Práctica de laboratorio: configuración de características de seguridad de switch Topología
Tabla Tabla de direccionamiento Dispositivo
R1
Interfaz
G0/1
Dirección IP
Máscara de subred
atewa! predeterminado
172.16.99.1
255.255.255. 0
N/A
172.16.99.1
172.16.99.1
S1
VLAN 99
172.16.99.11
255.255.255. 0
PC-A
NIC
172.16.99.3
255.255.255. 0
"b#etivos Parte $: establecer la topología e inicializar los dispositivos Parte %: configurar los parámetros básicos de los dispositivos dispositivos ! verificar la conectividad Parte &: configurar ! verificar el acceso por ''( en el '$ •
Configurar el acceso por SSH.
•
Modificar los parámetros de SSH.
•
Verificar Verificar la configuración de SSH.
Parte ): configurar ! verificar las características de seguridad en el '$ •
Configurar y verificar las características de seguridad general.
•
Configurar y verificar la seguridad del puerto.
Información básica*situación Es muy común blouear el acceso e instalar buenas características de seguridad en computadoras y servidores. Es importante ue los dispositivos de infraestructura de red! como los s"itc#es y routers! tambi$n se configuren con características de seguridad. En esta práctica de laboratorio! seguirá algunas de las prácticas recomendadas para configurar características de seguridad en s"itc#es %&'. Solo permitirá las sesiones de SSH y de H(()S seguras. (ambi$n (ambi$n configurará y verificará la seguridad de puertos para blouear cualuier dispositivo con una dirección M&C ue el s"itc# no recono*ca.
+ota: el +ota: el router ue se utili*a en las p rácticas de laboratorio de CC'& es un router de servicios integrados +,S- Cisco /01/ con ,2S de Cisco versión /3.4+1M5 +imagen universal60. El s"itc# ue se utili*a es Cisco Catalyst 4078 con ,2S de Cisco versión /3.8+4 +imagen de lanbase60. Se pueden utili*ar otros routers! s"itc#es y otras versiones del ,2S de Cisco. Según el modelo y la versión de ,2S de Cisco! los comandos disponibles y los resultados ue se obtienen pueden diferir de los ue se muestran en las prácticas de laboratorio. Consulte Consulte la tabla -esumen de interfaces del router ue se encuentra al final de esta práctica de laboratorio para obtener los identificadores de interfa* correctos. +ota9 +ota9 asegúrese de ue el router y el s"itc# se #ayan borrado y no tengan configuraciones de inicio. Si no está seguro! solicite ayuda al instructor o consulte las p rácticas de laboratorio anteriores para conocer los procedimientos de iniciali*ación y recarga de dispositivos.
,ecursos necesarios •
/ router +Cisco /01/ con ,2S de Cisco versión /3.4+1M5! imagen universal o similar
•
/ s"itc# +Cisco 4078 con ,2S de Cisco versión /3.8+4! imagen lanbase60 o comparable
•
•
•
1
/ computadora +:indo"s ;! Vista o <) con un programa de emulación de terminal! como (era (era (erm Cables de consola para configurar los dispositivos con ,2S de Cisco mediante los puertos de consola Cables Et#ernet! como se muestra en la topología
esta establ blec ecer er la topo topolo logí gía a e inic inicia iali liza zarr los los disp dispos osit itiv ivos os En la parte /! establecerá la topología de la red y borrará cualuier configuración! si fuera necesario.
$
realiza realizarr el cable cableado ado de de red tal como como se se muestra muestra en la topo topologí logíaa-
%
iniciali inicializar zar ! volver volver a cargar cargar el route routerr ! el switch switch--
Si los arc#ivos de configuración se guardaron previamente en el router y el s"itc#! inicialice y vuelva a cargar estos dispositivos con los parámetros básicos.
2
con confgur fgura ar los los par ará ámetr metros os bá bási sico cos s de los los dispositivos y verifcar la conectividad En la parte 4! configure los parámetros básicos en el router! el s"itc# y la computadora. Consulte la topología y la tabla de direccionamiento incluidos al comien*o de esta práctica de laboratorio para conocer los nombres de los dispositivos y obtener información de direcciones.
$
configurar una dirección IP en la P./0-
&
configurar los parámetros básicos en el ,$-
a
Configure el nombre del dispositivo.
b
=esactive la búsueda del ='S.
c
Configure la dirección ,) de interfa* ue se muestra en la tabla de direccionamiento.
d &signe class como la contrase>a del modo E
&signe cisco como la contrase>a de vty y la contrase>a de consola! y #abilite el inicio de sesión.
f
Cifre las contrase>as de te?to no cifrado.
g
@uarde la configuración en eAecución en la configuración de inicio.
Comandos Ingresados: enable configure terminal hostname R1 no ip domain-lookup interface g0/1 ip address 172.1.!!.1 2"".2"".2"".0 no shutdo#n e$it enable secret class line %t& 0 ' pass#ord cisco login e$it line console 0 pass#ord cisco login e$it
ser%ice pass#ord-encr&ption e$it cop& run start
)
configurar los parámetros básicos en el '$-
Bna buena práctica de seguridad es asignar la dirección ,) de administración del s"itc# a una V%&' distinta de la V%&' / +o cualuier otra V%&' de datos con usuarios finales. En este paso! creará la V%&' 00 en el s"itc# y le asignará una dirección ,). a
Configure el nombre del dispositivo.
h
=esactive la búsueda del ='S.
i
&signe class como la contrase>a del modo E
#
&signe cisco como la contrase>a de vty y la contrase>a de consola! y luego #abilite el inicio de sesión.
1
Configure un gate"ay predeterminado para el S/ con la dirección ,) del -/.
l
Cifre las contrase>as de te?to no cifrado.
m @uarde la configuración en eAecución en la configuración de inicio.
Comandos Bsados9 enable configure terminal hostname (1 no ip domain-lookup enable secret class line %t& 0 ' pass#ord cisco login e$it line console 0 pass#ord cisco login e$it ip default-gate#a& 172.1.!!.1 ser%ice pass#ord-encr&ption e$it cop& run start
n
Cree la V%&' 00 en el s"itc# y asígnele el nombre Management. (1)config*+ vlan 99 (1)config-%lan*+ name Management (1)config-%lan*+ exit (1)config*+
o
Configure la dirección ,) de la interfa* de administración V%&' 00! tal como se muestra en la tabla de direccionamiento! y #abilite la interfa*. (1)config*+ interface vlan 99 (1)config-if*+ ip address 172.16.99.11 255.255.255.0 (1)config-if*+ no shutdown (1)config-if*+ end (1+
p
2
Emita el comando show vlan en el S/. Cuál es el estado de la V%&' 00D
Emita el comando show ip interface brief en el S/. Cuál es el estado y el p rotocolo para la interfa* de administración V%&' 00D ,igabitthernet0/2 do#n
unassigned
( manual do#n
lan1 do#n do#n
unassigned
( manual administrati%el&
lan!! do#n
172.1.!!.11
( manual up
(1+
l estado es & el protocolo 345 en la interface %lan!!
)or u$ el protocolo figura como do"n! a pesar de ue usted emitió el comando no shutdown para la interfa* V%&' 00D or6ue 85 !! no tiene asignado ning9na interfa ;astthernet
r &signe los puertos 8F3 y 8F7 a la V%&' 00 en el s"itc#. (1+ config t (1)config*+ interface f0/5 (1)config-if*+ switchport mode access (1)config-if*+ switchport access vlan 99 (1)config-if*+ interface f0/6 (1)config-if*+ switchport mode access (1)config-if*+ switchport access vlan 99 (1)config-if*+ end
Emita el comando show ip interface brief en el S/. Cuál es el estado y el p rotocolo ue se muestra para la interfa* V%&' 00D
s
l estado es & el protocolo en la interface %lan!!
+ota: puede #aber una demora mientras convergen los estados de los puertos.
3
verificar la conectividad entre los dispositivos-
a
En la )CG&! #aga ping a la dirección de gate"ay predeterminado en el -/. %os pings se reali*aron correctamenteD S,
t
En la )CG&! #aga ping a la dirección de administración del S/. %os pings se reali*aron correctamenteD '2 u
En el S/! #aga ping a la dirección de gate"ay predeterminado en el -/. %os pings se reali*aron correctamenteD S,
v
En la )CG&! abra un navegador "eb y acceda a #ttp9FF/;4./7.00.//. Si le solicita un nombre de usuario y una contrase>a! deAe el nombre de usuario en blanco y utilice la contrase>a class. Si le solicita una cone?ión segura! conteste +o- )udo acceder a la interfa* "eb en el S/D '2
w
Cierre la sesión del e?plorador en la )CG&.
+ota: la interfa* "eb no segura +servidor H(() en un s"itc# Cisco 4078 está #abilitada de manera predeterminada. Bna medida de seguridad frecuente es des#abilitar este servicio! tal como se describe en la parte 1.
3
confgurar y verifcar el acceso por SSH en el S1 $ a
configurar el acceso por ''( en el '$Habilite SSH en el S/. En el modo de configuración global! cree el nombre de dominio ..+0/4ab-com.
(1)config*+ ip domainname !!"#$a%.com
b
Cree una entrada de base de datos de usuarios local para ue se utilice al conectarse al s"itc# a trav$s de SSH. El usuario debe tener acceso de nivel de administrador. +ota: la contrase>a ue se utili*a auí '2 es una contrase>a segura. Simplemente se usa a los efectos de esta práctica de laboratorio. (1)config*+ username admin privilege 15 secret sshadmin
c
Configure la entrada de transporte para ue las líneas vty permitan solo cone?iones SSH y utilicen la base de datos local para la autenticación. (1)config*+ line vt& 0 15 (1)config-line*+ transport input ssh (1)config-line*+ login local (1)config-line*+ exit
d
@enere una clave criptográfica -S& con un módulo de /841 bits. (1)config*+ cr&pto 'e& generate rsa modulus 102(
ke&s #ill be non-e$portable... ?3@A )elapsed time #as B seconds*
(1)config*+ (1)config*+ end
e
Verifiue la configuración de SSH y responda las siguientes preguntas. (1+ show ip ssh (1+sho# ip ssh (( nabled - %ersion 1.!! 8uthentication timeout: 120 secsD 8uthentication retries: B (1+
u$ versión de SSH usa el s"itc#D /.00 Cuántos intentos de autenticación permite SSHD 5 Cuál es la configuración predeterminada de tiempo de espera para SSHD /48 segundos
5
modificar la configuración de ''( en el '$-
Modifiue la configuración predeterminada de SSH. (1+ config t (1)config*+ ip ssh timeout 75 (1)config*+ ip ssh authenticationretries 2
Cuántos intentos de autenticación permite SSHD 4 Cuál es la configuración de tiempo de espera para SSHD ;3 Segundos
(1+sho# ip ssh (( nabled - %ersion 1.!! 8uthentication timeout: 7" secsD 8uthentication retries: 2 (1+
6
verificar la configuración de ''( en el '$-
a
Mediante un soft"are de cliente SSH en la )CG& +como (era (erm! abra una cone?ión SSH en el S/. Si recibe un mensaAe en el cliente SSH con respecto a la clave de #ost! ac$ptela. ,nicie sesión con el nombre d e usuario admin y la contrase>a class. %a cone?ión se reali*ó correctamenteD S, u$ petición de entrada se mostró en el S/D )or u$D Modo e?ec privilegiado. )orue al usar la opción privilege /3 al crear el usuario se estableció de esta manera.
f
Escriba e7it para finali*ar la sesión de SSH en el S/.
4
confgurar y verifcar las características de seguridad en el S1 En la parte 1! desactivará los puertos sin utili*ar! desactivará determinados servicios ue se eAecutan en el s"itc# y configurará la seguridad de puertos según las direcciones M&C. %os s"itc#es pueden estar suAetos a ataues de desbordamiento de la tabla de direcciones M&C! a ataues de suplantación de direcciones M&C y a cone?iones no autori*adas a los puertos del s"itc#. Configurará la seguridad de puertos para limitar la cantidad de direcciones M&C ue se pueden detectar en un puerto del s"itc# y para des#abilitar el puerto si se supera ese número.
$ a
configurar las características de seguridad general en el '$Configure un aviso de mensaAe del día +M2(= en el S/ con un mensaAe de advertencia de seguridad adecuado. Eanner motd F(olo ersonal 8utoriadoG
b
Emita un comando show ip interface brief en el S/. u$ puertos físicos están activosD ;a0/" & ;a0/
c
=esactive todos los puertos sin utili*ar en el s"itc#. Bse el comando interface range. (1)config*+ interface range f0/1 ) ( (1)config-if-range*+ shutdown (1)config-if-range*+ interface range f0/7 ) 2( (1)config-if-range*+ shutdown (1)config-if-range*+ interface range g0/1 ) 2 (1)config-if-range*+ shutdown (1)config-if-range*+ end (1+
d
Emita el comando show ip interface brief en el S/. Cuál es el estado de los puertos 8F/ a 8F1D
8dministrati%el& do#n
e
Emita el comando show ip http server status. Cuál es el estado del servidor H(()D ste comando no estH soportado por packet tracer
u$ puerto del servidor utili*aD IIIIIIIIIIIIIIIIIIIIIIIIIII Cuál es el estado del servidor seguro de H(()D IIIIIIIIIIIIIIIIIIIIIIIIIII u$ puerto del servidor seguro utili*aD IIIIIIIIIIIIIIIIIIIIIIIIIII f
%as sesiones H(() envían todo como te?to no cifrado. =es#abilite el servicio H(() ue se eAecuta en el S/. (1)config*+ no ip http server
g
En la )CG&! abra una sesión de navegador "eb a #ttp9FF/;4./7.00.//. Cuál fue el resultadoD (er%er Reset Connection
h
En la )CG&! abra una sesión segura de navegador "eb en #ttps9FF/;4./7.00.//. &cepte el certificado. ,nicie sesión sin nombre de usuario y con la contrase>a class. Cuál fue el resultadoD (er%er Reset Connection 5o puede conectarse
i
Cierre la sesión "eb en la )CG&.
8
configurar ! verificar la seguridad de puertos en el '$-
a
-egistre la dirección M&C de @8F/ del -/. =esde la C%, del -/! use el comando show interface g9*$ y registre la dirección M&C de la interfa*. R1+ show interface g0/1 ,igabitthernet0/1 is up> line protocol is up ard#are is C5 ,igabit thernet> address is B0f7.0daB.121 )bia B0'7.0daB.121*
Cuál es la dirección M&C de la interfa* @8F/ del -/D
,igabitthernet0/1 is up> line protocol is up )connected* ard#are is C5 ,igabit thernet> address is 000.702b.d!02 )bia 000.702b.d!02* Internet address is 172.1.!!.1/2'
0060.702%.d902
#
=esde la C%, del S/! emita un comando show mac address/table en el modo E
1
Configure la seguridad básica de los puertos.
+ota: normalmente! este procedimiento se reali*aría en todos los puertos de acceso e n el s"itc#. &uí se muestra 8F3 como eAemplo. $
=esde la C%, del S/! ingrese al modo de configuración de interfa* para el puerto ue se conecta al -/. (1)config*+ interface f0/5
%
=esactive el puerto. (1)config-if*+ shutdown
&
Habilite la seguridad de puertos en 8F3. (1)config-if*+ switchport portsecurit&
Nota: la introducción del comando switchport port-security establece la cantidad máxima de direcciones MAC en 1 y la acción de violación en shutdown. Los comandos switchport port-security maximum y switchport port-security violation se pueden usar para cambiar el comportamiento predeterminado. )
Configure una entrada estática para la dirección M&C de la interfa* @8F/ del -/ registrada en el paso 4a. (1)config-if*+ switchport portsecurit& macaddress xxxx.xxxx.xxxx
+????.????.???? es la dirección M&C real de la interfa* @8F/ del router
Nota: de manera optativa, puede usar el comando switchport portsecurit& macaddress stic'& para agregar todas las direcciones MAC seguras ue se detectan dinámicamente en un puerto !hasta el máximo establecido" a la con#iguración en e$ecución del switch. 3
Habilite el puerto del s"itc#. (1)config-if*+ no shutdown (1)config-if*+ end
l
Verifiue la seguridad de puertos en 8F3 del S/ mediante la emisión de un comando show port/securit! interface. (1+ show portsecurit& interface f0/5 ort (ecurit&
: nabled
ort (tatus
: (ecure-up
iolation Jode
: (hutdo#n
8ging
: 0 mins
8ging <&pe
: 8bsolute
(ecure(tatic 8ddress 8ging : isabled Ja$imum J8C 8ddresses
: 1
: 1
Configured J8C 8ddresses
: 1
(tick& J8C 8ddresses
: 0
ast (ource 8ddress:lan
: 0000.0000.0000:0
(ecurit& iolation Count
: 0
Cuál es el estado del puerto de 8F3D con (eguridad 8bilitada
m En el símbolo del sistema del -/! #aga ping a la )CG& para verificar la conectividad. R1+ ping 172.16.99.*
+1,ping 172.16.99.* -&pe escape seuence to a%ort. ending 5 100%&te !M 3chos to 172.16.99.* timeout is 2 seconds4
. uccess rate is 0 percent (/58 roundtrip min/avg/max 0/1/* ms +1,
n &#ora violará la seguridad mediante el cambio de la dirección M&C en la interfa* del router. ,ngrese al modo de configuración de interfa* para @8F/ y d esactívela. R1+ config t R1)config*+ interface g0/1 R1)config-if*+ shutdown
o
Configure una nueva dirección M&C para la interfa*! con la dirección aaaa-bbbb-cccc. R1)config-if*+ macaddress aaaa.%%%%.cccc
p
=e ser posible! tenga una cone?ión de consola abierta en el S/ al mismo tiempo ue reali*a este paso. Verá ue se muestran varios mensaAes en la cone?ión de consola al S/ ue indican una violación de seguridad. Habilite la interfa* @8F/ en -/. R1)config-if*+ no shutdown
2
En el modo E el puerto ;0/" en el (1 estH desacti%ado debido a la %iolaciKn de seguridad 6ue hemos cometido al conectar un dispositi%o con una J8C diferente
r
En el s"itc#! verifiue la seguridad de puertos con los comandos ue se muestran a continuación. (1+ show portsecurit& (ecure ort Ja$(ecure8ddr Current8ddr (ecurit&iolation (ecurit& 8ction )Count*
)Count*
)Count*
-------------------------------------------------------------------;a0/"
1
1
1
(hutdo#n
---------------------------------------------------------------------
:0
Ja$ 8ddresses limit in (&stem )e$cluding one mac per port* :1!2
(1+ show portsecurit& interface f0/5 ort (ecurit&
: nabled
ort (tatus
: (ecure-shutdo#n
iolation Jode
: (hutdo#n
8ging
: 0 mins
8ging <&pe
: 8bsolute
(ecure(tatic 8ddress 8ging : isabled Ja$imum J8C 8ddresses
: 1
: 1
Configured J8C 8ddresses
: 1
(tick& J8C 8ddresses
: 0
ast (ource 8ddress:lan
: aaaa.bbbb.cccc:!!
(ecurit& iolation Count
: 1
(1+ show interface f0/5 ;astthernet0/" is do#n> line protocol is do#n )err-disabled* ard#are is ;ast thernet> address is 0cd!.!e2.Bd0" )bia 0cd!.!e2.Bd0"* J< 1"00 b&tes> E4 10000 @bit/sec> 1000 usec> reliabilit& 2""/2""> t$load 1/2""> r$load 1/2"" Loutput omittedM
(1+ show portsecurit& address (ecure Jac 8ddress
Jac 8ddress
<&pe
orts
Remaining 8ge )mins*
---!!
-----------
----
-----
B0f7.0daB.121
(ecureConfigured
;a0/"
-------------
----------------------------------------------------------------------
:0
Ja$ 8ddresses limit in (&stem )e$cluding one mac per port* :1!2
s
En el router! desactive la interfa* @8F/! elimine la dirección M&C codificada de forma rígida del router y vuelva a #abilitar la interfa* @8F/. R1)config-if*+ shutdown R1)config-if*+ no macaddress aaaa.%%%%.cccc R1)config-if*+ no shutdown R1)config-if*+ end
t
=esde el -/! vuelva a #acer ping a la )CG& en /;4./7.00.5. El ping se reali*ó correctamenteD '2
u
Emita el comando show interface f9*3 para determinar la causa de la falla del ping. -egistre sus conclusiones.
8 interface estH desabilitada a causa de la %iolaciKn anterior cuando se usK una mac diferente para la cone$iKn del puerto.
v
Jorre el estado de in#abilitación por errores de 8F3 en el S/. (1+ config t (1)config*+ interface f0/5 (1)config-if*+ shutdown (1)config-if*+ no shutdown
+ota: puede #aber una demora mientras convergen los estados de los puertos.
w
Emita el comando show interface f9*3 en el S/ para verificar ue 8F3 ya no est$ en estado de in#abilitación por errores. (1+ show interface f0/5 ;astthernet0/" is up> line protocol is up )connected* ard#are is ;ast thernet> address is 002B."d"!.!1" )bia 002B."d"!.!1"* J< 1"00 b&tes> E4 100000 @bit/sec> 100 usec> reliabilit& 2""/2""> t$load 1/2""> r$load 1/2""
7
En el símbolo del sistema del -/! vuelva a #acer ping a la )CG&. =ebería reali*arse correctamente.
,efle7ión /
)or u$ #abilitaría la seguridad de puertos en un s"itc#D )ara tener controlada la red! de manera ue sólo determinadas M&C podrían tener acceso a la conectividad! además esto #ace ue los ataues flodding o de inundamiento de M&C no sean e?itosos.
4
)or u$ deben des#abilitarse los puertos no utili*ados en un s"itc#D Como medida de precaucion! para concreter una configuracion! además no e?istirá broadcast por los puertos apagados mientras se rellena la tabla de M&Cs
'T0D" ;I+04 D4 <,.I.I"
