5.3.3.3 Lab - Troubleshoot LAN Traffic Using SPAN - ILM PDF

Actividad de laboratorio: Solución de problemas del tráfico LAN
mediante SPAN (Versión para el instructor)

Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la
copia del instructor solamente.
Topología
Tabla de asignación de direcciones
Máscara de Gateway
Dispositivo Interfaz Dirección IP subred predeterminado
R1 G0/1 192.168.1.1 255.255.255.0 N/D

S1 VLAN 1 192.168.1.2 255.255.255.0 192.168.1.1
S3 VLAN 1 192.168.1.3 255.255.255.0 192.168.1.1
PC-A NIC 192.168.1.254 255.255.255.0 192.168.1.1
PC-C NIC 192.168.1.10 255.255.255.0 192.168.1.1
Objetivos
Parte 1: Armar la red y verificar la conectividad
Parte 2: Configurar SPAN local y capturar el tráfico copiado con Wireshark
Aspectos básicos/situación
Como administrador de la red, decide analizar la red de área local interna en busca de tráfico de red
sospechoso y de posibles ataques de DoS o de reconocimiento. Para hacerlo, configurará replicación de
puertos en todos los puertos de switch activos y replicará/copiará todo el tráfico a un puerto de switch
designado en el que una PC con Wireshark en ejecución pueda analizar el tráfico capturado. El objetivo es
© 2017 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es información pública de Cisco. Página 1 de 12
Actividad de laboratorio: Solución de problemas del tráfico LAN mediante SPAN
identificar el origen del tráfico sospechoso. Para configurar la duplicación de puertos, usará la función del
analizador de puertos conmutados (SPAN) en el switch de Cisco. Es común encontrar un dispositivo que
ejecute un detector de paquetes o sistema de detección de intrusiones (IDS) conectado al puerto duplicado.
Nota: Los routers que se usan en las actividades prácticas de laboratorio de CCNA son routers de servicios
integrados (ISR) Cisco 1941 con Cisco IOS versión 15.4(3) (imagen universalk9). Los switches que se
utilizan son Cisco Catalyst 2960s con Cisco IOS versión 15.0(2) (imagen lanbasek9). Se pueden utilizar otros
routers, switches y otras versiones de Cisco IOS. Según el modelo y la versión de Cisco IOS, los comandos
disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de
laboratorio. Consulte la tabla Resumen de interfaces del router al final de esta práctica de laboratorio para
obtener los identificadores de interfaz correctos.
Nota: Asegúrese de que los routers y los switches se hayan borrado y no tengan configuraciones de inicio. Si
no está seguro, consulte al instructor.
Nota para el instructor: consulte el manual de prácticas de laboratorio para el instructor a fin de conocer los
procedimientos para inicializar y volver a cargar los dispositivos.
Recursos necesarios
• 1 router (Cisco 1941 con Cisco IOS versión 15.4(3), imagen universal o equivalente)
• 2 switches (Cisco 2960 con Cisco IOS versión 15.0(2), imagen lanbasek9 o comparable)
• 2 PC (Windows con un programa de emulación de terminal, como Tera Term o PuTTY, Wireshark y
Zenmap)
• Cables de consola para configurar los dispositivos con Cisco IOS mediante los puertos de consola
• Cables Ethernet y seriales, como se muestra en la topología
Parte 1. Armar la red y verificar la conectividad

En la parte 1, establecerá la topología de la red y configurará los parámetros básicos, como las direcciones
IP de interfaz, el routing estático, el acceso a los dispositivos y las contraseñas.
Paso 1. Realizar el cableado de red como se muestra en la topología

Conecte los dispositivos como se muestra en la topología y realice el cableado necesario.
Paso 2. Configurar los hosts de las PC
Paso 3. Inicializar y vuelva a cargar los routers y los switches según sea necesario
Paso 4. configurar los parámetros básicos para el router.

a. Desactive la búsqueda de DNS.
b. Configure el nombre del dispositivo como se muestra en la topología.
c. Configure una dirección IP para el router, como se indica en la tabla de asignación de direcciones.
d. Asigne class como la contraseña cifrada del modo EXEC privilegiado.
e. Asigne cisco como contraseña de la consola y vty, habilite el inicio de sesión.
f. Defina las líneas vty en transport input telnet.
g. Configure logging synchronous para evitar que los mensajes de consola interrumpan la entrada de
comandos.
h. Copie la configuración en ejecución en la configuración de inicio
Paso 5. Configurar los parámetros básicos para cada switch

a. Desactive la búsqueda de DNS.
b. Configure el nombre del dispositivo como se muestra en la topología.
c. Asigne class como la contraseña cifrada del modo EXEC privilegiado.
d. Configure las direcciones IP para los switches como se indica en la tabla de direccionamiento.
e. Configure el gateway predeterminado en cada switch.
f. Asigne cisco como contraseña de la consola y vty, y habilite el inicio de sesión.
g. Configure logging synchronous para evitar que los mensajes de consola interrumpan la entrada de
comandos.
h. Copie la configuración en ejecución en la configuración de inicio
Paso 6. Verifique la conectividad.

a. Desde PC-A, debería poder enviar un comando ping a la interfaz en R1, S1, S3 y PC-C. ¿Todos los
comandos ping produjeron un resultado correcto? ______________ Sí
Si los pings no se realizan correctamente, solucione los problemas de las configuraciones básicas del
dispositivo antes de continuar.
b. Desde PC-C, debería poder enviar un comando ping a la interfaz en R1, S1, S3 y PC-A. ¿Todos los
comandos ping produjeron un resultado correcto? ______________ Sí
Si los pings no se realizan correctamente, solucione los problemas de las configuraciones básicas del
dispositivo antes de continuar.
Parte 2. Configurar el SPAN local y capturar el tráfico copiado con

Wireshark
Para configurar SPAN local tiene que configurar al menos un puerto de origen que llamará puerto
monitoreado y un único puerto de destino también llamado puerto monitoreado para que se envíe el tráfico
copiado o replicado. Los puertos de origen de SPAN se pueden configurar para que monitoreen el tráfico a
su ingreso o egreso, o en ambas direcciones (opción predeterminada).
Paso 1. Configure SPAN en S1.

a. Localice los puertos de switch que están activos en S1.
S1# show ip interface brief
¿Qué puertos de switch están activos en forma física, y cuáles en forma lógica?
_____________________________________
F0/4, F0/5, F0/6 están activos
b. En S1, F0/6 se conecta a PC-A, que se utilizará para analizar el tráfico con Wireshark. F0/6 será el
puerto de monitoreo de destino de SPAN para los paquetes duplicados. F0/4 y F0/5 serán los puertos de
monitoreo de origen para los paquetes interceptados. Puede configurar múltiples puertos de monitoreo
de origen pero solo uno de destino.
S1(config)# monitor session 1 source interface f0/4 - 5
S1(config)# monitor session 1 destination interface f0/6
Paso 2. Comience una captura de Wireshark en PC-A.

a. Abra Wireshark en PC-A, defina la interfaz de captura en la Conexión de área local y haga clic en Start
(Comenzar).
Paso 3. Desde PC-C, utilice NMAP para generar tráfico sospechoso.

a. De ser necesario, vaya a NMAP.org para descargar Zenmap. Desplácese hacia abajo en la página para
encontrar la última versión estable para PC-C. Luego después de las instrucciones en la pantalla para
instalar Zenmap con las configuraciones predeterminadas.
b. Abra Zenmap en PC-C y ejecute un escaneo de pings UDP para buscar hosts disponibles (nmap –sn –
PU 192.168.1-6). En el resultado de la búsqueda se identifican 3 hosts en la red R1, S1 y S2, en
192.168.1.1, 192.168.1.2 y 192.168.1.3. Fíjese que Zenmap también ha identificado las direcciones MAC
de los tres hosts como interfaces de Cisco Systems. Si se tratara de un ataque de reconocimiento de red
real, el escaneo podría abarcar todo el rango de hosts de red, al igual que los puertos y la identificación
del SO.
c. El atacante hipotético ahora puede ejecutar un escaneo intenso en R1 en 192.168.1.1 (nmap –T4 –A –v
192.168.1.1). En el resultado de la búsqueda se identifica un puerto 23/Telnet abierto.
Paso 4. En PC-A detenga la captura de Wireshark y examine los paquetes SPAN

capturados.
a. Regrese a PC-A y detenga la captura de Wireshark. Tome nota de los patrones de tráfico no estándares
entre PC-C en 192.168.1.10 y R1 en 192.168.1.1. Está plagado de segmentos Fuera de orden y de
operaciones para restablecer la conexión (RST). Esta captura de paquetes identifica que PC-C está
enviando tráfico sospechoso al router R1.
b. El atacante que está trabajando en PC-C y sabe que el router tiene un puerto abierto en el 23 podría
intentar iniciar un ataque adicional de fuerza bruta o de DoS, como un ataque LAND. Un ataque LAND es
un paquete SYN de TCP con la misma dirección IP y número de puerto de origen y destino. Si se utiliza
Zenmap, el comando nmap –sS 192.168.1.1 –S 192.168.1.1 –p23 –g23 –e eth0 es un ejemplo. Fíjese
que el ataque LAND define tanto la dirección IP de origen como la destino en 192.168.1.1 y los números
de puerto de origen y de destino en el puerto abierto 23. Aunque R1 con IOS15 no es vulnerable a este
tipo de ataque de DoS más antiguo, muchos sistemas y servidores anteriores siguen siéndolo. Este
ataque detendrá el funcionamiento de los sistemas vulnerables, ya que los definirá en un bucle infinito.
Reflexión
En esta situación, ¿se utilizó SPAN para solucionar problemas e identificar el origen de la actividad
sospechosa de la red? ¿En qué otras situaciones SPAN podría ser útil para solucionar problemas?
_______________________________________________________________________________________
_______________________________________________________________________________________
Las respuestas pueden variar. Ejemplos: Identificar el origen de transmisiones excesivas en la red. Identificar
hosts infectados con malware que intenta esparcirse para dar instrucciones y controlar servidores, etc.
Tabla de resumen de interfaces de router
Resumen de interfaces de router
Modelo de Interfaz Ethernet 1 Interfaz Ethernet 2 Interfaz serial 1 Interfaz serial 2

router
1800 Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(F0/0) (F0/1)
1900 Gigabit Ethernet 0/0 Gigabit Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(G0/0) (G0/1)
(F0/0) (F0/1)
(F0/0) (F0/1)
2900 Gigabit Ethernet 0/0 Gigabit Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(G0/0) (G0/1)
Nota: Para conocer la configuración del router, observe las interfaces a fin de identificar el tipo de router y
cuántas interfaces tiene. No existe una forma eficaz de hacer una lista de todas las combinaciones de
configuraciones para cada clase de router. En esta tabla se incluyen los identificadores para las posibles
combinaciones de interfaces Ethernet y seriales en el dispositivo. En esta tabla, no se incluye ningún otro tipo de
interfaz, si bien puede haber interfaces de otro tipo en un router determinado. La interfaz BRI ISDN es un
ejemplo. La cadena entre paréntesis es la abreviatura legal que se puede utilizar en un comando de Cisco IOS
para representar la interfaz.
Configuraciones de dispositivos
Router R1
R1#show run
Building configuration...
Current configuration : 1379 bytes

!
version 15.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
enable secret 5 $1$9VIJ$vAdKomdXQ9N4SieMoFxeD1 de enable
!
no aaa new-model
!
!
no ip domain lookup
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
cts logging verbose
!
!
license udi pid CISCO1941/K9 sn FTX163283RA
license accept end user agreement
license boot module c1900 technology-package securityk9
!
!
redundancy
!
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
no ip address
shutdown
duplex auto
speed auto
!
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
!
interface Serial0/0/0
no ip address
shutdown
clock rate 2000000
!
interface Serial0/0/1
no ip address
shutdown
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
control-plane
!
!
línea con 0
password cisco
logging synchronous
login
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
password cisco
login
transport input telnet
!
scheduler allocate 20000 1000
!
end
Switch S1
S1#show run

!
version 15.0
no service pad
!
hostname S1
!
boot-start-marker
boot-end-marker
!
enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2
!
no aaa new-model
system mtu routing 1500
!
!
no ip domain-lookup
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
!
interface FastEthernet0/1
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface Vlan1
ip address 192.168.1.2 255.255.255.0
!
ip default-gateway 192.168.1.1
ip http server
ip http secure-server
!
!
línea con 0
password cisco
logging synchronous
login
line vty 0 4
password cisco
login
line vty 5 15
password cisco
login
!
!
monitor session 1 source interface Fa0/4 - 5
monitor session 1 destination interface Fa0/6
end
Switch S3
S3#show run

!
version 15.0
no service pad
!
hostname S3
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$YRtb$6k0fixPDtcRtjKATQH5Op1 de enable
!
no aaa new-model
system mtu routing 1500
!
!
no ip domain-lookup
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface Vlan1
ip address 192.168.1.3 255.255.255.0
!
ip default-gateway 192.168.1.1
ip http server
ip http secure-server
!
!
línea con 0
password cisco
login
line vty 0 4
password cisco
login
line vty 5 15
password cisco
login
!
end

5.3.3.3 Lab - Troubleshoot LAN Traffic Using SPAN - ILM PDF

Cargado por

Copyright:

Formatos disponibles

5.3.3.3 Lab - Troubleshoot LAN Traffic Using SPAN - ILM PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

5.3.3.3 Lab - Troubleshoot LAN Traffic Using SPAN - ILM PDF

Cargado por

Copyright:

Formatos disponibles

Actividad de laboratorio: Solución de problemas del tráfico LAN

mediante SPAN (Versión para el instructor)

Tabla de asignación de direcciones

R1 G0/1 192.168.1.1 255.255.255.0 N/D

Parte 1. Armar la red y verificar la conectividad

Paso 1. Realizar el cableado de red como se muestra en la topología

Paso 2. Configurar los hosts de las PC

Paso 4. configurar los parámetros básicos para el router.

Paso 5. Configurar los parámetros básicos para cada switch

Paso 6. Verifique la conectividad.

Parte 2. Configurar el SPAN local y capturar el tráfico copiado con

Paso 1. Configure SPAN en S1.

Paso 2. Comience una captura de Wireshark en PC-A.

Paso 3. Desde PC-C, utilice NMAP para generar tráfico sospechoso.

Paso 4. En PC-A detenga la captura de Wireshark y examine los paquetes SPAN

Tabla de resumen de interfaces de router

Resumen de interfaces de router

Modelo de Interfaz Ethernet 1 Interfaz Ethernet 2 Interfaz serial 1 Interfaz serial 2

Current configuration : 1379 bytes

Current configuration : 1605 bytes

Current configuration : 1482 bytes

También podría gustarte