mediante el SPAN
Topología
Tabla de direccionamiento
Máscara de Gateway
Dispositivo Interfaz Dirección IP subred predeterminado
Objetivos
Parte 1: Armar la red y comprobar la conectividad
Parte 2: Configurar el SPAN local y capturar el tráfico copiado con Wireshark
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 1 de 6
Práctica de laboratorio: Solución de problemas de tráfico de LAN mediante el SPAN
Aspectos básicos/situación
Como administrador de redes, usted decide analizar la red de área local interna en busca de tráfico de red
sospechoso y posibles ataques de denegación de servicio o de reconocimiento. Para ello, configurará
puertos reflejados en todos los puertos del switch y reflejará/copiará todo el tráfico a un puerto de switch
designado, donde una PC con Wireshark pueda analizar el tráfico capturado. El objetivo es identificar el
origen del tráfico sospechoso. Para configurar el reflejo del puerto, usará la característica analizador de
puertos con switches (SPAN) en el switch de Cisco. Es común encontrar un dispositivo que ejecuta un
detector de paquetes o un sistema de detección de intrusiones (IDS) conectado al puerto reflejado.
Nota: Los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados
(ISR) Cisco 1941 con Cisco IOS versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son
Cisco Catalyst 2960s con Cisco IOS versión 15.0(2) (imagen lanbasek9). Pueden utilizarse otros routers,
switches y versiones de Cisco IOS. Según el modelo y la versión de Cisco IOS, los comandos disponibles y
los resultados obtenidos pueden diferir de los que se muestran en las actividades de laboratorio. Consulte la
tabla Resumen de interfaces del router que se encuentra al final de esta práctica de laboratorio para conocer
los identificadores de interfaz correctos.
Nota: Asegúrese de que los routers y los switches se hayan borrado y no tengan configuraciones de inicio. Si
no está seguro, consulte al instructor.
Recursos necesarios
• 1 router (Cisco 1941 con Cisco IOS versión 15.2(4)M3, imagen universal o similar)
• 2 switches (Cisco 2960 con Cisco IOS versión 15.0(2), imagen lanbasek9 o comparable)
• 2 PC (Windows 8, 7 o Vista con un programa de emulación de terminal, como Tera Term o PuTTY,
Wireshark y Zenmap)
• Cables de consola para configurar los dispositivos con Cisco IOS mediante los puertos de consola
• Cables Ethernet y seriales, como se muestra en la topología
Paso 3: Iniciar y volver a cargar los routers y los switches según sea necesario.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 2 de 6
Práctica de laboratorio: Solución de problemas de tráfico de LAN mediante el SPAN
g. Configure logging synchronous para evitar que los mensajes de consola interrumpan la entrada de
comandos.
h. Copie la configuración en ejecución en la configuración de inicio
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 3 de 6
Práctica de laboratorio: Solución de problemas de tráfico de LAN mediante el SPAN
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 4 de 6
Práctica de laboratorio: Solución de problemas de tráfico de LAN mediante el SPAN
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 5 de 6
Práctica de laboratorio: Solución de problemas de tráfico de LAN mediante el SPAN
b. Como el atacante de la PC-C sabe que el router tiene un puerto abierto en 23, podría intentar un ataque
adicional por fuerza bruta o un ataque de estilo denegación de servicio, como un ataque de LAND. Un
ataque de LAND es un paquete SYN de TCP con la misma dirección IP de origen y de destino y el
mismo número de puerto. Con Zenmap, el comando nmap –sS 192.168.1.1 –S 192.168.1.1 –p23 –g23 –
e eth0 es un ejemplo. Observe la forma en que el ataque del LAND fija las direcciones IP de origen y
destino a 192.168.1.1 y tanto el número de puerto de origen como el de destino en el puerto abierto en
23. Aunque el R1 con IOS15 no es vulnerable a este tipo de ataque de denegación de servicio antiguo,
muchos sistemas y servidores antiguos aún son vulnerables. Este ataque bloqueará los sistemas
vulnerables, mediante la creación de un ciclo infinito.
Reflexión
En esta situación, ¿se utilizó SPAN para solucionar problemas e identificar el origen de una actividad
sospechosa en la red? ¿Para qué otras situaciones de solución de problemas podría ser útil SPAN?
_______________________________________________________________________________________
_______________________________________________________________________________________
1800 Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(F0/0) (F0/1)
1900 Gigabit Ethernet 0/0 Gigabit Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(G0/0) (G0/1)
2801 Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/1/0 (S0/1/0) Serial 0/1/1 (S0/1/1)
(F0/0) (F0/1)
2811 Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(F0/0) (F0/1)
2900 Gigabit Ethernet 0/0 Gigabit Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(G0/0) (G0/1)
Nota: para conocer la configuración del router, observe las interfaces para identificar el tipo de router y cuántas
interfaces tiene. No existe una forma eficaz de confeccionar una lista de todas las combinaciones de
configuraciones para cada clase de router. En esta tabla se incluyen los identificadores para las posibles
combinaciones de interfaces Ethernet y seriales en el dispositivo. En esta tabla, no se incluye ningún otro tipo de
interfaz, aunque puede haber interfaces de otro tipo en un router determinado. La interfaz BRI ISDN es un
ejemplo. La cadena que figura entre paréntesis es la abreviatura legal que se puede utilizar en los comandos de
Cisco IOS para representar la interfaz.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 6 de 6