DIRECCIN DE INGENIERADE TELECOMUNICACIONESGUIA DE LABORATORIO N 01

FACULTAD: INGENIERIA DE SISTEMAS Y ELECTRONICADIRECCIN: INGENIERIA DE TELECOMUNICACIONESCURSO: REDES Y COMUNICACIONES DE DATOS IIDOCENTE: PEDRO ALONSO MANTILLA SILVA

ALUMNO:

TEMA: IMPLEMENTACION DE VLAN CON SEGURIDAD

TOPOLOGIA

TABLA DE DIRECCIONAMIENTO

DISPOSITIVOINTERFAZDIRECCIN IPMSCARA DE SUBREDGATEWAY PREDETERMINADO

S1VLAN 99172.17.99.11255.255.255.0172.17.99.1

S2VLAN 99172.17.99.12255.255.255.0172.17.99.1

PC-ANIC172.17.99.3255.255.255.0172.17.99.1

PC-BNIC172.17.10.3255.255.255.0172.17.10.1

PC-CNIC172.17.99.4255.255.255.0172.17.99.1

ASIGNACIONES DE VLAN

VLANNOMBRE

10DATOS

99ADMINISTRACION

999BLACKHOLE

OBJETIVOS: Implementar la red y configurar los parmetros bsicos de los dispositivos. Implementar seguridad de VLAN en los switches

MATERIALES A UTILIZAR: Packet Tracer 6.1.1 (S) 2 switches Cisco 2960. 3 computadoras. Cables de consola y cables DCE-DTE. Cables Directos

INFORMACION BASICALos switches tienen una configuracin de fbrica en la cual las VLAN predeterminadas se preconfiguran para admitir diversos tipos de medios y protocolos. La VLAN Ethernet predeterminada es la VLAN 1. Por seguridad, se recomienda configurar todos los puertos de todos los switches para que se asocien a VLAN distintas de la VLAN 1. Generalmente, esto se logra configurando todos los puertos sin utilizar en una VLAN de agujero negro que no se use para nada en la red. Todos los puertos utilizados se asocian a VLAN independientes de la VLAN 1 y de la VLAN de agujero negro. Tambin se recomienda desactivar los puertos de switch sin utilizar para evitar el acceso no autorizado. Adems, se debe configurar el switch para que solo acepte sesiones SSH cifradas para la administracin remota.PROCEDIMIENTO (DESARROLLO DE LA PRCTICA)TAREA 1 (10 puntos): IMPLEMENTAR LA RED Y CONFIGURAR LOS PARMETROS BSICOS DE LOS DISPOSITIVOS Paso 1: Realizar el cableado de red tal como se muestra en la topologa. Paso 2: Configurar las direcciones IP en las PCs.Consulte la tabla de direccionamiento para obtener la informacin de direcciones de las computadoras. Paso 3: Configurar los parmetros bsicos para cada switch.a. Desactive la bsqueda del DNS.b. Configure los nombres de los dispositivos como se muestra en la topologa.c. Asigne Torre2 como la contrasea del modo EXEC privilegiado.d. Asigne UTP20142 como la contrasea de VTY y la contrasea de consola, y habilite el inicio de sesin para las lneas de vty y de consola.e. Configure el inicio de sesin sincrnico para las lneas de vty y de consola. Paso 4: Configurar las VLAN en cada switch.f. Cree las VLAN y asgneles nombres segn la tabla de asignaciones de VLAN.g. Configure la direccin IP que se indica para la VLAN 99 en la tabla de direccionamiento en ambos switches.h. Configure F0/6 en el S1 como puerto de acceso y asgnelo a la VLAN 99.i. Configure F0/11 en el S2 como puerto de acceso y asgnelo a la VLAN 10.j. Configure F0/18 en el S2 como puerto de acceso y asgnelo a la VLAN 99. Paso 5: Configurar la seguridad bsica del switch.k. Configure un mensaje MOTD para advertir a los usuarios que se prohbe el acceso no autorizado.l. Encripte todas las contraseas.m. Desactive todos los puertos fsicos sin utilizar.n. Deshabilite el servicio web bsico en ejecucin. S1(config)# no ip http server S2(config)# no ip http server o. Copie la configuracin en ejecucin en la configuracin de inicio.

TAREA 2: IMPLEMENTAR SEGURIDAD DE VLAN EN LOS SWITCHES Paso 1: Configurar puertos de enlace troncal en el S1 y el S2.p. Configure el puerto F0/1 en el S1 como puerto de enlace troncal.q. Configure el puerto F0/1 en el S2 como puerto de enlace troncal. Paso 2: Cambiar la VLAN nativa para los puertos de enlace troncal en el S1 y el S2.Es aconsejable para la seguridad cambiar la VLAN nativa para los puertos de enlace troncal de la VLAN 1 a otra VLAN.r. Configure la VLAN nativa de la interfaz de enlace troncal F0/1 del S1 en la VLAN 99 Administracion.s. Espere unos segundos. Debera comenzar a recibir mensajes de error en la sesin de consola del S1. Preste atencin al mensaje %CDP-4-NATIVE_VLAN_MISMATCH: . Lo necesitara recordar ms tardet. Configure la VLAN 99 como VLAN nativa de la interfaz de enlace troncal F0/1 del S2. Paso 3. impedir el uso de DTP en el S1 y el S2. Cisco utiliza un protocolo exclusivo conocido como protocolo de enlace troncal dinmico (DTP) en los switches. Algunos puertos negocian el enlace troncal de manera automtica. Se recomienda desactivar la negociacin.u. Desactive la negociacin en el S1. S1(config)# interface f0/1 S1(config-if)# switchport nonegotiate v. Desactive la negociacin en el S2. S2(config)# interface f0/1 S2(config-if)# switchport nonegotiate

Paso 4. Implementar medidas de seguridad en los puertos de acceso del S1 y el S2. Aunque desactiv los puertos sin utilizar en los switches, si se conecta un dispositivo a uno de esos puertos y la interfaz est habilitada, se podra producir un enlace troncal. Adems, todos los puertos estn en la VLAN 1 de manera predeterminada. Se recomienda colocar todos los puertos sin utilizar en una VLAN de agujero negro. En este paso, deshabilitar los enlaces troncales en todos los puertos sin utilizar. Tambin asignar los puertos sin utilizar a la VLAN 999. A los fines de esta prctica de laboratorio, solo se configurarn los puertos 2 a 5 en ambos switches.w. Deshabilite los enlaces troncales en los puertos de acceso del S1.S1(config)# interface range f0/2 5S1(config-if-range)# switchport mode access S1(config-if-range)# switchport access vlan 999x. Deshabilite los enlaces troncales en los puertos de acceso del S2.S2(config)# interface range f0/2 5 S2(config-if-range)# switchport mode access S2(config-if-range)# switchport access vlan 999De manera predeterminada, se permite transportar todas las VLAN en los puertos de enlace troncal. Por motivos de seguridad, se recomienda permitir que solo se transmitan las VLAN deseadas y especficas a travs de los enlaces troncales en la red.y. Restrinja el puerto de enlace troncal F0/1 en el S1 para permitir solo las VLAN 10 y 99.S1(config)# interface f0/1 S1(config-if)# switchport trunk allowed vlan 10,99z. Restrinja el puerto de enlace troncal F0/1 en el S2 para permitir solo las VLAN 10 y 99.S2(config)# interface f0/1 S2(config-if)# switchport trunk allowed vlan 10,99aa. Verifique las VLAN permitidas. Emita el comando show interface trunk en el modo EXEC privilegiado en el S1 y el S2. Interprete el resultado. S1# show interface trunkInterprete el resultado La implementacin de este tipo de seguridad en las VLAN's son muy eficientes para prevenir cualquier suceso lamentable en la red, sobre todo cuando usuarios con acceso no permitido pretenden ingresar a los switches para modificar algo, o que usuarios remotos quieran ingresar y realizar modificaciones, es por esto que se hace el traslado de la VLAN nativa, por seguridad, ademas que se tiene 3 VLAN's diferentes ,la nueva VLAN NATIVA es la VLAN 99,se puede apreciar que solo la PC-A y la PC-C tienen conectividad entre ellas, mientras que la PC-B no por tener distinta Puerta de Enlace.Por otra parte gracias al enlace troncal se permite el paso de varias Vlans, eso facilita la comunicacion entre Vlans a travs de varios switches .Ejem: VLAN 10 ------ VLAN 10VLAN 99 ------ VLAN 99VLAN 999 ----- VLAN 999ETC

CONCLUSIONES.Qu problemas de seguridad, si los hubiera, tiene la configuracin predeterminada de un switch Cisco?El hecho de que todos los puertos se asignen a la VLAN 1 de manera predeterminada es un posible problema de seguridad. Otro problema es que muchos switches Cisco tienen establecida la negociacin automtica de enlaces troncales, de modo que, si se conecta un switch malicioso, los enlaces troncales se pueden activar sin que usted lo sepa. Otra respuesta posible es que las contraseas de consola y de VTY se muestran como texto no cifrado de manera predeterminada. Adems, el servidor HTTP est habilitado de manera predeterminada.