5.3.3.3 Lab - Troubleshoot LAN Traffic Using SPAN - ILM PDF
5.3.3.3 Lab - Troubleshoot LAN Traffic Using SPAN - ILM PDF
5.3.3.3 Lab - Troubleshoot LAN Traffic Using SPAN - ILM PDF
Topología
Máscara de Gateway
Dispositivo Interfaz Dirección IP subred predeterminado
Objetivos
Parte 1: Armar la red y verificar la conectividad
Parte 2: Configurar SPAN local y capturar el tráfico copiado con Wireshark
Aspectos básicos/situación
Como administrador de la red, decide analizar la red de área local interna en busca de tráfico de red
sospechoso y de posibles ataques de DoS o de reconocimiento. Para hacerlo, configurará replicación de
puertos en todos los puertos de switch activos y replicará/copiará todo el tráfico a un puerto de switch
designado en el que una PC con Wireshark en ejecución pueda analizar el tráfico capturado. El objetivo es
© 2017 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es información pública de Cisco. Página 1 de 12
Actividad de laboratorio: Solución de problemas del tráfico LAN mediante SPAN
identificar el origen del tráfico sospechoso. Para configurar la duplicación de puertos, usará la función del
analizador de puertos conmutados (SPAN) en el switch de Cisco. Es común encontrar un dispositivo que
ejecute un detector de paquetes o sistema de detección de intrusiones (IDS) conectado al puerto duplicado.
Nota: Los routers que se usan en las actividades prácticas de laboratorio de CCNA son routers de servicios
integrados (ISR) Cisco 1941 con Cisco IOS versión 15.4(3) (imagen universalk9). Los switches que se
utilizan son Cisco Catalyst 2960s con Cisco IOS versión 15.0(2) (imagen lanbasek9). Se pueden utilizar otros
routers, switches y otras versiones de Cisco IOS. Según el modelo y la versión de Cisco IOS, los comandos
disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de
laboratorio. Consulte la tabla Resumen de interfaces del router al final de esta práctica de laboratorio para
obtener los identificadores de interfaz correctos.
Nota: Asegúrese de que los routers y los switches se hayan borrado y no tengan configuraciones de inicio. Si
no está seguro, consulte al instructor.
Nota para el instructor: consulte el manual de prácticas de laboratorio para el instructor a fin de conocer los
procedimientos para inicializar y volver a cargar los dispositivos.
Recursos necesarios
• 1 router (Cisco 1941 con Cisco IOS versión 15.4(3), imagen universal o equivalente)
• 2 switches (Cisco 2960 con Cisco IOS versión 15.0(2), imagen lanbasek9 o comparable)
• 2 PC (Windows con un programa de emulación de terminal, como Tera Term o PuTTY, Wireshark y
Zenmap)
• Cables de consola para configurar los dispositivos con Cisco IOS mediante los puertos de consola
• Cables Ethernet y seriales, como se muestra en la topología
Paso 3. Inicializar y vuelva a cargar los routers y los switches según sea necesario
© 2017 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es información pública de Cisco. Página 2 de 12
Actividad de laboratorio: Solución de problemas del tráfico LAN mediante SPAN
© 2017 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es información pública de Cisco. Página 3 de 12
Actividad de laboratorio: Solución de problemas del tráfico LAN mediante SPAN
© 2017 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es información pública de Cisco. Página 4 de 12
Actividad de laboratorio: Solución de problemas del tráfico LAN mediante SPAN
c. El atacante hipotético ahora puede ejecutar un escaneo intenso en R1 en 192.168.1.1 (nmap –T4 –A –v
192.168.1.1). En el resultado de la búsqueda se identifica un puerto 23/Telnet abierto.
b. El atacante que está trabajando en PC-C y sabe que el router tiene un puerto abierto en el 23 podría
intentar iniciar un ataque adicional de fuerza bruta o de DoS, como un ataque LAND. Un ataque LAND es
un paquete SYN de TCP con la misma dirección IP y número de puerto de origen y destino. Si se utiliza
© 2017 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es información pública de Cisco. Página 5 de 12
Actividad de laboratorio: Solución de problemas del tráfico LAN mediante SPAN
Zenmap, el comando nmap –sS 192.168.1.1 –S 192.168.1.1 –p23 –g23 –e eth0 es un ejemplo. Fíjese
que el ataque LAND define tanto la dirección IP de origen como la destino en 192.168.1.1 y los números
de puerto de origen y de destino en el puerto abierto 23. Aunque R1 con IOS15 no es vulnerable a este
tipo de ataque de DoS más antiguo, muchos sistemas y servidores anteriores siguen siéndolo. Este
ataque detendrá el funcionamiento de los sistemas vulnerables, ya que los definirá en un bucle infinito.
Reflexión
En esta situación, ¿se utilizó SPAN para solucionar problemas e identificar el origen de la actividad
sospechosa de la red? ¿En qué otras situaciones SPAN podría ser útil para solucionar problemas?
_______________________________________________________________________________________
_______________________________________________________________________________________
Las respuestas pueden variar. Ejemplos: Identificar el origen de transmisiones excesivas en la red. Identificar
hosts infectados con malware que intenta esparcirse para dar instrucciones y controlar servidores, etc.
1800 Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(F0/0) (F0/1)
1900 Gigabit Ethernet 0/0 Gigabit Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(G0/0) (G0/1)
2801 Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/1/0 (S0/1/0) Serial 0/1/1 (S0/1/1)
(F0/0) (F0/1)
2811 Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(F0/0) (F0/1)
2900 Gigabit Ethernet 0/0 Gigabit Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(G0/0) (G0/1)
Nota: Para conocer la configuración del router, observe las interfaces a fin de identificar el tipo de router y
cuántas interfaces tiene. No existe una forma eficaz de hacer una lista de todas las combinaciones de
configuraciones para cada clase de router. En esta tabla se incluyen los identificadores para las posibles
combinaciones de interfaces Ethernet y seriales en el dispositivo. En esta tabla, no se incluye ningún otro tipo de
interfaz, si bien puede haber interfaces de otro tipo en un router determinado. La interfaz BRI ISDN es un
ejemplo. La cadena entre paréntesis es la abreviatura legal que se puede utilizar en un comando de Cisco IOS
para representar la interfaz.
Configuraciones de dispositivos
Router R1
R1#show run
Building configuration...
© 2017 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es información pública de Cisco. Página 6 de 12
Actividad de laboratorio: Solución de problemas del tráfico LAN mediante SPAN
version 15.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
enable secret 5 $1$9VIJ$vAdKomdXQ9N4SieMoFxeD1 de enable
!
no aaa new-model
!
!
no ip domain lookup
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
cts logging verbose
!
!
license udi pid CISCO1941/K9 sn FTX163283RA
license accept end user agreement
license boot module c1900 technology-package securityk9
!
!
redundancy
!
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
no ip address
shutdown
duplex auto
speed auto
!
interface GigabitEthernet0/1
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
!
interface Serial0/0/0
© 2017 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es información pública de Cisco. Página 7 de 12
Actividad de laboratorio: Solución de problemas del tráfico LAN mediante SPAN
no ip address
shutdown
clock rate 2000000
!
interface Serial0/0/1
no ip address
shutdown
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
control-plane
!
!
línea con 0
password cisco
logging synchronous
login
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
password cisco
login
transport input telnet
!
scheduler allocate 20000 1000
!
end
Switch S1
S1#show run
Building configuration...
© 2017 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es información pública de Cisco. Página 8 de 12
Actividad de laboratorio: Solución de problemas del tráfico LAN mediante SPAN
!
boot-start-marker
boot-end-marker
!
enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2
!
no aaa new-model
system mtu routing 1500
!
!
no ip domain-lookup
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
!
interface FastEthernet0/1
!
interface FastEthernet0/2
!
interface FastEthernet0/3
!
interface FastEthernet0/4
!
interface FastEthernet0/5
!
interface FastEthernet0/6
!
interface FastEthernet0/7
!
interface FastEthernet0/8
!
interface FastEthernet0/9
!
interface FastEthernet0/10
!
interface FastEthernet0/11
!
interface FastEthernet0/12
!
interface FastEthernet0/13
!
interface FastEthernet0/14
!
interface FastEthernet0/15
!
© 2017 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es información pública de Cisco. Página 9 de 12
Actividad de laboratorio: Solución de problemas del tráfico LAN mediante SPAN
interface FastEthernet0/16
!
interface FastEthernet0/17
!
interface FastEthernet0/18
!
interface FastEthernet0/19
!
interface FastEthernet0/20
!
interface FastEthernet0/21
!
interface FastEthernet0/22
!
interface FastEthernet0/23
!
interface FastEthernet0/24
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface Vlan1
ip address 192.168.1.2 255.255.255.0
!
ip default-gateway 192.168.1.1
ip http server
ip http secure-server
!
!
línea con 0
password cisco
logging synchronous
login
line vty 0 4
password cisco
login
line vty 5 15
password cisco
login
!
!
monitor session 1 source interface Fa0/4 - 5
monitor session 1 destination interface Fa0/6
end
Switch S3
S3#show run
Building configuration...
© 2017 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es información pública de Cisco. Página 10 de 12
Actividad de laboratorio: Solución de problemas del tráfico LAN mediante SPAN
© 2017 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es información pública de Cisco. Página 11 de 12
Actividad de laboratorio: Solución de problemas del tráfico LAN mediante SPAN
!
interface FastEthernet0/12
!
interface FastEthernet0/13
!
interface FastEthernet0/14
!
interface FastEthernet0/15
!
interface FastEthernet0/16
!
interface FastEthernet0/17
!
interface FastEthernet0/18
!
interface FastEthernet0/19
!
interface FastEthernet0/20
!
interface FastEthernet0/21
!
interface FastEthernet0/22
!
interface FastEthernet0/23
!
interface FastEthernet0/24
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface Vlan1
ip address 192.168.1.3 255.255.255.0
!
ip default-gateway 192.168.1.1
ip http server
ip http secure-server
!
!
línea con 0
password cisco
login
line vty 0 4
password cisco
login
line vty 5 15
password cisco
login
!
end
© 2017 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es información pública de Cisco. Página 12 de 12