Cisco | Networking Academy" Actividad PT 2.4.7: Configurar la seguridad del switch Diagrama de topologia 172.17,99.21 Fa0/18 172.17.99.11 Tabla de direccionamiento De Intorfaz Od Objetives de aprendizaje + Configurar la administracién basica del switch + Configurar la seguridad de les puertos dinamicos ‘Probar la seguridad de los puertos dindmicos ‘+ Proteger los puertos sin ullizar Too comenio est bajo Corytat © 1082-207 do Ceo Syston. ne ‘don ton covctonresewacon Este doeumenoes rexmacen pane Se C0 172.17,99.32 Ce Tne) 255,255.255.0EENA Exploction ‘Conmiestn cones nalntvica de LAN Actvatod P24: ‘Contgurasiin conceals bisioe dal wth Configurar a segura al watch Tarea 1: Configurar la administracién basica del switch Paso 4: Desde PC1, acceda a la conexién de consalaa $1. ‘= Haga clic en PC1 y luago en la ficha Desktop. Selaccione Terminal de Ia ficha Desktop. ‘+ Conserve la configuracion por defecto para la configuracién del terminal y, luego, haga clic en OK: Bits Per Second = 9600 Data Bits = 8 Parity = None Stop Bi Flow Control = None ‘+ Elusuario esta conectado a la consola en S1. Presione intro para ver el indicador Switch, ‘Paso 2: Cambiar al Modo EXEC privilegiado. Para acceder al Modo EXEC privilegiado, eseriba el comando enable, El indicador cambia de > a & sivenable sit ‘Observe que se pudo entrar al Medo EXEC privilegiado sin proporcionar una cantrasefia, gPer qué ta ‘ausencia de una contraseria para el Modo EXEC privilegiade constituye una amenaza de seguridad? Paso 3: Cambiar al modo de configuracion global y configurar ia contrasenia EXEC privilegiado. ‘+ Mientras estd en el Modo EXEC privilegiado, puede aeceder al modo de configuraeion global mediante el comando configure terminal ‘+ Use el comando enable secret para establecer la contrasefia. Para esta actividad, establezca class como contrasena Sitconfigure terminal Enter configuration commands, oi Si(config) #enable secret class SLicon per line, End with CNTL/2. Nota: PT no calificard el comando enable secret Paso 4: Configurar contraseiias de terminal virtual y de consola e introducir ol comand login. ‘Se debe exigir una contrasefa para acceder a la linea de consola. incluso el Mode EXEC del usuario 'basico puede proparcionar informacién importante a un usuario malintencionado. Ademas. las lineas ‘ly deben tener una contrazefia antes de que los usuarios puedan acceder al switch de manera remota, ‘* Acceda al indicador de consola mediante el camando line console 0. ‘© Use el comando password para configurar las Iineas de consota y vty con cisco como contrasefia. Nota: PT no calificard el comando password ciseo en este caso. + A.continuacién, intreduzca el comando legin, que requiere que los usuarios eseriban una contrasefia antes de poder acceder al Modo EXEC del usuario. ‘+ Repita el proceso con las lineas vty. Use el comanda line vty 0 15 para acceder al indicador correcto, ‘+ Escriba el comando exit para regresar al indicadar de configuracién global. “Toxo ocortenio est bj Copyright © 1982-2007 6 Cisco Syst ne Tacos os Gorechosreserados Este docuenio es eetaccn paca 8 Ceo gina 20CENA Exgtoction ‘Conic y contain inalantvien de LAN: Abtsstna PTL: ‘Contgursciiny-concapios bcos dal wich ‘Contgurat a sauna tl toh Si(config) #1ine console 0 ne) (password cisca SL{config-line) #login Siiconfig-line) #line vey 0 18 SL(config-line) #password cisco SLie n Sl{eong. SLiconfig) ‘Paso 5: Configurar la encriptacién de contraseias. \La eontrasefia de EXEC privitegindo ya est ancriptada. Para encriptar lag contrasefias de la linea recién, ‘configurada, escriba el comando service password-encryption en al modo de configuracién glabal Si (contig) feerviee passweed-eneryption Sliconfig)# ‘Paso 6: Configurar y prabar #! mensaje MOTD. ‘Configure el mensaje del dia (MOTD, message of the day) con él texto Authorized Access Only. ‘El texto del mensaje distinque entre maylisculas y minisculas. Asegirese de no agregar espacios antes.o después del texto del mensaje. Use un cardeter delimitante antes y después del texto del "mensaje para indicar donde comienza y fnaliza el texto, El catdcter delimitante que &e utliza en o! sjemplo a continuacién es &, pera se puede usar cualquier caracter que no sé use en @! texto del "mensaje. Después de haber configurado el MOTD, desconéctese del switch para varificar que el mensaje se muestra al yolver a iniciar Sesion, ig) sbanner motd sAuthorized Access Oniys ) fend [or exit] SiXe Sl{con. Sitexit Si eon i now available Pret IRN to get started. [Enter] Authorized Access Only User Access Verification word: ‘+ Elindicador de contrasena ahota requiere un contrasefia pata entrar al miado EXEC dal uusueria, Inroduzca la contrase’a elseo. + Entre al Made EXEC privilegiado con la contraseria Glass y regrese al mado de configuracién glabal con el comando configure torminal Password: feisco) !Nota: la co tragefia oo se muestra al escribirla Password: [elas] iNocar Slteonfigure terminal Enter configuration commatids; one per Line. Siiconfig)# eoftrakena no se nuestra al eseribirla. with CNIL/2. ‘Paso 7: Verificar los resultados. ‘E! porcentaje final del usuario debe ser del 40%, De lo contrario, haga tie én Check Results para ‘consultar qué componentes abligatarios atin no se completaran. “Tx corer wat jo Copyright© 102-2007 de seo Systm ne "Teas os Goochos reservados. Eat documento wa keer buen 8 GEO Pina 320ENA Exploration ‘Conmiestn cones naltvica de LAN Activated PT 2A: ‘Contguraeiiny concapos bisio8 dal with Configurar a segura a watch Tarea 2: Configurar la seguridad de los puertos dinamicos Paso 1; Habilitar VLAN9, Packet Tracer se abre con fa intarfaz VLAN 99 en el estado inactive, que no es como funciana un switch eal. Se debe habilitar VLAN 99 con el comanda ne shutdewn antes de que Ia interfaz se active en Packet Tracer, Si(config) interface vian 99 Si(configeif)@ne shutdown Paso 2: Entrar al modo de configuracién de interfaz para FastEthernet 0/18 y habilitar Ia seguridad de pusrtos, Antes de poder configurar otros comandos de seguridad de puertos en la interfaz, se debe habilitarla ‘seguridad de puertos, g-if) interface fa0/18 ‘ig-if) #ewitchport port-security site site ‘Observe que no tiene que salir nuevamante de! modo da configuraciin global antes de entrar al mado de configuracidn de interfaz para fa0!18, Paso 3: Configurar la cantidad maxima de direcciones MAC. Para configurar el puerto de modo que oblenga sélo una direccién MAC, establez: maximum en 1: -if) #ewitchport port-security maximum 1 Nota: PT no califica el comanda switchport port-security maximum 4; no obstante, este comando ‘es fundamental en la configuracion de la seguridad de puertos, Siicont. Paso 4: Configurar el puerto para agregar la direccién MAG ala configuracién en ejecucién. La diraccién MAC ebienida en el puerto puede agragarse (‘adherirse") a la canfiguraeién en ejeeucion de ese puerto, if) (switchport port-security mac-address sticky Nota: PT no califica el comando switchport port-security mac-address sticky; no obstante, este ‘comando es fundamental en la configuraciéa de la seguridad de puertos. Paso 5: Configurar el puerto para que se desactive automaticamente si se infringe la seguridad dol puarto. ‘Sino se canfigura el siguiente camando, $1 s6lo registrard la infraccién en las estadisticas de seguridad interface Fastéthernet0/18 switchpert access vlan 99 Svitchpert mode acce: switchport port-security switchport port-security mac-address sticky switchport port-senurity mac-address sticky 0060.5csa.cD29 si ‘Paso 7: Verificar los resultados. ‘El porcentaje final del usuario debe ser dol 70%. De lo contrario, haga clic en Check Results para ‘consultar qué camponentes abligatotios adn no se completaron. ‘Tarea 3: Probar la seguridad de los puertos dindmicos Paso 1: Quitar ta conexion entre PC1 y 81 y conactar PC2 a St. ‘© Para probar la seguridad de los puertos, elmine ia conexion Ethernet entre PC1 y $1. Sise elimina accidentalmente la conexion det cable de consola, simplemente vuelva a conectatio. + Conecta PC2 a Fa0/18 on $1, Espere a que la luz de enlace de color Ambar se encienda de Color verde y, luego, haga ping de PC2 a S1. El puerio dabe desactivarse autométicamente, Paso 2: Verificar que la seguridad del puerto es el motivo por ol que se desactiva ol puerto. Para verificar que ja seguridad del puerto haya desactivadto @| puerta, introduzea el comando show interface fa0/18. Slighew interface 20/18 FastEthernet 0/18 is down, Line protocol is down tere=disabled) Hardware is Lance, address is 0090.213e.5712 (bia 0090.2!3e.5712) sourput omitted> El protocolo de jinea esta desactivado a causa de un error (err) al aceptar una trama con una direccion MAC diferente que la direccidn MAC obtenida, de mote que €! software de IOS de Cisco desactive (Gisabled) e| puerto. ‘También puede verificar una infiaecién de seguridad medianle el comando Show port-security interface fa0/is. Sléshow port-security interface 40/18 Security 2 Enabled Status 1 Sacure=shutdown Violation Mode 2 Shutdown Aging Time : 0 mins Aging Type Absolute SecureStatic Address Aging : Disabled “Tx caren esta ge Copy 102-2007 de seo Bytom. ne "Teas os Goechos reservados. Ea documento wa keeraccn buen 8 GEO Pina 92 0"Conan y cones nal LAN: Abisung PT ZA? ‘Contgursciiny-concapios bcos dal wich ‘Contgurat a sauna tl toh Maximum MAC Add: Total MAC Addr Configured MAC Aadre: Sticky MAC Addresses Last Source Address iVlan Secutity Violation Count 080. FIBO.OR GEE YY ‘Observe que el estado de puerto es seouresshutdown y el canteo ie infrecciones de seguridad es 1 Paso 3: Restaurar la conexion entre PC1 y 81 y restabiecer la seguridad det puerto. ‘Quite ka eonexién entre PC2 y St. Vualva a conectar PC1 al puerte Fa0lt8 en St. ‘Observe que el puerto atin esta desactivado incluso a pesar de haber welto a conectar el aquipa PC [permitido en l puerto, Un puerto que esta desactivado a causa ée una infraecion de seguridad debe ‘volver a activarse manuaimente. Desactive el puerto y luego activela con no shutdown. Sltconfig t Enter configuration commande, one per line. own, Siiconf ia) @interface £a0/18 SL (conf ig-if) sshutdown ALINE-5-CHANGED? eface Fastéthernat®/18, changed state to administratively Sl (config-if) @ne ahutdown ANGHD: Interface Pastether {LINEPROTO-5-UPDONN: Line pretoce! on state to up SLINEPROTO-5-UPDOWN; Line protocol on Siiconfiq-if) texit Sifeonfig) # etO/18, ahanged stave ts up ace Fastthernet0/18, changed nherface Vian99, changed state to up ‘Paso 4: Probar la conectividad mediante un ping 3 $1 desde PC1. El ping desde PC1 a S1 debe ejecutarse correctamente. El porcentaje final del usuario auin deberia ser del 70% al finalizar esta tarea, Tarea 4: Proteger los puertos sin utilizar Un métode siftiple que rhuchos airtinistradores Usain para ayuda’ a garantizar ta sequridad de su red ante accesos no aulorizedas es deshabiltar todos los puertos que no se ullizan en el switch de una red, Paso 1: Deshabilitar la interfaz Fa0/17 en St. [Entre ak mods de configuracién se interfaz para FastEthamot 0/17 y dusdctive él puesto. Si (config) Mnterface fa0/17 Si (conf ige1f) Sshuedown ‘Paso 2: Probar el puerto mediante ia conaxién de PC2.a Fadli7 en $1. ‘Conecte PC2 a la intetfar Fa0/17 en St. Observe que las luces de enlace son de color rojo. PC2 no!tiene aceaso a fa red. ‘Paso 3: Verificar los resultados. ‘El porcentaje final del usuatia debe ser del 100%, De to contrario, haga ake en Chack Results para ‘consultar qué camponentes abligatorios atin no se completaran. “Tx carenio esta je Copy 102-2007 de Osco Systm "Teas os Goochos reservados. Eat documento wa keer buen 8 GEO Pina 620