Quinto Labiratorio de Port Security y DHCP PDF
| Title | Quinto Labiratorio de Port Security y DHCP |
|---|---|
| Course | Criptografía y seguridad de redes |
| Institution | Universidad Francisco Gavidia |
| Pages | 13 |
| File Size | 873.4 KB |
| File Type | |
| Total Downloads | 81 |
| Total Views | 142 |
Summary
Examen práctico que sirve para:
• Definir el concepto de Port Security.
• Configurar y ver el resultado de la configuración de Port Security....
Description
UNIVERSIDAD FRANCISCO GAVIDIA FACULTAD DE INGENIERIA Y ARQUITECTURA PRACTICA DE LABORATORIO NO.5 – PORT SECURITY CICLO 01- 2018 Asignatura: CRS0 Horario: Profesor: e-mail:
Grupo: 01 Aula: Redes
PRACTICA DE PORT SECURITY OBJETIVOS
Definir el concepto de Port Security. Configurar y ver el resultado de la configuración de Port Security.
INTRODUCCION TEORICA
Un desafío creciente para los administradores de red es de ser capaz de controlar quién tiene permiso y quien no acceder a la red interna de la organización. Este control de acceso es obligatoria para la protección de infraestructuras críticas en la red. Port Security de Cisco es una característica implementada en los Switches Catalyst (y otros modelos), que ayuda a los ingenieros de red, en la aplicación de seguridad en los límites LAN. En su forma más básica, la función de Port Security, escribe la dirección MAC del dispositivo conectado al puerto en el Switch y sólo permite que esta dirección MAC este activa en ese puerto. Si cualquier otra dirección MAC se detecta en ese puerto, la seguridad del puerto apaga el puerto de switch. El Switch se puede configurar para enviar una captura de SNMP a una solución de monitorización de red para alertar de que el puerto está desactivado por razones de seguridad. Esta práctica de laboratorio pondrá a prueba su capacidad de configurar la seguridad del puerto en las interfaces de CiscoTM switch 2960. MATERIALES Y EQUIPO
Laptop y/o PC Programa Packet Tracer.
PROCEDIMIENTO
Esta práctica de laboratorio pondrá a prueba su capacidad de configurar la seguridad del puerto en las interfaces de Cisco switch 2960.
PARTE I. 1. Configure el puerto 0/1 con la siguiente configuración:
- Port security enabled - Mode : shutdown - Allowed mac addresses : 3 - Dynamic mac address learning. Switch(config)#interface FastEthernet 0/1 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security violation shutdown Switch(config-if)#switchport port-security maximum 3 2. Switch(config-if)#Configure el puerto 0/2 con la siguiente configuración:
- Port security enabled - Mode : shutdown - Allowed mac addresses : 3 - Dynamic mac address learning. Switch(config)#interface FastEthernet 0/2 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security violation shutdown
Switch(config-if)#switchport port-security maximum 3
3. Configure el puerto 0/3 con la siguiente configuración:
- Port security enabled - Mode : protect - Static mac address entry : 00E0.A3CE.3236 (En este punto coloque la MAC address de la Maquina conectada al Puerto, recuerde que esta MAC address puede cambiar ya que Packet Tracer la coloca en base al orden de la creaccion de las PCs). Switch(config)#interface FastEthernet 0/3 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security violation protect Switch(config-if)#switchport port-security mac-address 00E0.A3CE.3236 4. Ejecute el siguiente comando para verificar la configuración
Switch#show port-security
Anote los resultados y explique lo observado Se muestra una tabla donde se registra el puerto, un contador para el número máximo de direcciones MAC, un contador para la cantidad de direcciones actuales utilizadas y un contador para las violaciones de seguridad, además especifica la acción que se llevará a cabo si se realiza una violación de seguridad. 5. Desde la LAPTOP1 (IP 192.168.1.1). Haga Ping a la IP 192.168.1.2, 192.168.1.3, 192.168.1.4 y 192.168.1.5.
Anote los resultados: Existe conectividad entre todos los dispositivos. 6. Conecte la Rogue al HUB (Laptop-PT con IP 192.168.1.10). Haga Ping de las PCs con IP
192.168.1.1, 192.168.1.2, 192.168.1.3 a la IP del Servidor-PT con IP 192.168.1.4. Por cada Pin ejecutado, anote los resultados del comando “show port-security”.
-
Que sucede cuando el contador “CurrentAddr=3” y “SecurityViolation=1”?
El enlace se pone en rojo, es decir el switch cierra el puerto por seguridad y el enlace se cae, corta la comunicación, puesto que se ha especificado que al existir una violación el puerto se apague. -
Ejecute el comando: “show interface Fast0/1. ¿Qué estado muestra este puerto?
Down, (err-disabled) -
Que comandos ejecutaría para poner en servicio la interface 0/1 nuevamente? #en #conf t #Interface Fast0/1 #No shutdown
7. Sustituya el Server-PT por un Router. Y cámbiele 3 veces la dirección MAC a la interfase conectada
al Switch. Se puede cambiar la MAC a la interfase con el siguiente comando. R1(config-if)#mac-address aaaa.aaaa.aaaa R1(config-if)#mac-address aaaa.aaaa.aaab R1(config-if)#mac-address aaaa.aaaa.aaac O cambie la mac address en el Server-PT en la siguiente pantalla:
Por Cada cambio de MAC Address ejecute el comando: “show port-security””.Anote los resultado y mencione el cambio que los contadores cada vez que se cambia la MAC address del Server (o router).
El contador se aumenta en 1 cada vez que la MAC address cambia, al llegar al máximo si se vuelve a cambiar la MAC address (corresponde a una por dispositivo) detecta que hay un dispositivo extra y cierra el enlace.
PARTE II.
1. Ejecute el siguiente comando y verifique el estado de cada Puerto (todos deben estar en servicio). switch# show port-security Debe de mostra algo parecido a esto: Switch#show port-security Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action (Count) (Count) (Count) -------------------------------------------------------------------Fa0/1 3 0 0 Shutdown Fa0/2 3 0 0 Shutdown Fa0/3 1 1 0 Protect ---------------------------------------------------------------------Switch#
2. Configure el modo de la interface 0/2 a protected y configure 2 MAC del Server de manera Estatica. Switch(config-if)#switchport port-security violation protec Switch#show port-security Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action (Count) (Count) (Count) -------------------------------------------------------------------Fa0/1 3 0 0 Shutdown Fa0/2 3 0 0 protect Fa0/3 1 1 0 Protect ---------------------------------------------------------------------Switch#
Ejemplo: Switch#switchport port-security mac-address 000C.8523.C3C3 Switch#switchport port-security mac-address 000C.8523.C3C4
3. Haga Ping entre el Server-PT (192.168.1.4) y la Laptop-PT (192.168.1.5). Repita hacer ping a todas las IP de la Red desde ambos dispositivos. Oberve y Anote los resultados.
-
¿Se fue a estado “error-disable”, el puerto Fast0/1 del switch?. Si afirmativo desconecte la Laptop con IP 192.168.1.10. Explique por sucedió este? Sí, se deshabilita puesto que solamente admite 3 direcciones MAC, al detectar más es una violación de seguridad según la configuración del switch, por lo que pasa el estado del puerto a desactivado.
4.
Con la maquina 192.168.1.10 desconectada, habilite el puerto Fast0/1 del Switch y repita el literal (3), pero antes limpie las estadísticas de port-security con el comando “Switch#clear port-security all Switch# y luego ejecute otra vez Switch#show port-security”. Observer los resultados.
¿Puede hacer ping a todas las maquinas si que ningún puerto muestre alguna violación? Sí, es posible.
-
-
Muestra algunos cambios en el contador “CurrentAddr”. ¿Por qué este cambio?. Explique
El cambio se debe a que el switch con cada ping va identificando cuantas direcciones hay conectadas a cada puerto y las lleva en el contador de CurrentAddr 5. Cambie la MAC address de la maquina Server-PT con IP 192.168.1.4. A las MAC address ingresadas en el literal (2) y haga Ping a todas las demás maquinas. Anote los resultados del comando “show port-security” cada vez que cambie MAC y haga ping a las demás maquinas.
-
Que observa cuando ha cambiado 3 veces la MAC address, Puede seguir haciendo Ping a los demas dispositivos de Red?. Ejecute el siguiente comando y use el resultado para su análisis: “show mac-address-table”.
No, no es posible dado que hemos ingresado dos MAC address estáticas, y una la aprende el switch al conectar el dispositivo y como solamente le hemos indicado que acepte tres MAC address para ese puerto, al conectar más deshabilita el enlace.
-
¿El puerto Fast0/2 se va a estado shutdown o err-disable? No, simplemente no admite conectividad puesto que había aprendido las 3 mac correspondientes, 2 por default y una aprendida por conexión.
6. Cambie la MAC address a la primera MAC address configurada en el Server-PT. Puede hacer ping?. No, no es posible hacer ping. -
Pruebe con las otras 2 MAC address agregadas via comando. ¿Puede hacer Ping?. Sí, es posible hacer ping.
7. Anote la MAC address y luego cambie la MAC de la maquina Laptop con IP 192.168.1.5 conectada al puerto 0/3 . Haga Ping con las demás maquinas y anote los resultados del comando “show port-security”.
No es posible hacer ping.
-
Prueba cambiando nuevamente la MAC de la laptop a la que tenia originalmente. ¿Puede hacer Ping? Sí, puesto que la habíamos configurado como una MAC estática. Anote sus conclusiones:
Es posible configurar los switch de manera que los puertos de cada interfaz tengan seguridad, existen dos formas de configurar, una estática donde ingresamos las MAC de los dispositivos que vamos a conectar y otra donde el switch aprende automáticamente en orden las MAC de los dispositivos que conectamos. Gracias a esto podemos evitar violaciones de seguridad en nuestra LAN.
PARTE III.
1. Configure las interfaces 0/2 y 0/3 de la siguiente manera. interface FastEthernet0/2 switchport mode access switchport port-security switchport port-security mac-address sticky La configuracion debe mostrarse algo parecido a esto: interface FastEthernet0/2 switchport mode access switchport port-security switchport port-security maximum 3 switchport port-security mac-address sticky switchport port-security violation protect ! interface FastEthernet0/3 switchport mode access switchport port-security switchport port-security mac-address sticky switchport port-security violation protect
2. Antes ejecute el comando “clear port-security all” y Repita los pasos 4,5,6 y 7 de la parte anterior. Ejecute el comando : show port-security, show mac-address-table y show run (observe la configuración del puerto 0/2 y 0/3) en cada paso. Anote los resultados mostrados en cada paso y coloque sus conclusiones. Switch> Switch>en Switch#show port-security Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action (Count) (Count) (Count) -------------------------------------------------------------------Fa0/1 6 0 0 Shutdown Fa0/2 3 1 0 Protect Fa0/3 1 1 0 Protect ---------------------------------------------------------------------Switch#clear port-security all
Switch#show port-security Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action (Count) (Count) (Count) -------------------------------------------------------------------Fa0/1 6 0 0 Shutdown Fa0/2 3 0 0 Protect Fa0/3 1 0 0 Protect ---------------------------------------------------------------------Switch#show port-security Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action (Count) (Count) (Count) -------------------------------------------------------------------Fa0/1 6 1 0 Shutdown Fa0/2 3 1 0 Protect Fa0/3 1 1 0 Protect ---------------------------------------------------------------------Switch#show port-security Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action (Count) (Count) (Count) -------------------------------------------------------------------Fa0/1 6 1 0 Shutdown Fa0/2 3 3 0 Protect Fa0/3 1 1 0 Protect ---------------------------------------------------------------------Switch#show mac-address-table Mac Address Table ------------------------------------------Vlan Mac Address Type Ports ---- ----------- -------- ----1 0001.c7d2.49ad STATIC Fa0/1 1 0004.9ad4.3c76 STATIC Fa0/3 1 000c.8523.c3c3 STATIC Fa0/2 1 000c.8523.c3c4 STATIC Fa0/2 1 000c.8523.c3c6 STATIC Fa0/2 Las MAC address se aprenden dinámicamente, pero se almacenan en la memoria del switch, por lo que se graban en la running config, al haber configurado los puertos en modo protect, estos al detectar direcciones MAC que no han aprendido simplemente bloquean el tráfico por esos puertos.
PARTE IV.
1. Configure las interfaces 0/1 de Switch0 de tal manera que solo se puedan conectar 6 Maquinas . Switch#conf t Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#int fast0/1 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security violation shutdown Switch(config-if)#switchport port-security maximum 6 Switch(config-if)#exit Switch(config)#exit 2. Vaya conectando computadoras al HUB o Switch conectado al puerto 0/1. Hasta que este las maquinas ya no puedan conectarse con la PC conectados a los otros puertos del Switch0. ¿Cuál es el estado del puerto luego que se conectaran las 6 Maquinas?. El puerto se apaga al conectar 7, sin embargo con 6 aún funciona puesto que se le han asignado 6 direcciones que pueden ser conectadas al puerto.
PREGUNTAS:
- ¿Cuál fue la diferencia principal entre el modo Shutdown y Protect? El modo shutdown apaga la interfaz al detectar una violación, la opción protect solamente deshabilita el tráfico para la MAC intrusas. - ¿Qué cambios observó cuando configuró la interface con port security sticky? Lo que hace el sticky es almacenar las direcciones MAC aprendidas dinámicamente y las guarda directamente en la running-configuration.
ACTIVIDAD ADICIONAL CONFIGURACION DE SERVIDOR DHCP EN ROUTER CISCO DHCP (sigla en inglés de Dynamic Host Configuration Protocol) es un protocolo de red que permite a los nodos de una red IP obtener sus parámetros de configuración automáticamente. Se trata de un protocolo de tipo cliente/servidor en el que generalmente un servidor posee una lista de direcciones IP dinámicas y las va asignando a los clientes conforme éstas van estando libres, sabiendo en todo momento quién ha estado en posesión de esa IP, cuánto tiempo la ha tenido y a quién se la ha asignado después. PROCEDIMIENTO
Esta práctica de laboratorio pondrá a prueba su capacidad de configurar la seguridad del puerto en las interfaces de Cisco switch 2960.
PARTE I : Configurar el Router como servidor DHCP
Vamos a configurar un servidor DHCP, utilizando para ello el router como servidor DHCP. Las IP que vamos a asignar son del rango privado 192.168.125.0/25 a los hosts de la LAN. 1. Configuramos las interfaces LAN del router con la IP de 192.168.125.1/24. 2. Ahora, configuraremos el servidor DHCP en el router, Los pasos a seguir son: (config)#service dhcp #A continuación configura el DHCP para que tome las IP del conjunto pool 125-net, formado #por la subred 192.168.125.0/25 (config)#ip dhcp pool 125-net (dhcp-config)#network 192.168.125.0 255.255.255.0 #Además, vamos a configurar DHCP para que configure a los clientes con puerta de enlace #predeterminada y servidor DNS, con los siguientes comandos: (dhcp-config)#default-router 192.168.125.1 (dhcp-config)#dns-server 8.8.8.8 (dhcp-config)#domain-name ufg.edu.sv
# Vamos a excluir desde 192.168.125.1 hasta 192.168.125.20 para equipos de red desde modo global de configuración: (config)#ip dhcp excluded-address 192.168.125.1 192.168.125.20 3. Configure las PCs, para que obtengan una dirección de forma automatica desde el Servidor DHCP configurado en el Router Cisco. 4. Haga Ping entre todas las PCs.
PREGUNTAS: -
Investigar como puede configurarse (comandos) un DHCP Server en un Router Cisco de tal manera que solo asigne direcciones IP a determinadas maquinas usando su las MAC de estas....
Similar Free PDFs
Dhcp - protocolo dhcp
- 12 Pages
Port construction
- 41 Pages
A1 - Port City - Shanghai Port
- 11 Pages
DHCP 1 - LAB PROTOCOLOS DHCP
- 3 Pages
DHCP Server-
- 31 Pages
Ecuaciones Quinto-de-Primaria
- 2 Pages
Port - Exercicios - Atividades
- 2 Pages
Dispatch manifest (port Brest)
- 2 Pages
Quinto DE Primaria
- 8 Pages
Port-Antwerpia - WOiO
- 16 Pages
CHIHUAHUA v2.0mask port
- 14 Pages
70-410-Lab11 DHCP - Lab11 DHCP
- 10 Pages
RANGKAIAN TWO PORT
- 20 Pages
OCDI - Port Design Standard
- 664 Pages
Popular Institutions
- Tinajero National High School - Annex
- Politeknik Caltex Riau
- Yokohama City University
- SGT University
- University of Al-Qadisiyah
- Divine Word College of Vigan
- Techniek College Rotterdam
- Universidade de Santiago
- Universiti Teknologi MARA Cawangan Johor Kampus Pasir Gudang
- Poltekkes Kemenkes Yogyakarta
- Baguio City National High School
- Colegio san marcos
- preparatoria uno
- Centro de Bachillerato Tecnológico Industrial y de Servicios No. 107
- Dalian Maritime University
- Quang Trung Secondary School
- Colegio Tecnológico en Informática
- Corporación Regional de Educación Superior
- Grupo CEDVA
- Dar Al Uloom University
- Centro de Estudios Preuniversitarios de la Universidad Nacional de Ingeniería
- 上智大学
- Aakash International School, Nuna Majara
- San Felipe Neri Catholic School
- Kang Chiao International School - New Taipei City
- Misamis Occidental National High School
- Institución Educativa Escuela Normal Juan Ladrilleros
- Kolehiyo ng Pantukan
- Batanes State College
- Instituto Continental
- Sekolah Menengah Kejuruan Kesehatan Kaltara (Tarakan)
- Colegio de La Inmaculada Concepcion - Cebu