Redes de Computadores
Transcription
Redes de Computadores
Redes de computadores 2 Configuración básicas del conmutador y seguridad de puertos. Primera parte: Configuración básica del conmutador. Los conmutadores se usan para conectar varios dispositivos en la misma red. En una red diseñada correctamente, los conmutadores LAN son responsables de controlar el flujo de datos en la capa de acceso y de dirigirlo a los recursos conectados en red. Por defecto, los conmutadores poseen una configuración automática que les permite comenzar a funcionar. Pero, también pueden ser configurados manualmente para satisfaces necesidades específicas de la red. De igual forma que los enrutadores, los conmutadores pueden ser administrados de manera local usando un computador que se conectara con un cable de consola, a través de un puerto serial o USB (dependerá del tipo de cable) y por medio de un programa de emulación de terminal (putty, gtkterm, teraterm, etc). De manera remota (utilizando una dirección IP), también podríamos administrar el conmutador. En este caso, se necesita una dirección IP especial, conocida como “interfaz virtual de conmutador” (SVI). Si se asigna una dirección IP a la SVI de la VLAN 1, de manera predeterminada, todos los puertos en la VLAN 1 tienen acceso a la dirección IP de administración de SVI. La siguiente es la topología de red para la primera parte del laboratorio. Inicialmente solo conectar el cable de consola, el cable Ethernet lo conectaremos más adelante. a) ¿Por qué debe usar una conexión de consola para configurar inicialmente el conmutador? ¿Por qué no es posible conectarse al conmutador a través de Telnet o SSH? Partiremos de que en conmutador solo tiene la configuración predeterminada, en caso contrario, al igual que en los enrutadores, usted puede borrar el archivo en la NVRAM y reiniciar el conmutador. b) Realice la configuración básica del conmutador (nombre, contraseña enable, contraseña consola, conrtaseña vty), lo anterior se realiza igual que en el enrutador. Escriba una descripción del procedimiento realizado para resolver esta sección del laboratorio. Redes de computadores 2 Como vamos a administrar el conmutador de forma remota, en este momento se debe realizar la conexión del cable Ethernet a cualquiera de los puertos del conmutador (recuerde su elección). Antes de poder administrar el S1 en forma remota desde la PC-A, debe asignar una dirección IP al conmutador. El conmutador está configurado de manera predeterminada para que la administración de este se realice a través de VLAN 1. Sin embargo, la práctica recomendada para la configuración básica del conmutador es cambiar la VLAN de administración a otra VLAN distinta de la VLAN 1. Para lograr nuestro objetivo, lo primero que vamos a hacer es crear la nueva VLAN de administración, el número XX (ustedes colocan un número) es una decisión libre y no afectara en nada el desarrollo del laboratorio y tampoco significa que siempre tenga que ser el mismo: S1# configure terminal S1(config)# vlan XX S1(config-vlan)# exit Luego se asignará la dirección IP a la VLAN creada. S1(config)# interface vlan XX S1(config-if)# ip address 192.168.1.2 255.255.255.0 S1(config-if)# no shutdown S1(config-if)# exit S1(config)# c) Examinar el estado de la VLANXX. ¿Cuál es el estado de la VLANXX? ¿Por qué de dicho estado? Para ayudarse a responder, puede comparar con el estado de la vlan1 S1#show interface vlanXX En los conmutadores, cada VLAN creada tendrá asignados unos puertos para funcionar y dependiendo del dispositivo que se encuentre conectado a cada uno de los puertos, el puerto del conmutador podrá ser de dos tipos: Puerto de acceso: Que estará conectado a un dispositivo final y por lo tanto asociado solo a una VLAN. Puerto troncal: Puertos que se conectan con otros dispositivos intermedios y que estarán a asociados a varias VLAN´s dependiendo de la red en la que estén siendo utilizados. d) Observar la de asignación de puertos a las diferentes VLAN´s. S1#show vlan brief ¿Qué relación se observa con los resultados obtenidos en c)? ¿Qué se debe hacer para cambiar el estado de VLANXX? Para asignar un puerto a una VLAN, se debe entrar al modo configuración de puerto, ponerlo como puerto de acceso (estado por defecto) y asociarlo a una VLAN. S1(config)# interface f0/1 S1(config-if)# switchport mode access S1(config-if)# switchport access vlan XX En caso de necesitar asociar varios puertos a la misma VLAN, puede resultar útil hacer lo siguiente: S1(config)# interface range f0/1 – 24 S1(config-if-range)# switchport mode access Redes de computadores 2 S1(config-if-range)# switchport access vlan XX e) Asigne algunos puertos a su VLAN de administración. Describa el procedimiento realizado. ¿Cómo puede comprobar que la asignación se realizó correctamente? ¿Cambio el estado de la VLANXX? Acceso SSH Para habilitar acceso SSH en S1, en el modo de configuración global se crea el nombre de dominio. En este ejemplo nombre.com, pero podrá ser cualquier nombre de dominio. S1(config)# ip domain-name nombre.com Se deben crear el usuario y contraseña necesarios a la hora de realizar el ingreso remoto. S1(config)# username admin privilege 15 secret sshadmin Tanto el nombre de usuario (admin) como la contraseña (sshadmin), podrán ser modificados por el administrador de la red. f) Realizar una conexión telnet desde el PC y capturar paquetes con wireshark. ¿Cómo son enviados el usuario y la contraseña para lograr la conexión? Se recomienda utilizar solo conexiones SSH, y esta restricción se hace en la línea vty. S1(config)# line vty 0 15 S1(config-line)# transport input ssh S1(config-line)# login local S1(config-line)# exit Se genera una clave criptográfica RSA con un módulo de 1024 bits S1(config)# crypto key generate rsa modulus 1024 g) Realizar una conexión SSH desde el PC (obviamente desconectado telnet) y capturar paquetes con wireshark. ¿Cómo son enviados los datos de usuario y la contraseña para lograr la conexión? h) Teniendo en cuenta lo aprendido acerca de redes IP ¿Qué características IP debe tener un dispositivo que quiera acceder de forma remota al conmutador en este momento? ¿Se puede tener acceso remoto al conmutador desde cualquier red o solamente desde la red local? ¿Por qué? Normalmente la idea del acceso remoto, es tener acceso desde una red remota y no desde equipos directamente conectados; por lo tanto, debemos poner un Gateway IP a nuestro conmutador. S1(config)# ip default-gateway 192.168.1.1 i) ¿Cuál es la función de un Gateway IP? ¿Por qué se configura en la mayoría de equipos pertenecientes a una red LAN? Redes de computadores 2 Segunda parte: Tabla de direcciones MAC del conmutador. Los conmutadores realizan envío de tramas utilizando direcciones MAC (origen y destino) y a diferencia de otros dispositivos LAN, los conmutadores son capaces de asociar a cada puerto a la dirección MAC del dispositivo al que se encuentran conectados. Estas asociaciones, los conmutadores las guardan en tablas y se pueden realizar de forma estática (manualmente) y de forma dinámica (automáticamente el conmutador aprende los dispositivos a los que se encuentra conectado). Vamos a mirar las direcciones MAC que tiene asociadas el conmutador en este momento: S1# show mac address-table j) ¿Cuántas direcciones MAC dinámicas hay en la tabla? ¿Cuántas direcciones MAC hay en total? ¿Coincide la dirección dinámica con la dirección del PC conectado al conmutador? k) ¿Cómo asociar una dirección MAC a un puerto del conmutador de forma estática? ¿Cuál es la instrucción que se debe configurar al conmutador? Compruébelo realizando la asociación estática de la dirección MAC del PC conectado al puerto del conmutador. Mostrar al profesor que lo ha logrado. l) Explique el procedimiento que realiza el conmutador para realizar la asociación dinámica de direcciones MAC. m) Conecte otro computador a otro puerto FastEthernet del conmutador. ¿Inmediatamente es asociada la dirección MAC del nuevo computador conectado? ¿En caso contrario, que se deberá realizar para logar una asociación dinámica entre la dirección MAC del PC que se acaba de conectar y el puerto en el conmutador? Redes de computadores 2 Tercera parte: Seguridad en los puertos del conmutador. Para esta parte del laboratorio utilizaremos y la siguiente topología de red: NOTA: Ustedes son libres de escoger puertos a conectar y la VLAN de administración, solo recuerden las elecciones n) Realizar configuración básica de dispositivos (nombres, contraseña enable, contraseña consola, contraseña vty, configuración IP de interfaces). Seguridad de puertos Se deben proteger todos los puertos (interfaces) del conmutador antes de implementar el dispositivo en una red. Una forma de proteger los puertos es mediante la implementación de una característica denominada “seguridad de puertos”. La seguridad de puerto limita la cantidad de direcciones MAC válidas permitidas en el puerto. Se permite el acceso a las direcciones MAC de los dispositivos legítimos, mientras que otras direcciones MAC se rechazan. La seguridad de puertos se puede configurar para permitir una o más direcciones MAC. Si la cantidad de direcciones MAC permitidas en el puerto se limita a una, solo el dispositivo con esa dirección MAC específica puede conectarse correctamente al puerto. Si se configura un puerto como seguro y se alcanza la cantidad máxima de direcciones MAC, cualquier intento adicional de conexión de las direcciones MAC desconocidas genera una violación de seguridad. Lo primero que se debe realizar es habilitar seguridad de puerto en la interfaz: S1(config-if)# switchport port-security Luego, se debe indicarle al conmutador cuantas serán las direcciones MAC máximas permitidas en un puerto S1(config-if)# switchport port-security máximum número máximo de direcciones Tipos de direcciones MAC seguras: Redes de computadores 2 Existen varias maneras de configurar la seguridad de puerto. El tipo de dirección segura se basa en la configuración e incluye lo siguiente: Direcciones MAC seguras estáticas: son direcciones MAC que se configuran manualmente en un puerto mediante el comando: S1(config-if)# switchport port-security mac-address dirección-mac En el modo de configuración de interfaz. Las direcciones MAC configuradas de esta forma se almacenan en la tabla de direcciones y se agregan a la configuración en ejecución del conmutador. Direcciones MAC seguras dinámicas: son direcciones MAC detectadas dinámicamente y se almacenan solamente en la tabla de direcciones. Las direcciones MAC configuradas de esta manera se eliminan cuando el conmutador se reinicia. Direcciones MAC seguras persistentes: son direcciones MAC que pueden detectarse de forma dinámica o configurarse de forma manual, y que después se almacenan en la tabla de direcciones y se agregan a la configuración en ejecución. Para configurar una interfaz a fin de convertir las direcciones MAC detectadas dinámicamente en direcciones MAC seguras persistentes y agregarlas a la configuración en ejecución, debe habilitar el aprendizaje por persistencia. El aprendizaje por persistencia se habilita en una interfaz mediante el comando: S1(config-if)# switchport port-security mac-address sticky En el modo de configuración de interfaz. Existirá una violación de seguridad cuando se produce cualquiera de estas situaciones: Se agregó la cantidad máxima de direcciones MAC seguras a la tabla de direcciones para esa interfaz, y una estación cuya dirección MAC no figura en la tabla de direcciones intenta acceder a la interfaz. Una dirección aprendida o configurada en una interfaz segura puede verse en otra interfaz segura de la misma VLAN. Se puede configurar una interfaz para uno de tres modos de violación, con la acción específica que se debe realizar si se produce una violación. La figura muestra los tipos de datos que se envían cuando se configura en el puerto uno de los siguientes modos de violación de seguridad: Protect (Proteger): cuando la cantidad de direcciones MAC seguras alcanza el límite permitido para el puerto, los paquetes con direcciones de origen desconocidas se descartan hasta que se elimine una cantidad suficiente de direcciones MAC seguras o se aumente la cantidad máxima de direcciones permitidas. No hay ninguna notificación de que se produjo una violación de seguridad. Restrict (Restringir): cuando la cantidad de direcciones MAC seguras alcanza el límite permitido para el puerto, los paquetes con direcciones de origen desconocidas se descartan hasta que se elimine una cantidad suficiente de direcciones MAC seguras o se aumente la cantidad máxima de direcciones permitidas. En este modo, hay una notificación de que se produjo una violación de seguridad. Shutdown (Desactivar): en este modo de violación (predeterminado), una violación de seguridad de puerto produce que la interfaz se inhabilite de inmediato por errores y que se apague el LED del puerto. Aumenta el contador de violaciones. Cuando hay un puerto seguro en estado inhabilitado por errores, se lo puede sacar de dicho estado mediante la introducción de los comandos: Redes de computadores 2 S1(config-if)# shutdown S1(config-if)# no shutdown En el modo de configuración de interfaz. Para cambiar el modo de violación en un puerto de conmutador, use el comando: S1(config-if)# switchport port-security violation {protect | restrict |shutdown}. En el modo de configuración de interfaz Para probar la seguridad de puertos, realizaremos lo siguiente: o) En el conmutador, habilitar máximo una dirección MAC para acceder al puerto FastEthernet conectado al enrutador y de forma estática hacer la asociación con la dirección MAC del enrutador. Además, configurar el conmutador para que en caso de violación, el puerto entre en estado protect. ¿Qué sucede si desde el enrutador hacemos ping al conmutador? p) Desconectar el enrutador y conectar un computador al mismo puerto (obvio el computador nuevo tendrá una IP en la misma subred de la IP del enrutador). ¿Qué sucede si se intenta realizar ping desde el computador recién conectado al conmutador? ¿Por qué? q) Si desconectamos el computador y volvemos a conectar el enrutador. ¿Qué sucede con el intento de ping desde el enrutador al conmutador? ¿Por qué? En el conmutador, habilitar máximo una dirección MAC, para acceder al puerto FastEthernet conectado al computador (PC-A), habilitar MAC seguras persistentes y realizar prueba de conectividad con el conmutador. Además, configurar el conmutador para que en caso de violación, el puerto entre en estado shutdown. r) Desconectar PC-A y conectar otro computador al mismo puerto (obvio el computador nuevo tendrá una IP en la misma subred de PC-A). ¿Qué sucede si se intenta realizar ping desde el computador recién conectado al conmutador? ¿Por qué? s) Si desconectamos el computador nuevo y volvemos a conectar PC-A. ¿Qué sucede con el intento de ping desde PC-A al conmutador? ¿Por qué? ¿Qué se debe hacer para volver a tener encendido el puerto?