Seguridad Cap6 Lab-A Asegurando-Capa2 Estudiante

CCNA Security
Captulo 6 Lab A, Asegurando Switches de Capa 2

Topologa
Tabla de direccionamiento IP
Mscara de Gateway por Puerto del
Dispositiv Interfaz Direccin IP subred defecto switch
R1 Fa0/1 192.168.1.1 255.255.255.0 N/A S1 FA0/5
S1 VLAN 1 192.168.1.2 255.255.255.0 N/A N/A
S2 VLAN 1 192.168.1.3 255.255.255.0 N/A N/A
PC-A NIC 192.168.1.10 255.255.255.0 192.168.1.1 S1 FA0/6
PC-B NIC 192.168.1.11 255.255.255.0 192.168.1.1 S2 FA0/18
Objetivos
Parte 1: Configuracin Bsica del Switch
Construir la topologa.
Configurar el nombre de host, direccin IP y contraseas de acceso.
Parte 2: Configuracin de Acceso SSH a los Switches
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Page 1 of 30
Este documento es Informacin Pblica de Cisco.
CCNA Security
Configurar el acceso SSH al switch.

Configurar un cliente SSH para acceder switch.
Verificar la configuracin.
Parte 3: Asegurar los Puertos Troncales y de Acceso
Configurar el modo de puerto troncal.

Cambiar la VLAN nativa por puertos troncales.
Verificar la configuracin troncal.
Habilitar el control de tormentas para broadcasts.
Configurar los puertos de acceso.
Habilitar PortFast y BPDU guard.
Verificar BPDU guard.
Habilitar root guard.
Configurar seguridad de puertos.
Verificar seguridad de puertos.
Inhabilitar los puertos no utilizados.
Parte 4: Configuracin de SPAN y Monitor Traffic
Configurar Switched Port Analyzer (SPAN).

Monitorear la actividad de los puertos con Wireshark.
Analizar el origen de un ataque.
Escenario
La infraestructura de capa 2 (Enlace de Datos) consiste bsicamente en switches Ethernet interconectados.

La mayora de los dispositivos de usuario final, como computadoras, impresoras, telfonos IP y otros hosts
se conectan a la red va switches de acceso de capa 2. Como resultado, pueden presentar un riesgo para la
seguridad de la red. De manera similar a los routers, los switches estn sujetos a ataques de usuarios
internos maliciosos. El software IOS de Cisco para switches proporciona muchas funciones de seguridad que
son especficas a las funciones y los protocolos de los switches.
En este laboratorio, usted configurar la seguridad de acceso SSH y capa 2 para los switches S1 y S2.
Tambin puede configurar varias medidas de proteccin para el switch, incluyendo seguridad de puerto de
acceso, control de tormentas de switch y funciones del Spanning Tree Protocol (STP) como BPDU guard y
root guard. Adems, utilizar Cisco SPAN para monitorear el trfico a puertos especficos del switch.
Nota: Los comandos de router y su salida pertenecen a un router Cisco 1841 with Cisco IOS Versin
12.4(20)T (Advanced IP image). Los comandos y la salida del switch son de un Cisco WS-C2960-24TT-L con
un IOS versin 12.2(46)SE (C2960-LANBASEK9-M image). Pueden utilizarse otras versiones de equipos e
IOS. Ver la tabla de Resumen de Interfaces del Router al final de esta actividad para determinar qu
identificadores de interfaz deben utilizarse en base al equipamiento del laboratorio. Dependiendo del modelo
de router y de la versin del IOS, los comandos disponibles y la salida generada pueden variar con respecto
a lo presentado en esta prctica de laboratorio.
Nota: Asegurarse de que los routers y los switches han sido limpiados y no poseen configuraciones previas.
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Pgina 2 de 30
CCNA Security
Recursos Requeridos
1 router (Cisco 1841 con IOS versin 12.4(20)T1 o equivalente)
2 switches (Cisco 2960 o equivalente con imagen IOS de cifrado para soportar SSH Versin
12.2(46)SE o equivalente)
PC-A (Windows XP o Vista con un cliente SSH PuTTY y Wireshark)
PC-B (Windows XP o Vista con un cliente SSH PuTTY y SuperScan)
Cables Ethernet de acuerdo a la topologa
Cables Rollover para configurar los routers a travs de la consola
Parte 1: Configuracin bsica del dispositivo

En la Parte 1 de esta prctica de laboratorio, usted configurar la topologa de la red y realizar las
configuraciones bsicas, tales como nombres de host, direcciones IP, el enrutamiento dinmico y las
contraseas de acceso a los dispositivos.
Nota: Todas las Tareas deben realizarse en el router R1 y los switches S1 y S2. El procedimiento para S1 se
muestra aqu como ejemplo.
Paso 1: Conectar los cables de la red como se muestra en la topologa.
Conectar los dispositivos de la red como se muestra en el diagrama de topologa, utilizando los cables
necesarios.
Paso 2: Realizar la configuracin bsica del router y cada switch.
a. Configurar los nombres de host como se muestra en la topologa.
b. Configurar las direcciones IP de las interfaces, de acuerdo a la tabla de direccionamiento IP. Aqu se
muestra la configuracin de la interfaz de administracin de la VLAN 1.
S1(config)#interface vlan 1
S1(config-if)#ip address 192.168.1.2 255.255.255.0
S1(config-if)#no shutdown
c. Configurar las contraseas enable secret y de consola
S1(config)#enable secret cisco12345
S1(config)#line console 0
S1(config-line)#password ciscoconpass
S1(config-line)#exec-timeout 5 0
S1(config-line)#login
S1(config-line)#logging synchronous
Nota: No configure el acceso vty en los switches por ahora. Las lneas vty se configuran en los
switches en la Parte 2 para acceso SSH.
d. Configurar las lneas vty y contraseas en R1.

R1(config)#line vty 0 4
R1(config-line)#password ciscovtypass
R1(config-line)#exec-timeout 5 0
CCNA Security
R1(config-line)#login
e. Para prevenir que el router o switch intente traducir los comandos ingresados incorrectamente,
inhabilite DNS lookup. Aqu se muestra al router R1 como un ejemplo.
R1(config)#no ip domain-lookup
f. El acceso HTTP al switch est habilitado por defecto. Para prevenir el acceso HTTP, inhabilite el
servidor HTTP y el servidor HTTP seguro.
S1(config)#no ip http server
S1(config)#no ip http secure-server
Nota: El switch debe tener una imagen IOS de cifrado para soportar el comando ip http secure-
server. El acceso HTTP al router est inhabilitado por defecto.
Paso 3. Configurar la IP del host PC.
Configurar una direccin IP esttica, mscara de subred y gateway por defecto para la PC-A y la PC-B
como se muestra en la tabla de enrutamiento IP.
Paso 4: Verificar la conectividad de red bsica.
Ejecutar un ping de PC-A y PC-B a la interfaz R1 Fa0/1 en la direccin IP 192.168.1.1. El resultado

fue exitoso? _____
Si el ping no fue exitoso, realice la resolucin de problemas de la configuracin bsica de los

dispositivos antes de continuar.
Ejecutar un ping de PC-A a PC-B. El resultado fue exitoso? _____
Si el ping no fue exitoso, realice la resolucin de problemas de la configuracin bsica de los

dispositivos antes de continuar.
Paso 5: Guardar las configuraciones bsicas del router y ambos switches.
Guarde la configuracin actual a la configuracin de inicio desde el prompt de modo EXEC privilegiado.
S1#copy running-config startup-config
CCNA Security
Parte 2: Configuracin de SSH

En la Parte 2 de este laboratorio, usted configurar los switches S1 y S2 para soportar conexiones SSH e
instalar el software de cliente SSH en las PCs.
Nota: Se requiere una imagen de IOS para switch que soporte cifrado para configurar SSH. De lo contrario,
no podr especificar SSH como protocolo para las lneas vty y los comandos crypto no estarn disponibles.
Tarea 1: Configurar el Servidor SSH en los Switches S1 y S2 Usando la CLI

En esta Tarea, usted usar la CLI para configurar el switch para ser administrado con seguridad usando SSH
en lugar de Telnet. Secure Shell (SSH) es un protocolo de red que establece una conexin de emulacin de
terminal segura a un switch u otro dispositivo de red. SSH cifra toda la informacin que pasa a travs del
enlace de red y proporciona autenticacin en la computadora remota. SSH est reemplazando a Telnet con
rapidez como la herramienta de inicio de sesin remoto privilegiada por los profesionales de las redes.
Nota: Para que un switch soporte SSH, debe configurarse con autenticacin, servicios AAA o nombre de
usuario local. En esta Tarea, usted configurar un nombre de usuario y autenticacin local SSH en S1 y S2.
S1 se muestra aqu como ejemplo.
Paso 1: Configurar un nombre de dominio.
Ingresar al modo de configuracin global y establecer el nombre de dominio.

S1#conf t
S1(config)#ip domain-name ccnasecurity.com
Paso 2: Configurar un usuario privilegiado para ingresar desde el cliente SSH.
a. Usar el comando username para crear el ID de usuario con el nivel ms alto de privilegios posible y
una contrasea secret.
S1(config)#username admin privilege 15 secret cisco12345
b. Salir a la pantalla de inicio de sesin inicial del switch e ingresar con este nombre de usuario. Qu
prompt se muestra luego de ingresar la contrasea?
__________________________________________________________
Paso 3: Configurar las lneas vty de entrada.
a. Configurar el acceso vty en las lneas 0 hasta 4. Especificar un nivel de privilegios de 15 para que el
usuario con el mayor nivel de privilegios (15) ingrese por defecto al modo EXEC privilegiado al
acceder a las lneas vty. Los otros usuarios ingresarn por defecto al modo EXEC de usuario.
Especifique el uso de cuentas de usuario locales para ingreso y validacin obligatorios y acepte solo
conexiones SSH.
S1(config)#line vty 0 4
S1(config-line)#privilege level 15
S1(config-line)#exec-timeout 5 0
S1(config-line)#login local
S1(config-line)#transport input ssh
S1(config-line)#exit
b. Inhabilitar el inicio de sesin para las lneas vty desde la 5 hasta la 15.
S1(config)#line vty 5 15
CCNA Security
S1(config-line)#no login
Paso 4: Generar el par de claves de cifrado RSA para el router.
El switch usa el par de claves RSA para autenticacin y cifrado de datos SSH transmitidos.
Configurar las claves RSA con 1024 como el nmero de bits de mdulo. El nmero por defecto es 512 y
el rango es desde 360 hasta 2048.
S1(config)#crypto key generate rsa general-keys modulus 1024
The name for the keys will be: S1.ccnasecurity.com
% The key modulus size is 1024 bits

% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
S1(config)#
00:15:36: %SSH-5-ENABLED: SSH 1.99 has been enabled
Nota: Los detalles de los mtodos de cifrado se ven en el Captulo 7.
Paso 5: Verificar la configuracin SSH.
a. Usar el comando show ip ssh para ver la configuracin actual.

S1#show ip ssh
b. Completar la siguiente informacin basndose en la salida del comando show ip ssh.
Versin SSH habilitada: __________________
Vencimiento de la autenticacin: __________________
Reintentos de autenticacin: __________________
Paso 6: Configurar los parmetros de vencimiento y autenticacin SSH.
Los parmetros de vencimiento y autenticacin SSH por defecto pueden ser alterados para ser ms
restrictivos utilizando los siguientes comandos.
S1(config)#ip ssh time-out 90
S1(config)#ip ssh authentication-retries 2
Paso 7: Guardar la configuracin actual.

S1#copy running-config startup-config
Tarea 2: Configurar el Cliente SSH

TeraTerm y PuTTY son dos programas de emulacin de terminales que soportan conexiones de cliente
SSHv2. Esta prctica usa PuTTY.
Paso 1: (Opcional) Descargar e instalar un cliente SSH en PC-A y PC-B.
Si el cliente SSH no est ya instalado, descargar TeraTerm o PuTTY.
Nota: El procedimiento descrito aqu es para PuTTY y PC-A.
Paso 2: Verificar la conectividad SSH a S1 de PC-A.

a. Lanzar PuTTY haciendo doble clic sobre el cono putty.exe.
CCNA Security
b. Ingresar la direccin IP de S1 192.168.1.2 en el campo Host Name or IP address.
c. Verificar que el botn de opcin excluyente de SSH est seleccionado. PuTTY usa SSH versin 2 por
defecto.
d. Hacer clic en Open.
e. En la ventana PuTTY Security Alert, hacer clic Yes.
f. Ingresar el nombre de usuario admin y la contrasea cisco12345 en la ventana PuTTY.
g. En el prompt de EXEC privilegiado de S1, ingresar el comando show users.

S1#show users
Qu usuarios estn conectados al switch S1 en este momento?
______________________________________________________________________________
CCNA Security
h. Cerrar la ventana de sesin SSH PuTTy con el comando exit o quit.
i. Intentar abrir una sesin Telnet al switch S1 desde PC-A. Puede hacerlo? Por qu?
_______________________________________________________________
Paso 3: Guardar la configuracin.
Guardar la configuracin actual desde el modo EXEC privilegiado.

R1#copy running-config startup-config
Parte 3: Seguridad de los Puertos Troncales y de Acceso

En la Parte 3 de esta prctica de laboratorio, usted configurar puertos troncales, cambiar la VLAN nativa
de los puertos troncales, verificar la configuracin troncal y habilitar un control de tormentas de broadcast
en los puertos troncales.
Asegurar los puertos troncales puede ayudar a detener ataques de salto de VLAN. La mejor forma de
prevenir un ataque de salto de VLAN bsico es inhabilitar el trunking en todos los puertos excepto los que lo
requieren especficamente. En los puertos troncales requeridos, inhabilitar las negociaciones DTP (trunking
automtico) y habilitar el trunking manualmente. Si no se requiere trunking en una interfaz, configurar el
puerto como puerto de acceso. Esto inhabilita el trunking en la interfaz.
Nota: Las tareas deben ser llevadas a cabo en los switches S1 o S2 segn se indica.
Tarea 1: Asegurar los Puertos Troncales
Paso 1: Configurar el switch S1 como raz.
Para los fines de esta prctica de laboratorio, asuma que el switch S2 es actualmente el puente raz y que el
switch S1 es el preferido como switch raz. Para forzar al S1 a volverse el nuevo puente raz, configurar una
nueva prioridad para l.
a. En la consola de S1, ingresar al modo EXEC privilegiado y luego al modo de configuracin global.
a. La prioridad por defecto de los switches S1 y S2 es 32769 (32768 + 1 con System ID Extension).
Establecer la prioridad de S1 en 0 para volverlo el switch raz.
S1(config)#spanning-tree vlan 1 priority 0
S1(config)#exit
b. Emitir el comando show spanning-tree para verificar que S1 sea el puente raz y para ver los
puertos en uso y su estado.
S1#show spanning-tree
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 1
Address 001d.4635.0c80
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
CCNA Security
Bridge ID Priority 1 (priority 0 sys-id-ext 1)

Address 001d.4635.0c80
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300
Interface Role Sts Cost Prio.Nbr Type

---------------- ---- --- --------- --------
--------------------------------
Fa0/1 Desg FWD 19 128.1 P2p
c. Cul es la prioridad de S1? ______________________________________________________
d. Qu puertos estn siendo usados y cul es su estado? _________________________________
Paso 2: Configurar los puertos troncales en S1 y S2.
a. Configurar el puerto Fa0/1 en S1 como troncal.

S1(config)#interface FastEthernet 0/1
S1(config-if)#switchport mode trunk
b. Configurar el puerto Fa0/1 en S2 como troncal.
S2(config-if)#switchport mode trunk
c. Verificar que el puerto Fa0/1 en S1 est en modo troncal con el comando show interfaces
trunk.
S1#show interfaces trunk
Port Mode Encapsulation Status Native vlan

Fa0/1 on 802.1q trunking 1
Port Vlans allowed on trunk

Fa0/1 1-4094
Port Vlans allowed and active in management domain

Fa0/1 1
Port Vlans in spanning tree forwarding state and not pruned

Fa0/1 1
Paso 3: Cambiar la VLAN nativa de los puertos troncales en S1 y S2.
Cambiar la VLAN nativa de los puertos troncales por una VLAN no utilizada ayuda a prevenir ataques de
salto de VLAN.
a. A partir de la salida del comando show interfaces trunk en el paso anterior, cul es la VLAN
nativa actual de la interfaz troncal Fa0/1 de S1?
______________________________________________
b. Establecer la VLAN nativa en la interfaz troncal Fa0/1 de S1 como la VLAN 99 no utilizada.

S1(config)#interface Fa0/1
S1(config-if)#switchport trunk native vlan 99
CCNA Security
S1(config-if)#end
a. El siguiente mensaje debera aparecer luego de un corto tiempo.
02:16:28: %CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered
on FastEthernet0/1 (99), with S2 FastEthernet0/1 (1).
What does the message mean? __________________________________________________
c. Establecer la VLAN nativa en la interfaz troncal Fa0/1 de S2 como la VLAN 99 no utilizada.

S2(config-if)#switchport trunk native vlan 99
S2(config-if)#end
Paso 4: Prevenir el uso de DTP en S1 y S2.
Hacer que el puerto troncal no negocie tambin ayuda a mitigar los ataques de salto de VLAN, ya que
evita la generacin de tramas DTP.
S1(config-if)#switchport nonegotiate
S2(config-if)#switchport nonegotiate
Paso 5: Verificar la configuracin de trunking en el puerto Fa0/1.

S1#show interface fa0/1 trunk
Port Mode Encapsulation Status Native vlan

Fa0/1 on 802.1q trunking 99
Port Vlans allowed on trunk

Fa0/1 1-4094
Port Vlans allowed and active in management domain

Fa0/1 1
Port Vlans in spanning tree forwarding state and not pruned

Fa0/1 1
S1#show interface fa0/1 switchport
Name: Fa0/1
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: Off
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 99 (Inactive)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk Native VLAN tagging: enabled
Administrative private-vlan trunk encapsulation: dot1q
CCNA Security
Administrative private-vlan trunk normal VLANs: none

Administrative private-vlan trunk private VLANs: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Protected: false
Unknown unicast blocked: disabled
Unknown multicast blocked: disabled
Appliance trust: none
Paso 6: Habilitar el control de tormentas de broadcast.
Habilitar un control de tormentas de broadcast en el puerto troncal con un incremento del 50 por ciento
en el nivel de supresin usando el comando storm-control broadcast.
S1(config-if)#storm-control broadcast level 50

S2(config-if)#storm-control broadcast level 50
Paso 7: Verificar la configuracin con el comando show run.
Usar el comando show run para mostrar la configuracin actual, empezando por la primera lnea que
contiene la cadena de texto 0/1.
S1#show run | beg 0/1
interface FastEthernet0/1
switchport trunk native vlan 99
switchport mode trunk
switchport nonegotiate
storm-control broadcast level 50.00
<Output omitted>
Tarea 2: Asegurar los Puertos de Acceso

Al manipular los parmetros STP del puente raz, los atacantes de redes buscan hacer pasar su sistema o un
rogue switch que agreguen a la red, por el puente raz de la topologa. Si un puerto configurado con PortFast
recibe una BPDU, STP puede bloquear el puerto usando una funcin llamada BPDU guard.
Paso 1: Inhabilitar trunking en los puertos de acceso de S1.
a. En S1, configurar Fa0/5, el puerto al que se conecta R1, como de acceso solamente.
S1(config-if)#switchport mode access
b. En S1, configurar Fa0/6, el puerto al que se conecta PC-A, como de acceso solamente.
c. En S2, configurar Fa0/18, el puerto al que se conecta PC-B, como de acceso solamente.
CCNA Security
Tarea 3: Protegerse contra Ataques STP

La topologa consta solo de dos switches y no tiene conexiones redundantes, pero STP todava est activo.
En este paso, usted habilitar algunas funciones de seguridad de switches que pueden ayudar a reducir la
posibilidad de manipulacin de los switches por un atacante que use mtodos relacionados con STP.
Paso 1: Habilitar PortFast en los puertos de acceso de S1 y S2.
PortFast se configura en los puertos de acceso que se conectan con una sola estacin de trabajo o servidor
para permitirles volverse activos ms rpidamente.
a. Habilitar PortFast en el puerto de acceso Fa0/5 de S1.

S1(config-if)#spanning-tree portfast
Se mostrar el siguiente mensaje de advertencia:

%Warning: portfast should only be enabled on ports connected to a single
host. Connecting hubs, concentrators, switches, bridges, etc... to this
interface when portfast is enabled, can cause temporary bridging loops.
Use with CAUTION
%Portfast has been configured on FastEthernet0/5 but will only

have effect when the interface is in a non-trunking mode.
b. Habilitar PortFast en el puerto de acceso Fa0/6 de S1.
c. Habilitar PortFast en el puerto de acceso Fa0/18 de S1.
Paso 2: Habilitar BPDU guard en los puertos de acceso de S1 y S2
BPDU guard es una funcin que puede ayudar a prevenir rogue switches y falsificacin de los puertos de
acceso.
a. Habilitar BPDU guard en los puertos del switch previamente configurados como de solo acceso.
S1(config-if)#spanning-tree bpduguard enable


b. PortFast y BPDU guard tambin pueden ser habilitados globalmente con los comandos de
configuracin global spanning-tree portfast default y spanning-tree portfast
bpduguard.
CCNA Security
Nota: BPDU guard puede ser habilitado en todos los puertos de acceso que tengan PortFast
habilitado. Estos puertos nunca deben recibir una BPDU. Se prefiere desplegar BPDU guard en los
puertos del lado del usuario para prevenir extensiones de la red por medio de rogue switches. Si un
puerto que tiene BPDU guard habilitado recibe una BPDU, se inhabilita y debe ser rehabilitado
manualmente. Puede configurarse un tiempo de vencimiento en el puerto para que este pueda
recuperarse automticamente luego de un perodo de tiempo determinado.
c. Verificar que BPDU guard est configurado usando el comando show spanning-tree
interface fa0/5 detail en el switch S1.
S1#show spanning-tree interface fa0/5 detail
Port 5 (FastEthernet0/5) of VLAN0001 is designated forwarding

Port path cost 19, Port priority 128, Port Identifier 128.5.
Designated root has priority 1, address 001d.4635.0c80
Designated bridge has priority 1, address 001d.4635.0c80
Designated port id is 128.5, designated path cost 0
Timers: message age 0, forward delay 0, hold 0
Number of transitions to forwarding state: 1
The port is in the portfast mode
Link type is point-to-point by default
Bpdu guard is enabled
BPDU: sent 3349, received 0
Paso 3: (Opcional) Habilitar root guard.
Root guard es otra opcin que ayuda a prevenir rogue switches y spoofing. Root guard puede ser habilitado
en todos los puertos de un switch que no son puertos raz. Normalmente, se encuentra habilitado solo en los
puertos que estn conectados con switches de borde, en los que no deben recibirse nunca BPDUs. Cada
switch debe tener solo un puerto raz que ser la mejor ruta al switch raz.
a. El siguiente comando configura root guard en la interfaz Gi0/1 de S2. Normalmente, esto se hace si
otro switch est conectado a este puerto. Es preferible desplegar root guard en los puertos que se
conectan con switches que no deben ser el puente raz.
S2(config)#interface gigabitEthernet 0/1
S2(config-if)#spanning-tree guard root
b. Emitir el comando show run para verificar que root guard est configurado.
S2#sh run | beg Gig
interface GigabitEthernet0/1
spanning-tree guard root
Nota: El puerto Gi0/1 de S2 no est activo actualmente, por lo que no participa de STP. De lo
contrario, podra usarse el comando show spanning-tree interface Gi0/1 detail.
c. Si un puerto que tiene BPDU guard habilitado recibe una BPDU superior, ingresa a un estado de raz
inconsistente (root-inconsistent state). Usar el comando show spanning-tree
inconsistentports para determinar si actualmente hay puertos que estn recibiendo BPDUs
superiores y no deberan hacerlo.
S2#show spanning-tree inconsistentports
Name Interface Inconsistency

-------------------- ---------------------- ------------------
Number of inconsistent ports (segments) in the system : 0
CCNA Security
Nota: Root guard permite a un switch conectado participar en STP siempre y cuando el dispositivo no
intente ser raz. Si root guard bloquea el puerto, la recuperacin subsiguiente es automtica. Si las
BPDUs superiores se detienen, el puerto vuelve al estado de reenvo.
Tarea 4: Configurar Seguridad de Puertos e Inhabilitar Puertos no Utilizados

Los switches tambin pueden ser vctimas de desbordamientos de tablas CAM, ataques de falsificacin de
MAC y conexiones no autorizadas a sus puertos. En esta tarea, usted configurar la seguridad de los puertos
para limitar el nmero de direcciones MAC que pueden ser aprendidas en un puerto de un switch e inhabilitar
el puerto si ese nmero es excedido.
Paso 1: Registrar la direccin MAC de Fa0/0 en R1.
a. En la CLI del router R1, usar el comando show interface y registrar la direccin MAC de la
interfaz.
R1#show interface fa0/1
FastEthernet0/1 is up, line protocol is up

Hardware is Gt96k FE, address is 001b.5325.256f (bia 001b.5325.256f)
Internet address is 192.168.1.1/24
MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 100Mb/s, 100BaseTX/FX
b. Cul es la direccin MAC de la interfaz Fa0/1 de R1? ____________________________________
Paso 2: Configurar seguridad bsica de puertos.
Este procedimiento debe llevarse a cabo en todos los puertos de acceso en uso. El puerto Fa0/5 del switch
S1 se muestra aqu como ejemplo.
Nota: Debe configurarse un puerto del switch como puerto de acceso para habilitar la seguridad de puertos.
a. En la CLI del switch S1, ingresar al modo de configuracin de la interfaz del puerto que se conecta al
router (Fast Ethernet 0/5).
b. Inhabilitar el puerto del switch.
S1(config-if)#shutdown
c. Habilitar seguridad de puertos en el puerto.
S1(config-if)#switchport port-security
Nota: Al ingresar solo el comando switchport port-security se establece el mximo de
direcciones MAC como 1 y la accin de violacin como inhabilitar el puerto. Los comandos
switchport port-security maximum y switchport port-security violation pueden
ser utilizados para cambiar el comportamiento por defecto.
d. Configurar una entrada esttica para la direccin MAC de la interfaz Fa0/1 de R1 registrada en el
Paso 1.
S1(config-if)#switchport port-security mac-address xxxx.xxxx.xxxx
CCNA Security
(xxxx.xxxx.xxxx is the actual MAC address of the router Fast Ethernet 0/1 interface.)
Nota: Opcionalmente, puede usarse el comando switchport port-security mac-address

sticky para agregar todas las direcciones MAC seguras que se aprenden dinmicamente en un
puerto (hasta el mximo) a la configuracin actual del router.
e. Habilitar el puerto del switch.

Paso 3: Verificar la seguridad de los puertos en Fa0/5 de S1.
a. En S1, emitir el comando show port-security para verificar que se haya configurado la
seguridad de los puertos en Fa0/5 de S1.
S1#show port-security interface f0/5
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 1
Sticky MAC Addresses : 0
Last Source Address:Vlan : 001b.5325.256f:1
Security Violation Count : 0
b. Cul es el estado del puerto Fa0/5?

___________________________________________________
Cul es la ltima direccin de origen (Last Source Address) y VLAN?

_______________________________________________
c. En la CLI del router R1, ejecutar un ping a PC-A para verificar la conectividad. De esta forma,
tambin se asegura de que el switch aprenda la direccin MAC de Fa0/1 en R1.
R1#ping 192.168.1.10
d. Ahora, usted violar la seguridad cambiando la direccin MAC en la interfaz del router. Ingresar al
modo de configuracin de la interfaz Fast Ethernet 0/1 e inhabilitarla.
R1(config)#interface FastEthernet 0/1
R1(config-if)#shutdown
e. Configurar una direccin MAC para la interfaz en la interfaz, utilizando aaaa.bbbb.cccc como nueva
direccin.
R1(config-if)#mac-address aaaa.bbbb.cccc
f. Habilitar la interfaz Fast Ethernet 0/1.
R1(config-if)#no shutdown
R1(config-if)#end
g. En la CLI del router R1, ejecutar un ping a PC-A. Tuvo xito? Por qu?
_______________________________________________________________________________
h. En la consola del switch S1, observar los mensajes cuando el puerto Fa0/5 detecta la direccin MAC
alterada.
CCNA Security
*Jan 14 01:34:39.750: %PM-4-ERR_DISABLE: psecure-violation error

detected on Fa0/5, putting Fa0/5 in err-disable state
*Jan 14 01:34:39.750: %PORT_SECURITY-2-PSECURE_VIOLATION: Security
violation occurred, caused by MAC address aaaa.bbbb.cccc on port
FastEthernet0/5.
*Jan 14 01:34:40.756: %LINEPROTO-5-UPDOWN: Line protocol on Interface
FastEthernet0/5, changed state to down
*Mar 1 01:34:41.755: %LINK-3-UPDOWN: Interface FastEthernet0/5, changed
state to down
i. En el switch, usar los diferentes comandos show port-security para verificar si la seguridad del
puerto ha sido violada.
S1#show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
--------------------------------------------------------------------
Fa0/5 1 1 1 Shutdown
----------------------------------------------------------------------
S1#show port-security interface fastethernet0/5

Port Security : Enabled
Port Status : Secure-shutdown
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 1
Sticky MAC Addresses : 0
Last Source Address:Vlan : aaaa.bbbb.cccc:1
Security Violation Count : 1
S1#show port-security address

Secure Mac Address Table
------------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
1 001b.5325.256f SecureConfigured Fa0/5 -
-----------------------------------------------------------------------
j. En el router, inhabilitar la interfaz Fast Ethernet 0/1, remover la direccin MAC ingresada
estticamente del router y rehabilitar la interfaz.
R1(config)#interface FastEthernet 0/1
R1(config-if)#shutdown
R1(config-if)#no mac-address aaaa.bbbb.cccc
R1(config-if)#no shutdown
Nota: Esto restaurar la direccin MAC original de la interfaz FastEthernet.
k. En R1, intentar ejecutar un nuevo ping a PC-A con la direccin 192.168.1.10. Tuvo xito? Por
qu?
________________________________________________________________________________
CCNA Security
Paso 4: Borrar el estado de error de Fa0/5 en S1.
a. En la consola de S1, limpiar el error y rehabilitar el puerto con los siguientes comandos. Esto
cambiar el estado del puerto de Secure-shutdown a Secure-up.
Nota: Aqu se asume que el dispositivo o interfaz con la direccin MAC alterada ha sido eliminado y
reemplazado por la configuracin inicial.
b. En R1, ejecutar un nuevo ping a PC-A. Esta vez debera tener xito.
R1#ping 192.168.1.10
Paso 5: Eliminar la seguridad bsica de puertos de Fa0/5 en S1.
a. En la consola de S1, eliminar la seguridad del puerto Fa0/5. Este procedimiento tambin puede ser
utilizado para rehabilitar el puerto, pero los comandos de seguridad de puertos debern ser
reconfigurados.
S1(config-if)#no switchport port-security
S1(config-if)#no switchport port-security mac-address 001b.5325.256f
b. Tambin puede utilizar los siguientes comandos para restaurar la configuracin por defecto en la
interfaz.
S1(config-if)#exit
S1(config)#default interface fastethernet 0/5
Nota: El comando default interface tambin requiere la reconfiguracin del

puerto como puerto de acceso para poder rehabilitar los comandos de seguridad.
Paso 6: (Opcional) Configurar la seguridad de puertos para VoIP.
El siguiente ejemplo muestra una configuracin tpica de seguridad de puerto para un puerto de voz. Se
permiten dos direcciones MAC que sern aprendidas dinmicamente. Una de las direcciones MAC es
para el telfono IP y la otra es para la PC conectada al telfono IP. Las violaciones de esta poltica
resultan en la inhabilitacin del puerto. El tiempo de vencimiento de las direcciones MAC est establecido
como de dos horas.
Este ejemplo muestra la configuracin para el puerto Fa0/18 del switch S2.
S2(config-if)#switchport port-security
S2(config-if)#switchport port-security maximum 2
S2(config-if)#switchport port-security violation shutdown
S2(config-if)#switchport port-security mac-address sticky
S2(config-if)#switchport port-security aging time 120
CCNA Security
Paso 7: Inhabilitar los puertos no utilizados en S1 y S2.
Como medida de seguridad adicional, inhabilitar puertos no utilizados en el switch.
a. En el switch S1, se estn utilizando los puertos Fa0/1, Fa0/5 y Fa0/6. Los dems puertos Fast
Ethernet y los dos puertos Gigabit Ethernet debern ser inhabilitados.
S1(config)#interface range Fa0/2 - 4
S1(config-if-range)#shutdown
S1(config-if-range)#interface range Fa0/7 - 24
S1(config-if-range)#interface range gigabitethernet0/1 - 2
b. En el switch S2, se estn utilizando os puertos Fa0/18 y Gi0/1. Los dems puertos Fast Ethernet y
los dos puertos Gigabit Ethernet debern ser inhabilitados.
S2(config)#interface range Fa0/2 - 17
S2(config-if-range)#interface range Fa0/19 - 24
S2(config-if-range)#exit
S2(config)#interface gigabitethernet0/2
Paso 8: (Opcional) Mover los puertos activos a una VLAN diferente de la VLAN 1 por defecto
Como medida de seguridad adicional, usted puede mover todos los puertos de router y usuario final activos a
una VLAN diferente de la VLAN 1 por defecto en ambos switches.
a. Configurar una nueva VLAN para usuarios de cada switch usando los siguientes comandos:
S1(config)#vlan 20
S1(config-vlan)#name Users
S2(config)#vlan 20
S2(config-vlan)#name Users
b. Agregar los puertos de acceso (no troncales) activos a la nueva VLAN.
S1(config)#interface range fa0/5 - 6
S1(config-if)#switchport access vlan 20
S2(config)#interface fa0/18
S2(config-if)#switchport access vlan 20
Nota: Esto prevendr la comunicacin entre los hosts de usuario final y la direccin IP de la VLAN de
administracin en el switch, que actualmente es la VLAN 1. Todava es posible acceder al switch y
configurarlo a travs de una conexin de consola.
Si se necesita proporcionar acceso Telnet o SSH al switch, puede designarse un puerto especfico como
puerto de administracin, agregndolo a la VLAN 1 con una estacin de trabajo especficamente para
administracin. Una solucin ms elaborada sera crear una nueva VLAN para la administracin del switch (o
usar la VLAN 99 nativa existente) y configurar una subred aparte para las VLANs de usuarios y
administracin. Habilite el trunking con subinterfaces en R1 para enrutar entre las subredes de las VLAN de
usuarios y administracin.
CCNA Security
Parte 4: Configuracin de SPAN y Monitoreo de trfico

Nota: Hay dos reas en esta parte de la prctica de laboratorio, la Tarea 1: Opcin 1, que debe llevarse
a cabo con equipos fsicos, y la Tarea 2: Opcin 2, que ha sido modificada para ser compatible con el
sistema NETLAB+ pero puede ser llevada a cabo con equipos fsicos.
El IOS de Cisco proporciona una funcin que puede utilizarse para monitorear ataques de red, llamada
Switched Port Analyzer (SPAN). Adems, el IOS de Cisco soporta SPAN local y remoto (RSPAN). Con SPAN
local, las VLANs origen y los puertos de switch de origen y de destino estn en el mismo switch fsico.
En esta parte de la prctica de laboratorio, usted configurar un SPAN local para que copie trfico de un
puerto, al que est conectado el host, a otro puerto, al que se encuentra conectada una estacin de
monitoreo. Esta estacin estar ejecutando la aplicacin sniffer de paquetes Wireshark para analizar el
trfico.
Nota: SPAN le permite seleccionar y copiar trfico de uno o ms puertos de switch o VLANs origen a uno o
ms puertos destino.
Tarea 1: Opcin 1 Configurar una Sesin SPAN Usando Equipos Fsicos.
Nota: La Opcin 1 asume que usted tiene acceso fsico a los dispositivos mostrados en la
topologa de este laboratorio. Los usuarios de NETLAB+ que accedan a sus equipos
remotamente debern proceder a la Tarea 2: Opcin 2.
Paso 1: Configurar una sesin SPAN en S1 con origen y destino
a. Establecer la interfaz SPAN de origen con el comando monitor session en el modo de

configuracin global. A continuacin se configura un puerto de origen SPAN en FastEthernet 0/5 para
trfico de entrada y salida. El trfico copiado en el puerto de origen puede ser solo de entrada, solo
de salida o ambos. El puerto Fa0/5 del switch S1 est conectado al router R1, por lo que el trfico
desde (entrada) y hacia (salida) el puerto Fa0/5 del switch y R1 ser monitoreado.
S1(config)#monitor session 1 source interface fa0/5 both
Nota: Puede especificar el monitoreo de trfico tx (transmisin) o rx (recepcin). La palabra clave
both incluye tanto a tx como a rx. El origen puede ser una sola interfaz, un rango de interfaces, una
sola VLAN o un rango de VLANs.
b. Establecer la interfaz SPAN de destino.

S1(config)#monitor session 1 destination interface fa0/6
Todo el trfico de Fa0/5 en S1, que est conectado con R1, ser copiado al puerto destino SPAN Fa0/6,
que est conectado con la PC-A con Wireshark.
Nota: El destino puede ser tanto una interfaz como un rango de interfaces.
Paso 2: Verificar la configuracin de la sesin SPAN en S1.
Verificar la configuracin de la sesin SPAN.
S1#show monitor session 1
CCNA Security
Session 1
---------
Type : Local Session
Source Ports :
Both : Fa0/5
Destination Ports : Fa0/6
Encapsulation : Native
Ingress : Disabled
Paso 3: (Opcional) Descargar e instalar Wireshark en PC-A.
a. Wireshark es un analizador de protocolos de red (tambin llamado un sniffer de paquetes)

compatible con Windows XP y Vista. Si Wireshark no est actualmente disponible en PC-A, puede
descargar la ltima versin en http://www.wireshark.org/download.html. Esta prctica de laboratorio
utiliza la versin 1.0.5. La pantalla de instalacin inicial de Wireshark se muestra a continuacin.
b. Hacer clic en I Agree al acuerdo de licencia y aceptar los valores por defecto haciendo clic en Next
cuando sea solicitado.
Nota: En la pantalla Install WinPcap, seleccionar las opciones install WinPcap y luego Start WinPcap
service si desea que otros usuarios puedan ejecutar Wireshark adems de los que tienen acceso
administrativo.
Paso 4: Monitorear la actividad de ping en Fa0/5 del switch S1 con Wireshark en PC-A.
a. Si Wireshark se encuentra disponible, iniciar la aplicacin.
b. En el men principal, seleccionar Capture > Interfaces.
CCNA Security
c. Hacer clic en el botn Start del adaptador de interfaz de red de rea local con la direccin IP
192.168.1.10.
d. Generar trfico desde la PC-B (192.168.1.11) a la interfaz Fa0/1 de R1 (192.168.1.1) ejecutando el

comando ping. Este trfico se dirigir del puerto Fa0/18 de S2 al puerto Fa0/1 de S2 a travs del
enlace troncal al puerto Fa0/1 de S1 y luego saldr por la interfaz Fa0/5 de S1 para llegar a R1.
PC-B:\>ping 192.168.1.1
e. Observar los resultados en Wireshark en PC-A. Notar el broadcast inicial de solicitudes ARP desde la
PC-B (Intel NIC), con el propsito de determinar la direccin MAC de la interfaz Fa0/1 de R1 con
direccin IP 192.168.1.1 y la respuesta ARP de la interfaz Ethernet de Cisco de R1. Luego de la
solicitud ARP, pueden verse pings (solicitudes y respuestas de eco) pasando desde PC-B hacia R1 y
desde R1 hacia PC-B a travs del switch.
Nota: Su pantalla debera ser similar a la que aqu se muestra. Pueden capturarse algunos paquetes
adicionales a los pings, como la respuesta de LOOP de Fa0/1 en R1.
CCNA Security
Paso 5: Monitorear la actividad SuperScan en Fa0/5 del switch S1 con Wireshark en PC-A.
a. Si SuperScan no se encuentra disponible en PC-B, descargar la herramienta SuperScan 4.0 del

grupo Scanning Tools en http://www.foundstone.com. Descomprimir el archivo en una carpeta. El
archivo SuperScan4.exe es ejecutable y no requiere instalacin.
b. Iniciar el programa SuperScan en PC-B. Hacer clic en la pestaa Host and Service Discovery tab.
Marcar la casilla Timestamp Request y desmarcar la casilla Echo Request. Revisar la lista de
seleccin de puertos UDP y TCP y notar el rango de puertos a ser escaneados.
c. En el programa SuperScan, hacer clic sobre la pestaa Scan e ingresar la direccin IP de Fa0/1 en
R1 (192.168.1.1) en el campo Hostname/IP.
d. Hacer clic sobre la flecha derecha para poblar los campos Start IP y End IP.
CCNA Security
e. Limpiar la captura anterior de Wireshark e iniciar una nueva captura haciendo clic sobre Capture >
Start. Cuando se lo solicite, hacer clic en el botn Continue without saving.
f. En el programa SuperScan, hacer clic en el botn de la flecha azul abajo a la izquierda para iniciar el
escaneo.
g. Observar los resultados en la ventana de Wireshark en PC-A. Notar el nmero y los tipos de puertos
probados por el ataque simulado de SuperScan de PC-B (192.168.1.11) a Fa0/1 en R1
(192.168.1.1). Su pantalla debera verse similar a la siguiente:
CCNA Security
Tarea 2: Opcin 2 Configurar una Sesin SPAN con Equipos Remotos

NETLAB+.
Nota: Esta porcin de la prctica de laboratorio ha sido reescrita para mejorar la compatibilidad
con el sistema NETLAB+.
En el switch S1, usted configurar un SPAN local para reflejar el trfico de salida del puerto Fa0/5, en este
caso, el trfico desde PC-A hacia Fa0/1 en R1. Este trfico debe ser recibido por el switch S2 y reenviado a
PC-B, donde Wireshark se encuentra capturando los paquetes. Refirase al siguiente diagrama que ilustra el
flujo de trfico SPAN.
Nota: Para llevar a cabo esta tarea, debe instalarse Wireshark en PC-B.
CCNA Security
Nota: El switch S2 est actuando como un switch normal, reenviando tramas basndose en direcciones MAC
y puertos de switch. El trfico que entra a S2 a travs del puerto Fa0/1 usa la direccin MAC de R1 como
destino para la trama Ethernet, por lo tanto, para reenviar esos paquetes a PC-B, la direccin MAC de R1
debe ser la misma de PC-B. Para lograr esto, la direccin MAC de Fa0/1 en R1 es modificada usando la CLI
del IOS para simular la direccin MAC de PC-B. Este es un requisito especfico del ambiente NETLAB+.
Paso 1: Configurar una sesin SPAN en S1 con origen y destino
a. Devolver las Fa0/1 de S1 y S2 a sus configuraciones iniciales. Este enlace entre Fa0/1 de S1 y Fa0/1
de S2 ser utilizado para transportar el trfico que ser monitoreado.
b. Anotar la direccin MAC de PC-B
Direccin MAC de PC-B: ___________________________
La direccin MAC de PC-B en este ejemplo ser 000c-299a-e61a
c. Configurar la direccin MAC de PC-B en la Fa0/1 de R1.

R1(config)#interface fa0/1
R1(config-if)#mac-address 000c.299a.e61a
d. Establecer la interfaz de origen de SPAN usando el comando monitor session en el modo de

configuracin global. A continuacin se configura un puerto de origen SPAN en FastEthernet 0/5 para
trfico de salida. El trfico copiado en el puerto de origen puede ser solo de entrada, solo de salida o
ambos. El puerto Fa0/5 del switch S1 est conectado al router R1, por lo que el trfico desde
(entrada) y hacia (salida) el puerto Fa0/5 del switch y R1 ser monitoreado.
S1(config)#monitor session 1 source interface fa0/5 tx
CCNA Security
Nota: El origen puede ser una sola interfaz, un rango de interfaces, una sola VLAN o un rango de VLANs.
e. Establecer la interfaz de destino de SPAN.

S1(config)#monitor session 1 destination interface fa0/1
Se copiar todo el trfico de salida de Fa0/5 de S1, que est conectado con R1, al puerto SPAN destino
Fa0/1, al que la PC-B que usa Wireshark est conectada.
Nota: El destino puede ser una interfaz o un rango de interfaces.
Paso 2: Verificar la configuracin de la sesin SPAN en S1.
Confirmar la configuracin de la sesin SPAN con el comando show monitor session 1.
S1#show monitor session 1

Session 1
---------
Type : Local Session
Source Ports :
TX Only : Fa0/5
Destination Ports : Fa0/1
Encapsulation : Native
Ingress : Disabled
Paso 3: (Opcional) Descargar e instalar Wireshark en PC-B.
a. Wireshark es un analizador de protocolos de red (tambin llamado un sniffer de paquetes)

compatible con Windows XP y Vista. Si Wireshark no est actualmente disponible en PC-B, puede
descargar la ltima versin en http://www.wireshark.org/download.html e instalarla como se describe
en la Parte 4, Tarea 1, Paso 3.
Paso 4: Monitorear la actividad de ping en Fa0/5 del switch S1 con Wireshark en PC-B.
a. Si WireShark se encuentra disponible, iniciar la aplicacin.
b. En el men principal, seleccionar Capture > Interfaces.
c. Hacer clic sobre el botn Start del adaptador de interfaz de red de rea local.
d. Generar trfico de PC-A (192.168.1.10) a la interfaz Fa0/1 de R1 (192.168.1.1) ejecutando el

comando ping. Este trfico se dirigir desde el puerto Fa0/6 de S1 al puerto Fa0/5 de S1.
Adicionalmente, el trfico que va desde PC-A hacia la interfaz Fa0/1 de R1 se reenva a travs del
enlace entre S1 y S2, y luego S2 reenviar este trfico a PC-B, donde Wireshark est capturando los
paquetes. Antes de ejecutar los ping, borrar la tabla ARP en PC-A para generar una solicitud ARP.
Notar que la sesin SPAN est configurada solo en S1 y S2 est operando como un switch normal.
C:\>arp d *
C:\>ping 192.168.1.1
e. Observar los resultados en WireShark en PC-B. Notar el broadcast de solicitudes de ARP inicial de
PC-A para determinar la direccin MAC de la interfaz Fa0/1 en R1 con la direccin IP 192.168.1.1 y
CCNA Security
la solicitud ARP de la interfaz Ethernet de Cisco de R1. Luego de la solicitud ARP, pueden verse los
pings (solicitudes de eco) yendo de PC-a a R1 a travs del switch.
Nota: Su pantalla debera verse similar a la siguiente. Pueden capturarse algunos paquetes adicionales
a los pings, como la respuesta de LOOP de Fa0/1 en R1 y los paquetes Spanning Tree.
Paso 5: Monitorear la actividad SuperScan en Fa0/5 del switch S1 con Wireshark en PC-B.
a. Si SuperScan no se encuentra disponible en PC-B, descargar la herramienta SuperScan 4.0 del

grupo Scanning Tools en http://www.foundstone.com. Descomprimir el archivo en una carpeta. El
archivo SuperScan4.exe es ejecutable y no requiere instalacin.
b. Iniciar el programa SuperScan en PC-B. Hacer clic en la pestaa Host and Service Discovery tab.
Marcar la casilla Timestamp Request y desmarcar la casilla Echo Request. Revisar la lista de
seleccin de puertos UDP y TCP y notar el rango de puertos a ser escaneados.
c. En el programa SuperScan, hacer clic sobre la pestaa Scan e ingresar la direccin IP de Fa0/1 en
R1 (192.168.1.1) en el campo Hostname/IP.
d. Hacer clic sobre la flecha derecha para poblar los campos Start IP y End IP.
CCNA Security
e. Limpiar la captura anterior de Wireshark e iniciar una nueva captura haciendo clic sobre Capture >
Start. Cuando se lo solicite, hacer clic en el botn Continue without saving.
f. En el programa SuperScan, hacer clic en el botn de la flecha azul abajo a la izquierda para iniciar el
escaneo.
g. Observar los resultados en la ventana de Wireshark en PC-B. Notar el nmero y los tipos de puertos
probados por el ataque simulado de SuperScan de PC-A (192.168.1.11) a Fa0/1 en R1 (192.168.1.1).
Su pantalla debera verse similar a la siguiente:
CCNA Security
Paso 6: Reflexin.
a. Por qu debe habilitarse seguridad en los puertos de acceso del switch?
________________________________________________________________________________
________________________________________________________________________________
b. Por qu debe habilitarse seguridad en los puertos troncales del switch?

________________________________________________________________________________
________________________________________________________________________________
c. Por que deben deshabilitarse los puertos no utilizados del switch?

________________________________________________________________________________
________________________________________________________________________________
Tabla de Resumen de Interfaces del Router
Resumen de Interfaces del Router

Modelo de Interfaz Ethernet #1 Interfaz Ethernet #2 Interfaz Serial Interfaz Serial #2
Router #1
1700 Fast Ethernet 0 Fast Ethernet 1 Serial 0 (S0) Serial 1 (S1)
CCNA Security
Resumen de Interfaces del Router

(FA0) (FA1)
1800 Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/0/0 Serial 0/0/1
(FA0/0) (FA0/1) (S0/0/0) (S0/0/1)
2600 Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/0 (S0/0) Serial 0/1 (S0/1)
(FA0/0) (FA0/1)
2800 Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/0/0 Serial 0/0/1
(FA0/0) (FA0/1) (S0/0/0) (S0/0/1)
Nota: Para identificar cmo se encuentra configurado el router, mire las interfaces para identificar
el tipo de router y cuntas interfaces posee. No existe un mtodo para listar de forma efectiva
todas las combinaciones de configuracin para cada clase de router. Esta tabla incluye los
identificadores para las combinaciones posibles de interfaces Ethernet y Serial en el dispositivo. La
tabla no incluye otros tipos de interfaces, incluso cuando un router especfico puede tener una. Un
ejemplo de esto puede ser la interfaz ISDN BRi. La cadena entre parntesis es la abreviatura legal
que puede utilizarse en los comandos del IOS para representar a la interfaz.

Seguridad Cap6 Lab-A Asegurando-Capa2 Estudiante

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Seguridad Cap6 Lab-A Asegurando-Capa2 Estudiante

Încărcat de

Drepturi de autor:

Formate disponibile

CCNA Security

Captulo 6 Lab A, Asegurando Switches de Capa 2

Parte 1: Configuracin Bsica del Switch

Parte 2: Configuracin de Acceso SSH a los Switches

Configurar el acceso SSH al switch.

Parte 3: Asegurar los Puertos Troncales y de Acceso

Configurar el modo de puerto troncal.

Parte 4: Configuracin de SPAN y Monitor Traffic

Configurar Switched Port Analyzer (SPAN).

La infraestructura de capa 2 (Enlace de Datos) consiste bsicamente en switches Ethernet interconectados.

1 router (Cisco 1841 con IOS versin 12.4(20)T1 o equivalente)

PC-A (Windows XP o Vista con un cliente SSH PuTTY y Wireshark)

PC-B (Windows XP o Vista con un cliente SSH PuTTY y SuperScan)

Cables Ethernet de acuerdo a la topologa

Cables Rollover para configurar los routers a travs de la consola

Parte 1: Configuracin bsica del dispositivo

Paso 1: Conectar los cables de la red como se muestra en la topologa.

Paso 2: Realizar la configuracin bsica del router y cada switch.

a. Configurar los nombres de host como se muestra en la topologa.

d. Configurar las lneas vty y contraseas en R1.

Paso 3. Configurar la IP del host PC.

Paso 4: Verificar la conectividad de red bsica.

Ejecutar un ping de PC-A y PC-B a la interfaz R1 Fa0/1 en la direccin IP 192.168.1.1. El resultado

Si el ping no fue exitoso, realice la resolucin de problemas de la configuracin bsica de los

Ejecutar un ping de PC-A a PC-B. El resultado fue exitoso? _____

Si el ping no fue exitoso, realice la resolucin de problemas de la configuracin bsica de los

Paso 5: Guardar las configuraciones bsicas del router y ambos switches.

Parte 2: Configuracin de SSH

Tarea 1: Configurar el Servidor SSH en los Switches S1 y S2 Usando la CLI

Paso 1: Configurar un nombre de dominio.

Ingresar al modo de configuracin global y establecer el nombre de dominio.

Paso 2: Configurar un usuario privilegiado para ingresar desde el cliente SSH.

Paso 3: Configurar las lneas vty de entrada.

Paso 4: Generar el par de claves de cifrado RSA para el router.

% The key modulus size is 1024 bits

Paso 5: Verificar la configuracin SSH.

a. Usar el comando show ip ssh para ver la configuracin actual.

Paso 6: Configurar los parmetros de vencimiento y autenticacin SSH.

Paso 7: Guardar la configuracin actual.

Tarea 2: Configurar el Cliente SSH

Paso 1: (Opcional) Descargar e instalar un cliente SSH en PC-A y PC-B.

Si el cliente SSH no est ya instalado, descargar TeraTerm o PuTTY.

Nota: El procedimiento descrito aqu es para PuTTY y PC-A.

Paso 2: Verificar la conectividad SSH a S1 de PC-A.

b. Ingresar la direccin IP de S1 192.168.1.2 en el campo Host Name or IP address.

d. Hacer clic en Open.

e. En la ventana PuTTY Security Alert, hacer clic Yes.

f. Ingresar el nombre de usuario admin y la contrasea cisco12345 en la ventana PuTTY.

g. En el prompt de EXEC privilegiado de S1, ingresar el comando show users.

h. Cerrar la ventana de sesin SSH PuTTy con el comando exit o quit.

Paso 3: Guardar la configuracin.

Guardar la configuracin actual desde el modo EXEC privilegiado.

Parte 3: Seguridad de los Puertos Troncales y de Acceso

Tarea 1: Asegurar los Puertos Troncales

Paso 1: Configurar el switch S1 como raz.

Bridge ID Priority 1 (priority 0 sys-id-ext 1)

Interface Role Sts Cost Prio.Nbr Type

c. Cul es la prioridad de S1? ______________________________________________________

d. Qu puertos estn siendo usados y cul es su estado? _________________________________

Paso 2: Configurar los puertos troncales en S1 y S2.

a. Configurar el puerto Fa0/1 en S1 como troncal.

Port Mode Encapsulation Status Native vlan

Port Vlans allowed on trunk

Port Vlans allowed and active in management domain