1

Configuracin de seguridad bsica en Switches

utilizando Vlans y Seguridad de Puerto.
Labn O, Ortiz E, Penadillo J, Vsquez C, Ventura I.
Profesor: William Marchand Nio.

Resumen En este trabajo se realiza las configuraciones

bsicas de seguridad informtica orientado al campo de las
redes de datos, como parte de un desafo propuesto por nuestro
profesor del curso de Seguridad Informtica enfocado
principalmente a la utilizacin de equipos de la marca CISCO,
partiendo de una topologa de red asignada, la cual es necesario
tomar en cuenta para establecer la hardenizacion de equipos
de red, este proceso se realizar mediante la asignacin y
cifrado de contraseas de acceso a los equipos, creacin de
usuarios, asignacin de permisos; enrutamiento de VLANs,
mediante la encapsulacin dot1Q; servicio de acceso y
administracin remota a dispositivos de red, empleando el
protocolo SSH y utilizando listas de control de acceso para la
diferenciacin de trfico. Con el establecimiento de estas
configuraciones, nutriremos a nuestra red con un ndice bsico
de seguridad, dificultando el trabajo a una posible intrusin o
vulnerabilidades dirigidas a nuestra red informtica.
Abstract In this paper the basic field-oriented data networks
as part of a plan proposed by our teacher of the course
"Information Security" focused mainly on the use of equipment
of CISCO brand challenge, configurations of security based
on is done mapped network topology, which is necessary to
take into account to establish the hardenizacion network
equipment, this process is done by assigning passwords and
encryption access to computers, creating users, assigning
permissions; VLAN routing, by encapsulating dot1Q; remote
access service and network management devices, using the
SSH protocol and using access control lists for traffic
differentiation. With the establishment of these configurations,
we will nourish our network with a basic security index,
making it difficult work to a possible intrusion or
vulnerabilities addressed to our computer network.

I.
NOMENCLATURA
IOS, Redes de rea Local Virtuales (VLANs), (SSH) Secure
Shell, IEE 802.1Q, Frame Check Sequence (FCS), Trunk, IOS
CLI (Intefaz De lnea De Comando De IOS, Hardening, Port
Security, Lista De Control De Acceso(ACL).

II. INTRODUCCIN
ste articulo proporciona un ejemplo de partida hacia el
proceso de endurecimiento de seguridad informtica,
orientado al campo de las redes de datos, como parte de un desafo
propuesto por parte de nuestro docente de pregrado, perteneciente
al curso de Taller de Seguridad Informtica.

Por medio de este trabajo se implement configuraciones bsicas

de hardenizacion de equipos de red, teniendo a CISCO como la
marca principal de nuestros equipos fsicos, adicionalmente a ello
partimos desde una topologa de red asignada por el docente del
curso de Taller de Seguridad Informtica, como parte de un desafo
propuesto.
Para la realizacin de las actividades en mencin, es necesario
poseer un fundamento tcnico, nivel bsico, de redes y
telecomunicaciones, para hacer frente al desafo propuesto.
El presente trabajo contempla los siguientes aspectos bsicos de
configuracin de seguridad en quipos Switches Catalyst 2950,2960
y Router 1900 de la marca Cisco:
1. Configuracin De Hardenizacion en Switches
2. Configuracin De Vlans
3. Configuracin De Enlaces Trunk
4. Configuracin De Enrutamiento inter-vlans
5. Configuracin Del Servicio SSH para acceso remoto
6. Configuracin De La Seguridad de puertos (poltica shutdown)
7. Configuracin De Administracin remota de switches

III.

DESARROLLO
2

l proceso de solucin del desafo planteado en el curso

de Taller de Seguridad Informtica, se llev a cabo
en el Laboratorio de Redes y Telecomunicaciones,
correspondiente a la Facultad de Ingeniera en Informtica y
Sistemas, de la Universidad Nacional Agraria De La Selva.
Los equipos CISCO y otros materiales de utilizacin para la
solucin del desafo a excepcin de los equipos usados como
Host son pertenecientes al mencionado laboratorio, los host
fueron configurados en computadores porttiles de propiedad
de los integrantes del grupo para el desarrollo del desafo.

Figura 2. Interfaz de conexin Serial en PuTTY.

Para esto nos conectamos con un cable consola DB9 con salida
USB al Switch a configurar, usamos la herramienta de Software
PUTTY, tal como se observa en la figura 4, y accedemos a la
Interfaz de Lnea de Comandos (CLI) del Switch. Los pasos
para realizar la configuracin son los siguientes:

Figura 1. Topologa de Red planteada (Desafo 01)

A continuacin se exponen las especificaciones de los

materiales utilizados.
A nivel de hardware:
Catalyst 2950 marca Cisco
Catalyst 2960 marca Cisco
Router 1900 marca Cisco
Cable de red UTP
Cable de Consola DB9-USB
A nivel de software:
IOS CISCO 12.1 y 15.2
PuTTY Release 0.63
Packet tracer 6.2.0
A. Configuracin de Hardenizacin de Switches.
Para la Hardenizacin de Switches se configuraron contraseas,
cifrado, y se cre usuarios.

1.
2.
3.
4.
5.
6.
7.

Acceder al modo privilegiado.

Acceder al modo de configuracin global.
Poner nombre al Switch (es un paso opcional, pero por
buenas practicas siempre es bueno poner nombre).
Poner contrasea de para acceso por consola.
Poner contrasea para acceder al modo privilegiado.
Crear usuario.
Cifrar contraseas.

Las lneas de comandos usados para esto son:

Switch>enable
Switch#configure terminal
Switch(config)#hostname S1
S1(config)#line console 0
S1(config-line)#password grupo1
S1(config-line)#login
S1(config-line)#exit
S1(config)#enable secret g1masseguro
S1(config)#username admin password admin
S1(config)#service password-encryption
Luego de ejecutar estos comandos nos solicitar el ingreso de
password al conectarnos y acceder a la CLI del switch y
tambin para ingresar al modo privilegiado. El usuario creado
es el que se usar para hacer conexin remota.
Esta misma configuracin se hace en el segundo switch S2.

B. Configuracin Configurar VLANs requeridas.

En el desafo propuesto se usan 3 VLANs (VLAN 10, VLAN
20 y VLAN 99). La configuracin se realiza en el modo
privilegiado del Switch.
Switch 1 (S1). Creacin de VLANs:
S1(config)#vlan 10
S1(config-vlan)#name VLAN10
S1(config-vlan)#exit
S1(config)#vlan 20
S1(config-vlan)#name VLAN20
S1(config-vlan)#exit
S1(config)#vlan 99
S1(config-vlan)#name ADMINISTRACION
S1(config-vlan)#exit

S1(config)#interface fastEthernet 0/1

S1(config-if)#switchport mode trunk

S2(config)#interface fastEthernet 0/1

S2(config-if)#switchport mode trunk
S2(config-if)#exit
S2(config)#interface fastEthernet 0/2
S2(config-if)#switchport mode trunk
D. Configurar el Enrutamiento inter-vlans para VLAN10
y VLAN20
Para realizar el enrutamiento se accede al Router, al igual que
en los switches se usa el cable serial y el software Putty. Para
realizar el enrutamiento se usa sub-interfaces y la
encapsulacin dot1Q.
Los comandos usados son los siguientes:

Asignacin de IP a una interface vlan para acceso remoto:

S1(config)#interface vlan 99
S1(config-if)#ip address 192.168.99.15 255.255.255.0
S1(config-if)#exit
Asignacin de puertos para VLANs:
S1(config)#interface range fastEthernet 0/5 - 10
S1(config-if-range)#switchport mode access
S1(config-if-range)#switchport access vlan 10
S1(config-if-range)#exit
S1(config)#interface range fastEthernet 0/12 - 20
S1(config-if-range)#switchport mode access
S1(config-if-range)#switchport access vlan 20
S1(config-if-range)#exit
En el Switch 2 (S2), se hace la misma configuracin, slo se
cambia la ip para la interface VLAN.
S2(config)#interface vlan 99
S2(config-if)#ip address 192.168.99.20 255.255.255.0
S2(config-if)#exit
Y se configura la interfaz FastEthernet 0/23 para acceso a la
vlan 99.
S2(config)#interface fastEthernet 0/23
S2(config-if)#switchport mode access
S2(config-if)#switchport access vlan 99
S2(config-if)#exit
C. Configuracin de enlaces TRUNK (Troncales)
Como se observa en la figura 3, el siwtch 1 tiene un enlace
troncal en fa0/1 y el swtich 2 tiene dos enlaces troncales, uno
en fa0/1 y otro ser en fa0/2.

R1(config)#interface gigabitEthernet 0/1.10

R1(config-subif)#encapsulation dot1Q 10
R1(config-subif)#ip address 192.168.10.1 255.255.255.0
R1(config-subif)#no shutdown
R1(config-subif)#exit
R1(config)#interface gigabitEthernet 0/1.20
R1(config-subif)#encapsulation dot1Q 20
R1(config-subif)#ip address 192.168.20.1 255.255.255.0
R1(config-subif)#no shutdown
R1(config-subif)#exit
R1(config)#interface gigabitEthernet 0/1
R1(config-if)#no shutdown
Con esas lneas de comandos se tiene comunicacin inter-vlans
entre VLAN10 y VLAN20.
E. Configurar el servicio SSH para acceso remoto al S1
Para eso accedemos al modo de configuracin global del switch
1 (S1) y digitamos las siguientes lneas:
S1(config)#ip domain-name grupo1.pe
S1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
S1(config)#ip ssh time-out 20
S1(config)#ip ssh authentication-retries 3
S1(config)#line vty 0 4
S1(config-line)#exec-timeout 3
S1(config-line)#transport input ssh
S1(config-line)#login local
S1(config-line)#exit

En la seccin III A se cre el usuario admin con password

admin. Este es el usuario que ingresaremos cuando nos
conectemos remotamente con SSH al Switch.
Para acceder de manera remota usando ssh, hacemos uso del
software Putty nuevamente. Ingresamos la direccin IP de la
interfaz virtual creada en el Switch 1.

Se ejecuta los mismos commandos en el Switch

2,
4
seleccionando los puertos que queremos poner seguridad.
G. Para la administracin remota del switch a travs de
la Vlan de administracin.
Como se observa en la seccin III B, las interfaces virtuales
fueron configuradas para la Vlan 99 (ADMINISTRACION),
esta configuracin slo permite la conexin desde un host que
pertenezca a la misma Vlan.
H. Aislamiento entre las Vlans de usuario y la Vlan de
Administracin.
En el enrutamiento realizado en la seccin III D, slo se
configur los Gateway de la Vlan 10 y la Vlan 20; esta
configuracin hace que las Vlans de usuario no tengan registro
de la Vlan 99 (Administracin), por lo tanto no existe
comunicacin entre las Vlans de usuario y la Vlan de
Administracin.

Figura 3. Conexin SSH 192.168.99.15 (S1)

I.

Configuracin Adicional

En el desarrollo del desafo se desarroll la configuracin del

servicio SSH para acceso remoto al Router (R1).
Se procedi a registrar la direccin Gateway de la Vlan 99 en
el Router. Esto conllev a la configuracin de ACL (Listas de
Control de Acceso) para restringir la comunicacin entre las
Vlans de usuario (Vlan 20 y Vlan 10) y la Vlan de
Administracin (Vlan 99).
a.

Registro del Gateway de la Vlan 99 en el Router

Figura 4. Acceso con SSH al Switch 1 (S1)

Como se observa en la figura 6, tenemos acceso a S1, nos pide

usuario y escribimos el usuario creado en el switch junto con la
contrasea correspondiente. Finalmente una vez realizada la
conexin podemos acceder al modo privilegiado usando la
contrasea configurada anteriormente (g1masseguro).
Para configurar el servicio SSH en el Switch 2 (S2) se sigue los
mismos pasos.

R1(config)#interface gigabitEthernet 0/1.99

R1(config-subif)#encapsulation dot1Q 99
R1(config-subif)#ip address 192.168.99.1 255.255.255.0
R1(config-subif)#no shutdown
R1(config-subif)#exit
Despus de estas lneas de comandos, la comunicacin entre las
Vlans de usuarios y la Vlan de Administracin se habilita, as
que tenemos que hacer uso de ACL para restringir esta
comunicacin. Usamos listas de acceso extendidas.

F. Configurar la seguridad de puerto. Poltica: Shutdown

b.

Configuracin de Listas de Acceso Extendidas

Accedemos a los switches y digitamos las siguientes lneas:

S1(config)#interface range fastEthernet 0/5 10
S1(config-if-range)#switchport port-security
S1(config-if-range)#switchport port-security maximum 1
S1(config-if-range)#switchport
port-security
violation
shutdown
S1(config-if-range)#exit

R1(config)#ip access-list extended denegar

R1(config-ext-nacl)#deny
ip
192.168.10.0
192.168.99.0 0.0.0.255
R1(config-ext-nacl)#deny
ip
192.168.20.0
192.168.99.0 0.0.0.255
R1(config-ext-nacl)#exit

0.0.0.255
0.0.0.255

El siguiente paso es agregar esta lista de acceso a una interfaz

para que pueda hacerse efectivo el control.

R1(config)#interface gigabitEthernet 0/1.99

R1(config-subif)#ip access-group denegar out
R1(config-subif)#exit
Luego de esta configuracin la comunicacin entre las Vlan de
usuario y la Vlan de Administracin queda restringida.
El siguiente paso es configurar el servicio SSH en el Router, los
pasos son similares a la configuracin de servicio SSH realizada
en los Switches.
c.

Configuracin del servicio SSH en el Router.

R1(config)#ip domain-name grupo1.pe

R1(config)#crypto key generate rsa
How many bits in the modulus [512]: 1024
R1(config)#ip ssh time-out 20
R1(config)#ip ssh authentication-retries 3
R1(config)#line vty 0 4
R1(config-line)#exec-timeout 3
R1(config-line)#transport input ssh
R1(config-line)#login local
R1(config-line)#exit
d.

Accedemos usando el usuario configurado en el Router:

Username: admin
Password: admin

Hardenizacin de Router

Tenemos que poner una contrasea al enable para acceso

privilegiado, de lo contrario no se puede conectar remotamente
con SSH al Router; tambin es imprescindible la creacin de un
usuario. Finalmente se realiza el cifrado de contraseas.
R1(config)#enable password secreto
R1(config)#username admin secret admin
R1(config)#service password-encryption
e.

Figura 5. Conexin SSH al Router R1

Conexin SSH

Usamos Putty, ingresamos la direccin de la puerta de enlace

de la Vlan 99.

Figura 6. Acceso Remoto al Router R1

IV.

CONCLUSIONES

Se logr la hardenizacin de los switches, encriptando las

contraseas y la creacin de dos usuarios.
Se configur 3 VLANs en ambos switches: VLAN 10,
VLAN 20 y la vlan 99 que viene a ser la VLAN de
administracin, logrando que el host de administracin
tenga comunicacin con los host de la VLAN 10 y la VLAN
20.
Se configuro a la interfaz fastEthernet 0/1 de ambos switchs
como modo TRUNK.
Se logr configurar el enrutamiento inter-vlans para VLAN
10 y VLAN 20 usando la encapsulacin dot1Q.
Se logr la configuracin del servicio ssh, logrando el
acceso remoto ms seguro hacia el switch1.
Se logr la configuracin de seguridad de los puertos con la
poltica SHUTDOWN.
La VLAN 99 es la VLAN de administracin, por ello es la
nica que est autorizada para la administracin remota del
switch1 y switch2.
No existe comunicacin entre los Host de las VLANs 10 y
20 con el host de la VLAN 99. Pero si existe comunicacin
entre los host de la VLAN10 con los host de la VLAN 20.

V.

RECOMENDACIONES
6

Se recomienda desactivar la proteccin de antivirus as

como desactivar el Firewall de Windows. Algunos antivirus
tienen proteccin HIPS tambin es necesario desactivar esa
proteccin.

Es recomendable desactivar el Wifi pues cuando se est

conectado a una red y queremos hacer PING inter Vlans lo
que responde es el Router del Wifi y este no conoce la red
que se configur; por lo tanto no hay conexin.

Es recomendable siempre al final de toda configuracin

ejecutar copy running-config startup-config para guardar la
configuracin en los dispositivos. Esto funcionar siempre
y cuando el dispositivo se encuentre en la configuracin de
registro 0x2102; si no se encuentra configurado as la
configuracin no se guardar.

Se tiene que tener instalado el controlador para conectarse

con el cable de consola DB9, es recomendable estar
conectado a internet cuando se hace la conexin para
descargar e instalar el controlador en caso de no tenerlo
instalado.

VI.
[1]
[2]
[3]

[4]
[5]

REFERENCIAS

CCNA Segurity 640-553, 2009, p. 465.

A. Valds Jimenez, Cisco IOS, p. 5, disponible:
http://diegotch.webcindario.com/IOS_Cisco.pdf
Cisco, Soporte De IEEE 802.1Q De CISCO IOS, disponible:
http://www.cisco.com/cisco/web/support/LA/8/81/81694_prod_sw_ioss
wrel_ps1830_prod_feature_guide09186a008008742b.pdf
Cisco, Configuracion De Secure Shell En Switches, disponible:
http://www.cisco.com/cisco/web/support/LA/7/72/72973_ssh.html
Cisco, Lista de Control De Acceso, disponible:
http://www.cisco.com/cisco/web/support/LA/102/1026/1026864_confacce
sslists.html