerto. El tráfico copiado en el puerto de origen puede ser solo de entrada. un rango de interfaces. Nota: La Opción 1 asume que usted tiene acceso físico a los dispositivos mostrados en la topología de este laboratorio. A continuación se configura un puerto de origen SPAN en FastEthernet 0/5 para tráfico de entrada y salida. Todos los derechos reservados. El puerto Fa0/5 del switch S1 está conectado al router R1. Los usuarios de NETLAB+ que accedan a sus equipos remotamente deberán proceder a la Tarea 2: Opción 2. b. Nota: El destino puede ser tanto una interfaz como un rango de interfaces. que está conectado con la PC-A con Wireshark. usted configurará un SPAN local para que copie tráfico de un puerto. S1#show monitor session 1 Todos los contenidos son propiedad intelectual de Cisco Systems. (Copyright © 1992–2009). el IOS de Cisco soporta SPAN local y remoto (RSPAN). será copiado al puerto destino SPAN Fa0/6. por lo que el tráfico desde (entrada) y hacia (salida) el puerto Fa0/5 del switch y R1 será monitoreado. que ha sido modificada para ser compatible con el sistema NETLAB+ pero puede ser llevada a cabo con equipos físicos. El origen puede ser una sola interfaz. una sola VLAN o un rango de VLANs. la Tarea 1: Opción 1. Esta estación estará ejecutando la aplicación sniffer de paquetes Wireshark para analizar el tráfico. Con SPAN local. Página 19 de 30 . Nota: SPAN le permite seleccionar y copiar tráfico de uno o más puertos de switch o VLANs origen a uno o más puertos destino. Verificar la configuración de la sesión SPAN. En esta parte de la práctica de laboratorio. las VLANs origen y los puertos de switch de origen y de destino están en el mismo switch físico. solo de salida o ambos.

En el menú principal.wireshark. La pantalla de instalación inicial de Wireshark se muestra a continuación. Esta práctica de laboratorio utiliza la versión 1.5.html. Nota: En la pantalla Install WinPcap. a. Wireshark es un analizador de protocolos de red (también llamado un sniffer de paquetes) compatible con Windows XP y Vista. b. Todos los derechos reservados. a. seleccionar Capture > Interfaces. Página 20 de 30 . Si Wireshark no está actualmente disponible en PC-A. Hacer clic en I Agree al acuerdo de licencia y aceptar los valores por defecto haciendo clic en Next cuando sea solicitado. Inc. seleccionar las opciones install WinPcap y luego Start WinPcap service si desea que otros usuarios puedan ejecutar Wireshark además de los que tienen acceso administrativo. Todos los contenidos son propiedad intelectual de Cisco Systems. Si Wireshark se encuentra disponible.0. puede descargar la última versión en http://www. iniciar la aplicación. Este documento es Información Pública de Cisco. (Copyright © 1992–2009). b. Paso 4: Monitorear la actividad de ping en Fa0/5 del switch S1 con Wireshark en PC-A.org/download.CCNA Security Session 1 --------Type Source Ports Both Destination Ports Encapsulation Ingress : : : : : Local Session Fa0/5 Fa0/6 Native : Disabled Paso 3: (Opcional) Descargar e instalar Wireshark en PC-A.

11) a la interfaz Fa0/1 de R1 (192.168.1. Hacer clic en el botón Start del adaptador de interfaz de red de área local con la dirección IP 192. Pueden capturarse algunos paquetes adicionales a los pings. Luego de la solicitud ARP. Todos los derechos reservados.CCNA Security c. con el propósito de determinar la dirección MAC de la interfaz Fa0/1 de R1 con dirección IP 192.1. d.168.168.1. pueden verse pings (solicitudes y respuestas de eco) pasando desde PC-B hacia R1 y desde R1 hacia PC-B a través del switch. (Copyright © 1992–2009).1 e. Página 21 de 30 .1 y la respuesta ARP de la interfaz Ethernet de Cisco de R1. Este tráfico se dirigirá del puerto Fa0/18 de S2 al puerto Fa0/1 de S2 a través del enlace troncal al puerto Fa0/1 de S1 y luego saldrá por la interfaz Fa0/5 de S1 para llegar a R1. Inc.168.168.1.10.1) ejecutando el comando ping. PC-B:\>ping 192.1. Nota: Su pantalla debería ser similar a la que aquí se muestra. Este documento es Información Pública de Cisco. como la respuesta de LOOP de Fa0/1 en R1. Notar el broadcast inicial de solicitudes ARP desde la PC-B (Intel NIC). Generar tráfico desde la PC-B (192. Observar los resultados en Wireshark en PC-A. Todos los contenidos son propiedad intelectual de Cisco Systems.

d. Descomprimir el archivo en una carpeta. Si SuperScan no se encuentra disponible en PC-B.exe es ejecutable y no requiere instalación.com. Iniciar el programa SuperScan en PC-B.CCNA Security Paso 5: Monitorear la actividad SuperScan en Fa0/5 del switch S1 con Wireshark en PC-A. Revisar la lista de selección de puertos UDP y TCP y notar el rango de puertos a ser escaneados. (Copyright © 1992–2009). hacer clic sobre la pestaña Scan e ingresar la dirección IP de Fa0/1 en R1 (192. descargar la herramienta SuperScan 4. Hacer clic en la pestaña Host and Service Discovery tab. El archivo SuperScan4. En el programa SuperScan. Hacer clic sobre la flecha derecha para poblar los campos Start IP y End IP. Todos los contenidos son propiedad intelectual de Cisco Systems.foundstone. Página 22 de 30 . c. Inc. Todos los derechos reservados.1) en el campo Hostname/IP. a.168. b.1. Este documento es Información Pública de Cisco. Marcar la casilla Timestamp Request y desmarcar la casilla Echo Request.0 del grupo Scanning Tools en http://www.

(Copyright © 1992–2009). Todos los derechos reservados. Este documento es Información Pública de Cisco. hacer clic en el botón de la flecha azul abajo a la izquierda para iniciar el escaneo.1. hacer clic en el botón Continue without saving.1.168. Observar los resultados en la ventana de Wireshark en PC-A. f. Su pantalla debería verse similar a la siguiente: Todos los contenidos son propiedad intelectual de Cisco Systems.1). Notar el número y los tipos de puertos probados por el ataque simulado de SuperScan de PC-B (192. Página 23 de 30 . Cuando se lo solicite.CCNA Security e. g.11) a Fa0/1 en R1 (192.168. Limpiar la captura anterior de Wireshark e iniciar una nueva captura haciendo clic sobre Capture > Start. Inc. En el programa SuperScan.

En el switch S1. Este documento es Información Pública de Cisco. Inc. en este caso. Todos los derechos reservados. (Copyright © 1992–2009). Este tráfico debe ser recibido por el switch S2 y reenviado a PC-B. el tráfico desde PC-A hacia Fa0/1 en R1. debe instalarse Wireshark en PC-B. Todos los contenidos son propiedad intelectual de Cisco Systems. donde Wireshark se encuentra capturando los paquetes. usted configurará un SPAN local para reflejar el tráfico de salida del puerto Fa0/5. Nota: Para llevar a cabo esta tarea. Nota: Esta porción de la práctica de laboratorio ha sido reescrita para mejorar la compatibilidad con el sistema NETLAB+.CCNA Security Tarea 2: Opción 2 – Configurar una Sesión SPAN con Equipos Remotos NETLAB+. Refiérase al siguiente diagrama que ilustra el flujo de tráfico SPAN. Página 24 de 30 .

S1(config)#default interface fastethernet 0/1 S2(config)#default interface fastethernet 0/1 b. Página 25 de 30 . Para lograr esto. por lo que el tráfico desde (entrada) y hacia (salida) el puerto Fa0/5 del switch y R1 será monitoreado.299a. Este documento es Información Pública de Cisco. Establecer la interfaz de origen de SPAN usando el comando monitor session en el modo de configuración global. la dirección MAC de R1 debe ser la misma de PC-B. El puerto Fa0/5 del switch S1 está conectado al router R1. Configurar la dirección MAC de PC-B en la Fa0/1 de R1. Todos los derechos reservados. El tráfico copiado en el puerto de origen puede ser solo de entrada. reenviando tramas basándose en direcciones MAC y puertos de switch. El tráfico que entra a S2 a través del puerto Fa0/1 usa la dirección MAC de R1 como destino para la trama Ethernet. A continuación se configura un puerto de origen SPAN en FastEthernet 0/5 para tráfico de salida. Paso 1: Configurar una sesión SPAN en S1 con origen y destino a. por lo tanto. (Copyright © 1992–2009). solo de salida o ambos. R1(config)#interface fa0/1 R1(config-if)#mac-address 000c. para reenviar esos paquetes a PC-B.CCNA Security Nota: El switch S2 está actuando como un switch normal. Este es un requisito específico del ambiente NETLAB+. Anotar la dirección MAC de PC-B Dirección MAC de PC-B: ___________________________ La dirección MAC de PC-B en este ejemplo será 000c-299a-e61a c. Inc. Devolver las Fa0/1 de S1 y S2 a sus configuraciones iniciales.e61a d. S1(config)#monitor session 1 source interface fa0/5 tx Todos los contenidos son propiedad intelectual de Cisco Systems. Este enlace entre Fa0/1 de S1 y Fa0/1 de S2 será utilizado para transportar el tráfico que será monitoreado. la dirección MAC de Fa0/1 en R1 es modificada usando la CLI del IOS para simular la dirección MAC de PC-B.

b. donde Wireshark está capturando los paquetes. Notar el broadcast de solicitudes de ARP inicial de PC-A para determinar la dirección MAC de la interfaz Fa0/1 en R1 con la dirección IP 192.html e instalarla como se describe en la Parte 4. C:\>arp –d * C:\>ping 192. seleccionar Capture > Interfaces.1.1. Si WireShark se encuentra disponible. Tarea 1.168. Wireshark es un analizador de protocolos de red (también llamado un sniffer de paquetes) compatible con Windows XP y Vista.1 y Todos los contenidos son propiedad intelectual de Cisco Systems.168. Antes de ejecutar los ping.1. Paso 3. Establecer la interfaz de destino de SPAN. S1(config)#monitor session 1 destination interface fa0/1 Se copiará todo el tráfico de salida de Fa0/5 de S1. Paso 4: Monitorear la actividad de ping en Fa0/5 del switch S1 con Wireshark en PC-B. Este tráfico se dirigirá desde el puerto Fa0/6 de S1 al puerto Fa0/5 de S1. Todos los derechos reservados.CCNA Security Nota: El origen puede ser una sola interfaz. Página 26 de 30 . (Copyright © 1992–2009).168. a.1 e. S1#show monitor session 1 Session 1 --------Type Source Ports TX Only Destination Ports Encapsulation Ingress : : : : : Local Session Fa0/5 Fa0/1 Native : Disabled Paso 3: (Opcional) Descargar e instalar Wireshark en PC-B. una sola VLAN o un rango de VLANs. e. Si Wireshark no está actualmente disponible en PC-B. Nota: El destino puede ser una interfaz o un rango de interfaces. y luego S2 reenviará este tráfico a PC-B. Este documento es Información Pública de Cisco. Hacer clic sobre el botón Start del adaptador de interfaz de red de área local. a. Generar tráfico de PC-A (192. iniciar la aplicación. un rango de interfaces. al que la PC-B que usa Wireshark está conectada. Confirmar la configuración de la sesión SPAN con el comando show monitor session 1. que está conectado con R1. En el menú principal. d. borrar la tabla ARP en PC-A para generar una solicitud ARP. el tráfico que va desde PC-A hacia la interfaz Fa0/1 de R1 se reenvía a través del enlace entre S1 y S2. Observar los resultados en WireShark en PC-B.wireshark.1. Paso 2: Verificar la configuración de la sesión SPAN en S1.org/download. c.1) ejecutando el comando ping.10) a la interfaz Fa0/1 de R1 (192. puede descargar la última versión en http://www.168. Adicionalmente. al puerto SPAN destino Fa0/1. Inc. Notar que la sesión SPAN está configurada solo en S1 y S2 está operando como un switch normal.

descargar la herramienta SuperScan 4. Pueden capturarse algunos paquetes adicionales a los pings. Marcar la casilla Timestamp Request y desmarcar la casilla Echo Request.168.com. a. Paso 5: Monitorear la actividad SuperScan en Fa0/5 del switch S1 con Wireshark en PC-B. hacer clic sobre la pestaña Scan e ingresar la dirección IP de Fa0/1 en R1 (192. Este documento es Información Pública de Cisco. Hacer clic en la pestaña Host and Service Discovery tab.1.1) en el campo Hostname/IP.exe es ejecutable y no requiere instalación. Luego de la solicitud ARP. Nota: Su pantalla debería verse similar a la siguiente.foundstone. pueden verse los pings (solicitudes de eco) yendo de PC-a a R1 a través del switch. El archivo SuperScan4. (Copyright © 1992–2009). En el programa SuperScan. Todos los derechos reservados.0 del grupo Scanning Tools en http://www. Página 27 de 30 . Si SuperScan no se encuentra disponible en PC-B.CCNA Security la solicitud ARP de la interfaz Ethernet de Cisco de R1. b. Iniciar el programa SuperScan en PC-B. Inc. Revisar la lista de selección de puertos UDP y TCP y notar el rango de puertos a ser escaneados. como la respuesta de LOOP de Fa0/1 en R1 y los paquetes Spanning Tree. d. c. Descomprimir el archivo en una carpeta. Todos los contenidos son propiedad intelectual de Cisco Systems. Hacer clic sobre la flecha derecha para poblar los campos Start IP y End IP.

Inc. Observar los resultados en la ventana de Wireshark en PC-B.1. (Copyright © 1992–2009). Página 28 de 30 . Este documento es Información Pública de Cisco.168. g. Cuando se lo solicite. Su pantalla debería verse similar a la siguiente: Todos los contenidos son propiedad intelectual de Cisco Systems. hacer clic en el botón de la flecha azul abajo a la izquierda para iniciar el escaneo.CCNA Security e. En el programa SuperScan. f. Todos los derechos reservados.1).11) a Fa0/1 en R1 (192.1. Notar el número y los tipos de puertos probados por el ataque simulado de SuperScan de PC-A (192. Limpiar la captura anterior de Wireshark e iniciar una nueva captura haciendo clic sobre Capture > Start. hacer clic en el botón Continue without saving.168.

Este documento es Información Pública de Cisco. ¿Por quñe deben deshabilitarse los puertos no utilizados del switch? ________________________________________________________________________________ ________________________________________________________________________________ Tabla de Resumen de Interfaces del Router Resumen de Interfaces del Router Modelo de Router 1700 Interfaz Ethernet #1 Fast Ethernet 0 Interfaz Ethernet #2 Fast Ethernet 1 Interfaz Serial #1 Serial 0 (S0) Interfaz Serial #2 Serial 1 (S1) Página 29 de 30 Todos los contenidos son propiedad intelectual de Cisco Systems. a. Inc. Todos los derechos reservados. .CCNA Security Paso 6: Reflexión. ¿Por qué debe habilitarse seguridad en los puertos troncales del switch? ________________________________________________________________________________ ________________________________________________________________________________ c. ¿Por qué debe habilitarse seguridad en los puertos de acceso del switch? ________________________________________________________________________________ ________________________________________________________________________________ b. (Copyright © 1992–2009).

Esta tabla incluye los identificadores para las combinaciones posibles de interfaces Ethernet y Serial en el dispositivo. mire las interfaces para identificar el tipo de router y cuántas interfaces posee. Un ejemplo de esto puede ser la interfaz ISDN BRi. Inc. La tabla no incluye otros tipos de interfaces. Página 30 de 30 . Todos los contenidos son propiedad intelectual de Cisco Systems. (Copyright © 1992–2009). No existe un método para listar de forma efectiva todas las combinaciones de configuración para cada clase de router. incluso cuando un router específico puede tener una. Todos los derechos reservados.CCNA Security Resumen de Interfaces del Router (FA0) 1800 2600 2800 Fast Ethernet 0/0 (FA0/0) Fast Ethernet 0/0 (FA0/0) Fast Ethernet 0/0 (FA0/0) (FA1) Fast Ethernet 0/1 (FA0/1) Fast Ethernet 0/1 (FA0/1) Fast Ethernet 0/1 (FA0/1) Serial 0/0/0 (S0/0/0) Serial 0/0 (S0/0) Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1) Serial 0/1 (S0/1) Serial 0/0/1 (S0/0/1) Nota: Para identificar cómo se encuentra configurado el router. La cadena entre paréntesis es la abreviatura legal que puede utilizarse en los comandos del IOS para representar a la interfaz. Este documento es Información Pública de Cisco.

Sign up to vote on this title
UsefulNot useful