5.2.2.9 - Configuring Switch Security Features Ob
5.2.2.9 - Configuring Switch Security Features Ob
5.2.2.9 - Configuring Switch Security Features Ob
Topología
Tabla de direccionamiento
El Máscara de Gateway
administrador Interfaces Dirección IP subred predeterminado
Objetivos
Parte 1: Configurar la topología e inicializar los dispositivos
Parte 2: configurar parámetros básicos de los dispositivos y verificar la conectividad
Parte 3: configurar y verificar el acceso por SSH en S1
• Configurar el acceso por SSH.
• Modificar los parámetros de SSH.
• Verificar la configuración de SSH.
Parte 4: configurar y verificar las características de seguridad en S1
• Configurar y verificar las características de seguridad general.
• Configurar y verificar la seguridad del puerto.
Aspectos básicos/situación
Es bastante común bloquear el acceso e instalar sólidas funciones de seguridad en las PC y servidores. Es
importante que los dispositivos de infraestructura de red, como los switches y routers, también se
configuren con características de seguridad.
En esta práctica de laboratorio, seguirá algunas de las prácticas recomendadas para configurar
características de seguridad en switches LAN. Solo permitirá las sesiones de SSH y de HTTPS seguras.
También configurará y verificará la seguridad de puertos para bloquear cualquier dispositivo con una
dirección MAC que el switch no reconozca.
Nota: El router que se usa con las actividades prácticas de laboratorio de CCNA es un router de servicios
integrados (ISR) Cisco 1941 con Cisco IOS versión 15.2(4)M3 (imagen universalk9). El switch que se utiliza
1
es Cisco Catalyst 2960 con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros
routers, switches y otras versiones de Cisco IOS. Según cuál sea el modelo y la versión de Cisco IOS, los
comandos disponibles y los resultados producidos pueden variar de lo que se muestra en esta actividad.
Consulte la tabla Resumen de interfaces del router al final de esta práctica de laboratorio para obtener
los identificadores de interfaz correctos.
Nota: asegúrese de que el router y el switch se hayan borrado y no tengan configuraciones de inicio. Si no
está seguro, solicite ayuda al instructor o consulte las prácticas de laboratorio anteriores para conocer los
procedimientos de inicialización y recarga de dispositivos.
Recursos necesarios
• 1 router (Cisco 1941 con Cisco IOS versión 15.2(4)M3, imagen universal o similar)
• 1 switch (Cisco 2960 con Cisco IOS versión 15.0(2), imagen lanbasek9 o comparable)
• 1 computadora (Windows 7, Vista o XP con un programa de emulación de terminal, como Tera Term)
• 1 cable de consola para configurar los dispositivos de Cisco IOS a través de los puertos de la consola
• 2 cables Ethernet como se muestran en la topología.
2
Paso 2: configurar los parámetros básicos en el R1.
a. Abra la consola de R1 y entre en el modo de configuración global.
Router> enable
Router# configure terminal
Router(config)#
Switch> enable
Switch# configure terminal
Switch(config)#
3
S1(config)# enable secret class
S1(config)# banner motd # Unauthorized access is strictly prohibited. #
S1(config)# line con 0
S1(config-line)# password cisco
S1(config-line)# logging synchronous
S1(config-line)# login
S1(config-line)# exit
S1(config)# line vty 0 15
S1(config-line)# password cisco
S1(config-line)# login
S1(config-line)# exit
4
f. Emita el comando show ip interface brief en el S1. ¿Cuál es el estado y el protocolo para la interfaz de
administración VLAN 99? (capture pantalla)
¿Por qué el protocolo figura como down, a pesar de que usted emitió el comando no shutdown para
la interfaz VLAN 99?
S1# config t
S1(config)# interface f0/5
S1(config-if)# switchport mode Access
S1(config-if)# switchport access vlan 99
S1(config-if)# interface f0/6
S1(config-if)# switchport mode Access
S1(config-if)# switchport access vlan 99
S1(config-if)# end
i. Emita el comando show ip interface brief en el S1. ¿Cuál es el estado y el protocolo que se muestra
para la interfaz VLAN 99? _______________________________________________
Nota: puede haber una demora mientras convergen los estados de los puertos.
5
d. En la PC-A, abra un navegador web y acceda a http://172.16.99.11. Si se le solicita un nombre de
usuario y contraseña, deje el nombre de usuario en blanco y use class como contraseña. Si se le solicita
una conexión segura, la respuesta es No. ¿Pudo acceder a la interfaz Web en el S1? ______________
e. Cierre el navegador.
Nota: la interfaz web no segura (servidor HTTP) en un switch Cisco 2960 está habilitada de manera
predeterminada. Una medida de seguridad frecuente es deshabilitar este servicio, tal como se describe en
la parte 4.
b. Cree una entrada en la base de datos de usuarios local para que se utilice al conectarse al switch a
través de SSH. El usuario debe tener acceso de nivel de administrador.
Nota: la contraseña que se utiliza aquí NO es una contraseña segura. Simplemente se usa a los efectos
de esta práctica de laboratorio.
c. Configure la entrada de transporte para que las líneas vty permitan solo conexiones SSH y utilicen
la base de datos local para la autenticación.
S1(config)#
S1(config)# end
6
e. Verificar la configuración de SSH.
S1# show ip ssh
7
Parte 4: Configurar y verificar las características de seguridad en el S1
En la parte 4, desactivará los puertos sin utilizar, desactivará determinados servicios que se ejecutan en el
switch y configurará la seguridad de puertos según las direcciones MAC. Los switches pueden estar sujetos a
ataques de desbordamiento de la tabla de direcciones MAC, a ataques de suplantación de direcciones MAC
y a conexiones no autorizadas a los puertos del switch. Configurará la seguridad de puertos para limitar la
cantidad de direcciones MAC que se pueden detectar en un puerto del switch y para deshabilitar el puerto
si se supera ese número.
S1(config)# banner motd # El acceso no autorizado queda terminantemente prohibido. Los infractores
serán procesados con todo el rigor de la ley. # (capture pantalla)
b. Emita un comando show ip interface brief en el S1. ¿Qué puertos físicos están activos? (capture
pantalla)
c. Desactive todos los puertos sin utilizar en el switch. Use el comando interface range.
8
d. Emita el comando show ip interface brief en el S1. ¿Cuál es el estado de los puertos F0/1 a F0/4?
____________________________________________________________________________________
e. Emita el comando show ip http server status.
¿Cuál es el estado del servidor HTTP? ___________________________
¿Qué puerto del servidor utiliza? ___________________________
¿Cuál es el estado del servidor seguro de HTTP? ___________________________
¿Qué puerto del servidor seguro utiliza? ___________________________
f. Las sesiones HTTP envían todo como texto no cifrado. Deshabilite el servicio HTTP que se ejecuta en el
S1.
S1(config)# no ip http server
9
S1(config)# interface f0/5
2) Desactive el puerto.
S1(config-if)# shutdown
S1(config-if)# no shutdown
S1(config-if)# end
f. Ahora violará la seguridad mediante el cambio de la dirección MAC en la interfaz del router. Ingrese
al modo de configuración de interfaz para G0/1 y desactívela.
10
R1# config t
R1(config)# interface g0/1
R1(config-if)# shutdown
g. Configure una nueva dirección MAC para la interfaz, con la dirección aaaa.bbbb.cccc.
R1(config-if)# mac-address aaaa.bbbb.cccc
h. De ser posible, tenga abierta una conexión de consola en S1 al mismo tiempo que lleva cabo los dos
próximos pasos. Eventualmente verá mensajes en la conexión de la consola a S1 que indicarán una
violación de seguridad. Habilite la interfaz G0/1 en R1.
R1(config-if)# no shutdown
i. Desde el modo EXEC privilegiado en el R1, haga ping a la PC-A. ¿El ping fue exitoso? ¿Por qué o por
qué no?
____________________________________________________________________________________
j. En el switch, verifique la seguridad de los puertos con los comandos siguientes.
S1# show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
--------------------------------------------------------------------
Fa0/5 1 1 1 Shutdown
----------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) :0
Max Addresses limit in System (excluding one mac per port) :8192
omitió el resultado>
12
Reflexión
1. ¿Por qué habilitaría la seguridad de puertos en un switch?
_____________________________________________________________________________________
2. ¿Por qué deben deshabilitarse los puertos no utilizados en un switch?
_____________________________________________________________________________________
1800 Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(F0/0) (F0/1)
1900 Gigabit Ethernet 0/0 Gigabit Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(G0/0) (G0/1)
2801 Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/1/0 (S0/1/0) Serial 0/1/1 (S0/1/1)
(F0/0) (F0/1)
2811 Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(F0/0) (F0/1)
2900 Gigabit Ethernet 0/0 Gigabit Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(G0/0) (G0/1)
Nota: Para conocer la configuración del router, observe las interfaces a fin de identificar el tipo de router y
cuántas interfaces tiene. No existe una forma eficaz de confeccionar una lista de todas las combinaciones de
configuraciones para cada clase de router. En esta tabla, se incluyen los identificadores para las posibles
combinaciones de interfaces Ethernet y seriales en el dispositivo. En esta tabla, no se incluye ningún otro tipo
de interfaz, si bien puede haber interfaces de otro tipo en un router determinado. La interfaz BRI ISDN es un
ejemplo. La cadena entre paréntesis es la abreviatura legal que se puede utilizar en un comando de Cisco IOS
para representar la interfaz.
13