Cisco Packet Tracer.

.
ACTIVIDAD 2.4.7:
CONFIGURAR LA SEGURIDAD DEL SWITCH
Jonathan Alexander Morcillo Ramos
jmorcillo@unipanamericana.edu.co
RESUMEN: Se realizara la configuracin de
la administracin bsica del switch as como la
seguridad del puerto dinmico y se Probara la seguridad
dinmica del puerto, por ltimo se aseguraran los
puertos no utilizados. Se utilizara el direccionamiento
indicado en la Tabla .
Tabla .!ireccionamiento.
Cuadro tomado de PT Actividad 2.4.
PALABRAS CLAVE! "#itch$ %&A'$ puerto din(mico$
puerto din(mico.
1 INTRODUCCIN
Con el o)jetivo de incrementar la se*uridad en una
red &A' es posi)le implementar se*uridad de puertos en
los s#itches de capa de acceso$ de manera de permitir
+ue a cada puerto se conecte s,lo la estaci,n
autori-ada. Para ello$ Cisco provee port securit.$ un
mecanismo )astante potente . sencillo +ue resumir/ a
continuaci,n.
2 TAREA 1: CONFIGURAR LA
ADMINISTRACIN BSICA DEL
SWITCH
2.1 PASO 1: DESDE PC1, ACCEDA A LA
CONEXIN DE LA CONSOLA PARA S1.
0a*a clic en PC1 . lue*o en la pesta2a 3scritorio.
"eleccione Terminal en la pesta2a 3scritorio$
Manten*a estas con4i*uraciones predeterminadas
para la con4i*uraci,n de la terminal . lue*o ha*a clic en
Aceptar!
5its Per "econd 6 7899
:ata 5its 6 ;
Parit. 6 'one
"top 5its 6 1
<lo# Control 6 'one
<i*ura 1.
<i*ura 1. "elecci,n terminal.
Ahora est( conectado a la consola de "1. Presione
3nter para o)tener el indicador del s#itch$ <i*ura 2.
<i*ura 2. =n*reso a la consola.
1
Cisco Packet Tracer.
.
2.2 PASO 2. CAMBIE AL MODO EXEC
PRIVILEGIADO
Para acceder al modo 3>3C privile*iado$ escri)a
el comando ena)le. 3l indicador cam)ia de ? a @.
"1?ena)le "1@$ <i*ura A.
B)serve c,mo pudo in*resar al modo 3>3C
privile*iado sin proporcionar una contrase2a. CPor +u/
la 4alta de una contrase2a para el modo 3>3C
privile*iado es una amena-a de se*uridadD :e)ido a
+ue cual+uier persona puede acceder . a la red sin
restricci,n ocasionando una 4alencia de se*uridad donde
se pueden 4iltrar cual+uier clase de ata+ue a la
in4ormaci,n.
<i*ura A. =n*reso con el comando 3na)le.
2. PASO . CAMBIE AL MODO DE
CONFIGURACIN GLOBAL !
CONFIGURE LA CONTRASE"A DE EXEC
PRIVILEGIADO
3n el modo 3>3C privile*iado$ usted puede
acceder al modo de con4i*uraci,n *lo)al con el comando
con4i*ure terminal.$ <i*ura 4.
<i*ura 4. =n*reso a la con4i*uraci,n.
Etilice el comando ena)le secret para esta)lecer la
contrase2a. Para esta actividad$ esta)le-ca la
contrase2a como class.
"1@con4i*ure terminal =n*rese los comandos de
con4i*uraci,n$ uno por lFnea. 3nd #ith C'T&GH.
"1Icon4i*J@ena)le secret class "1Icon4i*J@$ <i*ura K.
<i*ura K. 3na)le "ecret Class.
2.4 PASO 4. CONFIGURE LAS
CONTRASE"AS DE LA TERMINAL
VIRTUAL ! DE LA CONSOLA, ! PIDA A
LOS USUARIOS #UE INICIEN SESIN
"e re+uerir( una contrase2a para acceder a la
lFnea de consola. =ncluso el modo 3>3C del usuario
)(sico puede proporcionar in4ormaci,n si*ni4icativa a un
usuario malicioso. Adem(s$ las lFneas vt. de)en tener
una contrase2a antes de +ue los usuarios puedan
acceder al s#itch de 4orma remota.
Acceda al indicador de la consola con el comando
line console 9$ <i*ura 8.
<i*ura 8. &ine console 9.
2
Cisco Packet Tracer.
.
Etilice el comando pass#ord para con4i*urar la
consola . las lFneas vt. con cisco como contrase2a.$
<i*ura .
<i*ura . Comando pass#ord.
&ue*o in*rese el comando lo*in$ +ue re+uiere +ue
los usuarios in*resen una contrase2a antes de lo*rar el
acceso al modo 3>3C del usuario. <i*ura ;.
<i*ura ;. Comando &o*in.
Repita el proceso con las lFneas vt.. Etilice el
comando line vt. 9 1K para acceder al indicador
correcto. <i*ura 7.
<i*ura 7. Con4i*uraci,n %TL.
3scri)a el comando exit para volver al indicador de
con4i*uraci,n *lo)al. <i*ura 19.
<i*ura 19. "alida de la con4i*uraci,n.
2.$ PASO $. CONFIGURE LA
ENCRIPTACIN DE LA CONTRASE"A
&a contrase2a de 3>3C privile*iado .a est(
encriptada. Para encriptar las contrase2as de lFnea +ue
aca)a de con4i*urar$ in*rese el comando service
pass#ordMencr.ption en el modo de con4i*uraci,n *lo)al.
"1Icon4i*J@service pass#ordMencr.ption
"1Icon4i*J@. <i*ura 11.
<i*ura 11. 3ncriptar contrase2a.
2.% PASO %. CONFIGURE ! PRUEBE EL
MENSA&E MOTD
Con4i*ure el mensaje del dFa IMBT:J con
Authori-ed Access Bnl. como texto. 3l texto del mensaje
distin*ue ma.Nsculas de minNsculas. Ase*Nrese de no
a*re*ar espacios antes o despu/s del texto del mensaje.
Etilice un car(cter delimitante antes . despu/s del texto
del mensaje para indicar d,nde comien-a . d,nde
3
Cisco Packet Tracer.
.
4inali-a. 3l car(cter delimitante +ue se utili-a en el
si*uiente ejemplo es O$ pero es posi)le utili-ar cual+uier
caracter +ue no se utilice en el texto del mensaje.
:espu/s de con4i*urar el MBT:$ 4inalice la sesi,n del
s#itch para veri4icar +ue apare-ca el mensaje cuando
vuelva a iniciar sesi,n.
"1Icon4i*J@)anner motd OAuthori-ed Access
Bnl.O "1Icon4i*J@end Por exitQ "1@exit$ Ahora est(
disponi)le "1 con9
Presione R3TBR'B para comen-ar.
P3nterQ
",lo acceso autori-ado
%eri4icaci,n de acceso del usuario$ <i*ura 12 . 1A.
<i*ura 12. 5anner motd.
<i*ura 1A. 5anner motd.
3l indicador de la contrase2a ahora re+uiere una
contrase2a para in*resar al modo 3>3C del usuario.
=n*rese la contrase2a cisco$ <i*ura 14.
<i*ura 14. =n*reso modo 3>3C.
=n*rese al modo 3>3C privile*iado con la
contrase2a class . re*rese al modo de con4i*uraci,n
*lo)al con el comando con4i*ure terminal. <i*ura 1K.
<i*ura 1K. Modo 3>3C privile*iado.
TAREA 2: CONFIGURAR LA
SEGURIDAD DINMICA DEL PUERTO
.1 PASO 1. HABILITE VLAN''
Packet Tracer se a)re con la inter4a- %&A' 77 en
estado de desconexi,n$ a di4erencia del 4uncionamiento
de un s#itch. Ested de)e ha)ilitar %&A' 77 con el
comando no shutdo#n antes de +ue la inter4a- se active
en Packet Tracer.
"1Icon4i*J@inter4ace vlan 77 "1Icon4i*Mi4J@no
shutdo#n$ <i*ura 1K.
4
Cisco Packet Tracer.
.
<i*ura 1K. Con4i*uraci,n %lan.
.2 PASO 2. INGRESE AL MODO DE
CONFIGURACIN DE INTERFA( PARA
FASTETHERNET )*1+ ! HABILITE LA
SEGURIDAD DEL PUERTO
Antes de +ue pueda con4i*urarse cual+uier otro
comando de se*uridad del puerto en la inter4a-$ se de)e
ha)ilitar la se*uridad del puerto.
"1Icon4i*Mi4J@inter4ace 4a9G1; "1Icon4i*M
i4J@s#itchport portMsecurit.
Tome en cuenta +ue no tiene +ue volver al modo
de con4i*uraci,n *lo)al antes de in*resar al modo de
con4i*uraci,n de inter4a- para 4a9G1;.<i*ura 18.
<i*ura 18. Con4i*uraci,n puerto 1;.
. PASO . CONFIGURE EL N,MERO
MXIMO DE DIRECCIONES MAC
Para con4i*urar el puerto . conocer s,lo una
direcci,n MAC$ con4i*ure maximum en 1!
"1Icon4i*Mi4J@s#itchport portMsecurit. maximum
1.<i*ura 1.
<i*ura 1. Con4i*uraci,n puerto m(ximo un e+uipo.
.4 PASO 4. CONFIGURE EL PUERTO
PARA AGREGAR LA DIRECCIN MAC A
LA CONFIGURACIN EN E&ECUCIN
&a direcci,n MAC conocida en el puerto puede
a*re*arse IRajustarseRJ a la con4i*uraci,n en ejecuci,n
para ese puerto.
"1Icon4i*Mi4J@s#itchport portMsecurit. macMaddress
stick.$ <i*ura1;.
<i*ura 1;. Autoajuste de la MAC.
5
Cisco Packet Tracer.
.
.$ PASO $. CONFIGURE EL PUERTO
PARA #UE SE DESCONECTE DE FORMA
AUTOMTICA EN CASO DE #UE SE
VIOLE LA SEGURIDAD
"i usted no con4i*ura el si*uiente comando$ "1
s,lo re*istra la violaci,n en las estadFsticas de se*uridad
del puerto$ pero no lo desconecta.
"1Icon4i*Mi4J@s#itchport portMsecurit. violation
shutdo#n$ <i*ura17.
<i*ura 17. Con4i*uraci,n re*la de se*uridad.
.% PASO %. CONFIGURE EL PUERTO
PARA #UE SE DESCONECTE DE FORMA
AUTOMTICA EN CASO DE #UE SE
VIOLE LA SEGURIDAD
0a*a pin* de PC1 a "1.
Con4irme +ue "1 posea ahora una entrada de
direcci,n MAC est(tica para PC1 en la ta)la de MAC!
"1@sho# macMaddressMta)le Ta)la de direcciones
Mac$ <i*ura 29.
<i*ura 29. Ta)la de direcciones MAC.
&a direcci,n MAC ahora Rse ajustaR a la
con4i*uraci,n en ejecuci,n.
"1@sho# runnin*Mcon4i* Soutput omitted? inter4ace
<ast3thernet9G1; s#itchport access vlan 77 s#itchport
mode access s#itchport portMsecurit. s#itchport portM
securit. macMaddress stick. s#itchport portMsecurit. macM
address stick. 9989.KCK5.C:2A Soutput omitted? "1@$
<i*ura 21 M 24.
<i*ura 21. Ajuste direcci,n MAC.
<i*ura 22. Ajuste direcci,n MAC.
<i*ura 2A. Ajuste direcci,n MAC.
6
Cisco Packet Tracer.
.
<i*ura 24. Ajuste direcci,n MAC.
4 TAREA : PROBAR LA SEGURIDAD
DINMICA DEL PUERTO
4.1 PASO 1. #UITE LA CONEXIN ENTRE
PC1 ! S1 ! CONECTE PC2 A S1
Para pro)ar la se*uridad del puerto$ )orre la
conexi,n 3thernet entre PC1 . "1. "i )orra
accidentalmente la conexi,n del ca)le de la consola$
s,lo vuelva a conectarla.
Conecte PC2 a <a9G1; en "1. 3spere +ue la lu- de
enlace (m)ar se pon*a verde . lue*o ha*a pin* de PC2
a "1. 3ntonces$ el puerto se de)e desconectar
autom(ticamente. <i*ura 29.
<i*ura 2K. Conexi,n a PC2.
4.2 PASO 2. VERIFI#UE #UE LA
SEGURIDAD DEL PUERTO SEA LA
RA(N POR LA CUAL EL PUERTO EST
DESCONECTADO
Para veri4icar +ue la se*uridad del puerto ha
desconectado el mismo$ in*rese el comando sho#
inter4ace 4a9G1;.
"1@sho# inter4ace 4a9G1; <ast3thernet9G1; is
do#n$ line protocol is do#n IerrMdisa)ledJ 0ard#are is
&ance$ address is 9979.21Ae.K12 I)ia 9979.21Ae.K12J
Soutput omitted?
3l protocolo de lFnea est( desconectado de)ido a
un error IerrJ al aceptar una trama con una direcci,n
MAC di4erente a la conocida$ por lo tanto el so4t#are =B"
de Cisco desconecta Idisa)ledJ el puerto. <i*ura 28.
<i*ura 28. %eri4icaci,n se*uridad.
Tam)i/n puede veri4icar una violaci,n de se*uridad
con el comando sho# portMsecurit. inter4ace 4a9G1;.
"1@sho# portMsecurit. inter4ace 4a9G1; Port
"ecurit. ! 3na)led Port "tatus !
"ecureMshutdo#n %iolation Mode ! "hutdo#n
A*in* Time ! 9 mins A*in* T.pe !
A)solute "ecure"tatic Address A*in* ! :isa)led
Maximum MAC Addresses ! 1 Total MAC Addresses
! 1 Con4i*ured MAC Addresses ! 1 "tick. MAC
Addresses ! 9 &ast "ource Address!%lan !
9939.<59.9;83!77 "ecurit. %iolation Count ! 1
B)serve +ue el estado del puerto es secureM
shutdo#n$ . +ue el conteo de la violaci,n de se*uridad
es 1. <i*ura 2.
7
Cisco Packet Tracer.
.
<i*ura 2. Captura violaci,n de se*uridad.
4. PASO . RESTABLE(CA LA CONEXIN
ENTRE PC1 ! S1 ! RECONFIGURE LA
SEGURIDAD DEL PUERTO
Tuite la conexi,n entre PC2 . "1. %uelva a
conectar PC1 al puerto <a9G1; en "1.
B)serve +ue el puerto aNn est( apa*ado$ aun+ue
usted ha.a vuelto a conectar la PC ha)ilitada en el
mismo. En puerto +ue est( en estado apa*ado de)ido a
una violaci,n de se*uridad se de)e reactivar
manualmente. :esconecte el puerto . lue*o actFvelo con
no shutdo#n.
"1@con4i* t =n*rese los comandos de
con4i*uraci,n$ uno por lFnea. <inalice con C'T&GH.
"1Icon4i*J@inter4ace 4a9G1; "1Icon4i*Mi4J@shutdo#n
U&='VMKMC0A'W3:! &a inter4a- <ast3thernet9G1;
cam)i, de estado a administrativamente desconectada
"1Icon4i*Mi4J@no shutdo#n U&='VMKMC0A'W3:!
=nter4ace <ast3thernet9G1;$ chan*ed state to up
U&='3PRBTBMKMEP:BX'! &ine protocol on =nter4ace
<ast3thernet9G1;$ chan*ed state to up U&='3PRBTBMKM
EP:BX'! &ine protocol on =nter4ace %lan77$ chan*ed
state to up "1Icon4i*Mi4J@exit "1Icon4i*J@. <i*ura 2;.
<i*ura 2;. "hutdo#n puerto.
$ TAREA 4: ASEGURAR LOS PUERTOS
SIN UTILI(AR
En m/todo simple +ue muchos administradores
utili-an para ase*urar su red de acceso no autori-ado es
desha)ilitar todos los puertos sin utili-ar en un s#itch de
red.
$.1 PASO 1. DESHABILITE LA INTERFA(
FA)*17 EN S1
3ntre al modo de con4i*uraci,n de inter4a- para
<ast3thernet 9G1 . desconecte el puerto.
"1Icon4i*J@inter4ace 4a9G1 "1Icon4i*Mi4J@shutdo#n
. <i*ura 27.
<i*ura 27. :esconexi,n puerto 1.
$.2 PASO 1. DESHABILITE LA INTERFA(
FA)*17 EN S1
Conecte PC2 a la inter4a- <a9G1 en "1. B)serve
+ue las luces de enlace son rojas. PC2 no tiene acceso
a la red. <i*ura 27.
<i*ura A9. 'o ha. conectividad por puerto 1.
8
Cisco Packet Tracer.
.
% REFERENCIAS
P1Q Cisco Packet Tracer versi,n K.A.A.9917 Actividad 2.4..
9