Académique Documents
Professionnel Documents
Culture Documents
Como se ha discutido previamente la seguridad perimetral no solo debe enfocarse en los ataques
externos, ya que según las estadísticas la mayor parte de las intrusiones se realizan desde la red LAN, por
lo que es muy importante tomar medidas para asegura la parte interna no solo para evitar accesos no
autorizados, también es necesario asegura la disponibilidad de los servicios.
En el presente Ejercicio empezaremos por métodos de seguridad interna hasta métodos de seguridad
externa llegando a simular una red completa con servicios básicos en nuestra empresa Xatruch.
Cuadro IPs
Vlan Nombre IP
10 Servers 192.168.10.0
20 Contabilidad 192.168.20.0
21 contabilidad2 192.168.21.0
30 Administración 192.168.30.0
31 Administracion2 192.168.31.0
40 Académico 192.168.40.0
41 Academico2 192.168.41.0
1. Seguridad en los puertos LAN Port Security.
Port security: nos permite asignar una MAC a un puerto y que este puerto no permita ninguna otra
conexión, al conectar otro equipo el SW detectará una MAC diferente por lo que procederá a
bloquearse. Crear la siguiente topología.
Paso 1: Conectamos una PC al puerto 1 del SW-contabilidad, ingresamos en modo configuración y luego
se ingresa a la interface a configurar en este caso F0/1.
Nota: No hacer ping por asuntos de práctica el SW no debe conocer la MAC todavía.
Mac: 0050.0F16.75CD
Paso 3: Configurar la interface del SW en modo Access, luego con el comando port-security se habilita
la capacidad del puerto para bloquearse ante un cambio no permitido, adicionalmente indicamos cual es
la MAC permitida.
Nota: Los SWs pueden tener 2 tipos de configuración en el puerto, modo “Access” que se usa para
conectar un HOST y se asigna una sola VLAN que se crea previamente, por defecto el equipo asigna la
VLAN 1, El otro tipo es el Modo Trunk que permite pasar varias VLANs este tipo de puerto no es
compatible con las Pcs de forma normal.(Es necesario contar con programas especiales en el host para
que lo reconozca, ya que la transmisión de los identificadores de los paquetes es diferente.) Este tipo de
configuración normalmente es usado para los puertos de comunicación entre router y SW o entre SW-
SW cuando se requiere que pasen varias VLANs.
Paso 4: revisamos que el puerto tenga habilitado el Port security con el comando presentado en la
imagen.
La línea que nos debería mostrar la MAC está en cero ya que todavía no hay ninguna petición del host
porque no hay tráfico, Se configura una ip de la misma red a otro host y se hace el ping, se conecta el
segundo host al puerto F0/2 y se procede con el ping desde el host 0 al 1.
Después de hacer el ping se detecta la MAC address en el puerto.
Tarea1: investigar que significa cada una de las líneas en la salida anterior y explicar cada uno de sus
estados.
Tarea2: configurar port-security con más de una mac, explicar cuantas se permiten modo estático y en
modo sticky.
No hay ninguna violación solo es permitida una MAC address ahora es momento de probar si funciona.
Paso 5:
Después de realizar el Ping con los hosts intercambiados, obtendremos el siguiente resultado,
detectando 1 violación la política por tanto el puerto se bloquea.
Revertir los cables y aplicar en el puerto F0/1 shut y no shut para hacer que encienda de nuevo el puerto
y registre nuevamente la MAC autorizada y así active el puerto nuevamente.
Paso 6: Al tener un red muy grande o remota podría resultar un poco problemático registrar todas las
MACs una por una, otra forma que capturar la MAC del puerto es usar el comando sticky en lugar de la
MAC este comando captura la primera MAC que se conecta y la registra es necesario es necesario salvar
la configuración del equipo para que la MAC quede guardada en la tabla definitivamente
Consultamos la configuración.
Se hace ping desde el host para generar tráfico por el puerto y que se aprenda la MAC, consultamos
nuevamente el puerto y veremos la MAC registrada, se salva la configuración para que las MAC quede
guardada de forma definitiva.
NOTA1: Se debe replicar la configuración en los otros puertos en modo Access en toda la red después de
realizar el siguiente ejercicio, se indicará la asignación nuevamente más adelante en este manual.
NOTA2: Es recomendable realizar esta configuración en todos los puertos en uso y los que no estén
usándose deben estar apagados para evitar cualquier tipo de conexión no autorizada ya que esta
configuración de seguridad ayuda a que no se conecten en un puerto activo, por lo que no tendría
sentido configurar con seguridad los puertos y tener todos los puertos encendidos, si no se usa esta
seguridad también es recomendable tener los puertos apagados.
Una de las desventajas del Sticky y tener los puertos encendidos es que cualquier PC que se conecte por
primera vez asegura su exclusividad en ese puerto y tendrá conexión, contrario a cuando se ingresa la
MAC manualmente no importa que el puerto este encendido, si no detecta la MAC adecuada no
permitirá la conexión.
Teoría de apoyo.
La principal ventaja de las direcciones sticky en contraposición con las dinámicas es que éstas últimas se
agregan a la running-config. Así nos evitamos escribir un montón de direcciones MAC de manera
estática pero aún podemos guardarlas en el archivo de configuración de manera que se mantengan
inclusive si el switch se reinicia.
Si se habilitan las direcciones MAC sticky y ya había direcciones aprendidas de forma dinámica, éstas
pasan a la running-config y todas las nuevas que se aprendan también se agregan allí.
Si se deshabilitan las direcciones MAC sticky todas las que hubiera pasan a ser dinámicas y se borran de
la running-config. Además, todas las que se aprendan también serán dinámicas.
Es importante tener en cuenta que por violación se entiende uno de los siguientes dos casos:
Se alcanzó la cantidad máxima de direcciones MAC permitidas.
Una dirección MAC que se aprendió en un puerto se aprende por otro puerto diferente.
En caso de ser un cambio de host se debe cambiar la MAC si es manual o reiniciar el puerto con el nuevo
dispositivo conectado para que aprenda la nueva MAC y guardar la configuración.
Los modos en los que se puede establecer un puerto para decidir qué acción tomar en el caso de una
violación son, entonces:
Protect: una vez que se alcanzó el máximo de direcciones MAC en un puerto, todo el tráfico de orígenes
desconocidos (es decir, de direcciones MAC que no sean válidas para ese puerto) es descartado. No
obstante, se continúa enviando el tráfico legal normalmente. No se notifica al administrador de esta
situación.
Restrict: el mismo comportamiento que el caso anterior, pero con la diferencia que se envía un aviso al
administrador mediante SNMP, se registra el evento en el syslog y se incrementa el contador de
violaciones.
Shutdown: en este caso el puerto se da de baja dejándolo en estado err-disabled (deshabilitado por
error). Además, se envía un aviso al administrador mediante SNMP, se registra el evento en el syslog y
se incrementa el contador de violaciones.
Shutdown VLAN: la única diferencia con el caso anterior es que se deshabilita la VLAN en ese puerto en
lugar de dar de baja el puerto completo. Es particularmente atractivo para los puertos de trunk.
2. Segmentación de red en capa 2 VLAN
Las VLAN nos permiten segmenta una red en capa dos manteniendo el tráfico de áreas diferente en
redes separas dentro dl mismo equipo.
NOTA: los Switches tiene cierta cantidad y rango de número de VLAN que se pueden utilizar esto
depende del modelo de equipo que se use lo SW de baja gana usa las VLAN de 1(vlan nativa o
por defecto) hasta 1001 1002-1005
Creación de VLAN
Asignación de VLAN a un rango de puertos ( hay varios comandos que se pueden aplicar aun rango como
shut etc.).
Para efectos de acceso remoto asignamos un ip al SW para administración esta ip se asigna a la VLAN
elegida en este caso la 20 para administración usaremos la x.x.x.200 de cada red en todo el ejercicio.
Nota: replicamos el mismo ejercicio para la vlan 21 name finanzas en el mismo SW, no es necesaria una
ip de administración, el rango de puertos para esta vlan será 11-20.
Se asignas las ip correspondientes a las 2 laptops restantes y se conectan en los puertos 11 y 12.
3. Router on a stick
Es la configuración más Usada para hacer inter-Vlan switching.
Se agrega el router core 2911 el cual tendrá las ip Gateway de cada red.
A este punto debe ser posible hacer ping de los Host a su respectivo Gateway y también debe responder
la otra red en la vlan contraria
VTP son las siglas de VLAN Trunking Protocol, un protocolo de mensajes de nivel 2 usado para configurar
y administrar VLANs en equipos Cisco.
Esto nos permitirá crear y propagar las VLAN desde un único equipo sin necesidad de crearlas en cada
equipo por el que necesitan pasar.
Para le siguiente ejercicio se debe instalar los siguientes equipos, se debe asignar las ips a los Host y el
port-security en cada puerto, pero no se deben configurar las Vlan asignada en los SW
Para iniciar este ejercicio es necesario eliminar las Vlan que se crearon anteriormente en cada uno de los
SWITCHs:
a. SWCORE_XTRCH#vlan database
2. Creación de VLANs, para este paso podemos utilizar el apartado: Creación de VLAN
Es necesario crear las VLAN en el SWITCH CORE nada más, en los Switchs de acceso no se
crearán.
3. Configuración de puertos, para este paso podemos utilizar el apartado: Configuración de puerto
Trunk permitiendo que pasen todas las Vlan
VTP CLIENT
g. Ahora asignamos las Interfaces en modo ACCESO. para este paso podemos utilizar el
apartado: Creación de VLAN, Asignación de vlan Access.
NOTA: Este mismo paso se repetirá para todos los Switches de acceso:
Tarea 4: (SW contabilidad) Restringir en el puerto Trunk que solo pasen las VLAN 20, 21, probar una PC
en cualquiera (40) de las VLAN, que no están permitidas, y probar documentar los resultados.
Probar en otro SW con Pto. Trunk con todas las VLAN permitidas una pc en la VLAN 20 y documentar.
Crear un SW más solo con una en modo Trunk y después activar el VTP y revisar cuantas VLANs pasan
todas? o solo las pemitas?
4. Configuración de server TACACS+ y autenticación en equipos de
red.
En seguridad informática, el acrónimo AAA corresponde a un tipo de protocolos que realizan tres
funciones: autenticación, autorización y contabilización (en inglés, Authentication, Authorization and
Accounting). La expresión protocolo AAA no se refiere pues a un protocolo en particular, sino a una
familia de protocolos que ofrecen los tres servicios citados.
Nota: pueden profundizar más sobre el tema ya que en algún momento de su vida profesional se van a
encontrar o ya se han encontrado con servicios de autenticación y acceso.
TACACS (acrónimo de Terminal Access Controller Access Control System, en inglés 'sistema de control
de acceso mediante control del acceso desde terminales') es un protocolo de autenticación remota,
propietario de cisco, que se usa para comunicarse con un servidor de autenticación comúnmente usado
en redes Unix.
Paso 1: En el servidor instalado en nuestra red de practica habilitamos el servicio AAA en la pestaña de
services escogemos AAA y encendemos el servicio, ingresamos el nombre que le daremos al equipo, la
dirección ip que usar para autenticarse una clave para establecer la sesión y el tipo de servicio que será
TACACS. Esto se debe hacer cada vez que se desee ingresar un equipo nuevo al sistema de
autenticación. Posteriormente creamos un usuario y password, este usuario tendrá acceso a todos los
equipos registrados en el servidor por lo que no está relacionado directamente con el router que se
ingresa, por ser la primera vez ingresamos los dos al mismo tiempo, después se ingresan usuarios y
equipos de forma independiente. Luego hacemos click en los respectivos botones de ADD.
Hasta este punto debe ser posible hacer ping desde el servidor a los dispositivos que queremos incluir
en el sistema de autenticación.
NOTA: Los Sws no responderán, se debe habilitar acceso a nivel de ip a ellos, para esto se debe crear una
vlan e administración VLAN 50 con la misma nomenclatura ip que hemos usado en base a las VLANs
asignaremos una ip a cada SW en la vlan 50 y se deberá poner el comando en los Sw para asignar el
Gateway del mismo, ip
default-gateway x.x.x.254
Los equipos debe tener usuario password local también debe tener el enable password
aaa new-model
!!!creamos un objeto de autenticación local para el puerto de consola el acceso debe ser local en caso
que el server falle no perdemos acceso al equipo de forma local !
tacacs-server host 192.168.10.50
Aplicamos el objeto EN_SITIO en el puero de consola para que permita el acceso con la base de datos
local
line con 0
transport output all (especificamos el tipo de sesiones que podrá establecer el usuario desde el puerto
de consola, telnet ssh)
stopbits 1
line aux 0
transport output telnet
stopbits 1
line vty 0 4
privilege level 2
transport input all
line vty 5 15
privilege level 2
transport input all
Ya es posible ingresar vía telnet desde el servidor con el usuario y password que creamos.
La importancia de la disponibilidad de nuestros servicios en muy alta por lo que es importante tomar
accione para asegurar el que los servicios estén activos ante posibles fallas.
Hot Standby Routing Protocol (HSRP) es un protocolo propietario de Cisco que permite disponer de lo
que llamamos High Availabilty (Alta Disponibilidad) a nivel de Default Gateway en una red LAN.
En resume el proceso consiste en tener las ip Gateway replicada en otro equipo, si bien sabemos que no
podemos tener dos hosts con la misma ip en la red el protocolo HSRP provee disponibilidad de la IP en
dos equipos diferentes una activa y otra en stand by.
Para poder realizar esta configuración se requiere 3 IPs del mismo segmento de red se usaran las
direcciones ip x.x.x.250 hasta la 254, actualmente la ip que quedara de forma virtual en la que usamos
como Gateway x.x.x.254 y usaremos la x.x.x.253 en el router que quedara activo y la x.x.x.252 en el
router stand by, la definición del rol de los router lo define ellos automáticamente si no se define un
prioridad pero si nosotros queremos definir cuál es el activo se debe definir prioridad.
Iniciamos la configuración.
Paso 1: cambiamos la ip en el router 1 y configuramos con stand by la ip que usamos como Gateway
también definimos la prioridad la prioridad debe ser 100 la que se muestra en la imagen está
equivocada, por lo tanto, la configuración es igual, entre más bajo es el número mayor es la prioridad
100 > 200.
Configuramos el router con la ip y hacemos ping a la interface .253 para verificar la comunicación por
medio de las VLANs
Procedemos con la configuración de HSRP.
Activamos la conexión del router principal y momentos después de la negociación se activa nuevamente
como activo y el router 2 pasa a standby