CCNA Discovery Introduccin al enrutamiento y la conmutacin en la empresa

Prctica de laboratorio 3.1.4: Aplicacin de se uridad bsica de un s!itc"

Designacin del dispositivoDireccin IP PC 1 PC # PC 3 $!itc"1 1%#.1&'.1.3 1%#.1&'.1.4 1%#.1&'.1.( 1%#.1&'.1.#

Mscara de subred #((.#((.#((.) #((.#((.#((.) #((.#((.#((.) #((.#((.#((.)

Gateway predeterminado 1%#.1&'.1.1 1%#.1&'.1.1 1%#.1&'.1.1 1%#.1&'.1.1

Contrasea secreta de enable

Contrasea de consola y de vty

class

cisco

Objetivos
Con*i urar contrase+as para aranti,ar -ue el acceso a la C.I sea se uro. Con*i urar un s!itc" para eliminar el estado de servidor "ttp por ra,ones de se uridad. Con*i urar la se uridad de puertos. Des"abilitar los puertos -ue no se utilicen. Probar la con*i uracin de se uridad mediante la cone/in de los "osts no especi*icados a los puertos se uros.

In ormacin bsica ! Preparacin

0stable,ca una red similar a la del dia rama de topolo 1a. $e necesitan los si uientes recursos: 2n s!itc" Cisco #%&) o uno similar 3res PC con 4indo!s5 al menos una con un pro rama de emulacin de terminal
All contents are Copyri "t 6 1%%#7#))% Cisco $ystems5 Inc. All ri "ts reserved. 3"is document is Cisco Public In*ormation. P ina 1 de &

CCNA Discovery Introduccin al enrutamiento y la conmutacin en la empresa

Al menos un cable conector de consola 894( a D:% Dos cables 0t"ernet de cone/in directa ;de la PC1 y la PC# al s!itc"< Acceso al indicador de comandos de la PC Acceso a la con*i uracin 3CP=IP de red de la PC "O#$% ase >rese de -ue se "ayan borrado las con*i uraciones de inicio del s!itc". .as instrucciones para borrar tanto los s!itc"es como los routers se proporcionan en el ?anual del laboratorio5 -ue se encuentra en la seccin 3ools ;@erramientas< del sitio 4eb de Academy Connection.

Paso &% Conecte la PC& al switc'(

a. Conecte la PC1 al puerto Aa)=1 del s!itc" Aast 0t"ernet. Con*i ure la PC1 para utili,ar la direccin IP5 la mscara y el ate!ay tal como se muestra en la tabla. b. 0stable,ca una sesin de emulacin de terminal de la PC1 al s!itc".

Paso )% Conecte la PC) al switc'(

a. Conecte la PC# al puerto Aa)=4 del s!itc" Aast 0t"ernet. b. Con*i ure la PC# para utili,ar la direccin IP5 la mscara y el ate!ay tal como se muestra en la tabla.

Paso *% Con igure la PC* sin conectarla(

$e necesita un tercer "ost para esta prctica de laboratorio. a. Con*i ure la PC3 mediante la direccin IP 1%#.1&'.1.(. .a mscara de subred es #((.#((.#((.) y el ate!ay predeterminado es 1%#.1&'.1.1. b. No conecte a>n esta PC al s!itc". $e utili,ar para probar la se uridad.

Paso +% ,ealice una con iguracin inicial en el switc'(

a. Con*i ure el nombre de "ost del s!itc" como -witc'&( Switch>enable Switch#config terminal Switch(config)#hostname Switch1 b. 0stable,ca la contrase+a del modo 0B0C privile iado como cisco( Switch1(config)#enable password cisco c. 0stable,ca la contrase+a secreta del modo 0B0C privile iado como class( Switch1(config)#enable secret class d. Con*i ure la contrase+a de consola y de terminal virtual para usar una contrase+a y solicitarla al iniciar sesin. Switch1(config)#line console 0 Switch1(config-line)#password cisco Switch1(config-line)#login Switch1(config-line)#line vty 0 15 Switch1(config-line)#password cisco Switch1(config-line)#login Switch1(config-line)#end

All contents are Copyri "t 6 1%%#7#))% Cisco $ystems5 Inc. All ri "ts reserved. 3"is document is Cisco Public In*ormation.

P ina # de &

CCNA Discovery Introduccin al enrutamiento y la conmutacin en la empresa

e. $al a de la sesin de la consola e inicie sesin nuevamente. CDuE contrase+a se solicit para in resar al modo 0B0C privile iadoF GGGGGciscoGGGGGGGGGGGG CPor -uEF GGGGGGGGGGGPor-ue se establecio contrase+a del modo 0B0C como cisco Henable pass!ord ciscoGGG

Paso .% Con igure la inter a/ de administracin del switc' en la 01$" &(

a. In rese el modo de con*i uracin de inter*a, para la I.AN 1. Switch1(config)#interface vlan 1 b. 0stable,ca la direccin IP5 la mscara de subred y el ate!ay predeterminado para la inter*a, de administracin. Switch1(config-if)#ip address 192.168.1.2 255.255.255.0 Switch1(config-if)#no shutdown Switch1(config-if)#exit Switch1(config)#ip default-gateway 192.168.1.1 Switch1(config)#end CPor -uE la inter*a, de la I.AN 1 re-uiere una direccin IP en esta .ANF GGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGG CCul es el propsito del ate!ay predeterminadoF GGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGG

Paso 2% 0eri i3ue las con iguraciones de administracin de las 1$"(

a. Ieri*i-ue -ue la direccin IP de la inter*a, de administracin del s!itc" de la I.AN 1 y la direccin IP de la PC1 y la PC# estEn en la misma red local. 2tilice el comando show running-config para veri*icar la con*i uracin de la direccin IP del s!itc". b. Ieri*i-ue la con*i uracin de inter*a, de la I.AN 1. Switch1#show interface vlan 1 CCul es el anc"o de banda en esta inter*a,F GGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGG CCules son los estados de la I.ANF: 0l estado de la I.AN 1 es GGG2pGGGG y el del protocolo de l1nea es GGGGG2pGGG.

Paso 4% Des'abilite el switc' para 3ue no sea un servidor 'ttp(

Desactive la *uncin del s!itc" -ue se utili,a como un servidor "ttp. Switch1(config)#no ip http server

Paso 5% 0eri i3ue la conectividad(

a. Para veri*icar -ue los "osts y el s!itc" estEn con*i urados correctamente5 "a a pin a la direccin IP del s!itc" desde los "osts. C.os pin tuvieron E/itoF GGGGGGGGGGGG$iGGGGGGGGGGGG $i el pin no tiene E/ito5 veri*i-ue nuevamente las cone/iones y las con*i uraciones. Ieri*i-ue -ue todos los cables sean correctos y -ue las cone/iones estEn en su lu ar. Ieri*i-ue las con*i uraciones del "ost y el s!itc". b. Juarde la con*i uracin.

All contents are Copyri "t 6 1%%#7#))% Cisco $ystems5 Inc. All ri "ts reserved. 3"is document is Cisco Public In*ormation.

P ina 3 de &

CCNA Discovery Introduccin al enrutamiento y la conmutacin en la empresa

Paso 6% ,egistre las direcciones M$C del 'ost(
Determine y re istre las direcciones de Capa # de las tarKetas de inter*a, de red de la PC. 0n el indicador de comandos de cada PC5 in rese ipconfig all. PC1 GGGGGGG)))4.%A:4.%'((GGGGGGGGGGGGGGGGGGG PC# GGGGGGGGGGGG)))3.041A.'C#LGGGGGGGGGGGGGGGGGGGGGGG PC3 GGGGGGGGGGGGG))&).30%4.#103GGGGGGGGGGGGGGGGGGGGGGGG

Paso &7% Determine las direcciones M$C 3ue 'a aprendido el switc'(
Determine cules son las direcciones ?AC -ue "a aprendido el s!itc" por medio del comando show mac-address-ta!le en el indicador del modo 0B0C privile iado. Switch1#show mac-address-ta!le CCuntas direcciones dinmicas "ayF GGGGGG#GGGG CCuntas direcciones ?AC "ay en totalF GGGG#GGGGGG C.as direcciones ?AC coinciden con las direcciones ?AC del "ostF GGGG$iGGGGGG

Paso &&% 0ea las opciones de show mac-address-ta!le.

Iea las opciones -ue tiene disponible el comando show mac-address-ta!le. Switch1(config)#show mac-address-ta!le " CDuE opciones estn disponiblesF Ilan5 ?ac address5 3ype y ports. GGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGG

Paso &)% Con igure una direccin M$C esttica(

Con*i ure una direccin ?AC esttica en la inter*a, Aast0t"ernet )=4. 2tilice la direccin -ue se re istr para la PC# en el paso %. .a direccin ?AC ))e).#%1L.1''4 se utili,a >nicamente en la sentencia de este eKemplo. Switch1(config)#mac-address-table static 00e0.291#.188$ vlan 1 interface fastethernet 0 $

Paso &*% 0eri i3ue los resultados(

a. Ieri*i-ue las entradas de la tabla de direcciones ?AC. Switch1#show mac-address-ta!le CCuntas direcciones ?AC dinmicas "ay en total a"oraF GGGG1GGGGG CCuntas direcciones ?AC estticas "ay en total a"oraF GGGG1GGGGGGGG b. 0limine la entrada esttica de la tabla de direcciones ?AC. Switch1(config)#no mac-address-ta!le static 00e0.291#.188$ vlan 1 interface fastethernet 0 $

All contents are Copyri "t 6 1%%#7#))% Cisco $ystems5 Inc. All ri "ts reserved. 3"is document is Cisco Public In*ormation.

P ina 4 de &

CCNA Discovery Introduccin al enrutamiento y la conmutacin en la empresa

Paso &+% 8numere las opciones de seguridad de puerto(

a. Determine cules son las opciones para con*i urar la se uridad de puerto en la inter*a, Aast0t"ernet )=4. Switch1(config)#interface fastethernet 0 $ Switch1(config-if)#switchport port-security " CCules son al unas de las opciones disponiblesF ?acMaddresM secure mac addres. ?a/imum5 violation b. Para permitir -ue el puerto del s!itc" Aast0t"ernet )=4 acepte slo un dispositivo5 con*i ure la se uridad de puerto. Switch1(config-if)#switchport mode access Switch1(config-if)#switchport port-security Switch1(config-if)#switchport port-security mac-address stic%y c. $al a del modo de con*i uracin y veri*i-ue la con*i uracin de la se uridad de puerto. Switch1#show port-security
Secure &ort MaxSecureAddr CurrentAddr Securit !iolation Securit Action (Count)(Count)(Count) --------------------------------------------------------------------------"a#$%1##Shutdown ---------------------------------------------------------------------------

$i un "ost -ue no sea la PC# intenta conectarse a Aa)=45 C-ue sucedeF GGGGGGGGGGGGGGGGGNo puede acceder por-ue "ay una mac re istrada y se blo-uea el puerto *a)=4GGGGGGGG

Paso &.% 1imite la cantidad de 'osts por puerto(

a. 0n la inter*a, Aast0t"ernet )=45 estable,ca el conteo m/imo de ?AC de se uridad de puerto como 1. Switch1(config-if)#switchport port-security ma&imum 1. b. Desconecte la PC conectada a Aast0t"ernet )=4. Conecte la PC3 a Aast0t"ernet )=4. .a PC3 "a recibido la direccin IP 1%#.1&'.1.( y todav1a no se "a conectado al s!itc". 0s posible -ue sea necesario "acer pin a la direccin 1%#.1&'.1.# del s!itc" para enerar tr*ico. Anote cual-uier observacin. GGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGG GGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGG

Paso &2% Con igure el puerto para 3ue se desconecte si se produce una violacin de seguridad(
a. 0n caso de -ue se produ,ca una violacin a la se uridad5 la inter*a, debe apa arse. Para "acer -ue se desconecte la se uridad de puerto5 in rese el si uiente comando: Switch1(config-if)#switchport port-security violation shutdown CDuE otras opciones de accin estn disponibles para la se uridad de puertoF GGGGGGGGGGGGGG GGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGG b. $i es necesario5 "a a pin a la direccin del s!itc" 1%#.1&'.1.# desde la PC3 1%#.1&'.1.(. A"ora5 esta PC est conectada a la inter*a, Aast0t"ernet )=4. 0sto aranti,a -ue "aya tr*ico desde la PC "acia el s!itc". c. Anote cual-uier observacin. GGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGG GGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGG

All contents are Copyri "t 6 1%%#7#))% Cisco $ystems5 Inc. All ri "ts reserved. 3"is document is Cisco Public In*ormation.

P ina ( de &

CCNA Discovery Introduccin al enrutamiento y la conmutacin en la empresa

d. Ieri*i-ue la con*i uracin de la se uridad de puerto. Switch1#show port-security
Secure &ort MaxSecureAddr CurrentAddr Securit !iolation Securit Action (Count)(Count)(Count) --------------------------------------------------------------------------"a#$%11#Shutdown ---------------------------------------------------------------------------

Paso &4% Muestre la in ormacin de con iguracin del puerto 7!+(

Para ver la in*ormacin de con*i uracin del puerto Aast0t"ernet )=4 solamente5 escriba show interface fastethernet 0 $ en el indicador del modo 0B0C privile iado. Switch1#show interface fastethernet 0 $ CCul es el estado de esta inter*a,F 0l estado de Aast0t"ernet)=4 es GG2pGGGGGG y el del protocolo de l1nea es GGGGG2pGGG.

Paso &5% 0uelva a activar el puerto(

a. $i se produce una violacin de se uridad y el puerto se desconecta5 use los comandos shutdown ! no shutdown para volver a conectarlo. b. Intente volver a conectar este puerto al unas veces conmutando el puerto de "ost )=4 ori inal y el nuevo puerto de "ost. Conecte el "ost ori inal5 in rese el comando no shutdown en la inter*a, y "a a pin mediante el indicador de comandos. 0l pin deber repetirse varias vecesN otra posibilidad es usar el comando ping 192.168.1.2 -n 200. 0ste comando establece la cantidad de pa-uetes de pin en #)) en lu ar de 4. .ue o5 cambie los "osts y vuelva a intentarlo.

Paso &6% Des'abilite los puertos no utili/ados(

Des"abilite los puertos -ue no se utili,an en el s!itc". Switch1(config)#interface range 'a0 2 ( ) Switch1(config-if-range)#shutdown Switch1(config-if-range)#exit Switch1(config)#interface range 'a0 5 ( 2$ Switch1(config-if-range)#shutdown Switch1(config)#interface range giga!itethernet0 1 - 2 Switch1(config-if-range)#shutdown

Paso )7% ,e le9in(

a. CPor -uE se activar1a la se uridad de puerto en un s!itc"F Cuando al uien con una mac di*erente a la re istrada intente in resar al s!itc". b. CPor -uE deben des"abilitarse los puertos no utili,ados en un s!itc"F Para aranti,ar la se uridad del s!itc" y -ue puedan modi*icarla desde cual-uier puerto.

All contents are Copyri "t 6 1%%#7#))% Cisco $ystems5 Inc. All ri "ts reserved. 3"is document is Cisco Public In*ormation.

P ina & de &