Subido por Soporte Sistemas

Laboratorio Practico 1.4.6 Acceso fisico

Anuncio
CCNA Discovery
Diseño y soporte de redes de computadoras
Laboratorio práctico 1.4.6A Acceso físico a la red
Topología 1
Designación
del dispositivo
Nombre del
dispositivo
Dirección de
Fast Ethernet
Máscara de
subred
R1
FC-CPE-1
10.0.0.1
255.255.255.0
PC
PC1
10.0.0.254
255.255.255.0
Objetivos:
•
Obtener acceso a un router cuyas contraseñas de inicio de sesión y de modo privilegiado son
desconocidas.
•
Demostrar la necesidad y la importancia de la seguridad física para los dispositivos de red.
Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco.
Página 1 de 10
CCNA Discovery
Diseño y soporte de redes de computadoras
Objetivos del examen de certificación CCNA 640-802
Esta práctica de laboratorio contiene habilidades relacionadas con los siguientes objetivos del examen de
certificación CCNA:
•
Implementar la seguridad básica del router.
•
Describir las crecientes amenazas actuales de seguridad de la red y explicar la necesidad de
implementar una política de seguridad global para mitigarlas.
•
Explicar los métodos generales para mitigar las amenazas de seguridad comunes en los dispositivos
de red, hosts y aplicaciones.
•
Describir las funciones de los artefactos y las aplicaciones comunes de seguridad.
•
Describir las prácticas de seguridad recomendadas, incluidos los pasos iniciales para asegurar los
dispositivos de red.
Resultados previstos y criterios de éxito
Antes de comenzar con esta práctica laboratorio, lea las tareas que debe realizar. Cuál cree que será el
resultado de realizar estas tareas?
______________________________________________________________________________________
______________________________________________________________________________________
______________________________________________________________________________________
Por qué resulta útil poseer conocimientos sobre el acceso a un dispositivo de red en la administración de redes?
______________________________________________________________________________________
______________________________________________________________________________________
______________________________________________________________________________________
Cómo sabe un administrador de red si el acceso físico a un dispositivo está configurado correctamente?
______________________________________________________________________________________
______________________________________________________________________________________
______________________________________________________________________________________
Información básica / Preparación
Esta práctica de laboratorio demuestra que se requiere de un acceso físico para acceder y cambiar la
contraseña de los routers y switches de Cisco. Al principio, se trata de hacer telnet al router mediante
intentos de iniciar sesión al adivinar la contraseña. Cuando esto no resulta exitoso, se realiza un acceso
físico al puerto de consola en el router para que se puedan cambiar las contraseñas y establecer un control
del router. Esto demuestra por qué es de una importancia fundamental que los routers y switches tengan
seguridad física para evitar el acceso no autorizado, además de una fuerte protección mediante contraseñas.
Cuando se establece una conexión de consola, los siguientes principios se aplican al proceso de acceso y
cambio de las contraseñas de un router:
•
Las contraseñas del router están en el archivo de configuración inicial almacenado en la NVRAM.
La secuencia de inicio del router se cambia para que se inicie sin cargar la configuración. Cuando se
ejecuta sin cargar la configuración inicial, el router puede configurarse nuevamente con contraseñas
nuevas y conocidas.
•
Una ubicación de memoria en la NVRAM, llamada registro de configuración, contiene un valor binario
que determina la secuencia de inicio del router. El valor del registro de configuración se debe
cambiar para que el router se inicie sin cargar la configuración de inicio. Cuando se cambian las
contraseñas, el registro de configuración vuelve a tomar un valor que cargará la configuración de
inicio cambiada la próxima vez que se encienda el router.
Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco.
Página 2 de 10
CCNA Discovery
Diseño y soporte de redes de computadoras
Tarea 1: Acceder y cambiar las contraseñas del router
Paso 1: Intentar conectarse al router
NOTA: Si la PC utilizada en esta práctica de laboratorio también está conectada a la LAN de su Academia
o a Internet, recuerde registrar las conexiones de cables y los parámetros de TCP/IP para poder restaurarlos
al final de la práctica de laboratorio.
a. Con la ayuda de la Topología 1, conecte el puerto NIC Ethernet de la PC host al puerto Ethernet
Fa0/0 del router mediante un cable cruzado. Asegúrese de que se haya suministrado energía al
equipo host y al router.
b. Con la topología previamente configurada, intente hacer telnet al router desde la línea de comandos
de la PC.
Qué dirección IP se usa para hacer telnet al router? ___________________
Qué muestra el mensaje del día?
_______________________________________________________________________________
_______________________________________________________________________________
Cuántos intentos de inicio de sesión se permiten? __________
Qué mensaje aparece para indicar que han fallado los intentos de inicio de sesión?
_______________________________________________________________________________
c.
Cuando falla este intento de inicio de sesión remoto, establezca una conexión física directa al router
al realizar las conexiones de consola necesarias entre la PC y el router. Luego establezca una sesión
de terminal con HyperTerminal o TeraTerm.
Qué muestra el mensaje del día?
_______________________________________________________________________________
_______________________________________________________________________________
Intente iniciar sesión al adivinar la contraseña.
Cuántos intentos de inicio de sesión se permiten? __________
Qué mensaje aparece para indicar que han fallado los intentos de inicio de sesión?
__________________________________________
El registro de configuración se debe cambiar para que no se cargue la configuración inicial. Por lo
general, esto se hace en el modo de configuración global, pero dado que no puede conectarse en
absoluto, primero se debe interrumpir el proceso de inicio para poder realizar el cambio en el modo
de Monitoreo de ROM.
Paso 2: Entrar al modo de monitoreo de ROM
El modo de Monitoreo de ROM (ROMMON) es un entorno de línea de comandos limitado que se utiliza para
fines especiales, como la resolución de problemas de bajo nivel y la depuración. El modo ROMMON se
activa cuando una secuencia de la tecla Pausa enviada al puerto de consola interrumpe el proceso de inicio
del router. Esto sólo se puede realizar a través de la conexión física de consola.
La secuencia de la tecla Pausa a usar depende del programa de terminal utilizado:
•
Con HyperTerminal, la combinación de teclas es Ctrl+Pausa.
•
Con TeraTerm, es Alt+b.
La lista de secuencias estándar de la tecla pausa está disponible en http://www.cisco.com/warp/public/701/61.pdf
Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco.
Página 3 de 10
CCNA Discovery
Diseño y soporte de redes de computadoras
a. Para ingresar al modo de monitoreo de ROM, apague el router, espere algunos segundos y vuelva
a encenderlo.
b. Cuando el router comienza a mostrar “System Bootstrap, Version…” en la pantalla del
terminal, presione simultáneamente las teclas Ctrl y Pausa si está utilizando HyperTerminal, o las
teclas Alt y b si está utilizando TeraTerm.
El router se inicia en el modo de monitoreo de ROM. Según el hardware del router, puede aparecer
una de varias peticiones de entrada, como “rommon 1 >” o simplemente “>”.
El resultado del ejemplo puede ser similar a:
Router>System Bootstrap, Version 12.3(8r)T8, RELEASE SOFTWARE (fc1)
Cisco 1841 (revision 5.0) with 114688K/16384K bytes of memory.
Self decompressing the image :
####################################
monitor: command "boot" aborted due to user interrupt
rommon 1 >
Paso 3: Examinar la ayuda del modo de monitoreo de ROM
Escriba ? en la petición de entrada. El resultado deberá ser similar a esto:
rommon 1 > ?
alias
set and display aliases command
boot
boot up an external process
break
set/show/clear the breakpoint
confreg
configuration register utility
context
display the context of a loaded image
dev
list the device table
dir
list files in file system
dis
display instruction stream
help
monitor builtin command help
history
monitor command history
meminfo
main memory information
repeat
repeat a monitor command
reset
system reset
set
display the monitor variables
sysret
print out info from last system return
tftpdnld
tftp image download
xmodem
x/ymodem image download
Paso 4: Cambiar los valores del registro de configuración para iniciar sin cargar el archivo de
configuración
En el modo de monitoreo de ROM, escriba confreg 0x2142 para cambiar el registro de configuración
(config-register).
rommon 2 > confreg 0x2142
NOTA: La petición de entrada ROMMON aumenta cuando se ejecuta un comando. Este comportamiento
es normal. El incremento no significa un cambio de modo. Aún están disponibles los mismos comandos
ROMMON.
“0x” (cero- x) indica que 2142 es un valor hexadecimal. Cuál es el valor expresado en forma binaria?
___________________________________________________
Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco.
Página 4 de 10
CCNA Discovery
Diseño y soporte de redes de computadoras
Paso 5: Reiniciar el router
a. En el modo de monitoreo de ROM, escriba reset o reinicie el router.
rommon 3 > reset
Debido a los nuevos valores de registro de configuración, el router no carga el archivo de
configuración. Después de reiniciar el router, el sistema le solicita:
"Would you like to enter the initial configuration dialog? [yes/no]:"
b. Introduzca no y presione Enter.
Paso 6: Entrar al modo EXEC Privilegiado, ver y cambiar contraseñas
El router se está ejecutando sin un archivo de configuración cargado.
a. En la petición de entrada del modo de usuario Router>, escriba enable y presione Enter para ir al
modo privilegiado sin contraseña.
b. Use el comando copy startup-config running-config para restaurar la configuración existente.
Como el usuario ya se encuentra en el modo EXEC privilegiado, no hace falta una contraseña.
c.
Escriba show running-config para ver los detalles de configuración. Observe que se muestran
todas las contraseñas.
Cuáles dos medidas podrían tomarse para evitar que las contraseñas sean legibles?
____________________________________________
____________________________________________
d. Si las contraseñas no fueran legibles, pueden cambiarse. Escriba configure terminal para
entrar al modo de configuración global.
e. En el modo de configuración global, use estos comandos para cambiar las contraseñas:
FC-CPE-1(config)#enable password cisco
FC-CPE-1(config)#line console 0
FC-CPE-1(config-line)#password console
FC-CPE-1(config-line)#login
FC-CPE-1(config-line)#line vty 0 4
FC-CPE-1(config-line)#password telnet
FC-CPE-1(config-line)#login
Paso 7: Cambiar los valores del registro de configuración para iniciar y cargar el archivo de
configuración
a. El instructor le proporcionará el valor del registro de configuración original, muy probablemente
0x2101. Mientras se encuentra en el modo de configuración global, ingrese config-register
0x2101 (o el valor que le proporcionó su instructor). Presione Enter.
FC-CPE-1(config)#config-register 0x2101
b. Use la combinación de Ctrl+z para volver al modo EXEC privilegiado.
c.
Use el comando copy running-config startup-config para guardar la nueva configuración.
d. Antes de reiniciar el router, verifique los nuevos valores de configuración. En el modo EXEC
privilegiado, introduzca el comando show version y presione Enter.
e. Verifique que la última línea del resultado diga:
Configuration register is 0x2142 (will be 0x2101 at next reload).
f.
Use el comando reload para reiniciar el router.
Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco.
Página 5 de 10
CCNA Discovery
Diseño y soporte de redes de computadoras
Paso 8: Verificar la contraseña y la configuración nuevas
a. Cuando el router se recarga, inicie sesión y cambie el modo con las nuevas contraseñas.
b. Ejecute el comando no shutdown en la interfaz fa0/0 para llevarlo al estado de funcionamiento.
FC-CPE-1(config-if)# no shutdown
c.
Guarde la configuración activa en la configuración de inicio
FC-CPE-1# copy run start
d. Desconecte el cable de consola y acceda al router mediante el uso de Telnet de la línea de
comandos de la PC.
Las contraseñas recién configuradas permitirán un inicio de sesión exitoso.
Paso 9: Limpieza
Borre las configuraciones y vuelva a cargar el router. Desconecte y guarde los cables. En el caso de los
hosts de PC que habitualmente están conectados a otras redes (como la red LAN de la escuela o Internet),
vuelva a conectar los cables apropiados y restaure los parámetros de TCP/IP.
Topología 2
Designación
del dispositivo
Nombre del
dispositivo
Dirección IP
Máscara de
subred
S1
FC-ASW-1
10.0.0.2
255.255.255.0
PC
PC1
10.0.0.254
255.255.255.0
Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco.
Página 6 de 10
CCNA Discovery
Diseño y soporte de redes de computadoras
Información básica / Preparación
Esta tarea demuestra que se requiere acceso físico para acceder a la contraseña de los switches de Cisco
y cambiarla, y una vez más, por qué es de importancia fundamental que los routers y switches también
tengan seguridad física para evitar el acceso no autorizado.
Luego de varios intentos no exitosos de inicio de sesión remoto, se realiza una conexión de consola y se
aplican los siguientes principios al proceso de acceso y cambio de las contraseñas de un switch:
•
Las contraseñas del switch están en el archivo de configuración llamado config.txt, almacenado en la
memoria flash. La secuencia de inicio del switch se cambia para que se inicie sin cargar la configuración.
•
Cuando se ejecuta sin cargar la configuración, el switch se puede configurar nuevamente con
contraseñas nuevas y conocidas.
Tarea 2: Acceder y cambiar las contraseñas del switch
Paso 1: Intentar conectarse al switch
NOTA: Si la PC utilizada en esta práctica de laboratorio también está conectada a la LAN de su Academia
o a Internet, recuerde registrar las conexiones de cables y los parámetros de TCP/IP para poder restaurarlos
al final de la práctica de laboratorio.
a. Con la ayuda de la Topología 2, conecte el puerto NIC Ethernet de la PC host al puerto Ethernet
Fa0/1 del switch mediante un cable directo. Asegúrese de que se haya suministrado energía al
equipo host y al switch.
b. Intente hacer telnet al router desde la línea de comandos de la PC, con la topología dada
previamente configurada.
Qué dirección IP se usa para hacer telnet al router? ___________________
Qué muestra el mensaje del día?
_______________________________________________________________________________
_______________________________________________________________________________
Cuántos intentos de inicio de sesión se permiten? __________
Qué mensaje aparece para indicar que han fallado los intentos de inicio de sesión?
_______________________________________________________________________________
c.
Cuando falla este intento de inicio de sesión remoto, establezca una conexión física directa al router
al realizar las conexiones de consola necesarias entre la PC y el switch. Luego establezca una
sesión de terminal con HyperTerminal o TeraTerm.
Qué muestra el mensaje del día?
_______________________________________________________________________________
_______________________________________________________________________________
Intente iniciar sesión al adivinar la contraseña.
Cuántos intentos de inicio de sesión se permiten? __________
Qué mensaje aparece para indicar que han fallado los intentos de inicio de sesión?
__________________________________________
Para evitar que se cargue la configuración, se cambia el nombre al archivo config.txt para que el IOS del
switch no pueda ubicar y cargar un archivo de configuración válido. Para cambiar el nombre del archivo,
el proceso de inicio se debe interrumpir de manera que el cambio se pueda realizar en el modo “switch”.
Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco.
Página 7 de 10
CCNA Discovery
Diseño y soporte de redes de computadoras
Paso 2: Entrar al modo switch:
a. Apague el switch.
b. Ubique el botón de MODO situado en la parte delantera del switch.
c.
Mientras enciende el switch, mantenga presionado el botón de MODO situado en la parte delantera
del mismo. Después de 10 segundos, suelte el botón de MODO.
Debe aparecer un resultado similar al siguiente:
Base ethernet MAC Address: 00:0a:b7:72:2b:40
Xmodem file system is available.
The password-recovery mechanism is enabled.
The system has been interrupted prior to initializing the
flash files system. The following commands will initialize
the flash files system, and finish loading the operating
system software:
flash_init
load_helper
boot
switch:
d. Para inicializar el sistema de archivos y terminar de cargar el sistema operativo, introduzca los
siguientes comandos en la petición de entrada del switch:
switch: flash_init
switch: load_helper
e. Para ver el contenido de la memoria flash, ingrese dir flash: en la petición de entrada del switch:
switch: dir flash:
NOTA: No se olvide de escribir los dos puntos (:) después de la palabra “flash” en el comando
dir flash:
Debe aparecer el archivo config.txt.
f.
Escriba rename flash:config.text flash:config.old para cambiar el nombre del archivo
de configuración. Este archivo contiene las definiciones de las contraseñas.
g. Escriba dir flash: en la petición de entrada del switch: para ver el cambio de nombre.
switch: dir flash:
Paso 3: Reiniciar el switch
a. Ingrese boot para reiniciar el switch.
switch: boot
No se puede ubicar el archivo de configuración coinfig.txt; por lo tanto el switch se inicia en modo Setup.
b. Desea finalizar la instalación automática? [Sí]: Y
c.
Would you like to enter the initial configuration dialog? [yes/no] N
Switch>
Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco.
Página 8 de 10
CCNA Discovery
Diseño y soporte de redes de computadoras
Paso 4: Entrar al modo EXEC Privilegiado, ver y cambiar contraseñas
El switch se está ejecutando sin un archivo de configuración cargado.
a. En la petición de entrada del modo de usuario Router>, escriba enable y presione Enter para ir al
modo privilegiado sin contraseña.
b. Escriba rename flash:config.old flash:config.text para volver a ponerle al archivo de
configuración su nombre original.
Switch#rename flash:config.old flash:config.text
Destination filename [config.text]?
Press Enter to confirm file name change.
c.
Copie el archivo de configuración en la RAM.
Switch#copy flash:config.text system:running-config
Destination filename [running-config]?
Press Enter to confirm file name.
d. Presione Enter para aceptar los nombres de los archivos predeterminados.
Source filename [config.text]?
Destination filename [running-config]
Se ha cargado el archivo de configuración.
e. Escriba show running-config para ver los detalles de configuración. Observe que se muestran
todas las contraseñas.
Cuáles dos medidas podrían tomarse para evitar que las contraseñas sean legibles?
____________________________________________
____________________________________________
f.
Si las contraseñas no fueran legibles, pueden cambiarse. Escriba configure terminal para
entrar al modo de configuración global.
g. Cambie las contraseñas desconocidas.
FC-ASW-1#configure terminal
FC-ASW-1(config)#enable password cisco
FC-ASW-1(config)#line console 0
FC-ASW-1(config-line)#password console
FC-ASW-1(config-line)#line vty 0 15
FC-ASW-1(config-line)#password telnet
FC-ASW-1(config-line)#exit
FC-ASW-1(config)#exit
Paso 5: Guardar el archivo de configuración
Use el comando copy running-config startup-config para guardar la nueva configuración.
FC-ASW-1#copy running-config startup-config
Destination filename [startup-config]?[enter]
Building configuration...
[OK]
FC-ASW-1#
Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco.
Página 9 de 10
CCNA Discovery
Diseño y soporte de redes de computadoras
Paso 6: Verificar la contraseña y la configuración nuevas
Reinicie el switch y verifique que las contraseñas sean funcionales.
Paso 7: Limpieza
Borre las configuraciones y vuelva a cargar el switch. Desconecte y guarde los cables. En el caso de los
hosts de PC que habitualmente están conectados a otras redes (como la LAN de la escuela o Internet),
vuelva a conectar los cables apropiados y restaure los parámetros de TCP/IP.
Tarea 3: Reflexión
Analice los diferentes métodos que se utilizan para asegurar el acceso físico a los dispositivos de red como
routers y switches. Mencione cómo sólo aquellas personas que requieren el acceso pueden ser identificadas
y cómo puede implementarse este sistema de seguridad.
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
NOTA: Es importante recordar que las contraseñas (consola, cisco, clase, telnet) utilizadas en estas
prácticas de laboratorio se usan sólo por motivos de conveniencia. Éstas no son contraseñas seguras que
podrían usarse en las redes de producción.
Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco.
Página 10 de 10
Descargar