Documente Academic
Documente Profesional
Documente Cultură
Tabla de direccionamiento IP
Mscara de Gateway por Puerto del
Dispositiv Interfaz Direccin IP subred defecto switch
R1 Fa0/1 192.168.1.1 255.255.255.0 N/A S1 FA0/5
S1 VLAN 1 192.168.1.2 255.255.255.0 N/A N/A
S2 VLAN 1 192.168.1.3 255.255.255.0 N/A N/A
PC-A NIC 192.168.1.10 255.255.255.0 192.168.1.1 S1 FA0/6
PC-B NIC 192.168.1.11 255.255.255.0 192.168.1.1 S2 FA0/18
Objetivos
Construir la topologa.
Configurar el nombre de host, direccin IP y contraseas de acceso.
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Page 1 of 30
Este documento es Informacin Pblica de Cisco.
CCNA Security
Escenario
En este laboratorio, usted configurar la seguridad de acceso SSH y capa 2 para los switches S1 y S2.
Tambin puede configurar varias medidas de proteccin para el switch, incluyendo seguridad de puerto de
acceso, control de tormentas de switch y funciones del Spanning Tree Protocol (STP) como BPDU guard y
root guard. Adems, utilizar Cisco SPAN para monitorear el trfico a puertos especficos del switch.
Nota: Los comandos de router y su salida pertenecen a un router Cisco 1841 with Cisco IOS Versin
12.4(20)T (Advanced IP image). Los comandos y la salida del switch son de un Cisco WS-C2960-24TT-L con
un IOS versin 12.2(46)SE (C2960-LANBASEK9-M image). Pueden utilizarse otras versiones de equipos e
IOS. Ver la tabla de Resumen de Interfaces del Router al final de esta actividad para determinar qu
identificadores de interfaz deben utilizarse en base al equipamiento del laboratorio. Dependiendo del modelo
de router y de la versin del IOS, los comandos disponibles y la salida generada pueden variar con respecto
a lo presentado en esta prctica de laboratorio.
Nota: Asegurarse de que los routers y los switches han sido limpiados y no poseen configuraciones previas.
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Pgina 2 de 30
Este documento es Informacin Pblica de Cisco.
CCNA Security
Recursos Requeridos
2 switches (Cisco 2960 o equivalente con imagen IOS de cifrado para soportar SSH Versin
12.2(46)SE o equivalente)
Nota: Todas las Tareas deben realizarse en el router R1 y los switches S1 y S2. El procedimiento para S1 se
muestra aqu como ejemplo.
Conectar los dispositivos de la red como se muestra en el diagrama de topologa, utilizando los cables
necesarios.
b. Configurar las direcciones IP de las interfaces, de acuerdo a la tabla de direccionamiento IP. Aqu se
muestra la configuracin de la interfaz de administracin de la VLAN 1.
S1(config)#interface vlan 1
S1(config-if)#ip address 192.168.1.2 255.255.255.0
S1(config-if)#no shutdown
c. Configurar las contraseas enable secret y de consola
S1(config)#enable secret cisco12345
S1(config)#line console 0
S1(config-line)#password ciscoconpass
S1(config-line)#exec-timeout 5 0
S1(config-line)#login
S1(config-line)#logging synchronous
Nota: No configure el acceso vty en los switches por ahora. Las lneas vty se configuran en los
switches en la Parte 2 para acceso SSH.
R1(config-line)#login
e. Para prevenir que el router o switch intente traducir los comandos ingresados incorrectamente,
inhabilite DNS lookup. Aqu se muestra al router R1 como un ejemplo.
R1(config)#no ip domain-lookup
f. El acceso HTTP al switch est habilitado por defecto. Para prevenir el acceso HTTP, inhabilite el
servidor HTTP y el servidor HTTP seguro.
S1(config)#no ip http server
S1(config)#no ip http secure-server
Nota: El switch debe tener una imagen IOS de cifrado para soportar el comando ip http secure-
server. El acceso HTTP al router est inhabilitado por defecto.
Configurar una direccin IP esttica, mscara de subred y gateway por defecto para la PC-A y la PC-B
como se muestra en la tabla de enrutamiento IP.
Guarde la configuracin actual a la configuracin de inicio desde el prompt de modo EXEC privilegiado.
S1#copy running-config startup-config
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Pgina 4 de 30
Este documento es Informacin Pblica de Cisco.
CCNA Security
Nota: Se requiere una imagen de IOS para switch que soporte cifrado para configurar SSH. De lo contrario,
no podr especificar SSH como protocolo para las lneas vty y los comandos crypto no estarn disponibles.
Nota: Para que un switch soporte SSH, debe configurarse con autenticacin, servicios AAA o nombre de
usuario local. En esta Tarea, usted configurar un nombre de usuario y autenticacin local SSH en S1 y S2.
S1 se muestra aqu como ejemplo.
a. Usar el comando username para crear el ID de usuario con el nivel ms alto de privilegios posible y
una contrasea secret.
S1(config)#username admin privilege 15 secret cisco12345
b. Salir a la pantalla de inicio de sesin inicial del switch e ingresar con este nombre de usuario. Qu
prompt se muestra luego de ingresar la contrasea?
__________________________________________________________
a. Configurar el acceso vty en las lneas 0 hasta 4. Especificar un nivel de privilegios de 15 para que el
usuario con el mayor nivel de privilegios (15) ingrese por defecto al modo EXEC privilegiado al
acceder a las lneas vty. Los otros usuarios ingresarn por defecto al modo EXEC de usuario.
Especifique el uso de cuentas de usuario locales para ingreso y validacin obligatorios y acepte solo
conexiones SSH.
S1(config)#line vty 0 4
S1(config-line)#privilege level 15
S1(config-line)#exec-timeout 5 0
S1(config-line)#login local
S1(config-line)#transport input ssh
S1(config-line)#exit
b. Inhabilitar el inicio de sesin para las lneas vty desde la 5 hasta la 15.
S1(config)#line vty 5 15
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Pgina 5 de 30
Este documento es Informacin Pblica de Cisco.
CCNA Security
S1(config-line)#no login
El switch usa el par de claves RSA para autenticacin y cifrado de datos SSH transmitidos.
Configurar las claves RSA con 1024 como el nmero de bits de mdulo. El nmero por defecto es 512 y
el rango es desde 360 hasta 2048.
S1(config)#crypto key generate rsa general-keys modulus 1024
The name for the keys will be: S1.ccnasecurity.com
S1(config)#
00:15:36: %SSH-5-ENABLED: SSH 1.99 has been enabled
Nota: Los detalles de los mtodos de cifrado se ven en el Captulo 7.
Los parmetros de vencimiento y autenticacin SSH por defecto pueden ser alterados para ser ms
restrictivos utilizando los siguientes comandos.
S1(config)#ip ssh time-out 90
S1(config)#ip ssh authentication-retries 2
c. Verificar que el botn de opcin excluyente de SSH est seleccionado. PuTTY usa SSH versin 2 por
defecto.
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Pgina 7 de 30
Este documento es Informacin Pblica de Cisco.
CCNA Security
i. Intentar abrir una sesin Telnet al switch S1 desde PC-A. Puede hacerlo? Por qu?
_______________________________________________________________
Asegurar los puertos troncales puede ayudar a detener ataques de salto de VLAN. La mejor forma de
prevenir un ataque de salto de VLAN bsico es inhabilitar el trunking en todos los puertos excepto los que lo
requieren especficamente. En los puertos troncales requeridos, inhabilitar las negociaciones DTP (trunking
automtico) y habilitar el trunking manualmente. Si no se requiere trunking en una interfaz, configurar el
puerto como puerto de acceso. Esto inhabilita el trunking en la interfaz.
Nota: Las tareas deben ser llevadas a cabo en los switches S1 o S2 segn se indica.
Para los fines de esta prctica de laboratorio, asuma que el switch S2 es actualmente el puente raz y que el
switch S1 es el preferido como switch raz. Para forzar al S1 a volverse el nuevo puente raz, configurar una
nueva prioridad para l.
a. En la consola de S1, ingresar al modo EXEC privilegiado y luego al modo de configuracin global.
a. La prioridad por defecto de los switches S1 y S2 es 32769 (32768 + 1 con System ID Extension).
Establecer la prioridad de S1 en 0 para volverlo el switch raz.
S1(config)#spanning-tree vlan 1 priority 0
S1(config)#exit
b. Emitir el comando show spanning-tree para verificar que S1 sea el puente raz y para ver los
puertos en uso y su estado.
S1#show spanning-tree
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 1
Address 001d.4635.0c80
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Pgina 8 de 30
Este documento es Informacin Pblica de Cisco.
CCNA Security
Cambiar la VLAN nativa de los puertos troncales por una VLAN no utilizada ayuda a prevenir ataques de
salto de VLAN.
a. A partir de la salida del comando show interfaces trunk en el paso anterior, cul es la VLAN
nativa actual de la interfaz troncal Fa0/1 de S1?
______________________________________________
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Pgina 9 de 30
Este documento es Informacin Pblica de Cisco.
CCNA Security
S1(config-if)#end
a. El siguiente mensaje debera aparecer luego de un corto tiempo.
02:16:28: %CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered
on FastEthernet0/1 (99), with S2 FastEthernet0/1 (1).
What does the message mean? __________________________________________________
Hacer que el puerto troncal no negocie tambin ayuda a mitigar los ataques de salto de VLAN, ya que
evita la generacin de tramas DTP.
S1(config)#interface Fa0/1
S1(config-if)#switchport nonegotiate
S2(config)#interface Fa0/1
S2(config-if)#switchport nonegotiate
Name: Fa0/1
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: Off
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 99 (Inactive)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk Native VLAN tagging: enabled
Administrative private-vlan trunk encapsulation: dot1q
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Pgina 10 de 30
Este documento es Informacin Pblica de Cisco.
CCNA Security
Protected: false
Unknown unicast blocked: disabled
Unknown multicast blocked: disabled
Appliance trust: none
Habilitar un control de tormentas de broadcast en el puerto troncal con un incremento del 50 por ciento
en el nivel de supresin usando el comando storm-control broadcast.
S1(config)#interface FastEthernet 0/1
S1(config-if)#storm-control broadcast level 50
Usar el comando show run para mostrar la configuracin actual, empezando por la primera lnea que
contiene la cadena de texto 0/1.
S1#show run | beg 0/1
interface FastEthernet0/1
switchport trunk native vlan 99
switchport mode trunk
switchport nonegotiate
storm-control broadcast level 50.00
<Output omitted>
a. En S1, configurar Fa0/5, el puerto al que se conecta R1, como de acceso solamente.
S1(config)#interface FastEthernet 0/5
S1(config-if)#switchport mode access
b. En S1, configurar Fa0/6, el puerto al que se conecta PC-A, como de acceso solamente.
S1(config)#interface FastEthernet 0/6
S1(config-if)#switchport mode access
c. En S2, configurar Fa0/18, el puerto al que se conecta PC-B, como de acceso solamente.
S2(config)#interface FastEthernet 0/18
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Pgina 11 de 30
Este documento es Informacin Pblica de Cisco.
CCNA Security
PortFast se configura en los puertos de acceso que se conectan con una sola estacin de trabajo o servidor
para permitirles volverse activos ms rpidamente.
BPDU guard es una funcin que puede ayudar a prevenir rogue switches y falsificacin de los puertos de
acceso.
a. Habilitar BPDU guard en los puertos del switch previamente configurados como de solo acceso.
S1(config)#interface FastEthernet 0/5
S1(config-if)#spanning-tree bpduguard enable
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Pgina 12 de 30
Este documento es Informacin Pblica de Cisco.
CCNA Security
Nota: BPDU guard puede ser habilitado en todos los puertos de acceso que tengan PortFast
habilitado. Estos puertos nunca deben recibir una BPDU. Se prefiere desplegar BPDU guard en los
puertos del lado del usuario para prevenir extensiones de la red por medio de rogue switches. Si un
puerto que tiene BPDU guard habilitado recibe una BPDU, se inhabilita y debe ser rehabilitado
manualmente. Puede configurarse un tiempo de vencimiento en el puerto para que este pueda
recuperarse automticamente luego de un perodo de tiempo determinado.
c. Verificar que BPDU guard est configurado usando el comando show spanning-tree
interface fa0/5 detail en el switch S1.
S1#show spanning-tree interface fa0/5 detail
Root guard es otra opcin que ayuda a prevenir rogue switches y spoofing. Root guard puede ser habilitado
en todos los puertos de un switch que no son puertos raz. Normalmente, se encuentra habilitado solo en los
puertos que estn conectados con switches de borde, en los que no deben recibirse nunca BPDUs. Cada
switch debe tener solo un puerto raz que ser la mejor ruta al switch raz.
a. El siguiente comando configura root guard en la interfaz Gi0/1 de S2. Normalmente, esto se hace si
otro switch est conectado a este puerto. Es preferible desplegar root guard en los puertos que se
conectan con switches que no deben ser el puente raz.
S2(config)#interface gigabitEthernet 0/1
S2(config-if)#spanning-tree guard root
b. Emitir el comando show run para verificar que root guard est configurado.
S2#sh run | beg Gig
interface GigabitEthernet0/1
spanning-tree guard root
Nota: El puerto Gi0/1 de S2 no est activo actualmente, por lo que no participa de STP. De lo
contrario, podra usarse el comando show spanning-tree interface Gi0/1 detail.
c. Si un puerto que tiene BPDU guard habilitado recibe una BPDU superior, ingresa a un estado de raz
inconsistente (root-inconsistent state). Usar el comando show spanning-tree
inconsistentports para determinar si actualmente hay puertos que estn recibiendo BPDUs
superiores y no deberan hacerlo.
S2#show spanning-tree inconsistentports
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Pgina 13 de 30
Este documento es Informacin Pblica de Cisco.
CCNA Security
Nota: Root guard permite a un switch conectado participar en STP siempre y cuando el dispositivo no
intente ser raz. Si root guard bloquea el puerto, la recuperacin subsiguiente es automtica. Si las
BPDUs superiores se detienen, el puerto vuelve al estado de reenvo.
a. En la CLI del router R1, usar el comando show interface y registrar la direccin MAC de la
interfaz.
R1#show interface fa0/1
Este procedimiento debe llevarse a cabo en todos los puertos de acceso en uso. El puerto Fa0/5 del switch
S1 se muestra aqu como ejemplo.
Nota: Debe configurarse un puerto del switch como puerto de acceso para habilitar la seguridad de puertos.
a. En la CLI del switch S1, ingresar al modo de configuracin de la interfaz del puerto que se conecta al
router (Fast Ethernet 0/5).
S1(config)#interface FastEthernet 0/5
b. Inhabilitar el puerto del switch.
S1(config-if)#shutdown
c. Habilitar seguridad de puertos en el puerto.
S1(config-if)#switchport port-security
Nota: Al ingresar solo el comando switchport port-security se establece el mximo de
direcciones MAC como 1 y la accin de violacin como inhabilitar el puerto. Los comandos
switchport port-security maximum y switchport port-security violation pueden
ser utilizados para cambiar el comportamiento por defecto.
d. Configurar una entrada esttica para la direccin MAC de la interfaz Fa0/1 de R1 registrada en el
Paso 1.
S1(config-if)#switchport port-security mac-address xxxx.xxxx.xxxx
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Pgina 14 de 30
Este documento es Informacin Pblica de Cisco.
CCNA Security
(xxxx.xxxx.xxxx is the actual MAC address of the router Fast Ethernet 0/1 interface.)
a. En S1, emitir el comando show port-security para verificar que se haya configurado la
seguridad de los puertos en Fa0/5 de S1.
S1#show port-security interface f0/5
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 1
Sticky MAC Addresses : 0
Last Source Address:Vlan : 001b.5325.256f:1
Security Violation Count : 0
c. En la CLI del router R1, ejecutar un ping a PC-A para verificar la conectividad. De esta forma,
tambin se asegura de que el switch aprenda la direccin MAC de Fa0/1 en R1.
R1#ping 192.168.1.10
d. Ahora, usted violar la seguridad cambiando la direccin MAC en la interfaz del router. Ingresar al
modo de configuracin de la interfaz Fast Ethernet 0/1 e inhabilitarla.
R1(config)#interface FastEthernet 0/1
R1(config-if)#shutdown
e. Configurar una direccin MAC para la interfaz en la interfaz, utilizando aaaa.bbbb.cccc como nueva
direccin.
R1(config-if)#mac-address aaaa.bbbb.cccc
f. Habilitar la interfaz Fast Ethernet 0/1.
R1(config-if)#no shutdown
R1(config-if)#end
g. En la CLI del router R1, ejecutar un ping a PC-A. Tuvo xito? Por qu?
_______________________________________________________________________________
h. En la consola del switch S1, observar los mensajes cuando el puerto Fa0/5 detecta la direccin MAC
alterada.
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Pgina 15 de 30
Este documento es Informacin Pblica de Cisco.
CCNA Security
k. En R1, intentar ejecutar un nuevo ping a PC-A con la direccin 192.168.1.10. Tuvo xito? Por
qu?
________________________________________________________________________________
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Pgina 16 de 30
Este documento es Informacin Pblica de Cisco.
CCNA Security
a. En la consola de S1, limpiar el error y rehabilitar el puerto con los siguientes comandos. Esto
cambiar el estado del puerto de Secure-shutdown a Secure-up.
S1(config)#interface FastEthernet 0/5
S1(config-if)#shutdown
S1(config-if)#no shutdown
Nota: Aqu se asume que el dispositivo o interfaz con la direccin MAC alterada ha sido eliminado y
reemplazado por la configuracin inicial.
b. En R1, ejecutar un nuevo ping a PC-A. Esta vez debera tener xito.
R1#ping 192.168.1.10
a. En la consola de S1, eliminar la seguridad del puerto Fa0/5. Este procedimiento tambin puede ser
utilizado para rehabilitar el puerto, pero los comandos de seguridad de puertos debern ser
reconfigurados.
S1(config)#interface FastEthernet 0/5
S1(config-if)#shutdown
S1(config-if)#no switchport port-security
S1(config-if)#no switchport port-security mac-address 001b.5325.256f
S1(config-if)#no shutdown
b. Tambin puede utilizar los siguientes comandos para restaurar la configuracin por defecto en la
interfaz.
S1(config)#interface FastEthernet 0/5
S1(config-if)#shutdown
S1(config-if)#exit
S1(config)#default interface fastethernet 0/5
S1(config)#interface FastEthernet 0/5
S1(config-if)#no shutdown
El siguiente ejemplo muestra una configuracin tpica de seguridad de puerto para un puerto de voz. Se
permiten dos direcciones MAC que sern aprendidas dinmicamente. Una de las direcciones MAC es
para el telfono IP y la otra es para la PC conectada al telfono IP. Las violaciones de esta poltica
resultan en la inhabilitacin del puerto. El tiempo de vencimiento de las direcciones MAC est establecido
como de dos horas.
Este ejemplo muestra la configuracin para el puerto Fa0/18 del switch S2.
S2(config)#interface Fa0/18
S2(config-if)#switchport mode access
S2(config-if)#switchport port-security
S2(config-if)#switchport port-security maximum 2
S2(config-if)#switchport port-security violation shutdown
S2(config-if)#switchport port-security mac-address sticky
S2(config-if)#switchport port-security aging time 120
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Pgina 17 de 30
Este documento es Informacin Pblica de Cisco.
CCNA Security
a. En el switch S1, se estn utilizando los puertos Fa0/1, Fa0/5 y Fa0/6. Los dems puertos Fast
Ethernet y los dos puertos Gigabit Ethernet debern ser inhabilitados.
S1(config)#interface range Fa0/2 - 4
S1(config-if-range)#shutdown
S1(config-if-range)#interface range Fa0/7 - 24
S1(config-if-range)#shutdown
S1(config-if-range)#interface range gigabitethernet0/1 - 2
S1(config-if-range)#shutdown
b. En el switch S2, se estn utilizando os puertos Fa0/18 y Gi0/1. Los dems puertos Fast Ethernet y
los dos puertos Gigabit Ethernet debern ser inhabilitados.
S2(config)#interface range Fa0/2 - 17
S2(config-if-range)#shutdown
S2(config-if-range)#interface range Fa0/19 - 24
S2(config-if-range)#shutdown
S2(config-if-range)#exit
S2(config)#interface gigabitethernet0/2
S2(config-if)#shutdown
Paso 8: (Opcional) Mover los puertos activos a una VLAN diferente de la VLAN 1 por defecto
Como medida de seguridad adicional, usted puede mover todos los puertos de router y usuario final activos a
una VLAN diferente de la VLAN 1 por defecto en ambos switches.
a. Configurar una nueva VLAN para usuarios de cada switch usando los siguientes comandos:
S1(config)#vlan 20
S1(config-vlan)#name Users
S2(config)#vlan 20
S2(config-vlan)#name Users
b. Agregar los puertos de acceso (no troncales) activos a la nueva VLAN.
S1(config)#interface range fa0/5 - 6
S1(config-if)#switchport access vlan 20
S2(config)#interface fa0/18
S2(config-if)#switchport access vlan 20
Nota: Esto prevendr la comunicacin entre los hosts de usuario final y la direccin IP de la VLAN de
administracin en el switch, que actualmente es la VLAN 1. Todava es posible acceder al switch y
configurarlo a travs de una conexin de consola.
Si se necesita proporcionar acceso Telnet o SSH al switch, puede designarse un puerto especfico como
puerto de administracin, agregndolo a la VLAN 1 con una estacin de trabajo especficamente para
administracin. Una solucin ms elaborada sera crear una nueva VLAN para la administracin del switch (o
usar la VLAN 99 nativa existente) y configurar una subred aparte para las VLANs de usuarios y
administracin. Habilite el trunking con subinterfaces en R1 para enrutar entre las subredes de las VLAN de
usuarios y administracin.
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Pgina 18 de 30
Este documento es Informacin Pblica de Cisco.
CCNA Security
El IOS de Cisco proporciona una funcin que puede utilizarse para monitorear ataques de red, llamada
Switched Port Analyzer (SPAN). Adems, el IOS de Cisco soporta SPAN local y remoto (RSPAN). Con SPAN
local, las VLANs origen y los puertos de switch de origen y de destino estn en el mismo switch fsico.
En esta parte de la prctica de laboratorio, usted configurar un SPAN local para que copie trfico de un
puerto, al que est conectado el host, a otro puerto, al que se encuentra conectada una estacin de
monitoreo. Esta estacin estar ejecutando la aplicacin sniffer de paquetes Wireshark para analizar el
trfico.
Nota: SPAN le permite seleccionar y copiar trfico de uno o ms puertos de switch o VLANs origen a uno o
ms puertos destino.
Nota: La Opcin 1 asume que usted tiene acceso fsico a los dispositivos mostrados en la
topologa de este laboratorio. Los usuarios de NETLAB+ que accedan a sus equipos
remotamente debern proceder a la Tarea 2: Opcin 2.
Nota: El destino puede ser tanto una interfaz como un rango de interfaces.
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Pgina 19 de 30
Este documento es Informacin Pblica de Cisco.
CCNA Security
Session 1
---------
Type : Local Session
Source Ports :
Both : Fa0/5
Destination Ports : Fa0/6
Encapsulation : Native
Ingress : Disabled
b. Hacer clic en I Agree al acuerdo de licencia y aceptar los valores por defecto haciendo clic en Next
cuando sea solicitado.
Nota: En la pantalla Install WinPcap, seleccionar las opciones install WinPcap y luego Start WinPcap
service si desea que otros usuarios puedan ejecutar Wireshark adems de los que tienen acceso
administrativo.
Paso 4: Monitorear la actividad de ping en Fa0/5 del switch S1 con Wireshark en PC-A.
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Pgina 20 de 30
Este documento es Informacin Pblica de Cisco.
CCNA Security
c. Hacer clic en el botn Start del adaptador de interfaz de red de rea local con la direccin IP
192.168.1.10.
Nota: Su pantalla debera ser similar a la que aqu se muestra. Pueden capturarse algunos paquetes
adicionales a los pings, como la respuesta de LOOP de Fa0/1 en R1.
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Pgina 21 de 30
Este documento es Informacin Pblica de Cisco.
CCNA Security
Paso 5: Monitorear la actividad SuperScan en Fa0/5 del switch S1 con Wireshark en PC-A.
b. Iniciar el programa SuperScan en PC-B. Hacer clic en la pestaa Host and Service Discovery tab.
Marcar la casilla Timestamp Request y desmarcar la casilla Echo Request. Revisar la lista de
seleccin de puertos UDP y TCP y notar el rango de puertos a ser escaneados.
c. En el programa SuperScan, hacer clic sobre la pestaa Scan e ingresar la direccin IP de Fa0/1 en
R1 (192.168.1.1) en el campo Hostname/IP.
d. Hacer clic sobre la flecha derecha para poblar los campos Start IP y End IP.
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Pgina 22 de 30
Este documento es Informacin Pblica de Cisco.
CCNA Security
e. Limpiar la captura anterior de Wireshark e iniciar una nueva captura haciendo clic sobre Capture >
Start. Cuando se lo solicite, hacer clic en el botn Continue without saving.
f. En el programa SuperScan, hacer clic en el botn de la flecha azul abajo a la izquierda para iniciar el
escaneo.
g. Observar los resultados en la ventana de Wireshark en PC-A. Notar el nmero y los tipos de puertos
probados por el ataque simulado de SuperScan de PC-B (192.168.1.11) a Fa0/1 en R1
(192.168.1.1). Su pantalla debera verse similar a la siguiente:
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Pgina 23 de 30
Este documento es Informacin Pblica de Cisco.
CCNA Security
Nota: Esta porcin de la prctica de laboratorio ha sido reescrita para mejorar la compatibilidad
con el sistema NETLAB+.
En el switch S1, usted configurar un SPAN local para reflejar el trfico de salida del puerto Fa0/5, en este
caso, el trfico desde PC-A hacia Fa0/1 en R1. Este trfico debe ser recibido por el switch S2 y reenviado a
PC-B, donde Wireshark se encuentra capturando los paquetes. Refirase al siguiente diagrama que ilustra el
flujo de trfico SPAN.
Nota: Para llevar a cabo esta tarea, debe instalarse Wireshark en PC-B.
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Pgina 24 de 30
Este documento es Informacin Pblica de Cisco.
CCNA Security
Nota: El switch S2 est actuando como un switch normal, reenviando tramas basndose en direcciones MAC
y puertos de switch. El trfico que entra a S2 a travs del puerto Fa0/1 usa la direccin MAC de R1 como
destino para la trama Ethernet, por lo tanto, para reenviar esos paquetes a PC-B, la direccin MAC de R1
debe ser la misma de PC-B. Para lograr esto, la direccin MAC de Fa0/1 en R1 es modificada usando la CLI
del IOS para simular la direccin MAC de PC-B. Este es un requisito especfico del ambiente NETLAB+.
a. Devolver las Fa0/1 de S1 y S2 a sus configuraciones iniciales. Este enlace entre Fa0/1 de S1 y Fa0/1
de S2 ser utilizado para transportar el trfico que ser monitoreado.
S1(config)#default interface fastethernet 0/1
S2(config)#default interface fastethernet 0/1
b. Anotar la direccin MAC de PC-B
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Pgina 25 de 30
Este documento es Informacin Pblica de Cisco.
CCNA Security
Nota: El origen puede ser una sola interfaz, un rango de interfaces, una sola VLAN o un rango de VLANs.
Se copiar todo el trfico de salida de Fa0/5 de S1, que est conectado con R1, al puerto SPAN destino
Fa0/1, al que la PC-B que usa Wireshark est conectada.
Paso 4: Monitorear la actividad de ping en Fa0/5 del switch S1 con Wireshark en PC-B.
c. Hacer clic sobre el botn Start del adaptador de interfaz de red de rea local.
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Pgina 26 de 30
Este documento es Informacin Pblica de Cisco.
CCNA Security
la solicitud ARP de la interfaz Ethernet de Cisco de R1. Luego de la solicitud ARP, pueden verse los
pings (solicitudes de eco) yendo de PC-a a R1 a travs del switch.
Nota: Su pantalla debera verse similar a la siguiente. Pueden capturarse algunos paquetes adicionales
a los pings, como la respuesta de LOOP de Fa0/1 en R1 y los paquetes Spanning Tree.
Paso 5: Monitorear la actividad SuperScan en Fa0/5 del switch S1 con Wireshark en PC-B.
b. Iniciar el programa SuperScan en PC-B. Hacer clic en la pestaa Host and Service Discovery tab.
Marcar la casilla Timestamp Request y desmarcar la casilla Echo Request. Revisar la lista de
seleccin de puertos UDP y TCP y notar el rango de puertos a ser escaneados.
c. En el programa SuperScan, hacer clic sobre la pestaa Scan e ingresar la direccin IP de Fa0/1 en
R1 (192.168.1.1) en el campo Hostname/IP.
d. Hacer clic sobre la flecha derecha para poblar los campos Start IP y End IP.
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Pgina 27 de 30
Este documento es Informacin Pblica de Cisco.
CCNA Security
e. Limpiar la captura anterior de Wireshark e iniciar una nueva captura haciendo clic sobre Capture >
Start. Cuando se lo solicite, hacer clic en el botn Continue without saving.
f. En el programa SuperScan, hacer clic en el botn de la flecha azul abajo a la izquierda para iniciar el
escaneo.
g. Observar los resultados en la ventana de Wireshark en PC-B. Notar el nmero y los tipos de puertos
probados por el ataque simulado de SuperScan de PC-A (192.168.1.11) a Fa0/1 en R1 (192.168.1.1).
Su pantalla debera verse similar a la siguiente:
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Pgina 28 de 30
Este documento es Informacin Pblica de Cisco.
CCNA Security
Paso 6: Reflexin.
a. Por qu debe habilitarse seguridad en los puertos de acceso del switch?
________________________________________________________________________________
________________________________________________________________________________
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright 19922009). Todos los derechos reservados. Pgina 30 de 30
Este documento es Informacin Pblica de Cisco.