TECNOLÓGICO NACIONAL DE MÉXICO

INSTITUTO TECNOLÓGICO DE QUERÉTARO

UNIDAD PINAL DE AMOLES
Materia:
Seguridad
Tema:
Act3_Sem6
Numero de control:
14141420
Alumno
Gallegos Guerrero Daniela
Grupo
P6E
Asesor:
Ing. José Antonio Castañeda Osornio
Tutor:
Lic. Eucebio Martínez Olvera
Fecha de elaboración
08/09/2018
Introducción
El presenta trabajo muestra información acerca del proceso de configuración sobre
la seguridad dentro de la capa 2, de lo cual es importante con contar con una serie
de objetivos, como los siguientes:
• Asignar el interruptor central como puente raíz.
• Parámetros seguros del árbol de expansión para evitar ataques de manipulación
de STP.
• Habilite la seguridad del puerto para evitar ataques de desbordamiento de la
tabla CAM.

Topología

Proceso
Primero hay que determinar el puente raíz actual. Esto se realiza desde Central,
ejecute el comando show spanning-tree para determinar el puente raíz actual,
para ver los puertos en uso y para ver su estado.
Después hay que asignar Central como el puente raíz principal. Utilizando el
comando spanning-tree vlan 1 root primary, y asigne Central como el puente
raíz.

Ahora hay que asignar a SW-1 como puente raíz secundario. Esto se logrará
utilizando el comando de spanning-tree vlan 1 root secundary.

Al finalizar lo anterior hay que verificar la configuración del árbol de expansión. Para
esto hay que introducir el comando show spanning-tree para verificar que Central es el
puente raíz.

Hay que habilitar PortFast en todos los puertos de acceso.

PortFast está configurado en puertos de acceso que se conectan a una sola
estación de trabajo o servidor para permitir que se activen más rápidamente. En
los puertos de acceso conectados del SW-A y SW-B, usar el comando spanning-
tree portfast.
Realizado lo anterior ahora hay que habilitar el BPDU guard en todos los puertos de
acceso. La protección BPDU es una función que puede ayudar a prevenir
interruptores no autorizados y suplantación en los puertos de acceso. Habilite BPDU
guard en los puertos de acceso SW-A y SW-B.

Luego hay que habilitar el protector de raíz. Root Guard se puede habilitar en todos
los puertos en un switch que no sean puertos raíz. Se implementa mejor en puertos
que se conectan a otros switches no raíz.
Para esto usar el comando show spanning-tree para determinar la ubicación del
puerto raíz en cada switch. En SW-1, habilitar el protector de raíz en los puertos F0
/ 23 y F0 / 24. En SW-2, habilitar el protector de raíz en los puertos F0 / 23 y F0 / 24.

Hay que evitar la tormenta de datos de broadcast para esto vamos a realizar lo
siguiente para SW-1, SW2 y Central.
Posteriormente hay que configurar la seguridad básica del puerto en todos los
puertos conectados a los dispositivos host.
Este procedimiento debe realizarse en todos los puertos de acceso en SW-A y SW-
B. Establecer el número máximo de direcciones MAC aprendidas en 2, permitir que
la dirección MAC se aprenda dinámicamente y configurar la violación para que se
apague.

Ahora hay que deshabilitar los puertos que no se utilizan dentro de los switches SW-
A y SW-B. En este caso los que se están utilizando son los puertos fa0/1, fa0/2,
fa0/3, fa0/4, fa0/23 y fa0/24, por lo tanto se deshabilitaran los puertos del fa0/5-22-

Ahora se realizarán otras configuraciones correspondientes a la actividad 1.2

Topología.
Lo primero que hay que realizar es conectar a SW-1 y SW-2 mediante el puerto
fa0/23.

Ahora hay que habilitar el enlace troncal, incluidos todos los mecanismos de
seguridad del enlace troncal en el enlace entre SW-1 y SW-2.

Parte 3: habilitar la VLAN 20 como una VLAN de administración

El administrador de la red quiere acceder a todos los dispositivos de conmutación
y enrutamiento utilizando una PC de administración. Por razones de seguridad, el
administrador quiere asegurarse de que todos los dispositivos administrados estén
en una VLAN separada.

Habilitar una VLAN de administración (VLAN 20) en SW-A.

Habilitar la VLAN 20 en SW-A.

Crear una interfaz VLAN 20 y asigne una dirección IP dentro de la red

192.168.20.0/24.
Paso 2: habilitar la misma VLAN de administración en todos los demás switches.

a. Crear la VLAN de administración en todos los switches: SW-B, SW-1, SW-2 y

Central.
SW-B(config)# vlan 20
SW-B(config-vlan)# exit

SW-1(config)# vlan 20
SW-1(config-vlan)# exit

SW-2(config)# vlan 20
SW-2(config-vlan)# exit

Central(config)# vlan 20
Central(config-vlan)# exit

Ahora hay que crear una interfaz VLAN 20 en todos los conmutadores y asigne
una dirección IP dentro de la red 192.168.20.0/24.
SW-B(config)# interface vlan 20
SW-B(config-if)# ip address 192.168.20.2 255.255.255.0

SW-1(config)# interface vlan 20

SW-1(config-if)# ip address 192.168.20.3 255.255.255.0

SW-2(config)# interface vlan 20

SW-2(config-if)# ip address 192.168.20.4 255.255.255.0

Central(config)# interface vlan 20

Central(config-if)# ip address 192.168.20.5 255.255.255.0

Ahora hay que conectar y configura la PC de administración.

Conecte la PC de administración al puerto SW-A F0 / 1 y asegúrese de que se le
haya asignado una dirección IP disponible dentro de la red 192.168.20.0/24.

Posteriormente en SW-A, nos aseguraremos de que la PC de administración es

parte de la VLAN 20.
Donde la interfaz F0 / 1 debe ser parte de la VLAN 20.
Se procederá a verificar la conectividad de la PC de administración con todos los
switches.

En donde la PC de administración debe poder hacer ping a SW-A, SW-B, SW-1,

SW-2 y Central.

Ya finalizado lo anterior hay que habilitar la PC de administración para acceder al

enrutador R1
Para esto habilitaremos una nueva subinterfaz en el enrutador R1.

a. Cree la subinterfaz g0 / 0.3 y configure la encapsulación en dot1q 20 para

tener en cuenta la VLAN 20.

b. Asigne una dirección IP dentro de la red 192.168.20.0/24.

Paso 2: Verifique la conectividad entre la PC de administración y R1.

Hay que asegurarse de configurar la puerta de enlace predeterminada en la PC de
administración para permitir la conectividad.

Ahora hay que habilitar la seguridad.

Si bien la PC de administración debe poder acceder al enrutador, ninguna otra PC
debe poder acceder a la VLAN de administración.
 a. Hay que crear una ACL que solo permita que la PC de administración
acceda al enrutador.

b. Verifique que solo la PC de administración pueda acceder al enrutador. Use

SSH para acceder a R1 con el nombre de usuario SSHadmin y la
contraseña ciscosshpa55.

PC> ssh -l SSHadmin 192.168.20.100

No permite la conexión.

Ahora agregaremos una nueva PC, la cual se llamará E1, y pertenecerá a la VLAN
20, además de tener conectividad con C1.

Se le agregará una dirección ip a la PC E1.

Ahora vamos a configurar el switch SW-B para que pueda haber conexión.
Y ya con todo esto queda realiza cada una de las practicas.
Conclusión
Al realizar cada una de las practicas, pude comprender y entender de mejor manera
la forma de tener seguros cada uno de los dispositivos pertenecientes a la capa 2,
y es que es de suma importancia contar con una seguridad, para que así no pueda
entrar o acceder cualquier persona, con esto logramos que solo los especialistas, o
encargados de la seguridad puedan manipular los dispositivos.
Además de que hay que configurar de manera que solo pueda haber conexión entre
departamentos o secciones permitidos, es decir, que no todos se puedan comunicar
entre sí, sino que solo secciones permitidas lo pueda realizar.
Bibliografía

Cristian Borghello. (2012). Detección de Intrusos en Tiempo Real. 07/09/2018,

de blog Sitio web: https://www.segu-info.com.ar/proteccion/deteccion.htm
Jesus Arteaga. (2018). que es un ids. 07/09/2018, de blog Sitio web:
https://www.clavei.es/blog/que-es-un-ids-o-intrusion-detection-system/
https://www.pandasecurity.com/usa-es/support/card?id=31452
http://www.ordenador.online/Redes/Seguridad-de-Red/Tipos-de-sistemas-de-
prevenci%C3%B3n-de-intrusos-.html

José Barrera. (2009). IPS. 07/09/2018, de blog Sitio web:

https://es.slideshare.net/mauriciocabrera/clase-de-muestra