Certificado Seguridad de la Informacion

Clase: Seguridad Perimetral

Catedratico: MGTI. Dennis Alvarado

Integrante:

Victor Manuel Argueta Barahona

Cuadro de Ip

Vlan Nombre Ip
vlan50 Informatica 192.170.50.0
vlan60 Informatica2 192.170.60.0
vlan70 Ventas 192.170.70.0
vlan80 Ventas2 192.170.80.0
vlan90 Cobros 192.170.90.0
vlan100 Cobros2 192.170.100.0

1 Seguridad en Puertos es posible implementar seguridad de puertos en los switches de capa

de acceso, de manera de permitir que a cada puerto se conecte sólo la estación autorizada

Paso 1:Conectamos un Pc al puerto 1 del switch Informatica se ingresa a la interface a

configurar en este caso f0/1
Paso 2: Configurar la ip de las Pc y copiamos la deireccion Mac de la Pc

Port Security es una función en los Cisco switch destinada a limitar la cantidad de direcciones
MAC que se pueden conectar a través de un puerto

Colocamos la interface del SW en modo Access ,le indicamos la Mac Address y el comando
port-security
Verificamos que tenga habilitado el Port Security

Donde dice Last Source Address se muestra en 0 porque aun no hay trafico .Ya que se tiene
que colocar una dirección ip en la otra maquina y hacer ping.Se realiza el mismo proceso con la
Pc1 en el puerto Fa0/2.Hacer ping de la Maquina 0 a la maquina 1
Despues de relizar ping se detecta la mac address
Salvamos la configuración del equipo para que la mac address quede registrada

Verificamos la información

Hacemos ping desde la maquina para generar trafico y que la mac address quede registrada
2 Creacion de Vlan

Switch Informatica

Asignacion de Vlan a un puerto

Asignacion de vlan a un rango de puertos

Para acceso remoto se le asigna una ip al switch para poder administrar cada vlan .Usaremos
este formato para asignar a cada vlan que creemos X.X.X.200 en todos los switches.

Agregamos port-security para limitar la cantidad de direcciones MAC que se pueden conectar
a través de un puerto
En todos los Host usaremos como Gateway la ip x.x.x.254 de cada red

Utilizamos el comando show run para ver todo lo que hemos configurado hasta el momento
Switch Ventas

Creacion de Vlan

Asignacion de Vlan a un puerto

Asignacion de vlan a un rango de puertos

Asignamos una ip para administración de las Vlan Creadas, y un nombre para describir cada
vlan

Agregamos port-security para limitar la cantidad de direcciones MAC que se pueden conectar
a través de un puerto
Utilizamos el comando show run para ver todas las configuraciones que hemos realizado

Switch Cobros

Creacion de Vlan en switch cobros

Asignación de Vlan a un puerto

Asignacion de vlan a un rango de puertos

Agregamos port-security para limitar la cantidad de direcciones MAC que se pueden conectar
a través de un puerto
Agregamos port-security para limitar la cantidad de direcciones MAC que se pueden conectar
a través de un puerto

Le damos show run para ver todo lo que se ha configurado

Switch Core

Colocar los puertos en modo trunk Fa0/1 Fa0/2 Fa0/3 Fa 0/4 G0/1 G0/2

Configurar el puerto g0/1 para conectarlo al router que se conectara la Vlans

Switch Informatica

Switch Ventas

Switch Cobros
Configuramos el Router
Administracion de Vlans con Vtp

Ingresamos atraves de Cli al switch core

Entramos a vlan database

Activamos Vtp Server

Activamos el dominio que utilizaremos

Para proteger el vtp configuramos una contraseña

Creacion de Vlan en el Switch Core

Configuramos el Vtp Client

Le colocamos contraseña al vtp

Validamos la configuración de Vtp

Validamos las vlan propagadas via Vtp

Autentificación en equipos

Configuración de Server Tacacs+

Configuracion de alta disponibilidad en la Lan HSRP

Configuramos con standby la ip que usamos como Gateway también definimos la prioridad
que debe ser 200
Se conecta el router en otro puerto trunk de switch core con su respectiva configuración y
configurar el router de respaldo con la dirección ip x.x.x.252 con una prioridad de 100,esto se
haceor cada interface y la misma interface Gateway como standby x.x.x.254

Configuramos el router con la ip

Procedemos con la configuración de HSRP

Configuracion del Router de Respaldo

El cual tiene la misma configuración de Router Principal

Con el comando show standby podemos revisar el estado del HSRP

En el Router Principal
Router de Respaldo

Diagrama Final
Tarea No.1:

Investigar que significa cada una de las líneas en la salida anterior y explicar cada uno de sus
estados.

1. show port-security int f0/1

Mostrar la seguridad de la interface FastEthernet 0/1

2. Port Security: Enabled

Muestra el estado de la protección de la interface FastEthernet 0/1

3. Possible Valores

• Port Security: Enabled (Habilitado)

• Port Security: Disabled (Deshabilitado)

4. Port Status: Secure-up

Muestra el estado fisco de la interface (Conectado/Desconectado)

Possible Valores

• Secure-Down: no hay dispositivo conectado y no se ha producido ninguna violación

• Secure-Up: dispositivo conectado y no se ha producido ninguna violación

• Apagado seguro: se ha producido una violación

5. Violation Mode: shutdown

Indica la acción de la interface cuando suceda una violación de una dirección MAC no
Autorizada en la interface.

• Protect: sólo se permite tráfico de las MAC permitidas en la configuración descartando

el tráfico del resto, no se notifica sobre la intrusión.
• Restrict: se envía una notificación SNMP al administrador y el tráfico del puerto se
permite únicamente a las MAC especificadas, del resto se descarta.

• Shutdown: el puerto se deshabilita.

6. Agin Time: o mins

Puede usar el envejecimiento de la seguridad del puerto para establecer el tiempo de

antigüedad y el tipo de antigüedad para todas las direcciones seguras en un puerto.

Posible Valores

• De 0 al 1440

Si el tiempo es igual a 0, el envejecimiento está desactivado para este puerto.

7. Agin Type: Absolute

La palabra clave type establece el tipo de antigüedad. Para el envejecimiento de todas las
direcciones seguras en esa interface después del tiempo (minutos) especificado y se eliminan
de la lista de direcciones seguras.

Posible Valores

• Inactive

• Absolute

8. Maximun Mac Adresses:1

Indica la cantidad máxima de direcciones MAC a registrarse en esa interface.

Posibles Valores.

• De 1 a 3072

Tarea No.2:

En switches Cisco existe la posibilidad de restringir a partir de la dirección MAC quien se puede
conectar a un determinado puerto del switch, permitiendo crear una política de seguridad en
capa 2 para evitar conexiones no deseadas a los puertos y ejecutar una acción cuando esto
ocurra (security violation).

1. La activación de Port Security la realizamos a nivel de interfaz, vamos a trabajar con la

interfaz GigabitEthernet 0/1. Lo primero es acceder al modo de configuración y después a la
interfaz.

Switch01# config terminal

Switch01(config)# interface GigabitEthernet 0/1

Switch01(config-if)#

Algo importante:

Para poder configurar Port Security en la interfaz tiene que estar en modo acceso (access
mode) o trunk mode, en dynamic desirable no es posible.

2. Nosotros no vamos a hacer tagging de VLAN ni configurar trunks así que modo acceso
será suficiente

Switch01(config-if)# switchport mode access

3. Port Security por defecto está desactivado, así que lo activamos:

Switch01(config-if)#switchport port-security

4. ¿Cuantas direcciones MAC vamos a permitir acceder al puerto? Por defecto es 1. En

nuestro caso registraremos 12 direcciones.

Switch01(config-if)#switchport port-security maximum 12

5. Indicamos que acción tomar cuando se detecte una violación de la seguridad del
puerto, es decir, que se conecte a la interfaz una MAC distinta a las permitidas:

Switch01(config-if)# switchport port-security violation { protect | restrict | shutdown }

Podemos elegir entre protect, restrict y shutdown:

• Protect: sólo se permite tráfico de las MAC permitidas en la configuración descartando

el tráfico del resto, no se notifica sobre la intrusión.

• Restrict: se envía una notificación SNMP al administrador y el tráfico del puerto se

permite únicamente a las MAC especificadas, del resto se descarta.

• Shutdown: el puerto se deshabilita.

Vamos a elegir shutdown

Switch01(config-if)# switchport port-security violation shutdown

6. Especificar las MAC permitidas en la interfaces

Switch01(config-if)# switchport port-security mac-address 0a04.aaf8.13ad

Se require de esfuerzo y recurso humano y de tiempo configurar un Port Security en una red
de Switches amplia, o incluso en un único switch de 48 puertos.
Para tal fin podemos utilizar el siguiente comando, que aprende la MAC conectada a las
interfaces y la configura como MAC permitida para el puerto.

Para usar esta opción lógicamente es necesario cerciorarse de que todo está conectado donde
tiene que estar.

Switch01(config-if)# switchport port-security mac-address sticky

SCRIPT PARA AGREGAR DIRECIONES MAC DE FORMA MANUAL

Switch01> enable

Switch01# config terminal

Switch01(config)# interface GigabitEthernet 0/1

Switch01(config-if)# switchport mode access

Switch01(config-if)#switchport port-security

Switch01(config-if)#switchport port-security maximum 1

Switch01(config-if)# switchport port-security violation shutdown

Switch01(config-if)# switchport port-security mac-address 0a04.aaf8.13ad

Switch01(config-if)# end

SCRIPT PARA AGREGAR DIRECIONES MAC DE FORMA MANUAL

Switch01> enable

Switch01# config terminal

Switch01(config)# interface GigabitEthernet 0/1

Switch01(config-if)# switchport mode access

Switch01(config-if)#switchport port-security

Switch01(config-if)#switchport port-security maximum 1

Switch01(config-if)# switchport port-security violation shutdown

Switch01(config-if)# switchport port-security mac-address sticky

Switch01(config-if)# end