Unitec.

Certificado en seguridad de la información.

Clase: Seguridad Perimetral.
Catedrático: MGTI. Dennis Alvarado.

Herramienta: Packet tracer.

Como se ha discutido previamente la seguridad perimetral no solo debe enfocarse en los ataques
externos, ya que según las estadísticas la mayor parte de las intrusiones se realizan desde la red LAN, por
lo que es muy importante tomar medidas para asegura la parte interna no solo para evitar accesos no
autorizados, también es necesario asegura la disponibilidad de los servicios.

En el presente Ejercicio empezaremos por métodos de seguridad interna hasta métodos de seguridad
externa llegando a simular una red completa con servicios básicos en nuestra empresa Xatruch.

En todo ejercicio trabajaremos con la siguiente tabla.

Cuadro IPs
Vlan Nombre IP
10 Servers 192.168.10.0
20 Contabilidad 192.168.20.0
21 contabilidad2 192.168.21.0
30 Administración 192.168.30.0
31 Administracion2 192.168.31.0
40 Académico 192.168.40.0
41 Academico2 192.168.41.0
 1. Seguridad en los puertos LAN Port Security.
Port security: nos permite asignar una MAC a un puerto y que este puerto no permita ninguna otra
conexión, al conectar otro equipo el SW detectará una MAC diferente por lo que procederá a
bloquearse. Crear la siguiente topología.

Paso 1: Conectamos una PC al puerto 1 del SW-contabilidad, ingresamos en modo configuración y luego
se ingresa a la interface a configurar en este caso F0/1.

Paso 2: Configurar la IP en la PC y copiamos la dirección MAC de la PC.

Nota: No hacer ping por asuntos de práctica el SW no debe conocer la MAC todavía.

Tomar las ips del cuadro de IP asignadas.

Mac: 0050.0F16.75CD
 Paso 3: Configurar la interface del SW en modo Access, luego con el comando port-security se habilita
la capacidad del puerto para bloquearse ante un cambio no permitido, adicionalmente indicamos cual es
la MAC permitida.

Nota: Los SWs pueden tener 2 tipos de configuración en el puerto, modo “Access” que se usa para
conectar un HOST y se asigna una sola VLAN que se crea previamente, por defecto el equipo asigna la
VLAN 1, El otro tipo es el Modo Trunk que permite pasar varias VLANs este tipo de puerto no es
compatible con las Pcs de forma normal.(Es necesario contar con programas especiales en el host para
que lo reconozca, ya que la transmisión de los identificadores de los paquetes es diferente.) Este tipo de
configuración normalmente es usado para los puertos de comunicación entre router y SW o entre SW-
SW cuando se requiere que pasen varias VLANs.

Paso 4: revisamos que el puerto tenga habilitado el Port security con el comando presentado en la
imagen.

La línea que nos debería mostrar la MAC está en cero ya que todavía no hay ninguna petición del host
porque no hay tráfico, Se configura una ip de la misma red a otro host y se hace el ping, se conecta el
segundo host al puerto F0/2 y se procede con el ping desde el host 0 al 1.
Después de hacer el ping se detecta la MAC address en el puerto.

Tarea1: investigar que significa cada una de las líneas en la salida anterior y explicar cada uno de sus
estados.

Tarea2: configurar port-security con más de una mac, explicar cuantas se permiten modo estático y en
modo sticky.

No hay ninguna violación solo es permitida una MAC address ahora es momento de probar si funciona.

Paso 5:

Comprobación de configuración: cambiaremos de los cables del puerto 2 al 1 y comprobaremos los

resultados.

Después de realizar el Ping con los hosts intercambiados, obtendremos el siguiente resultado,
detectando 1 violación la política por tanto el puerto se bloquea.
Revertir los cables y aplicar en el puerto F0/1 shut y no shut para hacer que encienda de nuevo el puerto
y registre nuevamente la MAC autorizada y así active el puerto nuevamente.

Paso 6: Al tener un red muy grande o remota podría resultar un poco problemático registrar todas las
MACs una por una, otra forma que capturar la MAC del puerto es usar el comando sticky en lugar de la
MAC este comando captura la primera MAC que se conecta y la registra es necesario es necesario salvar
la configuración del equipo para que la MAC quede guardada en la tabla definitivamente

Consultamos la configuración.
Se hace ping desde el host para generar tráfico por el puerto y que se aprenda la MAC, consultamos
nuevamente el puerto y veremos la MAC registrada, se salva la configuración para que las MAC quede
guardada de forma definitiva.

MAC del host en el puerto 2.

NOTA1: Se debe replicar la configuración en los otros puertos en modo Access en toda la red después de
realizar el siguiente ejercicio, se indicará la asignación nuevamente más adelante en este manual.

NOTA2: Es recomendable realizar esta configuración en todos los puertos en uso y los que no estén
usándose deben estar apagados para evitar cualquier tipo de conexión no autorizada ya que esta
configuración de seguridad ayuda a que no se conecten en un puerto activo, por lo que no tendría
sentido configurar con seguridad los puertos y tener todos los puertos encendidos, si no se usa esta
seguridad también es recomendable tener los puertos apagados.

Una de las desventajas del Sticky y tener los puertos encendidos es que cualquier PC que se conecte por
primera vez asegura su exclusividad en ese puerto y tendrá conexión, contrario a cuando se ingresa la
MAC manualmente no importa que el puerto este encendido, si no detecta la MAC adecuada no
permitirá la conexión.
Teoría de apoyo.

Dirección MAC segura estática

 Se configura manualmente.
 Se agrega a la tabla de direcciones MAC.
 Se guarda en la running-config.
 Se puede hacer permanente guardando la configuración.

SwA(config-if)# switchport port-security mac-address DIRECCION-MAC

Dirección MAC segura dinámica

 Se aprende del tráfico que atraviesa la interfaz.
 Se la guarda en la tabla de direcciones MAC.
 Se pierde cuando se reinicia el equipo.

SwA(config-if)# switchport port-security

Dirección MAC segura sticky

 Se la puede configurar de forma manual o dinámica.
 Se la guarda en la tabla de direcciones MAC.
 Se almacena en la running-config.
 Se puede hacer permanente guardando la configuración.

SwA(config-if)# switchport port-security mac-address sticky [DIRECCION-MAC]

La principal ventaja de las direcciones sticky en contraposición con las dinámicas es que éstas últimas se
agregan a la running-config. Así nos evitamos escribir un montón de direcciones MAC de manera
estática pero aún podemos guardarlas en el archivo de configuración de manera que se mantengan
inclusive si el switch se reinicia.

Dos aspectos importantes a tener en cuenta:

Si se habilitan las direcciones MAC sticky y ya había direcciones aprendidas de forma dinámica, éstas
pasan a la running-config y todas las nuevas que se aprendan también se agregan allí.

Si se deshabilitan las direcciones MAC sticky todas las que hubiera pasan a ser dinámicas y se borran de
la running-config. Además, todas las que se aprendan también serán dinámicas.

Acciones por tomar si se produce una violación

Es importante tener en cuenta que por violación se entiende uno de los siguientes dos casos:
  Se alcanzó la cantidad máxima de direcciones MAC permitidas.
 Una dirección MAC que se aprendió en un puerto se aprende por otro puerto diferente.

Después de detectar el evento y conectar le dispositivo correspondiente es necesario reiniciar el puerto

en cuestión.

En caso de ser un cambio de host se debe cambiar la MAC si es manual o reiniciar el puerto con el nuevo
dispositivo conectado para que aprenda la nueva MAC y guardar la configuración.

Los modos en los que se puede establecer un puerto para decidir qué acción tomar en el caso de una
violación son, entonces:

Protect: una vez que se alcanzó el máximo de direcciones MAC en un puerto, todo el tráfico de orígenes
desconocidos (es decir, de direcciones MAC que no sean válidas para ese puerto) es descartado. No
obstante, se continúa enviando el tráfico legal normalmente. No se notifica al administrador de esta
situación.

Restrict: el mismo comportamiento que el caso anterior, pero con la diferencia que se envía un aviso al
administrador mediante SNMP, se registra el evento en el syslog y se incrementa el contador de
violaciones.

Shutdown: en este caso el puerto se da de baja dejándolo en estado err-disabled (deshabilitado por
error). Además, se envía un aviso al administrador mediante SNMP, se registra el evento en el syslog y
se incrementa el contador de violaciones.

Shutdown VLAN: la única diferencia con el caso anterior es que se deshabilita la VLAN en ese puerto en
lugar de dar de baja el puerto completo. Es particularmente atractivo para los puertos de trunk.
 2. Segmentación de red en capa 2 VLAN
Las VLAN nos permiten segmenta una red en capa dos manteniendo el tráfico de áreas diferente en
redes separas dentro dl mismo equipo.

NOTA: los Switches tiene cierta cantidad y rango de número de VLAN que se pueden utilizar esto
depende del modelo de equipo que se use lo SW de baja gana usa las VLAN de 1(vlan nativa o
por defecto) hasta 1001 1002-1005

Revisamos las vlan existentes

Creación de VLAN

Asignación de VLAN a un puerto (siempre debe ser creada la VLAN previamente.

Asignación de VLAN a un rango de puertos ( hay varios comandos que se pueden aplicar aun rango como
shut etc.).
Para efectos de acceso remoto asignamos un ip al SW para administración esta ip se asigna a la VLAN
elegida en este caso la 20 para administración usaremos la x.x.x.200 de cada red en todo el ejercicio.

Nota: replicamos el mismo ejercicio para la vlan 21 name finanzas en el mismo SW, no es necesaria una
ip de administración, el rango de puertos para esta vlan será 11-20.

Se asignas las ip correspondientes a las 2 laptops restantes y se conectan en los puertos 11 y 12.

A esta altura un Show run mostrará lo siguiente.

En todos los Host usaremos como Gateway la ip x.x.x.254 de cada red

Ahora en necesario enviar esas dos Vlans al SW Core asignaremos unos de los puertos giga disponibles
G0/1 y se configurar en modo troncal permitiendo todas las VLANs inicialmente y se conectará al puerto
1 del Sw Core.

Agregamos un SW2960 que usaremos como Core.

Configuración de puerto Trunk permitiendo que pasen todas las Vlan

Procedemos a configurar el SWCORE en algunos modelos de SW como el 3960 en necesario habilitar la

encapsulación antes de configurarlo en modo Trunk.

Configuramos el puerto G0/1 para conectarlo al router que conectara la VLANs.

Nota: en este SW se debe crear las vlan a pasar 20 21

Tarea3: investigar sobre puertos TRUNK , DTP, hacer un manual con teoría respecto a DTP y un ejemplo
que cada modo en Packet Tracer, el manual debe llevar imágenes del paso a paso de realización de la
práctica.

3. Router on a stick
Es la configuración más Usada para hacer inter-Vlan switching.

Se agrega el router core 2911 el cual tendrá las ip Gateway de cada red.

Creamos la sub-interface y le asignamos la VLAN y la ip correspondiente la sub interface se crea

ingresando el nombre de la interface principal seguida del número de sub-interface, este número es solo
un indicador no tiene relación con la VLAN sin embargo como buena práctica intuitiva se usa como sub
interface el número de VLAN usar, la primera sub-interface es G0/0.20 dentro de ella se asigna la VLAN
indicada
Se debe replicar la configuración por cada una de las VLANS existentes.

A este punto debe ser posible hacer ping de los Host a su respectivo Gateway y también debe responder
la otra red en la vlan contraria

Dese la PC0 VLAN tenemos comunicación a la VLAN 21

 4. Administración de VLANS con VTP

VTP son las siglas de VLAN Trunking Protocol, un protocolo de mensajes de nivel 2 usado para configurar
y administrar VLANs en equipos Cisco.

Esto nos permitirá crear y propagar las VLAN desde un único equipo sin necesidad de crearlas en cada
equipo por el que necesitan pasar.

Para le siguiente ejercicio se debe instalar los siguientes equipos, se debe asignar las ips a los Host y el
port-security en cada puerto, pero no se deben configurar las Vlan asignada en los SW

Diagrama por configurar.

Para iniciar este ejercicio es necesario eliminar las Vlan que se crearon anteriormente en cada uno de los
SWITCHs:

1. Accedamos vía CLI al Switch CORE:

 2. Teniendo identificadas las Vlans que se van a eliminar, procedemos con la eliminación:

a. SWCORE_XTRCH#vlan database

b. Verificamos si ya no aparecen las vlan eliminadas:

show vlan

NOTA: Replicar estos pasos en los Switchs de acceso:

Creación de VTP Server en Switch Core y VTP Client en Switch de Acceso:
VTP SERVER

1. Entramos a VLAN DATABASE

a. Dentro de VLAN DATABASE nombramos nuestro VTP:

b. Activamos VTP SERVER:

c. Activamos el Dominio que utilizaremos:

d. Configuramos la contraseña, (Esto nos ayuda a proteger más nuestro VTP):

2. Creación de VLANs, para este paso podemos utilizar el apartado: Creación de VLAN

Es necesario crear las VLAN en el SWITCH CORE nada más, en los Switchs de acceso no se
crearán.

3. Configuración de puertos, para este paso podemos utilizar el apartado: Configuración de puerto
Trunk permitiendo que pasen todas las Vlan

a. Puerto entre Router Principal y Switch CORE:

 b. Repetimos esta misma configuración de MODE TRUNK, a los dos puertos asignados a los
SWITCHs DE ACCESOS:

VTP CLIENT

1. Entramos a VLAN DATABASE:

a. Dentro de VLAN DATABASE nombramos nuestro VTP:

b. Activamos VTP CLIENT:

c. Activamos el Dominio que utilizaremos en el VTP SERVER, en el SWCORE:

d. Configuramos la contraseña, (Esto nos ayuda a proteger más nuestro VTP):

 e. Validamos la configuración del VTP CLIENT:

f. Validamos las VLANs propagadas vía VTP:

g. Ahora asignamos las Interfaces en modo ACCESO. para este paso podemos utilizar el
apartado: Creación de VLAN, Asignación de vlan Access.

NOTA: Este mismo paso se repetirá para todos los Switches de acceso:

Tarea 4: (SW contabilidad) Restringir en el puerto Trunk que solo pasen las VLAN 20, 21, probar una PC
en cualquiera (40) de las VLAN, que no están permitidas, y probar documentar los resultados.

Probar en otro SW con Pto. Trunk con todas las VLAN permitidas una pc en la VLAN 20 y documentar.

Crear un SW más solo con una en modo Trunk y después activar el VTP y revisar cuantas VLANs pasan
todas? o solo las pemitas?
 4. Configuración de server TACACS+ y autenticación en equipos de
red.
En seguridad informática, el acrónimo AAA corresponde a un tipo de protocolos que realizan tres
funciones: autenticación, autorización y contabilización (en inglés, Authentication, Authorization and
Accounting). La expresión protocolo AAA no se refiere pues a un protocolo en particular, sino a una
familia de protocolos que ofrecen los tres servicios citados.

AAA se combina a veces con auditoría, convirtiéndose entonces en AAAA.

Nota: pueden profundizar más sobre el tema ya que en algún momento de su vida profesional se van a
encontrar o ya se han encontrado con servicios de autenticación y acceso.

Simularemos un servidor TACCAS+ con el packet tracer.

Que es un servidor TACAS+?

TACACS (acrónimo de Terminal Access Controller Access Control System, en inglés 'sistema de control
de acceso mediante control del acceso desde terminales') es un protocolo de autenticación remota,
propietario de cisco, que se usa para comunicarse con un servidor de autenticación comúnmente usado
en redes Unix.

Paso 1: En el servidor instalado en nuestra red de practica habilitamos el servicio AAA en la pestaña de
services escogemos AAA y encendemos el servicio, ingresamos el nombre que le daremos al equipo, la
dirección ip que usar para autenticarse una clave para establecer la sesión y el tipo de servicio que será
TACACS. Esto se debe hacer cada vez que se desee ingresar un equipo nuevo al sistema de
autenticación. Posteriormente creamos un usuario y password, este usuario tendrá acceso a todos los
equipos registrados en el servidor por lo que no está relacionado directamente con el router que se
ingresa, por ser la primera vez ingresamos los dos al mismo tiempo, después se ingresan usuarios y
equipos de forma independiente. Luego hacemos click en los respectivos botones de ADD.

Hasta este punto debe ser posible hacer ping desde el servidor a los dispositivos que queremos incluir
en el sistema de autenticación.

NOTA: Los Sws no responderán, se debe habilitar acceso a nivel de ip a ellos, para esto se debe crear una
vlan e administración VLAN 50 con la misma nomenclatura ip que hemos usado en base a las VLANs
asignaremos una ip a cada SW en la vlan 50 y se deberá poner el comando en los Sw para asignar el
Gateway del mismo, ip

default-gateway x.x.x.254

Los equipos debe tener usuario password local también debe tener el enable password

La salida de la pantalla del server debe ser aproximadamente a esto.

Paso 2: se procede a ingresar la configuración a los equipos y probar el acceso.

aaa new-model

!!!Habilitamos la autenticación AAA en el equipo, por lo tanto buscara autenticación externa!

aaa accounting exec default start-stop group tacacs+

aaa authentication login default group tacacs+

!!! creamos un gupo de defautl

aaa authentication login EN_SITIO local

!!!creamos un objeto de autenticación local para el puerto de consola el acceso debe ser local en caso
que el server falle no perdemos acceso al equipo de forma local !
tacacs-server host 192.168.10.50

!!! la ip del servidorTaccas!

tacacs-server key k4Tr4ch0

!!!la preshare key que ingrsamos en el server?

Aplicamos el objeto EN_SITIO en el puero de consola para que permita el acceso con la base de datos
local

line con 0

login authentication EN_SITIO

transport output all (especificamos el tipo de sesiones que podrá establecer el usuario desde el puerto
de consola, telnet ssh)

stopbits 1
line aux 0
transport output telnet
stopbits 1
line vty 0 4
privilege level 2
transport input all
line vty 5 15
privilege level 2
transport input all

Salida de la aplicación de los comandos.

Ya es posible ingresar vía telnet desde el servidor con el usuario y password que creamos.

Nota: replicar en todos los equipos

 5. Configuración de lata disponibilidad en la LAN HSRP CISCO.

La importancia de la disponibilidad de nuestros servicios en muy alta por lo que es importante tomar
accione para asegurar el que los servicios estén activos ante posibles fallas.

Hot Standby Routing Protocol (HSRP) es un protocolo propietario de Cisco que permite disponer de lo
que llamamos High Availabilty (Alta Disponibilidad) a nivel de Default Gateway en una red LAN.

En resume el proceso consiste en tener las ip Gateway replicada en otro equipo, si bien sabemos que no
podemos tener dos hosts con la misma ip en la red el protocolo HSRP provee disponibilidad de la IP en
dos equipos diferentes una activa y otra en stand by.

Para poder realizar esta configuración se requiere 3 IPs del mismo segmento de red se usaran las
direcciones ip x.x.x.250 hasta la 254, actualmente la ip que quedara de forma virtual en la que usamos
como Gateway x.x.x.254 y usaremos la x.x.x.253 en el router que quedara activo y la x.x.x.252 en el
router stand by, la definición del rol de los router lo define ellos automáticamente si no se define un
prioridad pero si nosotros queremos definir cuál es el activo se debe definir prioridad.

Iniciamos la configuración.

Paso 1: cambiamos la ip en el router 1 y configuramos con stand by la ip que usamos como Gateway
también definimos la prioridad la prioridad debe ser 100 la que se muestra en la imagen está
equivocada, por lo tanto, la configuración es igual, entre más bajo es el número mayor es la prioridad
100 > 200.

Se realizan pines desde la PC de la VLAN 20 y el Gateway debe responder.

Replicamos la misma configuración para cada interface.

Se comprueba con ping la VLAN 21.

Paso 2: Se conecta el router en otro puerto Trunk del SWCORE con su respectiva configuración y
configura el router de respaldo con la dirección ip x.x.x252 con una prioridad 100, esto se hace por cada
interface y la misma ip Gateway como stand by x.x.x.254.

Configuramos el router con la ip y hacemos ping a la interface .253 para verificar la comunicación por
medio de las VLANs
Procedemos con la configuración de HSRP.

Se debe replicar la configuración para una de las sub interfaces.

Eliminar la conexión al router principal y el ping debe responder

Al eliminar la conexión se activa en el respaldo.

Activamos la conexión del router principal y momentos después de la negociación se activa nuevamente
como activo y el router 2 pasa a standby

Con el comando show standaby podemos revisar el estado del HSRP

Router Respaldo.