Pràctica 2.4.7: Configuración de la seguridad del switch
0
Tarea 1: Configurar la administración básica del switch
Paso 1. Desde PC1, acceda a la conexión de la consola para S1.
• Haga clic en PC1 y después en la pestaña Desktop. Seleccione Terminal en la pestaña Desktop.
• Mantenga estas configuraciones predeterminadas paraTerminal Configuration y luego haga clic en OK:
o Bits por segundo = 9600
o Bits de datos = 8
o Paridad = Ninguna
o Bits de parada = 1
o Control de flujo= Ninguno
• El usuario está conectado a la consola en S1. PresioneE nter para ver el indicador del switch.
Paso 2. Cambie al modo EXEC privilegiado.
Para acceder al modo EXEC privilegiado, escriba el comandoenable. El indicador cambia de > a #.
S1>enable
S1#
Observe cómo pudo ingresar al modo EXEC privilegiado sin proporcionar una contraseña. ¿Por qué la falta de una contraseña para el modo EXEC privilegiado es una amenaza de seguridad?
Paso 3. Cambie al modo de configuración global y configure la contraseña de EXEC privilegiado.
• Mientras está en el Modo EXEC privilegiado, puede acceder al modo de configuración global mediante el comando configure terminal.
• Utilice el comando enable secret para establecer la contraseña. Para esta actividad, establezca la contraseña como class.
S1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
S1(config)#enable secret class
S1(config)#
Paso 4. Configure las contraseñas de la terminal virtual y de la consola, y pida a los usuarios que inicien sesión.
Se requerirá una contraseña para acceder a la línea de consola. Incluso en el modo EXEC de usuario básico puede proporcionar información significativa a un usuario malicioso. Además, las líneas vty deben tener una contraseña antes de que los usuarios puedan acceder al switch de manera remota.
• Acceda al indicador de la consola con el comando line console 0.
• Use el comando password para configurar las líneas de consola y vty con cisco como contraseña.
• A continuación introduzca el comando login, que requiere que los usuarios escriban una contraseña antes de poder acceder al modo EXEC del usuario.
• Repita el proceso con las líneas vty. Utilice el comandoline vty 0 15 para acceder al indicador correcto.
• Escriba el comando exit para volver al indicador de configuración global.
S1(config)#line console 0
S1(config-line)#password cisco
S1(config-line)#login
S1(config-line)#line vty 0 15
S1(config-line)#password cisco
S1(config-line)#login
S1(config-line)#exit
S1(config)#
Paso 5. Configure la encriptación de la contraseña.
La contraseña de EXEC privilegiado ya está encriptada. Para encriptar las contraseñas de línea recién configurada, escriba el comando service password-encryption en el modo de configuración global.
S1(config)#service password-encryption
S1(config)#
Paso 6. Configure y pruebe el mensaje MOTD.
Configure el mensaje del día (MOTD) con Authorized Access Only como texto. El texto del mensaje distingue mayúsculas de minúsculas. Asegúrese de no agregar espacios antes o después del texto del mensaje. Utilice un caracter delimitante antes y después del texto del mensaje para indicar dónde comienza y dónde finaliza. El caracter delimitador que se utiliza en el ejemplo a continuación es &, pero se puede usar cualquier caracter que no se use en el texto del mensaje. Después de configurar el MOTD, finalice la sesión del switch para verificar que el mensaje se despliegue cuando vuelva a iniciar sesión.
S1(config)#banner motd &Authorized Access Only&
S1(config)#end [or exit]
S1#exit
S1 con0 is now available
Press RETURN to get started.
[Intro]
Authorized Access Only
User Access Verification
Contraseña:
• El indicador de la contraseña ahora requiere una contraseña para ingresar al modo EXEC del usuario. Ingrese la contraseña cisco.
• Entre al modo EXEC privilegiado con la contraseña classy vuelva al modo de configuración global con el comandoconfigure terminal.
Contraseña: [cisco] !Nota: La contraseña no se muestra cuando la escribe.
S1>enable
Contraseña: [class] !Nota: La contraseña no se muestra cuando la escribe.
S1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
S1(config)#
Tarea 2: Configurar la seguridad dinámica del puerto
Paso 1. Habilite VLAN99.
Packet Tracer se abre con la interfaz VLAN 99 en el estado inactivo, que no es como funciona un switch real. Debe activar la VLAN 99 con el comando no shutdown antes de que las interfaces se vuelvan activas en Packet Tracer.
S1(config)#interface vlan 99
S1(config-if)#no shutdown
Paso 2. Ingrese al modo de configuración de interfaz para FastEthernet 0/18 y habilite la seguridad del puerto.
Antes de que cualquier otro comando de seguridad de puertos se pueda configurar en la interfaz, se debe activar la seguridad del puerto.
S1(config-if)#interface fa0/18
S1(config-if)#switchport port-security
Tome en cuenta que no tiene que volver al modo de configuración global antes de ingresar al modo de configuración de interfaz para fa0/18.
Paso 3. Configure el número máximo de direcciones MAC.
Para configurar el puerto y conocer sólo una dirección MAC, configure maximum en 1:
S1(config-if)#switchport port-security maximum 1
Paso 4. Configure el puerto para agregar la dirección MAC a la configuración en ejecución. La dirección MAC conocida en el puerto puede agregarse ("ajustarse") a la configuración en ejecución para ese puerto..
S1(config-if)#switchport port-security mac-address sticky
Paso 5. Configure el puerto para que se desconecte de forma automática en caso de que se viole la seguridad.
Si no se configura el siguiente comando, S1 sólo registrará la infracción en las estadísticas de seguridad del puerto, pero no lo desactiva.
S1(config-if)#switchport port-security violation shutdown
Paso 6. Confirme que S1 haya adquirido la dirección MAC para PC1.
Haga ping de PC1 a S1.
Confirme que S1 posea ahora una entrada de dirección MAC estática para PC1 en la tabla de MAC:
S1#show mac-address-table
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
99 0060.5c5b.cd23 STATIC Fa0/18
La dirección MAC ahora "se ajusta" a la configuración en ejecución.
S1#show running-config
interface FastEthernet0/18
switchport access vlan 99
switchport mode access
switchport port-security
switchport port-security mac-address sticky
switchport port-security mac-address sticky 0060.5C5B.CD23
S1#
Tarea 3: Probar la seguridad dinámica del puerto
Paso 1. Quite la conexión entre PC1 y S1 y conecte PC2 a S1.
• Para probar la seguridad del puerto, borre la conexión Ethernet entre PC1 y S1. Si borra accidentalmente la conexión del cable de la consola, sólo vuelva a conectarla.
• Conecte PC2 a Fa0/18 en S1. Espere a que la luz de enlace color ámbar se torne verde y después haga ping de PC2 a S1. Entonces, el puerto se debe desconectar automáticamente.
Paso 2. Verifique que la seguridad del puerto sea la razón por la cual el puerto está desconectado. Para verificar que la seguridad del puerto haya desactivado el mismo, introduzca el comando show interface fa0/18.
S1#show interface fa0/18
FastEthernet0/18 is down, line protocol is down (err-disabled)
Hardware is Lance, address is 0090.213e.5712 (bia 0090.213e.5712)
El protocolo de línea está desconectado debido a un error (err) al aceptar una trama con una dirección MAC diferente a la conocida, por lo tanto el software del IOS de Cisco desconecta (disabled) el puerto.
También puede verificar una violación en la seguridad con el comando show port-security interface fa0/18.
S1#show port-security interface fa0/18
Port Security : Enabled
Port Status : Secure-shutdown
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 1
Sticky MAC Addresses : 0
Last Source Address:Vlan : 00E0.F7B0.086E:99
Security Violation Count : 1
Tome en cuenta que el estado del puerto es secure-shutdown, y el conteo de las violaciones de seguridad es 1.
Paso 3. Restablezca la conexión entre PC1 y S1 y reconfigure la seguridad del puerto.
Quite la conexión entre PC2 y S1. Vuelva a conectar PC1 al puerto Fa0/18 en S1.
Observe que el puerto aún está apagado, aunque usted haya vuelto a conectar la PC habilitada en el mismo. Un puerto que está en estado apagado debido a una violación de seguridad se debe reactivar manualmente. Desactive el puerto y luego actívelo con no shutdown.
S1#config t
Enter configuration commands, one per line. End with CNTL/Z.
S1(config)#interface fa0/18
S1(config-if)#shutdown
%LINK-5-CHANGED: Interface FastEthernet0/18, changed state to administratively down
S1(config-if)#no shutdown
%LINK-5-CHANGED: Interface FastEthernet0/18, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/18, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan99, changed state to up
S1(config-if)#exit
S1(config)#
Paso 4. Pruebe la conectividad haciendo ping en S1 desde PC1.
El ping de PC1 a S1 debe tener éxito.
Tarea 4: Asegurar los puertos sin utilizar
Un método simple que muchos administradores utilizan para asegurar su red de acceso no autorizado es deshabilitar todos los puertos sin utilizar en un switch de red.
Paso 1. Deshabilite la interfaz Fa0/17 en S1.
Entre al modo de configuración de interfaz para FastEthernet 0/17 y desconecte el puerto.
S1(config)#interface fa0/17
S1(config-if)#shutdown
Paso 2. Pruebe el puerto conectando PC2 a Fa0/17 en S1.
Conecte PC2 a la interfaz Fa0/17 en S1. Observe que las luces de enlace son rojas. PC2 no tiene acceso a la red.
Paso 1. Desde PC1, acceda a la conexión de la consola para S1.
• Haga clic en PC1 y después en la pestaña Desktop. Seleccione Terminal en la pestaña Desktop.
• Mantenga estas configuraciones predeterminadas paraTerminal Configuration y luego haga clic en OK:
o Bits por segundo = 9600
o Bits de datos = 8
o Paridad = Ninguna
o Bits de parada = 1
o Control de flujo= Ninguno
• El usuario está conectado a la consola en S1. PresioneE nter para ver el indicador del switch.
Paso 2. Cambie al modo EXEC privilegiado.
Para acceder al modo EXEC privilegiado, escriba el comandoenable. El indicador cambia de > a #.
S1>enable
S1#
Observe cómo pudo ingresar al modo EXEC privilegiado sin proporcionar una contraseña. ¿Por qué la falta de una contraseña para el modo EXEC privilegiado es una amenaza de seguridad?
Paso 3. Cambie al modo de configuración global y configure la contraseña de EXEC privilegiado.
• Mientras está en el Modo EXEC privilegiado, puede acceder al modo de configuración global mediante el comando configure terminal.
• Utilice el comando enable secret para establecer la contraseña. Para esta actividad, establezca la contraseña como class.
S1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
S1(config)#enable secret class
S1(config)#
Paso 4. Configure las contraseñas de la terminal virtual y de la consola, y pida a los usuarios que inicien sesión.
Se requerirá una contraseña para acceder a la línea de consola. Incluso en el modo EXEC de usuario básico puede proporcionar información significativa a un usuario malicioso. Además, las líneas vty deben tener una contraseña antes de que los usuarios puedan acceder al switch de manera remota.
• Acceda al indicador de la consola con el comando line console 0.
• Use el comando password para configurar las líneas de consola y vty con cisco como contraseña.
• A continuación introduzca el comando login, que requiere que los usuarios escriban una contraseña antes de poder acceder al modo EXEC del usuario.
• Repita el proceso con las líneas vty. Utilice el comandoline vty 0 15 para acceder al indicador correcto.
• Escriba el comando exit para volver al indicador de configuración global.
S1(config)#line console 0
S1(config-line)#password cisco
S1(config-line)#login
S1(config-line)#line vty 0 15
S1(config-line)#password cisco
S1(config-line)#login
S1(config-line)#exit
S1(config)#
Paso 5. Configure la encriptación de la contraseña.
La contraseña de EXEC privilegiado ya está encriptada. Para encriptar las contraseñas de línea recién configurada, escriba el comando service password-encryption en el modo de configuración global.
S1(config)#service password-encryption
S1(config)#
Paso 6. Configure y pruebe el mensaje MOTD.
Configure el mensaje del día (MOTD) con Authorized Access Only como texto. El texto del mensaje distingue mayúsculas de minúsculas. Asegúrese de no agregar espacios antes o después del texto del mensaje. Utilice un caracter delimitante antes y después del texto del mensaje para indicar dónde comienza y dónde finaliza. El caracter delimitador que se utiliza en el ejemplo a continuación es &, pero se puede usar cualquier caracter que no se use en el texto del mensaje. Después de configurar el MOTD, finalice la sesión del switch para verificar que el mensaje se despliegue cuando vuelva a iniciar sesión.
S1(config)#banner motd &Authorized Access Only&
S1(config)#end [or exit]
S1#exit
S1 con0 is now available
Press RETURN to get started.
[Intro]
Authorized Access Only
User Access Verification
Contraseña:
• El indicador de la contraseña ahora requiere una contraseña para ingresar al modo EXEC del usuario. Ingrese la contraseña cisco.
• Entre al modo EXEC privilegiado con la contraseña classy vuelva al modo de configuración global con el comandoconfigure terminal.
Contraseña: [cisco] !Nota: La contraseña no se muestra cuando la escribe.
S1>enable
Contraseña: [class] !Nota: La contraseña no se muestra cuando la escribe.
S1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
S1(config)#
Tarea 2: Configurar la seguridad dinámica del puerto
Paso 1. Habilite VLAN99.
Packet Tracer se abre con la interfaz VLAN 99 en el estado inactivo, que no es como funciona un switch real. Debe activar la VLAN 99 con el comando no shutdown antes de que las interfaces se vuelvan activas en Packet Tracer.
S1(config)#interface vlan 99
S1(config-if)#no shutdown
Paso 2. Ingrese al modo de configuración de interfaz para FastEthernet 0/18 y habilite la seguridad del puerto.
Antes de que cualquier otro comando de seguridad de puertos se pueda configurar en la interfaz, se debe activar la seguridad del puerto.
S1(config-if)#interface fa0/18
S1(config-if)#switchport port-security
Tome en cuenta que no tiene que volver al modo de configuración global antes de ingresar al modo de configuración de interfaz para fa0/18.
Paso 3. Configure el número máximo de direcciones MAC.
Para configurar el puerto y conocer sólo una dirección MAC, configure maximum en 1:
S1(config-if)#switchport port-security maximum 1
Paso 4. Configure el puerto para agregar la dirección MAC a la configuración en ejecución. La dirección MAC conocida en el puerto puede agregarse ("ajustarse") a la configuración en ejecución para ese puerto..
S1(config-if)#switchport port-security mac-address sticky
Paso 5. Configure el puerto para que se desconecte de forma automática en caso de que se viole la seguridad.
Si no se configura el siguiente comando, S1 sólo registrará la infracción en las estadísticas de seguridad del puerto, pero no lo desactiva.
S1(config-if)#switchport port-security violation shutdown
Paso 6. Confirme que S1 haya adquirido la dirección MAC para PC1.
Haga ping de PC1 a S1.
Confirme que S1 posea ahora una entrada de dirección MAC estática para PC1 en la tabla de MAC:
S1#show mac-address-table
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
99 0060.5c5b.cd23 STATIC Fa0/18
La dirección MAC ahora "se ajusta" a la configuración en ejecución.
S1#show running-config
interface FastEthernet0/18
switchport access vlan 99
switchport mode access
switchport port-security
switchport port-security mac-address sticky
switchport port-security mac-address sticky 0060.5C5B.CD23
S1#
Tarea 3: Probar la seguridad dinámica del puerto
Paso 1. Quite la conexión entre PC1 y S1 y conecte PC2 a S1.
• Para probar la seguridad del puerto, borre la conexión Ethernet entre PC1 y S1. Si borra accidentalmente la conexión del cable de la consola, sólo vuelva a conectarla.
• Conecte PC2 a Fa0/18 en S1. Espere a que la luz de enlace color ámbar se torne verde y después haga ping de PC2 a S1. Entonces, el puerto se debe desconectar automáticamente.
S1#show interface fa0/18
FastEthernet0/18 is down, line protocol is down (err-disabled)
Hardware is Lance, address is 0090.213e.5712 (bia 0090.213e.5712)
El protocolo de línea está desconectado debido a un error (err) al aceptar una trama con una dirección MAC diferente a la conocida, por lo tanto el software del IOS de Cisco desconecta (disabled) el puerto.
También puede verificar una violación en la seguridad con el comando show port-security interface fa0/18.
S1#show port-security interface fa0/18
Port Security : Enabled
Port Status : Secure-shutdown
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 1
Sticky MAC Addresses : 0
Last Source Address:Vlan : 00E0.F7B0.086E:99
Security Violation Count : 1
Tome en cuenta que el estado del puerto es secure-shutdown, y el conteo de las violaciones de seguridad es 1.
Paso 3. Restablezca la conexión entre PC1 y S1 y reconfigure la seguridad del puerto.
Quite la conexión entre PC2 y S1. Vuelva a conectar PC1 al puerto Fa0/18 en S1.
Observe que el puerto aún está apagado, aunque usted haya vuelto a conectar la PC habilitada en el mismo. Un puerto que está en estado apagado debido a una violación de seguridad se debe reactivar manualmente. Desactive el puerto y luego actívelo con no shutdown.
S1#config t
Enter configuration commands, one per line. End with CNTL/Z.
S1(config)#interface fa0/18
S1(config-if)#shutdown
%LINK-5-CHANGED: Interface FastEthernet0/18, changed state to administratively down
S1(config-if)#no shutdown
%LINK-5-CHANGED: Interface FastEthernet0/18, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/18, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan99, changed state to up
S1(config-if)#exit
S1(config)#
Paso 4. Pruebe la conectividad haciendo ping en S1 desde PC1.
El ping de PC1 a S1 debe tener éxito.
Un método simple que muchos administradores utilizan para asegurar su red de acceso no autorizado es deshabilitar todos los puertos sin utilizar en un switch de red.
Paso 1. Deshabilite la interfaz Fa0/17 en S1.
Entre al modo de configuración de interfaz para FastEthernet 0/17 y desconecte el puerto.
S1(config)#interface fa0/17
S1(config-if)#shutdown
Paso 2. Pruebe el puerto conectando PC2 a Fa0/17 en S1.
Conecte PC2 a la interfaz Fa0/17 en S1. Observe que las luces de enlace son rojas. PC2 no tiene acceso a la red.
0 comentaris:
Publica un comentari a l'entrada