11.1.10 Packet Tracer – Implement Port Security (Español)

Objetivo

Parte 1: Configurar la seguridad de los puertos
Parte 2: Verificar la seguridad de los puertos

Aspectos básicos

En esta actividad, usted va a configurar y verificar la seguridad del puerto en el switch. La seguridad del puerto le permite restringir el tráfico de entrada de un puerto al limitar las direcciones MAC que pueden enviar tráfico al puerto.

Paso 1: Configure la seguridad del puerto

A). Acceda a la línea de comandos de S1 y habilite la seguridad del puerto en los puertos Fast Ethernet 0/1 y 0/2.

S1>enable 
S1#configure terminal 
S1(config)#interface range f0/1-2
S1(config-if-range)#switchport port-security

B). Establezca el máximo posible para que solo un dispositivo pueda acceder a los puertos Fast Ethernet ports 0/1 y 0/2.

S1(config-if-range)#switchport port-security maximum 1

C). Asegure los puertos para que la dirección MAC de un dispositivo se aprenda dinámicamente y se agregue a la configuración en ejecución.

S1(config-if-range)#switchport port-security mac-address sticky

D). Establezca el modo de infracción para que los puertos Fast Ethernet 0/1 y 0/2 no se deshabiliten cuando se produce una infracción, pero se genere una notificación de la violación de seguridad y se descarten los paquetes de origen desconocido.

S1(config-if-range)#switchport port-security violation restrict

E). Deshabilite todos los puertos restantes no utilizados. Use la palabra range para aplicar esta configuración a todos los puertos simultáneamente.

S1(config-if-range)#interface range f0/3 - 24 , g0/1 - 2
S1(config-if-range)#shutdown

Paso 2: Verifique la seguridad del puerto

A). Desde PC1, haga ping a PC2.

Pinging 10.10.10.11 with 32 bytes of data:
Reply from 10.10.10.11: bytes=32 time<1ms TTL=128
Reply from 10.10.10.11: bytes=32 time<1ms TTL=128
Reply from 10.10.10.11: bytes=32 time<1ms TTL=128
Reply from 10.10.10.11: bytes=32 time<1ms TTL=128
Ping statistics for 10.10.10.11:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms
C:\>

B). Verifique que la seguridad del puerto está habilitada y que las direcciones MAC de PC1 y PC2 se hayan agregado a la configuración en ejecución.

S1#show run | begin interface
interface FastEthernet0/1
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky 
 switchport port-security violation restrict 
 switchport port-security mac-address sticky 00E0.B027.2245
!
interface FastEthernet0/2
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky 
 switchport port-security violation restrict 
 switchport port-security mac-address sticky 0001.647C.697E
interface Vlan1
 ip address 10.10.10.2 255.255.255.0
!
line con 0
!
line vty 0 4
 login
line vty 5 15
 login
!
end

C). Use mostrar comandos de la seguridad del puerto para que se despliegue la información de la configuración.

S1#show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
               (Count)       (Count)        (Count)
--------------------------------------------------------------------
        Fa0/1        1          1                 0         Restrict
        Fa0/2        1          1                 0         Restrict
----------------------------------------------------------------------
S1#show port-security address
            Secure Mac Address Table
-------------------------------------------------------------------------------
Vlan    Mac Address    Type            Ports        Remaining Age
                                (mins)
----    -----------    ----            -----        -------------
1    00E0.B027.2245    SecureSticky        FastEthernet0/1        -
1    0001.647C.697E    SecureSticky        FastEthernet0/2        -
------------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port)     : 0
Max Addresses limit in System (excluding one mac per port) : 1024

D). Conecte una computadora portátil (Laptop) intrusa a cualquier puerto del switch y observe que las luces de enlace sean rojas.

E). Habilite el puerto y verifique que la computadora portátil (Laptop) intrusa puede hacer ping a PC1 y PC2. Después de la verificación, apague el puerto conectado a la computadora portátil (Laptop) intrusa.

S1(config)#int f0/3
S1(config-if)#no shutdown

C:\>ping 10.10.10.10
Pinging 10.10.10.10 with 32 bytes of data:
Reply from 10.10.10.10: bytes=32 time<1ms TTL=128
Reply from 10.10.10.10: bytes=32 time<1ms TTL=128
Reply from 10.10.10.10: bytes=32 time<1ms TTL=128
Reply from 10.10.10.10: bytes=32 time<1ms TTL=128
Ping statistics for 10.10.10.10:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms
C:\>ping 10.10.10.11
Pinging 10.10.10.11 with 32 bytes of data:
Reply from 10.10.10.11: bytes=32 time<1ms TTL=128
Reply from 10.10.10.11: bytes=32 time<1ms TTL=128
Reply from 10.10.10.11: bytes=32 time<1ms TTL=128
Reply from 10.10.10.11: bytes=32 time<1ms TTL=128
Ping statistics for 10.10.10.11:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms
C:\>

S1(config-if)#shutdown

F). Desconecte la PC2 y conecte la computadora portátil (Laptop) intrusa al puerto F0/2, que es el puerto al que se conectó originalmente PC2. Verifique que la computadora portátil (Laptop) intrusa no es capaz de hacer ping a PC1.

Confirmado, no puede hacer ping.

C:\>ping 10.10.10.10
Pinging 10.10.10.10 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 10.10.10.10:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
C:\>

G). Muestra las violaciones de port security para el puerto al que está conectado la computadora portátil (Laptop) intrusa.

¿Cuántas violaciones han ocurrido?

1 Violación

S1#show port-security interface f0/2
Port Security              : Enabled
Port Status                : Secure-up
Violation Mode             : Restrict
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 1
Total MAC Addresses        : 1
Configured MAC Addresses   : 0
Sticky MAC Addresses       : 1
Last Source Address:Vlan   : 0002.4A42.C51C:1
Security Violation Count   : 1

H). Desconecte la computadora portátil (Laptop) intrusa y conecte la PC2. Verifique que PC2 puede hacer ping a PC1.

Efectivamente si

C:\>ping 10.10.10.10
Pinging 10.10.10.10 with 32 bytes of data:
Reply from 10.10.10.10: bytes=32 time<1ms TTL=128
Reply from 10.10.10.10: bytes=32 time<1ms TTL=128
Reply from 10.10.10.10: bytes=32 time<1ms TTL=128
Reply from 10.10.10.10: bytes=32 time<1ms TTL=128
Ping statistics for 10.10.10.10:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms
C:\>

¿Por qué la PC2 puede hacer ping a la PC1, pero la computadora portátil (Laptop) intrusa no puede?

La seguridad del puerto que se habilitó en el puerto solo permitió al dispositivo cuyo MAC estaba disponible en ese momento. En cambio la computadora portatil el MAC addres no se registro el S1.