Está en la página 1de 30

CCNA Security

Capítulo 6 Lab A, Asegurando Switches de Capa 2
Topología

Tabla de direccionamiento IP
Máscara de Gateway por Puerto del
Dispositiv Interfaz Dirección IP subred defecto switch
R1 Fa0/1 192.168.1.1 255.255.255.0 N/A S1 FA0/5
S1 VLAN 1 192.168.1.2 255.255.255.0 N/A N/A
S2 VLAN 1 192.168.1.3 255.255.255.0 N/A N/A
PC-A NIC 192.168.1.10 255.255.255.0 192.168.1.1 S1 FA0/6
PC-B NIC 192.168.1.11 255.255.255.0 192.168.1.1 S2 FA0/18

Objetivos

Parte 1: Configuración Básica del Switch

 Construir la topología.
 Configurar el nombre de host, dirección IP y contraseñas de acceso.

Parte 2: Configuración de Acceso SSH a los Switches

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Page 1 of 30
Este documento es Información Pública de Cisco.

CCNA Security

 Configurar el acceso SSH al switch.
 Configurar un cliente SSH para acceder switch.
 Verificar la configuración.

Parte 3: Asegurar los Puertos Troncales y de Acceso

 Configurar el modo de puerto troncal.
 Cambiar la VLAN nativa por puertos troncales.
 Verificar la configuración troncal.
 Habilitar el control de tormentas para broadcasts.
 Configurar los puertos de acceso.
 Habilitar PortFast y BPDU guard.
 Verificar BPDU guard.
 Habilitar root guard.
 Configurar seguridad de puertos.
 Verificar seguridad de puertos.
 Inhabilitar los puertos no utilizados.

Parte 4: Configuración de SPAN y Monitor Traffic

 Configurar Switched Port Analyzer (SPAN).
 Monitorear la actividad de los puertos con Wireshark.
 Analizar el origen de un ataque.

Escenario

La infraestructura de capa 2 (Enlace de Datos) consiste básicamente en switches Ethernet interconectados.
La mayoría de los dispositivos de usuario final, como computadoras, impresoras, teléfonos IP y otros hosts
se conectan a la red vía switches de acceso de capa 2. Como resultado, pueden presentar un riesgo para la
seguridad de la red. De manera similar a los routers, los switches están sujetos a ataques de usuarios
internos maliciosos. El software IOS de Cisco para switches proporciona muchas funciones de seguridad que
son específicas a las funciones y los protocolos de los switches.

En este laboratorio, usted configurará la seguridad de acceso SSH y capa 2 para los switches S1 y S2.
También puede configurar varias medidas de protección para el switch, incluyendo seguridad de puerto de
acceso, control de tormentas de switch y funciones del Spanning Tree Protocol (STP) como BPDU guard y
root guard. Además, utilizará Cisco SPAN para monitorear el tráfico a puertos específicos del switch.

Nota: Los comandos de router y su salida pertenecen a un router Cisco 1841 with Cisco IOS Versión
12.4(20)T (Advanced IP image). Los comandos y la salida del switch son de un Cisco WS-C2960-24TT-L con
un IOS versión 12.2(46)SE (C2960-LANBASEK9-M image). Pueden utilizarse otras versiones de equipos e
IOS. Ver la tabla de Resumen de Interfaces del Router al final de esta actividad para determinar qué
identificadores de interfaz deben utilizarse en base al equipamiento del laboratorio. Dependiendo del modelo
de router y de la versión del IOS, los comandos disponibles y la salida generada pueden variar con respecto
a lo presentado en esta práctica de laboratorio.

Nota: Asegurarse de que los routers y los switches han sido limpiados y no poseen configuraciones previas.

Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 2 de 30
Este documento es Información Pública de Cisco.

CCNA Security

Recursos Requeridos

 1 router (Cisco 1841 con IOS versión 12.4(20)T1 o equivalente)

 2 switches (Cisco 2960 o equivalente con imagen IOS de cifrado para soportar SSH – Versión
12.2(46)SE o equivalente)

 PC-A (Windows XP o Vista con un cliente SSH PuTTY y Wireshark)

 PC-B (Windows XP o Vista con un cliente SSH PuTTY y SuperScan)

 Cables Ethernet de acuerdo a la topología

 Cables Rollover para configurar los routers a través de la consola

Parte 1: Configuración básica del dispositivo
En la Parte 1 de esta práctica de laboratorio, usted configurará la topología de la red y realizará las
configuraciones básicas, tales como nombres de host, direcciones IP, el enrutamiento dinámico y las
contraseñas de acceso a los dispositivos.

Nota: Todas las Tareas deben realizarse en el router R1 y los switches S1 y S2. El procedimiento para S1 se
muestra aquí como ejemplo.

Paso 1: Conectar los cables de la red como se muestra en la topología.

Conectar los dispositivos de la red como se muestra en el diagrama de topología, utilizando los cables
necesarios.

Paso 2: Realizar la configuración básica del router y cada switch.

a. Configurar los nombres de host como se muestra en la topología.

b. Configurar las direcciones IP de las interfaces, de acuerdo a la tabla de direccionamiento IP. Aquí se
muestra la configuración de la interfaz de administración de la VLAN 1.
S1(config)#interface vlan 1
S1(config-if)#ip address 192.168.1.2 255.255.255.0
S1(config-if)#no shutdown
c. Configurar las contraseñas enable secret y de consola
S1(config)#enable secret cisco12345
S1(config)#line console 0
S1(config-line)#password ciscoconpass
S1(config-line)#exec-timeout 5 0
S1(config-line)#login
S1(config-line)#logging synchronous
Nota: No configure el acceso vty en los switches por ahora. Las líneas vty se configuran en los
switches en la Parte 2 para acceso SSH.

d. Configurar las líneas vty y contraseñas en R1.
R1(config)#line vty 0 4
R1(config-line)#password ciscovtypass
R1(config-line)#exec-timeout 5 0
Todos los contenidos son propiedad intelectual de Cisco Systems, Inc. (Copyright © 1992–2009). Todos los derechos reservados. Página 3 de 30
Este documento es Información Pública de Cisco.

Paso 5: Guardar las configuraciones básicas del router y ambos switches. (Copyright © 1992–2009). Configurar una dirección IP estática.1. Ejecutar un ping de PC-A a PC-B. inhabilite el servidor HTTP y el servidor HTTP seguro. realice la resolución de problemas de la configuración básica de los dispositivos antes de continuar. R1(config)#no ip domain-lookup f. realice la resolución de problemas de la configuración básica de los dispositivos antes de continuar. Guarde la configuración actual a la configuración de inicio desde el prompt de modo EXEC privilegiado. ¿El resultado fue exitoso? _____ Si el ping no fue exitoso. El acceso HTTP al router está inhabilitado por defecto. S1(config)#no ip http server S1(config)#no ip http secure-server Nota: El switch debe tener una imagen IOS de cifrado para soportar el comando ip http secure- server. Aquí se muestra al router R1 como un ejemplo. . Para prevenir que el router o switch intente traducir los comandos ingresados incorrectamente. Página 4 de 30 Este documento es Información Pública de Cisco. ¿El resultado fue exitoso? _____ Si el ping no fue exitoso. Para prevenir el acceso HTTP. Paso 3.1.168.CCNA Security R1(config-line)#login e. Todos los derechos reservados. Configurar la IP del host PC. inhabilite DNS lookup. Ejecutar un ping de PC-A y PC-B a la interfaz R1 Fa0/1 en la dirección IP 192. Inc. El acceso HTTP al switch está habilitado por defecto. máscara de subred y gateway por defecto para la PC-A y la PC-B como se muestra en la tabla de enrutamiento IP. Paso 4: Verificar la conectividad de red básica. S1#copy running-config startup-config Todos los contenidos son propiedad intelectual de Cisco Systems.

De lo contrario. Nota: Se requiere una imagen de IOS para switch que soporte cifrado para configurar SSH. Página 5 de 30 Este documento es Información Pública de Cisco.com Paso 2: Configurar un usuario privilegiado para ingresar desde el cliente SSH. Salir a la pantalla de inicio de sesión inicial del switch e ingresar con este nombre de usuario. SSH está reemplazando a Telnet con rapidez como la herramienta de inicio de sesión remoto privilegiada por los profesionales de las redes. no podrá especificar SSH como protocolo para las líneas vty y los comandos crypto no estarán disponibles. debe configurarse con autenticación. Especifique el uso de cuentas de usuario locales para ingreso y validación obligatorios y acepte solo conexiones SSH. Ingresar al modo de configuración global y establecer el nombre de dominio. . Usar el comando username para crear el ID de usuario con el nivel más alto de privilegios posible y una contraseña secret. S1(config)#line vty 0 4 S1(config-line)#privilege level 15 S1(config-line)#exec-timeout 5 0 S1(config-line)#login local S1(config-line)#transport input ssh S1(config-line)#exit b. ¿Qué prompt se muestra luego de ingresar la contraseña? __________________________________________________________ Paso 3: Configurar las líneas vty de entrada. S1#conf t S1(config)#ip domain-name ccnasecurity. S1(config)#username admin privilege 15 secret cisco12345 b. usted configurará un nombre de usuario y autenticación local SSH en S1 y S2. Tarea 1: Configurar el Servidor SSH en los Switches S1 y S2 Usando la CLI En esta Tarea. a. (Copyright © 1992–2009). Todos los derechos reservados. Paso 1: Configurar un nombre de dominio. S1(config)#line vty 5 15 Todos los contenidos son propiedad intelectual de Cisco Systems. Nota: Para que un switch soporte SSH. S1 se muestra aquí como ejemplo. usted usará la CLI para configurar el switch para ser administrado con seguridad usando SSH en lugar de Telnet.CCNA Security Parte 2: Configuración de SSH En la Parte 2 de este laboratorio. Secure Shell (SSH) es un protocolo de red que establece una conexión de emulación de terminal segura a un switch u otro dispositivo de red. Inhabilitar el inicio de sesión para las líneas vty desde la 5 hasta la 15. Configurar el acceso vty en las líneas 0 hasta 4. Inc. servicios AAA o nombre de usuario local. usted configurará los switches S1 y S2 para soportar conexiones SSH e instalará el software de cliente SSH en las PCs. En esta Tarea. Especificar un nivel de privilegios de 15 para que el usuario con el mayor nivel de privilegios (15) ingrese por defecto al modo EXEC privilegiado al acceder a las líneas vty. SSH cifra toda la información que pasa a través del enlace de red y proporciona autenticación en la computadora remota. Los otros usuarios ingresarán por defecto al modo EXEC de usuario. a.

.. Nota: El procedimiento descrito aquí es para PuTTY y PC-A. S1#copy running-config startup-config Tarea 2: Configurar el Cliente SSH TeraTerm y PuTTY son dos programas de emulación de terminales que soportan conexiones de cliente SSHv2. Esta práctica usa PuTTY.[OK] S1(config)# 00:15:36: %SSH-5-ENABLED: SSH 1. keys will be non-exportable. Inc.com % The key modulus size is 1024 bits % Generating 1024 bit RSA keys. Configurar las claves RSA con 1024 como el número de bits de módulo.99 has been enabled Nota: Los detalles de los métodos de cifrado se ven en el Capítulo 7. Paso 2: Verificar la conectividad SSH a S1 de PC-A. Usar el comando show ip ssh para ver la configuración actual. a. Paso 5: Verificar la configuración SSH.exe. Todos los derechos reservados. El switch usa el par de claves RSA para autenticación y cifrado de datos SSH transmitidos. descargar TeraTerm o PuTTY. S1(config)#ip ssh time-out 90 S1(config)#ip ssh authentication-retries 2 Paso 7: Guardar la configuración actual. Página 6 de 30 Este documento es Información Pública de Cisco. Paso 1: (Opcional) Descargar e instalar un cliente SSH en PC-A y PC-B. Lanzar PuTTY haciendo doble clic sobre el ícono putty. a.CCNA Security S1(config-line)#no login Paso 4: Generar el par de claves de cifrado RSA para el router. S1#show ip ssh b. Si el cliente SSH no está ya instalado. Versión SSH habilitada: __________________ Vencimiento de la autenticación: __________________ Reintentos de autenticación: __________________ Paso 6: Configurar los parámetros de vencimiento y autenticación SSH. Completar la siguiente información basándose en la salida del comando show ip ssh. Todos los contenidos son propiedad intelectual de Cisco Systems. S1(config)#crypto key generate rsa general-keys modulus 1024 The name for the keys will be: S1. El número por defecto es 512 y el rango es desde 360 hasta 2048. .ccnasecurity. Los parámetros de vencimiento y autenticación SSH por defecto pueden ser alterados para ser más restrictivos utilizando los siguientes comandos. (Copyright © 1992–2009).

1. e. Inc. PuTTY usa SSH versión 2 por defecto. g. Verificar que el botón de opción excluyente de SSH esté seleccionado. S1#show users ¿Qué usuarios están conectados al switch S1 en este momento? ______________________________________________________________________________ Todos los contenidos son propiedad intelectual de Cisco Systems.2 en el campo Host Name or IP address. Hacer clic en Open. Página 7 de 30 Este documento es Información Pública de Cisco. En el prompt de EXEC privilegiado de S1.168. d. Ingresar el nombre de usuario admin y la contraseña cisco12345 en la ventana PuTTY. En la ventana PuTTY Security Alert. Todos los derechos reservados. hacer clic Yes.CCNA Security b. f. c. (Copyright © 1992–2009). . ingresar el comando show users. Ingresar la dirección IP de S1 192.

La mejor forma de prevenir un ataque de salto de VLAN básico es inhabilitar el trunking en todos los puertos excepto los que lo requieren específicamente. ¿Puede hacerlo? ¿Por qué? _______________________________________________________________ Paso 3: Guardar la configuración. Asegurar los puertos troncales puede ayudar a detener ataques de salto de VLAN. Establecer la prioridad de S1 en 0 para volverlo el switch raíz. ingresar al modo EXEC privilegiado y luego al modo de configuración global. Nota: Las tareas deben ser llevadas a cabo en los switches S1 o S2 según se indica.0c80 This bridge is the root Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Todos los contenidos son propiedad intelectual de Cisco Systems. Cerrar la ventana de sesión SSH PuTTy con el comando exit o quit. S1(config)#spanning-tree vlan 1 priority 0 S1(config)#exit b. Para forzar al S1 a volverse el nuevo puente raíz. (Copyright © 1992–2009). R1#copy running-config startup-config Parte 3: Seguridad de los Puertos Troncales y de Acceso En la Parte 3 de esta práctica de laboratorio. Si no se requiere trunking en una interfaz. Guardar la configuración actual desde el modo EXEC privilegiado. a. verificará la configuración troncal y habilitará un control de tormentas de broadcast en los puertos troncales. a. En los puertos troncales requeridos. . La prioridad por defecto de los switches S1 y S2 es 32769 (32768 + 1 con System ID Extension). i. S1#show spanning-tree VLAN0001 Spanning tree enabled protocol ieee Root ID Priority 1 Address 001d. cambiará la VLAN nativa de los puertos troncales. Inc.CCNA Security h. inhabilitar las negociaciones DTP (trunking automático) y habilitar el trunking manualmente.4635. Emitir el comando show spanning-tree para verificar que S1 sea el puente raíz y para ver los puertos en uso y su estado. En la consola de S1. Esto inhabilita el trunking en la interfaz. configurar una nueva prioridad para él. Página 8 de 30 Este documento es Información Pública de Cisco. asuma que el switch S2 es actualmente el puente raíz y que el switch S1 es el preferido como switch raíz. configurar el puerto como puerto de acceso. Intentar abrir una sesión Telnet al switch S1 desde PC-A. Todos los derechos reservados. usted configurará puertos troncales. Para los fines de esta práctica de laboratorio. Tarea 1: Asegurar los Puertos Troncales Paso 1: Configurar el switch S1 como raíz.

1 P2p Fa0/5 Desg FWD 19 128. a. Verificar que el puerto Fa0/1 en S1 esté en modo troncal con el comando show interfaces trunk. a.5 P2p Fa0/6 Desg FWD 19 128. Establecer la VLAN nativa en la interfaz troncal Fa0/1 de S1 como la VLAN 99 no utilizada. S1(config)#interface FastEthernet 0/1 S1(config-if)#switchport mode trunk b. Inc. ¿Qué puertos están siendo usados y cuál es su estado? _________________________________ Paso 2: Configurar los puertos troncales en S1 y S2.--------. Configurar el puerto Fa0/1 en S2 como troncal.1q trunking 1 Port Vlans allowed on trunk Fa0/1 1-4094 Port Vlans allowed and active in management domain Fa0/1 1 Port Vlans in spanning tree forwarding state and not pruned Fa0/1 1 Paso 3: Cambiar la VLAN nativa de los puertos troncales en S1 y S2. S1#show interfaces trunk Port Mode Encapsulation Status Native vlan Fa0/1 on 802. .4635. ¿Cuál es la prioridad de S1? ______________________________________________________ d. S2(config)#interface FastEthernet 0/1 S2(config-if)#switchport mode trunk c. -------- -------------------------------- Fa0/1 Desg FWD 19 128.CCNA Security Bridge ID Priority 1 (priority 0 sys-id-ext 1) Address 001d. ¿cuál es la VLAN nativa actual de la interfaz troncal Fa0/1 de S1? ______________________________________________ b.--. Cambiar la VLAN nativa de los puertos troncales por una VLAN no utilizada ayuda a prevenir ataques de salto de VLAN.---. A partir de la salida del comando show interfaces trunk en el paso anterior. S1(config)#interface Fa0/1 S1(config-if)#switchport trunk native vlan 99 Todos los contenidos son propiedad intelectual de Cisco Systems.0c80 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 Interface Role Sts Cost Prio. Todos los derechos reservados.6 P2p c. (Copyright © 1992–2009).Nbr Type ---------------. Página 9 de 30 Este documento es Información Pública de Cisco. Configurar el puerto Fa0/1 en S1 como troncal.

Establecer la VLAN nativa en la interfaz troncal Fa0/1 de S2 como la VLAN 99 no utilizada. ya que evita la generación de tramas DTP.1q trunking 99 Port Vlans allowed on trunk Fa0/1 1-4094 Port Vlans allowed and active in management domain Fa0/1 1 Port Vlans in spanning tree forwarding state and not pruned Fa0/1 1 S1#show interface fa0/1 switchport Name: Fa0/1 Switchport: Enabled Administrative Mode: trunk Operational Mode: trunk Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: dot1q Negotiation of Trunking: Off Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 99 (Inactive) Administrative Native VLAN tagging: enabled Voice VLAN: none Administrative private-vlan host-association: none Administrative private-vlan mapping: none Administrative private-vlan trunk native VLAN: none Administrative private-vlan trunk Native VLAN tagging: enabled Administrative private-vlan trunk encapsulation: dot1q Todos los contenidos son propiedad intelectual de Cisco Systems. . What does the message mean? __________________________________________________ c. El siguiente mensaje debería aparecer luego de un corto tiempo. 02:16:28: %CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on FastEthernet0/1 (99). S1#show interface fa0/1 trunk Port Mode Encapsulation Status Native vlan Fa0/1 on 802. (Copyright © 1992–2009). Página 10 de 30 Este documento es Información Pública de Cisco. S1(config)#interface Fa0/1 S1(config-if)#switchport nonegotiate S2(config)#interface Fa0/1 S2(config-if)#switchport nonegotiate Paso 5: Verificar la configuración de trunking en el puerto Fa0/1.CCNA Security S1(config-if)#end a. with S2 FastEthernet0/1 (1). Hacer que el puerto troncal no negocie también ayuda a mitigar los ataques de salto de VLAN. Inc. Todos los derechos reservados. S2(config)#interface Fa0/1 S2(config-if)#switchport trunk native vlan 99 S2(config-if)#end Paso 4: Prevenir el uso de DTP en S1 y S2.

En S2. los atacantes de redes buscan hacer pasar su sistema o un rogue switch que agreguen a la red. el puerto al que se conecta PC-A. S1(config)#interface FastEthernet 0/6 S1(config-if)#switchport mode access c. Página 11 de 30 Este documento es Información Pública de Cisco. En S1. Todos los derechos reservados. STP puede bloquear el puerto usando una función llamada BPDU guard. Si un puerto configurado con PortFast recibe una BPDU. Usar el comando show run para mostrar la configuración actual. empezando por la primera línea que contiene la cadena de texto “0/1”. S1#show run | beg 0/1 interface FastEthernet0/1 switchport trunk native vlan 99 switchport mode trunk switchport nonegotiate storm-control broadcast level 50. . configurar Fa0/6. a. configurar Fa0/18. el puerto al que se conecta R1. Paso 1: Inhabilitar trunking en los puertos de acceso de S1. (Copyright © 1992–2009). como de acceso solamente. por el puente raíz de la topología. configurar Fa0/5. S1(config)#interface FastEthernet 0/5 S1(config-if)#switchport mode access b. como de acceso solamente. Habilitar un control de tormentas de broadcast en el puerto troncal con un incremento del 50 por ciento en el nivel de supresión usando el comando storm-control broadcast. En S1.CCNA Security Administrative private-vlan trunk normal VLANs: none Administrative private-vlan trunk private VLANs: none Operational private-vlan: none Trunking VLANs Enabled: ALL Pruning VLANs Enabled: 2-1001 Capture Mode Disabled Capture VLANs Allowed: ALL Protected: false Unknown unicast blocked: disabled Unknown multicast blocked: disabled Appliance trust: none Paso 6: Habilitar el control de tormentas de broadcast. como de acceso solamente. Inc. S1(config)#interface FastEthernet 0/1 S1(config-if)#storm-control broadcast level 50 S2(config)#interface FastEthernet 0/1 S2(config-if)#storm-control broadcast level 50 Paso 7: Verificar la configuración con el comando show run.00 <Output omitted> Tarea 2: Asegurar los Puertos de Acceso Al manipular los parámetros STP del puente raíz. S2(config)#interface FastEthernet 0/18 Todos los contenidos son propiedad intelectual de Cisco Systems. el puerto al que se conecta PC-B.

(Copyright © 1992–2009). Habilitar PortFast en el puerto de acceso Fa0/6 de S1. . Habilitar PortFast en el puerto de acceso Fa0/18 de S1. S1(config)#interface FastEthernet 0/5 S1(config-if)#spanning-tree bpduguard enable S1(config)#interface FastEthernet 0/6 S1(config-if)#spanning-tree bpduguard enable S2(config)#interface FastEthernet 0/18 S2(config-if)#spanning-tree bpduguard enable b. S1(config)#interface FastEthernet 0/6 S1(config-if)#spanning-tree portfast c. Inc.. bridges. a. Habilitar BPDU guard en los puertos del switch previamente configurados como de solo acceso. PortFast y BPDU guard también pueden ser habilitados globalmente con los comandos de configuración global spanning-tree portfast default y spanning-tree portfast bpduguard. Habilitar PortFast en el puerto de acceso Fa0/5 de S1. can cause temporary bridging loops. Página 12 de 30 Este documento es Información Pública de Cisco. PortFast se configura en los puertos de acceso que se conectan con una sola estación de trabajo o servidor para permitirles volverse activos más rápidamente. Todos los contenidos son propiedad intelectual de Cisco Systems. S2(config)#interface FastEthernet 0/18 S2(config-if)#spanning-tree portfast Paso 2: Habilitar BPDU guard en los puertos de acceso de S1 y S2 BPDU guard es una función que puede ayudar a prevenir rogue switches y falsificación de los puertos de acceso. Use with CAUTION %Portfast has been configured on FastEthernet0/5 but will only have effect when the interface is in a non-trunking mode. usted habilitará algunas funciones de seguridad de switches que pueden ayudar a reducir la posibilidad de manipulación de los switches por un atacante que use métodos relacionados con STP. Paso 1: Habilitar PortFast en los puertos de acceso de S1 y S2. Todos los derechos reservados. to this interface when portfast is enabled. S1(config)#interface FastEthernet 0/5 S1(config-if)#spanning-tree portfast Se mostrará el siguiente mensaje de advertencia: %Warning: portfast should only be enabled on ports connected to a single host. En este paso. a. switches. concentrators..CCNA Security S2(config-if)#switchport mode access Tarea 3: Protegerse contra Ataques STP La topología consta solo de dos switches y no tiene conexiones redundantes. etc. Connecting hubs. pero STP todavía está activo. b.

Inc. Puede configurarse un tiempo de vencimiento en el puerto para que este pueda recuperarse automáticamente luego de un período de tiempo determinado. Usar el comando show spanning-tree inconsistentports para determinar si actualmente hay puertos que están recibiendo BPDUs superiores y no deberían hacerlo. en los que no deben recibirse nunca BPDUs. El siguiente comando configura root guard en la interfaz Gi0/1 de S2.4635. se encuentra habilitado solo en los puertos que están conectados con switches de borde. (Copyright © 1992–2009). Si un puerto que tiene BPDU guard habilitado recibe una BPDU. Normalmente. podría usarse el comando show spanning-tree interface Gi0/1 detail. Designated root has priority 1. designated path cost 0 Timers: message age 0. Es preferible desplegar root guard en los puertos que se conectan con switches que no deben ser el puente raíz. received 0 Paso 3: (Opcional) Habilitar root guard. Port Identifier 128. S2(config)#interface gigabitEthernet 0/1 S2(config-if)#spanning-tree guard root b.CCNA Security Nota: BPDU guard puede ser habilitado en todos los puertos de acceso que tengan PortFast habilitado.------------------ Number of inconsistent ports (segments) in the system : 0 Todos los contenidos son propiedad intelectual de Cisco Systems. De lo contrario. c. esto se hace si otro switch está conectado a este puerto.5. Emitir el comando show run para verificar que root guard esté configurado. Página 13 de 30 Este documento es Información Pública de Cisco. Cada switch debe tener solo un puerto raíz que será la mejor ruta al switch raíz. Root guard es otra opción que ayuda a prevenir rogue switches y spoofing. por lo que no participa de STP. ingresa a un estado de raíz inconsistente (root-inconsistent state).---------------------. Si un puerto que tiene BPDU guard habilitado recibe una BPDU superior. c. Todos los derechos reservados. Normalmente. S1#show spanning-tree interface fa0/5 detail Port 5 (FastEthernet0/5) of VLAN0001 is designated forwarding Port path cost 19.0c80 Designated port id is 128. . S2#sh run | beg Gig interface GigabitEthernet0/1 spanning-tree guard root Nota: El puerto Gi0/1 de S2 no está activo actualmente. hold 0 Number of transitions to forwarding state: 1 The port is in the portfast mode Link type is point-to-point by default Bpdu guard is enabled BPDU: sent 3349.0c80 Designated bridge has priority 1. se inhabilita y debe ser rehabilitado manualmente. Verificar que BPDU guard esté configurado usando el comando show spanning-tree interface fa0/5 detail en el switch S1. Port priority 128.4635. S2#show spanning-tree inconsistentports Name Interface Inconsistency -------------------.5. address 001d. Se prefiere desplegar BPDU guard en los puertos del lado del usuario para prevenir extensiones de la red por medio de rogue switches. Root guard puede ser habilitado en todos los puertos de un switch que no son puertos raíz. address 001d. a. forward delay 0. Estos puertos nunca deben recibir una BPDU.

address is 001b. Habilitar seguridad de puertos en el puerto. S1(config-if)#switchport port-security mac-address xxxx. Si las BPDUs superiores se detienen. 100BaseTX/FX b. S1(config)#interface FastEthernet 0/5 b. ataques de falsificación de MAC y conexiones no autorizadas a sus puertos. En la CLI del router R1. Nota: Debe configurarse un puerto del switch como puerto de acceso para habilitar la seguridad de puertos. (Copyright © 1992–2009). usar el comando show interface y registrar la dirección MAC de la interfaz.5325. Si root guard bloquea el puerto. Inc. ingresar al modo de configuración de la interfaz del puerto que se conecta al router (Fast Ethernet 0/5). .256f (bia 001b.xxxx Todos los contenidos son propiedad intelectual de Cisco Systems. Todos los derechos reservados. Página 14 de 30 Este documento es Información Pública de Cisco. Configurar una entrada estática para la dirección MAC de la interfaz Fa0/1 de R1 registrada en el Paso 1. Este procedimiento debe llevarse a cabo en todos los puertos de acceso en uso. S1(config-if)#shutdown c. S1(config-if)#switchport port-security Nota: Al ingresar solo el comando switchport port-security se establece el máximo de direcciones MAC como 1 y la acción de violación como inhabilitar el puerto. loopback not set Keepalive set (10 sec) Full-duplex. 100Mb/s. DLY 100 usec.CCNA Security Nota: Root guard permite a un switch conectado participar en STP siempre y cuando el dispositivo no intente ser raíz. BW 100000 Kbit/sec.1/24 MTU 1500 bytes. txload 1/255. la recuperación subsiguiente es automática. El puerto Fa0/5 del switch S1 se muestra aquí como ejemplo. reliability 255/255.1. usted configurará la seguridad de los puertos para limitar el número de direcciones MAC que pueden ser aprendidas en un puerto de un switch e inhabilitar el puerto si ese número es excedido. Los comandos switchport port-security maximum y switchport port-security violation pueden ser utilizados para cambiar el comportamiento por defecto. el puerto vuelve al estado de reenvío.xxxx. a. Paso 1: Registrar la dirección MAC de Fa0/0 en R1.256f) Internet address is 192. En la CLI del switch S1. ¿Cuál es la dirección MAC de la interfaz Fa0/1 de R1? ____________________________________ Paso 2: Configurar seguridad básica de puertos. Tarea 4: Configurar Seguridad de Puertos e Inhabilitar Puertos no Utilizados Los switches también pueden ser víctimas de desbordamientos de tablas CAM. d.5325.168. Inhabilitar el puerto del switch. R1#show interface fa0/1 FastEthernet0/1 is up. En esta tarea. line protocol is up Hardware is Gt96k FE. rxload 1/255 Encapsulation ARPA. a.

puede usarse el comando switchport port-security mac-address sticky para agregar todas las direcciones MAC seguras que se aprenden dinámicamente en un puerto (hasta el máximo) a la configuración actual del router.cccc como nueva dirección.bbbb.cccc f. R1(config)#interface FastEthernet 0/1 R1(config-if)#shutdown e. Habilitar la interfaz Fast Ethernet 0/1.10 d. Página 15 de 30 Este documento es Información Pública de Cisco.168.xxxx is the actual MAC address of the router Fast Ethernet 0/1 interface. Ahora. R1(config-if)#no shutdown R1(config-if)#end g. Todos los contenidos son propiedad intelectual de Cisco Systems. usted violará la seguridad cambiando la dirección MAC en la interfaz del router. ejecutar un ping a PC-A. S1#show port-security interface f0/5 Port Security : Enabled Port Status : Secure-up Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1 Total MAC Addresses : 1 Configured MAC Addresses : 1 Sticky MAC Addresses : 0 Last Source Address:Vlan : 001b.CCNA Security (xxxx.) Nota: Opcionalmente. S1(config-if)#no shutdown Paso 3: Verificar la seguridad de los puertos en Fa0/5 de S1. . De esta forma. Ingresar al modo de configuración de la interfaz Fast Ethernet 0/1 e inhabilitarla. ¿Tuvo éxito? ¿Por qué? _______________________________________________________________________________ h. Inc.bbbb. (Copyright © 1992–2009). observar los mensajes cuando el puerto Fa0/5 detecta la dirección MAC alterada.5325. Configurar una dirección MAC para la interfaz en la interfaz. a.1. ejecutar un ping a PC-A para verificar la conectividad. En la CLI del router R1. R1(config-if)#mac-address aaaa. emitir el comando show port-security para verificar que se haya configurado la seguridad de los puertos en Fa0/5 de S1.xxxx. Habilitar el puerto del switch. En la CLI del router R1. e. R1#ping 192. Todos los derechos reservados. también se asegura de que el switch aprenda la dirección MAC de Fa0/1 en R1. ¿Cuál es el estado del puerto Fa0/5? ___________________________________________________ ¿Cuál es la última dirección de origen (Last Source Address) y VLAN? _______________________________________________ c. En la consola del switch S1. En S1.256f:1 Security Violation Count : 0 b. utilizando aaaa.

cccc R1(config-if)#no shutdown Nota: Esto restaurará la dirección MAC original de la interfaz FastEthernet.256f SecureConfigured Fa0/5 - ----------------------------------------------------------------------- j. inhabilitar la interfaz Fast Ethernet 0/1. ------------- 1 001b.1. intentar ejecutar un nuevo ping a PC-A con la dirección 192.cccc on port FastEthernet0/5. putting Fa0/5 in err-disable state *Jan 14 01:34:39.756: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5. k. changed state to down *Mar 1 01:34:41. Inc. changed state to down i. En el switch. (Copyright © 1992–2009).755: %LINK-3-UPDOWN: Interface FastEthernet0/5. caused by MAC address aaaa. ¿Tuvo éxito? ¿Por qué? ________________________________________________________________________________ Todos los contenidos son propiedad intelectual de Cisco Systems. Página 16 de 30 Este documento es Información Pública de Cisco.bbbb.cccc:1 Security Violation Count : 1 S1#show port-security address Secure Mac Address Table ------------------------------------------------------------------------ Vlan Mac Address Type Ports Remaining Age (mins) ---.CCNA Security *Jan 14 01:34:39.750: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred. En el router.750: %PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/5. Todos los derechos reservados. remover la dirección MAC ingresada estáticamente del router y rehabilitar la interfaz.168. usar los diferentes comandos show port-security para verificar si la seguridad del puerto ha sido violada. . R1(config)#interface FastEthernet 0/1 R1(config-if)#shutdown R1(config-if)#no mac-address aaaa.5325. *Jan 14 01:34:40.----------.bbbb.10. En R1.bbbb. S1#show port-security Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action (Count) (Count) (Count) -------------------------------------------------------------------- Fa0/5 1 1 1 Shutdown ---------------------------------------------------------------------- S1#show port-security interface fastethernet0/5 Port Security : Enabled Port Status : Secure-shutdown Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1 Total MAC Addresses : 1 Configured MAC Addresses : 1 Sticky MAC Addresses : 0 Last Source Address:Vlan : aaaa. ----. ---.

Todos los derechos reservados. Las violaciones de esta política resultan en la inhabilitación del puerto. pero los comandos de seguridad de puertos deberán ser reconfigurados. b. S1(config)#interface FastEthernet 0/5 S1(config-if)#shutdown S1(config-if)#no shutdown Nota: Aquí se asume que el dispositivo o interfaz con la dirección MAC alterada ha sido eliminado y reemplazado por la configuración inicial. Una de las direcciones MAC es para el teléfono IP y la otra es para la PC conectada al teléfono IP. En la consola de S1. Esto cambiará el estado del puerto de “Secure-shutdown” a “Secure-up”. El tiempo de vencimiento de las direcciones MAC está establecido como de dos horas.10 Paso 5: Eliminar la seguridad básica de puertos de Fa0/5 en S1. Se permiten dos direcciones MAC que serán aprendidas dinámicamente.256f S1(config-if)#no shutdown b. R1#ping 192. S1(config)#interface FastEthernet 0/5 S1(config-if)#shutdown S1(config-if)#exit S1(config)#default interface fastethernet 0/5 S1(config)#interface FastEthernet 0/5 S1(config-if)#no shutdown Nota: El comando default interface también requiere la reconfiguración del puerto como puerto de acceso para poder rehabilitar los comandos de seguridad.168. ejecutar un nuevo ping a PC-A. a. Esta vez debería tener éxito. Página 17 de 30 Este documento es Información Pública de Cisco. .5325. limpiar el error y rehabilitar el puerto con los siguientes comandos.1. En la consola de S1. Inc. Este ejemplo muestra la configuración para el puerto Fa0/18 del switch S2. S2(config)#interface Fa0/18 S2(config-if)#switchport mode access S2(config-if)#switchport port-security S2(config-if)#switchport port-security maximum 2 S2(config-if)#switchport port-security violation shutdown S2(config-if)#switchport port-security mac-address sticky S2(config-if)#switchport port-security aging time 120 Todos los contenidos son propiedad intelectual de Cisco Systems.CCNA Security Paso 4: Borrar el estado de error de Fa0/5 en S1. Este procedimiento también puede ser utilizado para rehabilitar el puerto. En R1. (Copyright © 1992–2009). También puede utilizar los siguientes comandos para restaurar la configuración por defecto en la interfaz. Paso 6: (Opcional) Configurar la seguridad de puertos para VoIP. eliminar la seguridad del puerto Fa0/5. S1(config)#interface FastEthernet 0/5 S1(config-if)#shutdown S1(config-if)#no switchport port-security S1(config-if)#no switchport port-security mac-address 001b. El siguiente ejemplo muestra una configuración típica de seguridad de puerto para un puerto de voz. a.

Inc.24 S1(config-if-range)#shutdown S1(config-if-range)#interface range gigabitethernet0/1 . Los demás puertos Fast Ethernet y los dos puertos Gigabit Ethernet deberán ser inhabilitados. Todos los contenidos son propiedad intelectual de Cisco Systems. a.24 S2(config-if-range)#shutdown S2(config-if-range)#exit S2(config)#interface gigabitethernet0/2 S2(config-if)#shutdown Paso 8: (Opcional) Mover los puertos activos a una VLAN diferente de la VLAN 1 por defecto Como medida de seguridad adicional. agregándolo a la VLAN 1 con una estación de trabajo específicamente para administración. puede designarse un puerto específico como puerto de administración. Los demás puertos Fast Ethernet y los dos puertos Gigabit Ethernet deberán ser inhabilitados. S1(config)#interface range fa0/5 . se están utilizando os puertos Fa0/18 y Gi0/1. Todavía es posible acceder al switch y configurarlo a través de una conexión de consola. se están utilizando los puertos Fa0/1. (Copyright © 1992–2009). usted puede mover todos los puertos de router y usuario final activos a una VLAN diferente de la VLAN 1 por defecto en ambos switches. Habilite el trunking con subinterfaces en R1 para enrutar entre las subredes de las VLAN de usuarios y administración. inhabilitar puertos no utilizados en el switch. S1(config)#interface range Fa0/2 . En el switch S1. Todos los derechos reservados. En el switch S2.6 S1(config-if)#switchport access vlan 20 S2(config)#interface fa0/18 S2(config-if)#switchport access vlan 20 Nota: Esto prevendrá la comunicación entre los hosts de usuario final y la dirección IP de la VLAN de administración en el switch.17 S2(config-if-range)#shutdown S2(config-if-range)#interface range Fa0/19 . Una solución más elaborada sería crear una nueva VLAN para la administración del switch (o usar la VLAN 99 nativa existente) y configurar una subred aparte para las VLANs de usuarios y administración.4 S1(config-if-range)#shutdown S1(config-if-range)#interface range Fa0/7 . .CCNA Security Paso 7: Inhabilitar los puertos no utilizados en S1 y S2. Página 18 de 30 Este documento es Información Pública de Cisco. Fa0/5 y Fa0/6. Como medida de seguridad adicional. Agregar los puertos de acceso (no troncales) activos a la nueva VLAN. que actualmente es la VLAN 1. a. Si se necesita proporcionar acceso Telnet o SSH al switch. Configurar una nueva VLAN para usuarios de cada switch usando los siguientes comandos: S1(config)#vlan 20 S1(config-vlan)#name Users S2(config)#vlan 20 S2(config-vlan)#name Users b. S2(config)#interface range Fa0/2 .2 S1(config-if-range)#shutdown b.

(Copyright © 1992–2009). Además. . Nota: La Opción 1 asume que usted tiene acceso físico a los dispositivos mostrados en la topología de este laboratorio. S1(config)#monitor session 1 destination interface fa0/6 Todo el tráfico de Fa0/5 en S1. será copiado al puerto destino SPAN Fa0/6. Verificar la configuración de la sesión SPAN. Esta estación estará ejecutando la aplicación sniffer de paquetes Wireshark para analizar el tráfico. el IOS de Cisco soporta SPAN local y remoto (RSPAN). a otro puerto. un rango de interfaces.CCNA Security Parte 4: Configuración de SPAN y Monitoreo de tráfico Nota: Hay dos áreas en esta parte de la práctica de laboratorio. que debe llevarse a cabo con equipos físicos. La palabra clave both incluye tanto a tx como a rx. Todos los derechos reservados. Inc. S1#show monitor session 1 Todos los contenidos son propiedad intelectual de Cisco Systems. Tarea 1: Opción 1 – Configurar una Sesión SPAN Usando Equipos Físicos. al que se encuentra conectada una estación de monitoreo. Paso 2: Verificar la configuración de la sesión SPAN en S1. Con SPAN local. que está conectado con R1. Nota: El destino puede ser tanto una interfaz como un rango de interfaces. El IOS de Cisco proporciona una función que puede utilizarse para monitorear ataques de red. En esta parte de la práctica de laboratorio. al que está conectado el host. llamada Switched Port Analyzer (SPAN). Los usuarios de NETLAB+ que accedan a sus equipos remotamente deberán proceder a la Tarea 2: Opción 2. Establecer la interfaz SPAN de destino. Nota: SPAN le permite seleccionar y copiar tráfico de uno o más puertos de switch o VLANs origen a uno o más puertos destino. S1(config)#monitor session 1 source interface fa0/5 both Nota: Puede especificar el monitoreo de tráfico tx (transmisión) o rx (recepción). una sola VLAN o un rango de VLANs. que ha sido modificada para ser compatible con el sistema NETLAB+ pero puede ser llevada a cabo con equipos físicos. El tráfico copiado en el puerto de origen puede ser solo de entrada. y la Tarea 2: Opción 2. que está conectado con la PC-A con Wireshark. El origen puede ser una sola interfaz. la Tarea 1: Opción 1. Establecer la interfaz SPAN de origen con el comando monitor session en el modo de configuración global. por lo que el tráfico desde (entrada) y hacia (salida) el puerto Fa0/5 del switch y R1 será monitoreado. A continuación se configura un puerto de origen SPAN en FastEthernet 0/5 para tráfico de entrada y salida. solo de salida o ambos. b. Página 19 de 30 Este documento es Información Pública de Cisco. Paso 1: Configurar una sesión SPAN en S1 con origen y destino a. las VLANs origen y los puertos de switch de origen y de destino están en el mismo switch físico. El puerto Fa0/5 del switch S1 está conectado al router R1. usted configurará un SPAN local para que copie tráfico de un puerto.

Página 20 de 30 Este documento es Información Pública de Cisco. seleccionar Capture > Interfaces. puede descargar la última versión en http://www.wireshark. Hacer clic en I Agree al acuerdo de licencia y aceptar los valores por defecto haciendo clic en Next cuando sea solicitado. Paso 4: Monitorear la actividad de ping en Fa0/5 del switch S1 con Wireshark en PC-A. a.CCNA Security Session 1 --------- Type : Local Session Source Ports : Both : Fa0/5 Destination Ports : Fa0/6 Encapsulation : Native Ingress : Disabled Paso 3: (Opcional) Descargar e instalar Wireshark en PC-A. Si Wireshark se encuentra disponible.org/download. . seleccionar las opciones install WinPcap y luego Start WinPcap service si desea que otros usuarios puedan ejecutar Wireshark además de los que tienen acceso administrativo. Todos los derechos reservados. Esta práctica de laboratorio utiliza la versión 1. iniciar la aplicación. En el menú principal. Todos los contenidos son propiedad intelectual de Cisco Systems.5. Si Wireshark no está actualmente disponible en PC-A. La pantalla de instalación inicial de Wireshark se muestra a continuación. (Copyright © 1992–2009). Inc. a. Nota: En la pantalla Install WinPcap. b.html. b. Wireshark es un analizador de protocolos de red (también llamado un sniffer de paquetes) compatible con Windows XP y Vista.0.

1.1) ejecutando el comando ping.11) a la interfaz Fa0/1 de R1 (192. Notar el broadcast inicial de solicitudes ARP desde la PC-B (Intel NIC). Página 21 de 30 Este documento es Información Pública de Cisco.CCNA Security c.168.1. Todos los contenidos son propiedad intelectual de Cisco Systems.10. Luego de la solicitud ARP. pueden verse pings (solicitudes y respuestas de eco) pasando desde PC-B hacia R1 y desde R1 hacia PC-B a través del switch. Pueden capturarse algunos paquetes adicionales a los pings.1 e. Inc.168.1.1. con el propósito de determinar la dirección MAC de la interfaz Fa0/1 de R1 con dirección IP 192.168. PC-B:\>ping 192. Nota: Su pantalla debería ser similar a la que aquí se muestra.1 y la respuesta ARP de la interfaz Ethernet de Cisco de R1. . Todos los derechos reservados.168. d.1. (Copyright © 1992–2009). Observar los resultados en Wireshark en PC-A. como la respuesta de LOOP de Fa0/1 en R1. Generar tráfico desde la PC-B (192. Este tráfico se dirigirá del puerto Fa0/18 de S2 al puerto Fa0/1 de S2 a través del enlace troncal al puerto Fa0/1 de S1 y luego saldrá por la interfaz Fa0/5 de S1 para llegar a R1.168. Hacer clic en el botón Start del adaptador de interfaz de red de área local con la dirección IP 192.

1) en el campo Hostname/IP.com.foundstone. En el programa SuperScan. Inc. hacer clic sobre la pestaña Scan e ingresar la dirección IP de Fa0/1 en R1 (192. Todos los derechos reservados. Iniciar el programa SuperScan en PC-B. (Copyright © 1992–2009). Todos los contenidos son propiedad intelectual de Cisco Systems. Hacer clic sobre la flecha derecha para poblar los campos Start IP y End IP.168. Hacer clic en la pestaña Host and Service Discovery tab. Marcar la casilla Timestamp Request y desmarcar la casilla Echo Request. d.0 del grupo Scanning Tools en http://www. Página 22 de 30 Este documento es Información Pública de Cisco. Revisar la lista de selección de puertos UDP y TCP y notar el rango de puertos a ser escaneados. descargar la herramienta SuperScan 4. b. a. El archivo SuperScan4.CCNA Security Paso 5: Monitorear la actividad SuperScan en Fa0/5 del switch S1 con Wireshark en PC-A. Descomprimir el archivo en una carpeta. Si SuperScan no se encuentra disponible en PC-B. .exe es ejecutable y no requiere instalación. c.1.

hacer clic en el botón de la flecha azul abajo a la izquierda para iniciar el escaneo. En el programa SuperScan. f. Página 23 de 30 Este documento es Información Pública de Cisco. Observar los resultados en la ventana de Wireshark en PC-A.11) a Fa0/1 en R1 (192.1.168.CCNA Security e. .1. hacer clic en el botón Continue without saving. Limpiar la captura anterior de Wireshark e iniciar una nueva captura haciendo clic sobre Capture > Start. Cuando se lo solicite. g. Su pantalla debería verse similar a la siguiente: Todos los contenidos son propiedad intelectual de Cisco Systems.1).168. Inc. Notar el número y los tipos de puertos probados por el ataque simulado de SuperScan de PC-B (192. (Copyright © 1992–2009). Todos los derechos reservados.

Todos los derechos reservados. el tráfico desde PC-A hacia Fa0/1 en R1. En el switch S1. Página 24 de 30 Este documento es Información Pública de Cisco. Nota: Para llevar a cabo esta tarea. Inc. (Copyright © 1992–2009). en este caso.CCNA Security Tarea 2: Opción 2 – Configurar una Sesión SPAN con Equipos Remotos NETLAB+. Este tráfico debe ser recibido por el switch S2 y reenviado a PC-B. Nota: Esta porción de la práctica de laboratorio ha sido reescrita para mejorar la compatibilidad con el sistema NETLAB+. debe instalarse Wireshark en PC-B. Refiérase al siguiente diagrama que ilustra el flujo de tráfico SPAN. donde Wireshark se encuentra capturando los paquetes. usted configurará un SPAN local para reflejar el tráfico de salida del puerto Fa0/5. . Todos los contenidos son propiedad intelectual de Cisco Systems.

Inc. Devolver las Fa0/1 de S1 y S2 a sus configuraciones iniciales. Configurar la dirección MAC de PC-B en la Fa0/1 de R1. A continuación se configura un puerto de origen SPAN en FastEthernet 0/5 para tráfico de salida. Todos los derechos reservados. (Copyright © 1992–2009). Anotar la dirección MAC de PC-B Dirección MAC de PC-B: ___________________________ La dirección MAC de PC-B en este ejemplo será 000c-299a-e61a c. Para lograr esto. S1(config)#default interface fastethernet 0/1 S2(config)#default interface fastethernet 0/1 b. Página 25 de 30 Este documento es Información Pública de Cisco. El tráfico copiado en el puerto de origen puede ser solo de entrada. Paso 1: Configurar una sesión SPAN en S1 con origen y destino a.299a.e61a d. El tráfico que entra a S2 a través del puerto Fa0/1 usa la dirección MAC de R1 como destino para la trama Ethernet. Este enlace entre Fa0/1 de S1 y Fa0/1 de S2 será utilizado para transportar el tráfico que será monitoreado. S1(config)#monitor session 1 source interface fa0/5 tx Todos los contenidos son propiedad intelectual de Cisco Systems. por lo que el tráfico desde (entrada) y hacia (salida) el puerto Fa0/5 del switch y R1 será monitoreado. reenviando tramas basándose en direcciones MAC y puertos de switch.CCNA Security Nota: El switch S2 está actuando como un switch normal. R1(config)#interface fa0/1 R1(config-if)#mac-address 000c. Este es un requisito específico del ambiente NETLAB+. solo de salida o ambos. . la dirección MAC de R1 debe ser la misma de PC-B. El puerto Fa0/5 del switch S1 está conectado al router R1. para reenviar esos paquetes a PC-B. la dirección MAC de Fa0/1 en R1 es modificada usando la CLI del IOS para simular la dirección MAC de PC-B. por lo tanto. Establecer la interfaz de origen de SPAN usando el comando monitor session en el modo de configuración global.

1. Todos los derechos reservados. Establecer la interfaz de destino de SPAN.wireshark. al puerto SPAN destino Fa0/1.168. Antes de ejecutar los ping.html e instalarla como se describe en la Parte 4. S1(config)#monitor session 1 destination interface fa0/1 Se copiará todo el tráfico de salida de Fa0/5 de S1. c. Paso 4: Monitorear la actividad de ping en Fa0/5 del switch S1 con Wireshark en PC-B. y luego S2 reenviará este tráfico a PC-B. Observar los resultados en WireShark en PC-B.1) ejecutando el comando ping. Notar el broadcast de solicitudes de ARP inicial de PC-A para determinar la dirección MAC de la interfaz Fa0/1 en R1 con la dirección IP 192.CCNA Security Nota: El origen puede ser una sola interfaz.1. Nota: El destino puede ser una interfaz o un rango de interfaces.10) a la interfaz Fa0/1 de R1 (192.org/download. donde Wireshark está capturando los paquetes. Este tráfico se dirigirá desde el puerto Fa0/6 de S1 al puerto Fa0/5 de S1. Si Wireshark no está actualmente disponible en PC-B. Adicionalmente. Si WireShark se encuentra disponible. un rango de interfaces. a. . Hacer clic sobre el botón Start del adaptador de interfaz de red de área local. iniciar la aplicación.168. Wireshark es un analizador de protocolos de red (también llamado un sniffer de paquetes) compatible con Windows XP y Vista. que está conectado con R1. borrar la tabla ARP en PC-A para generar una solicitud ARP. Tarea 1.168. C:\>arp –d * C:\>ping 192. seleccionar Capture > Interfaces.168. Confirmar la configuración de la sesión SPAN con el comando show monitor session 1. S1#show monitor session 1 Session 1 --------- Type : Local Session Source Ports : TX Only : Fa0/5 Destination Ports : Fa0/1 Encapsulation : Native Ingress : Disabled Paso 3: (Opcional) Descargar e instalar Wireshark en PC-B. En el menú principal. puede descargar la última versión en http://www. una sola VLAN o un rango de VLANs. Paso 2: Verificar la configuración de la sesión SPAN en S1. el tráfico que va desde PC-A hacia la interfaz Fa0/1 de R1 se reenvía a través del enlace entre S1 y S2. Generar tráfico de PC-A (192. al que la PC-B que usa Wireshark está conectada.1.1. Página 26 de 30 Este documento es Información Pública de Cisco.1 y Todos los contenidos son propiedad intelectual de Cisco Systems. a.1 e. Inc. Notar que la sesión SPAN está configurada solo en S1 y S2 está operando como un switch normal. e. Paso 3. d. (Copyright © 1992–2009). b.

c.foundstone. Pueden capturarse algunos paquetes adicionales a los pings. a. pueden verse los pings (solicitudes de eco) yendo de PC-a a R1 a través del switch. Todos los contenidos son propiedad intelectual de Cisco Systems.exe es ejecutable y no requiere instalación. Revisar la lista de selección de puertos UDP y TCP y notar el rango de puertos a ser escaneados. Luego de la solicitud ARP. Descomprimir el archivo en una carpeta.com. Hacer clic sobre la flecha derecha para poblar los campos Start IP y End IP. d. Si SuperScan no se encuentra disponible en PC-B. Paso 5: Monitorear la actividad SuperScan en Fa0/5 del switch S1 con Wireshark en PC-B.168.1. Página 27 de 30 Este documento es Información Pública de Cisco. Todos los derechos reservados.CCNA Security la solicitud ARP de la interfaz Ethernet de Cisco de R1. como la respuesta de LOOP de Fa0/1 en R1 y los paquetes Spanning Tree. Inc. Hacer clic en la pestaña Host and Service Discovery tab. Marcar la casilla Timestamp Request y desmarcar la casilla Echo Request. Nota: Su pantalla debería verse similar a la siguiente. En el programa SuperScan. El archivo SuperScan4. b. (Copyright © 1992–2009).1) en el campo Hostname/IP. Iniciar el programa SuperScan en PC-B. descargar la herramienta SuperScan 4. hacer clic sobre la pestaña Scan e ingresar la dirección IP de Fa0/1 en R1 (192. .0 del grupo Scanning Tools en http://www.

Inc. hacer clic en el botón Continue without saving. Observar los resultados en la ventana de Wireshark en PC-B.168. .1.168.1. Página 28 de 30 Este documento es Información Pública de Cisco. (Copyright © 1992–2009). hacer clic en el botón de la flecha azul abajo a la izquierda para iniciar el escaneo.CCNA Security e. En el programa SuperScan. Notar el número y los tipos de puertos probados por el ataque simulado de SuperScan de PC-A (192. g. Limpiar la captura anterior de Wireshark e iniciar una nueva captura haciendo clic sobre Capture > Start. Su pantalla debería verse similar a la siguiente: Todos los contenidos son propiedad intelectual de Cisco Systems.11) a Fa0/1 en R1 (192. f. Cuando se lo solicite. Todos los derechos reservados.1).

CCNA Security Paso 6: Reflexión. Todos los derechos reservados. . Inc. Página 29 de 30 Este documento es Información Pública de Cisco. ¿Por qué debe habilitarse seguridad en los puertos troncales del switch? ________________________________________________________________________________ ________________________________________________________________________________ c. ¿Por qué debe habilitarse seguridad en los puertos de acceso del switch? ________________________________________________________________________________ ________________________________________________________________________________ b. ¿Por quñe deben deshabilitarse los puertos no utilizados del switch? ________________________________________________________________________________ ________________________________________________________________________________ Tabla de Resumen de Interfaces del Router Resumen de Interfaces del Router Modelo de Interfaz Ethernet #1 Interfaz Ethernet #2 Interfaz Serial Interfaz Serial #2 Router #1 1700 Fast Ethernet 0 Fast Ethernet 1 Serial 0 (S0) Serial 1 (S1) Todos los contenidos son propiedad intelectual de Cisco Systems. (Copyright © 1992–2009). a.

Un ejemplo de esto puede ser la interfaz ISDN BRi. (Copyright © 1992–2009). Esta tabla incluye los identificadores para las combinaciones posibles de interfaces Ethernet y Serial en el dispositivo. .CCNA Security Resumen de Interfaces del Router (FA0) (FA1) 1800 Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/0/0 Serial 0/0/1 (FA0/0) (FA0/1) (S0/0/0) (S0/0/1) 2600 Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/0 (S0/0) Serial 0/1 (S0/1) (FA0/0) (FA0/1) 2800 Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/0/0 Serial 0/0/1 (FA0/0) (FA0/1) (S0/0/0) (S0/0/1) Nota: Para identificar cómo se encuentra configurado el router. No existe un método para listar de forma efectiva todas las combinaciones de configuración para cada clase de router. incluso cuando un router específico puede tener una. La tabla no incluye otros tipos de interfaces. Inc. mire las interfaces para identificar el tipo de router y cuántas interfaces posee. Página 30 de 30 Este documento es Información Pública de Cisco. Todos los contenidos son propiedad intelectual de Cisco Systems. La cadena entre paréntesis es la abreviatura legal que puede utilizarse en los comandos del IOS para representar a la interfaz. Todos los derechos reservados.