CCNA Discovery Diseño y soporte de redes de computadoras Laboratorio práctico 1.4.6A Acceso físico a la red Topología 1 Designación del dispositivo Nombre del dispositivo Dirección de Fast Ethernet Máscara de subred R1 FC-CPE-1 10.0.0.1 255.255.255.0 PC PC1 10.0.0.254 255.255.255.0 Objetivos: • Obtener acceso a un router cuyas contraseñas de inicio de sesión y de modo privilegiado son desconocidas. • Demostrar la necesidad y la importancia de la seguridad física para los dispositivos de red. Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 1 de 10 CCNA Discovery Diseño y soporte de redes de computadoras Objetivos del examen de certificación CCNA 640-802 Esta práctica de laboratorio contiene habilidades relacionadas con los siguientes objetivos del examen de certificación CCNA: • Implementar la seguridad básica del router. • Describir las crecientes amenazas actuales de seguridad de la red y explicar la necesidad de implementar una política de seguridad global para mitigarlas. • Explicar los métodos generales para mitigar las amenazas de seguridad comunes en los dispositivos de red, hosts y aplicaciones. • Describir las funciones de los artefactos y las aplicaciones comunes de seguridad. • Describir las prácticas de seguridad recomendadas, incluidos los pasos iniciales para asegurar los dispositivos de red. Resultados previstos y criterios de éxito Antes de comenzar con esta práctica laboratorio, lea las tareas que debe realizar. Cuál cree que será el resultado de realizar estas tareas? ______________________________________________________________________________________ ______________________________________________________________________________________ ______________________________________________________________________________________ Por qué resulta útil poseer conocimientos sobre el acceso a un dispositivo de red en la administración de redes? ______________________________________________________________________________________ ______________________________________________________________________________________ ______________________________________________________________________________________ Cómo sabe un administrador de red si el acceso físico a un dispositivo está configurado correctamente? ______________________________________________________________________________________ ______________________________________________________________________________________ ______________________________________________________________________________________ Información básica / Preparación Esta práctica de laboratorio demuestra que se requiere de un acceso físico para acceder y cambiar la contraseña de los routers y switches de Cisco. Al principio, se trata de hacer telnet al router mediante intentos de iniciar sesión al adivinar la contraseña. Cuando esto no resulta exitoso, se realiza un acceso físico al puerto de consola en el router para que se puedan cambiar las contraseñas y establecer un control del router. Esto demuestra por qué es de una importancia fundamental que los routers y switches tengan seguridad física para evitar el acceso no autorizado, además de una fuerte protección mediante contraseñas. Cuando se establece una conexión de consola, los siguientes principios se aplican al proceso de acceso y cambio de las contraseñas de un router: • Las contraseñas del router están en el archivo de configuración inicial almacenado en la NVRAM. La secuencia de inicio del router se cambia para que se inicie sin cargar la configuración. Cuando se ejecuta sin cargar la configuración inicial, el router puede configurarse nuevamente con contraseñas nuevas y conocidas. • Una ubicación de memoria en la NVRAM, llamada registro de configuración, contiene un valor binario que determina la secuencia de inicio del router. El valor del registro de configuración se debe cambiar para que el router se inicie sin cargar la configuración de inicio. Cuando se cambian las contraseñas, el registro de configuración vuelve a tomar un valor que cargará la configuración de inicio cambiada la próxima vez que se encienda el router. Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 2 de 10 CCNA Discovery Diseño y soporte de redes de computadoras Tarea 1: Acceder y cambiar las contraseñas del router Paso 1: Intentar conectarse al router NOTA: Si la PC utilizada en esta práctica de laboratorio también está conectada a la LAN de su Academia o a Internet, recuerde registrar las conexiones de cables y los parámetros de TCP/IP para poder restaurarlos al final de la práctica de laboratorio. a. Con la ayuda de la Topología 1, conecte el puerto NIC Ethernet de la PC host al puerto Ethernet Fa0/0 del router mediante un cable cruzado. Asegúrese de que se haya suministrado energía al equipo host y al router. b. Con la topología previamente configurada, intente hacer telnet al router desde la línea de comandos de la PC. Qué dirección IP se usa para hacer telnet al router? ___________________ Qué muestra el mensaje del día? _______________________________________________________________________________ _______________________________________________________________________________ Cuántos intentos de inicio de sesión se permiten? __________ Qué mensaje aparece para indicar que han fallado los intentos de inicio de sesión? _______________________________________________________________________________ c. Cuando falla este intento de inicio de sesión remoto, establezca una conexión física directa al router al realizar las conexiones de consola necesarias entre la PC y el router. Luego establezca una sesión de terminal con HyperTerminal o TeraTerm. Qué muestra el mensaje del día? _______________________________________________________________________________ _______________________________________________________________________________ Intente iniciar sesión al adivinar la contraseña. Cuántos intentos de inicio de sesión se permiten? __________ Qué mensaje aparece para indicar que han fallado los intentos de inicio de sesión? __________________________________________ El registro de configuración se debe cambiar para que no se cargue la configuración inicial. Por lo general, esto se hace en el modo de configuración global, pero dado que no puede conectarse en absoluto, primero se debe interrumpir el proceso de inicio para poder realizar el cambio en el modo de Monitoreo de ROM. Paso 2: Entrar al modo de monitoreo de ROM El modo de Monitoreo de ROM (ROMMON) es un entorno de línea de comandos limitado que se utiliza para fines especiales, como la resolución de problemas de bajo nivel y la depuración. El modo ROMMON se activa cuando una secuencia de la tecla Pausa enviada al puerto de consola interrumpe el proceso de inicio del router. Esto sólo se puede realizar a través de la conexión física de consola. La secuencia de la tecla Pausa a usar depende del programa de terminal utilizado: • Con HyperTerminal, la combinación de teclas es Ctrl+Pausa. • Con TeraTerm, es Alt+b. La lista de secuencias estándar de la tecla pausa está disponible en http://www.cisco.com/warp/public/701/61.pdf Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 3 de 10 CCNA Discovery Diseño y soporte de redes de computadoras a. Para ingresar al modo de monitoreo de ROM, apague el router, espere algunos segundos y vuelva a encenderlo. b. Cuando el router comienza a mostrar “System Bootstrap, Version…” en la pantalla del terminal, presione simultáneamente las teclas Ctrl y Pausa si está utilizando HyperTerminal, o las teclas Alt y b si está utilizando TeraTerm. El router se inicia en el modo de monitoreo de ROM. Según el hardware del router, puede aparecer una de varias peticiones de entrada, como “rommon 1 >” o simplemente “>”. El resultado del ejemplo puede ser similar a: Router>System Bootstrap, Version 12.3(8r)T8, RELEASE SOFTWARE (fc1) Cisco 1841 (revision 5.0) with 114688K/16384K bytes of memory. Self decompressing the image : #################################### monitor: command "boot" aborted due to user interrupt rommon 1 > Paso 3: Examinar la ayuda del modo de monitoreo de ROM Escriba ? en la petición de entrada. El resultado deberá ser similar a esto: rommon 1 > ? alias set and display aliases command boot boot up an external process break set/show/clear the breakpoint confreg configuration register utility context display the context of a loaded image dev list the device table dir list files in file system dis display instruction stream help monitor builtin command help history monitor command history meminfo main memory information repeat repeat a monitor command reset system reset set display the monitor variables sysret print out info from last system return tftpdnld tftp image download xmodem x/ymodem image download Paso 4: Cambiar los valores del registro de configuración para iniciar sin cargar el archivo de configuración En el modo de monitoreo de ROM, escriba confreg 0x2142 para cambiar el registro de configuración (config-register). rommon 2 > confreg 0x2142 NOTA: La petición de entrada ROMMON aumenta cuando se ejecuta un comando. Este comportamiento es normal. El incremento no significa un cambio de modo. Aún están disponibles los mismos comandos ROMMON. “0x” (cero- x) indica que 2142 es un valor hexadecimal. Cuál es el valor expresado en forma binaria? ___________________________________________________ Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 4 de 10 CCNA Discovery Diseño y soporte de redes de computadoras Paso 5: Reiniciar el router a. En el modo de monitoreo de ROM, escriba reset o reinicie el router. rommon 3 > reset Debido a los nuevos valores de registro de configuración, el router no carga el archivo de configuración. Después de reiniciar el router, el sistema le solicita: "Would you like to enter the initial configuration dialog? [yes/no]:" b. Introduzca no y presione Enter. Paso 6: Entrar al modo EXEC Privilegiado, ver y cambiar contraseñas El router se está ejecutando sin un archivo de configuración cargado. a. En la petición de entrada del modo de usuario Router>, escriba enable y presione Enter para ir al modo privilegiado sin contraseña. b. Use el comando copy startup-config running-config para restaurar la configuración existente. Como el usuario ya se encuentra en el modo EXEC privilegiado, no hace falta una contraseña. c. Escriba show running-config para ver los detalles de configuración. Observe que se muestran todas las contraseñas. Cuáles dos medidas podrían tomarse para evitar que las contraseñas sean legibles? ____________________________________________ ____________________________________________ d. Si las contraseñas no fueran legibles, pueden cambiarse. Escriba configure terminal para entrar al modo de configuración global. e. En el modo de configuración global, use estos comandos para cambiar las contraseñas: FC-CPE-1(config)#enable password cisco FC-CPE-1(config)#line console 0 FC-CPE-1(config-line)#password console FC-CPE-1(config-line)#login FC-CPE-1(config-line)#line vty 0 4 FC-CPE-1(config-line)#password telnet FC-CPE-1(config-line)#login Paso 7: Cambiar los valores del registro de configuración para iniciar y cargar el archivo de configuración a. El instructor le proporcionará el valor del registro de configuración original, muy probablemente 0x2101. Mientras se encuentra en el modo de configuración global, ingrese config-register 0x2101 (o el valor que le proporcionó su instructor). Presione Enter. FC-CPE-1(config)#config-register 0x2101 b. Use la combinación de Ctrl+z para volver al modo EXEC privilegiado. c. Use el comando copy running-config startup-config para guardar la nueva configuración. d. Antes de reiniciar el router, verifique los nuevos valores de configuración. En el modo EXEC privilegiado, introduzca el comando show version y presione Enter. e. Verifique que la última línea del resultado diga: Configuration register is 0x2142 (will be 0x2101 at next reload). f. Use el comando reload para reiniciar el router. Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 5 de 10 CCNA Discovery Diseño y soporte de redes de computadoras Paso 8: Verificar la contraseña y la configuración nuevas a. Cuando el router se recarga, inicie sesión y cambie el modo con las nuevas contraseñas. b. Ejecute el comando no shutdown en la interfaz fa0/0 para llevarlo al estado de funcionamiento. FC-CPE-1(config-if)# no shutdown c. Guarde la configuración activa en la configuración de inicio FC-CPE-1# copy run start d. Desconecte el cable de consola y acceda al router mediante el uso de Telnet de la línea de comandos de la PC. Las contraseñas recién configuradas permitirán un inicio de sesión exitoso. Paso 9: Limpieza Borre las configuraciones y vuelva a cargar el router. Desconecte y guarde los cables. En el caso de los hosts de PC que habitualmente están conectados a otras redes (como la red LAN de la escuela o Internet), vuelva a conectar los cables apropiados y restaure los parámetros de TCP/IP. Topología 2 Designación del dispositivo Nombre del dispositivo Dirección IP Máscara de subred S1 FC-ASW-1 10.0.0.2 255.255.255.0 PC PC1 10.0.0.254 255.255.255.0 Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 6 de 10 CCNA Discovery Diseño y soporte de redes de computadoras Información básica / Preparación Esta tarea demuestra que se requiere acceso físico para acceder a la contraseña de los switches de Cisco y cambiarla, y una vez más, por qué es de importancia fundamental que los routers y switches también tengan seguridad física para evitar el acceso no autorizado. Luego de varios intentos no exitosos de inicio de sesión remoto, se realiza una conexión de consola y se aplican los siguientes principios al proceso de acceso y cambio de las contraseñas de un switch: • Las contraseñas del switch están en el archivo de configuración llamado config.txt, almacenado en la memoria flash. La secuencia de inicio del switch se cambia para que se inicie sin cargar la configuración. • Cuando se ejecuta sin cargar la configuración, el switch se puede configurar nuevamente con contraseñas nuevas y conocidas. Tarea 2: Acceder y cambiar las contraseñas del switch Paso 1: Intentar conectarse al switch NOTA: Si la PC utilizada en esta práctica de laboratorio también está conectada a la LAN de su Academia o a Internet, recuerde registrar las conexiones de cables y los parámetros de TCP/IP para poder restaurarlos al final de la práctica de laboratorio. a. Con la ayuda de la Topología 2, conecte el puerto NIC Ethernet de la PC host al puerto Ethernet Fa0/1 del switch mediante un cable directo. Asegúrese de que se haya suministrado energía al equipo host y al switch. b. Intente hacer telnet al router desde la línea de comandos de la PC, con la topología dada previamente configurada. Qué dirección IP se usa para hacer telnet al router? ___________________ Qué muestra el mensaje del día? _______________________________________________________________________________ _______________________________________________________________________________ Cuántos intentos de inicio de sesión se permiten? __________ Qué mensaje aparece para indicar que han fallado los intentos de inicio de sesión? _______________________________________________________________________________ c. Cuando falla este intento de inicio de sesión remoto, establezca una conexión física directa al router al realizar las conexiones de consola necesarias entre la PC y el switch. Luego establezca una sesión de terminal con HyperTerminal o TeraTerm. Qué muestra el mensaje del día? _______________________________________________________________________________ _______________________________________________________________________________ Intente iniciar sesión al adivinar la contraseña. Cuántos intentos de inicio de sesión se permiten? __________ Qué mensaje aparece para indicar que han fallado los intentos de inicio de sesión? __________________________________________ Para evitar que se cargue la configuración, se cambia el nombre al archivo config.txt para que el IOS del switch no pueda ubicar y cargar un archivo de configuración válido. Para cambiar el nombre del archivo, el proceso de inicio se debe interrumpir de manera que el cambio se pueda realizar en el modo “switch”. Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 7 de 10 CCNA Discovery Diseño y soporte de redes de computadoras Paso 2: Entrar al modo switch: a. Apague el switch. b. Ubique el botón de MODO situado en la parte delantera del switch. c. Mientras enciende el switch, mantenga presionado el botón de MODO situado en la parte delantera del mismo. Después de 10 segundos, suelte el botón de MODO. Debe aparecer un resultado similar al siguiente: Base ethernet MAC Address: 00:0a:b7:72:2b:40 Xmodem file system is available. The password-recovery mechanism is enabled. The system has been interrupted prior to initializing the flash files system. The following commands will initialize the flash files system, and finish loading the operating system software: flash_init load_helper boot switch: d. Para inicializar el sistema de archivos y terminar de cargar el sistema operativo, introduzca los siguientes comandos en la petición de entrada del switch: switch: flash_init switch: load_helper e. Para ver el contenido de la memoria flash, ingrese dir flash: en la petición de entrada del switch: switch: dir flash: NOTA: No se olvide de escribir los dos puntos (:) después de la palabra “flash” en el comando dir flash: Debe aparecer el archivo config.txt. f. Escriba rename flash:config.text flash:config.old para cambiar el nombre del archivo de configuración. Este archivo contiene las definiciones de las contraseñas. g. Escriba dir flash: en la petición de entrada del switch: para ver el cambio de nombre. switch: dir flash: Paso 3: Reiniciar el switch a. Ingrese boot para reiniciar el switch. switch: boot No se puede ubicar el archivo de configuración coinfig.txt; por lo tanto el switch se inicia en modo Setup. b. Desea finalizar la instalación automática? [Sí]: Y c. Would you like to enter the initial configuration dialog? [yes/no] N Switch> Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 8 de 10 CCNA Discovery Diseño y soporte de redes de computadoras Paso 4: Entrar al modo EXEC Privilegiado, ver y cambiar contraseñas El switch se está ejecutando sin un archivo de configuración cargado. a. En la petición de entrada del modo de usuario Router>, escriba enable y presione Enter para ir al modo privilegiado sin contraseña. b. Escriba rename flash:config.old flash:config.text para volver a ponerle al archivo de configuración su nombre original. Switch#rename flash:config.old flash:config.text Destination filename [config.text]? Press Enter to confirm file name change. c. Copie el archivo de configuración en la RAM. Switch#copy flash:config.text system:running-config Destination filename [running-config]? Press Enter to confirm file name. d. Presione Enter para aceptar los nombres de los archivos predeterminados. Source filename [config.text]? Destination filename [running-config] Se ha cargado el archivo de configuración. e. Escriba show running-config para ver los detalles de configuración. Observe que se muestran todas las contraseñas. Cuáles dos medidas podrían tomarse para evitar que las contraseñas sean legibles? ____________________________________________ ____________________________________________ f. Si las contraseñas no fueran legibles, pueden cambiarse. Escriba configure terminal para entrar al modo de configuración global. g. Cambie las contraseñas desconocidas. FC-ASW-1#configure terminal FC-ASW-1(config)#enable password cisco FC-ASW-1(config)#line console 0 FC-ASW-1(config-line)#password console FC-ASW-1(config-line)#line vty 0 15 FC-ASW-1(config-line)#password telnet FC-ASW-1(config-line)#exit FC-ASW-1(config)#exit Paso 5: Guardar el archivo de configuración Use el comando copy running-config startup-config para guardar la nueva configuración. FC-ASW-1#copy running-config startup-config Destination filename [startup-config]?[enter] Building configuration... [OK] FC-ASW-1# Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 9 de 10 CCNA Discovery Diseño y soporte de redes de computadoras Paso 6: Verificar la contraseña y la configuración nuevas Reinicie el switch y verifique que las contraseñas sean funcionales. Paso 7: Limpieza Borre las configuraciones y vuelva a cargar el switch. Desconecte y guarde los cables. En el caso de los hosts de PC que habitualmente están conectados a otras redes (como la LAN de la escuela o Internet), vuelva a conectar los cables apropiados y restaure los parámetros de TCP/IP. Tarea 3: Reflexión Analice los diferentes métodos que se utilizan para asegurar el acceso físico a los dispositivos de red como routers y switches. Mencione cómo sólo aquellas personas que requieren el acceso pueden ser identificadas y cómo puede implementarse este sistema de seguridad. ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ NOTA: Es importante recordar que las contraseñas (consola, cisco, clase, telnet) utilizadas en estas prácticas de laboratorio se usan sólo por motivos de conveniencia. Éstas no son contraseñas seguras que podrían usarse en las redes de producción. Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 10 de 10