You are on page 1of 72

Descripcin General Este modulo define las potenciales vulnerabilidades relacionadas con las VLANs dentro de una red

y sus posibles soluciones. Los tpicos incluyen seguridad de puerto para mitigar las suplantaciones e inundaciones MAC, utilizando PVLANs y VACLs para controlar el trfico VLAN, VLAN hopping, Suplantacin DHCP, suplantacin ARP y ataques STP. Aprender acerca de los muchos potenciales problemas y soluciones; en particular, aprender como asegurar un switch de acceso usando ACLs vty e implementando SSH.

8.1.1 Descripcin General de las preocupaciones de seguridad en Switch Mucha atencin de parte de la industria reside en los ataques de seguridad provenientes desde el exterior de una organizacin y las capas superiores del modelo OSI. La seguridad en la red tambin se enfoca en los dispositivos de enrutamiento de borde y en el filtrado de paquetes basado en los encabezados de capa 3 y 4, puertos y la Inspeccin de estado de paquetes. Esto incluye todo lo relacionado a la capa 3 y todo el
trfico marcado hacia la red del campus desde Internet. Generalmente, la mayora de las discusiones de seguridad no consideran los dispositivos de acceso al campus y tampoco la comunicacin de capa 2. El estado por defecto del equipamiento de redes pone de relieve este enfoque en la proteccin exterior y la comunicacin abierta interna. Los firewalls son colocados en las fronteras organizacionales y por defecto para un modo operacional seguro, no se establece comunicacin hasta que se halla configurado para ello. El modo operacional por defecto para routers y switches dentro de una organizacin es permitir la comunicacin y enviar todo el trfico, lo cual a menudo resulta en una configuracin de seguridad minima y las convierte en objetivos para ataques maliciosos. Si se lanza un ataque a la capa 2 en un dispositivo del campus interno, el resto de la red puede comprometerse rapidamente, a menudo sin ser detectados. Muchas caracteristicas de seguridad estan disponibles para los switches y routers, pero deben ser activadas para que sean efectivas. Igualmente en la capa 3, donde la seguridad debe ser mas estricta en los dispositivos dentro del campus, donde hay mayor actividad maliciosa, las medidas de seguridad deben tomarse ahora para protegerse de la actividad maliciosa en la capa 2. Un nuevo enfoque de seguridad se centra en los ataques lanzados maliciosamente aprovechando el funcionamiento normal de los switches en la capa 2. Las caracteristicas de seguridad existen para proteger los switches y la operacin de capa 2 pero, con las listas de control de acceso (ACLs) para la seguridad de las capas superiores, una politica se debe establecer y las caracteristicas apropiadas configuradas para protegerse contra potenciales actos maliciosos, mientras que se mantiene a diario la funcionalidad de la red.

Figura 1

8.1.2 Descripcin del acceso no autorizado de dispositivos ocultos El acceso oculto viene en varias formas. Por ejemplo, como los puntos de acceso ilegales son baratos y fcilmente adquiribles, los empleados a menudo los conectan dentro de las LAN existentes y crean redes Wireless ad hoc sin el conocimiento o el consentimiento del departamento de IT. Estos puntos de acceso ilegales pueden ser un grave riesgo para la seguridad de la red ya que pueden ser conectados a un puerto de red detrs del firewall corporativo. Los empleados generalmente no activan ninguna opcin de seguridad en el punto de acceso ilegal, as que es fcil para los usuarios no autorizados usar los puntos de acceso para interceptar el trafico de red y descifrar las sesiones de un cliente. Los puntos de acceso maliciosos, aunque es mucho menos comn que los empleados los instalen, presentan un riesgo aun mayor y un reto ya que son intencionalmente ocultados de la vista fsica de la red. Estos puntos de acceso ilegales crean una conexin LAN inalmbrica no segura que pone a la red entera bajo riesgo. Otra amenaza de seguridad son los switches ilegales de capa 2. Un atacante con acceso fsico al cableado de datos conecta un switch ilegal que puede ser usado para manipular el Protocolo Spanning Tree (STP), VLANs, husmeo de trfico, etc. Este switch ilegal puede ser una estacin de trabajo con la habilidad de conectarse y participar en las operaciones de otros dispositivos de capa 2. Para mitigar la manipulacin de STP, el uso de los comandos root guard y BPDU guard enhancement para forzar la eleccin del puente raz en la red y los bordes del dominio STP. El STP BPDU guard permite a los diseadores de red mantener la topologa actual predecible, Mientras que el BPDU guard puede parecer innecesario dado que el administrador puede establecer la prioridad del puente a cero, no hay ninguna garanta de que el puente ser elegido como puente raz ya que puede haber

otro puente con la prioridad cero y un menor ID de puerto. Es mejor activar el BPDU guard en los puertos que usan los usuarios para prevenir que se extienda la red con switches ilegales conectados por un atacante. Figura 1

8.1.3

Tipos de ataques a Switches

Los ataques maliciosos a la capa 2 son tpicamente lanzados por un dispositivo conectado a la red en el campus. Este puede ser un dispositivo ilegal fsico puesto en la red o una intrusin externa que toma el control de y lanza ataques desde un dispositivo confiable. En cualquier cosa, la red visualiza todo el trfico como originado desde un dispositivo conectado legtimo. A continuacin se enumeran los tipos de ataques que se lanzan en contra de los switches y la capa 2: Ataques de capa MAC Ataque Vlan Ataques de falseo Ataque de dispositivos Switch

La figura describe los mtodos de ataque y los pasos para mitigarlos

8.1.4

Describiendo un ataque de inundacin MAC

Un ataque comn de capa 2 o ataque de switch es la inundacin MAC, lo que provoca una sobrecarga en la tabla CAM del switch, resultando en inundaciones regulares de tramas de datos por todos los puertos del switch. (1) Este ataque puede ser lanzado para recoger una amplia muestra de trfico o como un ataque de denegacin de servicio (DoS).

La tabla CAM de los switches es limitada y por lo tanto, puede contener solo un nmero limitado de entradas en cualquier momento, Un intruso en la red puede inundar maliciosamente un switch con un gran numero de tramas con un rango invalido de direcciones MAC origen. Si se crean suficientes entradas nuevas antes de que las viejas expiren, las entradas nuevas validas no son aceptadas. Luego, cuando el trafico llega al switch de un dispositivo legitimo que esta conectado a uno de los puertos del switch no puede crear una entrada en la tabla CAM, el switch debe inundar con tramas todos sus puertos. Esto tiene dos efectos adversos: El trafico del switch es ineficiente y voluminoso. Un dispositivo intruso puede ser conectado a cualquier puerto de switch y capturar el trafico que normalmente no puede ser visto en ese puerto.

Si el ataque se lanza antes de iniciarse el dia, la tabla CAM in los switches se llena. Como la mayoria de los dispositivos finales legtimos se encienden, sus direcciones MAC origen no deben ser puestas en las tablas CAM. Si esto representa un gran numero de dispositivos de red, el numero de direcciones MAC para las cuales el trafico debe ser enviado es alta y los puertos del switch deben procesar inundaciones con tramas desde un gran numero de dispositivos.

Si la inundacin inicial de entradas invalidas en la tabla CAM es un evento aislado, el switch eventualmente enviara fuera las mas antiguas, las entradas invalidas en la tabla CAM, permiten nuevamente, legitimar dispositivos para crear una entrada. La inundacin de trafico se detendra y nunca sera detectada, mientras el intruso intercepta una cantidad significante de datos desde la red. La figura (2) muestra el progreso de un ataque de inundacin MAC.

Para mitigar las inundaciones MAC, se configura la seguridad de puerto para definir el numero de direcciones MAC que estan permitidas en un puerto dado. La seguridad de puerto tambien puede especificar cual direccion MAC se permite en un puerto dado.

8.1.4 Describiendo la seguridad del puerto Los switches Cisco Catalyst incluyen la seguridad de puerto como una caracterstica. La seguridad de puerto restringe un puerto de switch a un nmero especfico de direcciones MAC. (1) Estas direcciones se pueden aprender dinmicamente o ser configuradas estticamente. El puerto entonces provee acceso solo a las tramas de esas direcciones. Sin embargo, el numero de direcciones es limitado a cuatro pero no se configuran direcciones MAC especificas, los puertos permiten aprender cualquiera de las cuatro direcciones MAC dinmicamente, el acceso al puerto es entonces limitado a esas cuatro direcciones aprendidad dinmicamente.

Una caracterstica de seguridad en el puerto tambin llamada aprendizaje adherido el cual esta disponible en algunas plataformas de switch, combina las caractersticas de las direcciones aprendidas dinmicamente o configuradas estticamente. Cuando esta caracterstica es configurada en una interfaz, la interfaz convierte dinmicamente las direcciones aprendidas a direcciones con seguridad adherida. Estas direcciones son aadidas a la configuracin activa como si fueran configurada usando el comando switchport port-security mac-address. Escenario Imagine cinco individuos cuyas computadoras porttiles pueden conectarse a un puerto de switch especfico cuando visitan un rea del edificio. Queremos restringir el acceso al puerto del switch a las direcciones de esos 5 computadores y permitir que las direcciones no sean aprendidas dinmicamente en ese puerto. La figura (2) describe el proceso para lograr esto.

Nota: La seguridad en el puerto no puede aplicarse a puertos troncales donde las direcciones pueden cambiar frecuentemente. Las implementaciones de seguridad de puerto varan por plataforma Catalyst Cisco. Consulte la documentacin para ver si y como un hardware en particular puede soportar esta caracteristica. 8.1.5 Configurando la seguridad del puerto en el Switch La figura (1) describe lo que esta involucrado en la configuracin de seguridad de puerto para limitar el acceso al puerto del switch, un grupo especifico de direcciones MAC de dispositivos finales.

La figura (2) muestra los pasos de configuracin.

Usted debe tener en cuenta las siguientes cosas: Paso 1 la seguridad de puerto se activa puerto por puerto. Paso 2 por defecto, solo se permite el acceso de direcciones MAC a travs de un puerto de switch dado cuando la seguridad de puerto esta activada. Este parmetro incrementa ese nmero. Que no impone ninguna restriccin en las direcciones MAC especficas, solo en el numero total de direcciones que pueden ser aprendidas por puerto. Las

direcciones aprendidas no caducan por defecto, pero pueden configurarse para hacer eso despus de un periodo de tiempo especfico usando el comando switchport portsecurity aging. El valor del parmetro puede ser cualquier numero desde 1 a 1024, con ciertas restricciones sobre el numero de puertos en un switch dado con la seguridad de puerto activada. Nota: Asegrese de establecer el valor del parmetro a un valor de 2 cuando este configurando un puerto para soportar VoIP y requiere un telfono y una computadora accesible en el puerto. Si se usa el valor por defecto, ocurre una violacin a la seguridad del puerto. Paso 3 El Acceso al puerto del switch puede restringirse a una o mas direcciones MAC especificas. Si el numero de direcciones MAC asignado es menor que el valor establecido en el paso 2, las direcciones permitidas restantes pueden ser aprendidas dinmicamente. Si usted especifica un conjunto de direcciones MAC que es igual al numero mximo permitido, el acceso es limitado a ese conjunto de direcciones MAC. Paso 4 Por defecto, si numero maximo de conexiones es alcanzado y una nueva direccion MAC intenta acceder al puerto, el switch debe tomar una de las siguientes acciones: Nota: El argumento proteger depende de la versin de la plataforma Restringir: Las tramas que provienen desde las direcciones no permitidas son descartadas, se crea un mensaje de registro y se enva una trampa del protocolo simple de administracin de red (SNMP). Apagado: Si cualquier trama es enviada desde una direccion no permitida, la interfaz es (errdisabled) desactivada, se crea una entrada de registro, se enva una trampa SNMP y la intervencin manual o recuperacion (errdisable) debe usarse para hacer que la interface puede funcionar. Proteger: Las tramas desde las direcciones no permitidas son descartadas, pero no hay registro de esa violacin.

Use los comando show para verificar la configuracin de seguridad de puerto. El comando show port-security enumera los puertos en los que la seguridad ha sido activada. Tambin muestra informacin de las cuentas y acciones de seguridad que debern tomarse por la interfaz. (3)

La sintaxis completa del comando es la siguiente:


Switch#show port-security [interface interface_id] address

Puede ver el estatus de la seguridad de puerto por interfaz o por las direcciones asociadas con la seguridad de puerto en todas las interfaces. La figura (3) muestra el resultado del comando Show port-security cuando no se introduce ninguna interfaz, Use la palabra clave interface para obtener el resultado para una interfaz especfica. La figura (4) muestra el resultado del comando Show port-security para una interfaz especfica.

Utilice la palabra clave address mostrar la informacin de seguridad de la tabla de direcciones MAC. La figura (5) muestra el resultado del comando Show port-security address en el modo de configuracin privilegiado. La columna Age restante es llenada solo si esta especficamente configurado para una interfaz dada.

8.1.6 Seguridad de puerto con MAC adherida La seguridad de puerto puede ser usada para mitigar los ataques burlas (spoof) limitando el acceso a travs de cada puerto a una sola direccin MAC. Esto previene que los intrusos usen mltiples direcciones MAC en un corto periodo de tiempo pero no limita el acceso al puerto a una direccin MAC especfica. La implementacin de seguridad de puerto ms restrictiva debe especificar la direccin MAC exacta del dispositivo que ganara acceso a travs de cada puerto. Implementando este nivel de seguridad, sin embargo, requiere una sobrecarga administrativa considerable. La seguridad de puerto posee una caracterstica llamada Direccin MAC Adherida que puede limitar el acceso al puerto del switch a una nica, direccin MAC especifica sin que el administrador de red tenga que determinar la direccion MAC de cada dispositivo autenticado y asociarlo manualmente con un puerto de switch en particular. Cuando se usan las direcciones MAC adheridas, el puerto del switch convierte dinmicamente las direcciones MAC aprendidas a direcciones MAC adheridas y las aade a la configuracin en uso como si fueran entradas estaticas para una unica direccion MAC permitida por la seguridad de puerto. Las direcciones MAC adheridas seguras son aadidas a la configuracin en uso pero no forman parte de la configuracin

de la NVRAM, a menos que la configuracin en uso sea copiada a la NVRAM despus de que se aprendieron las direcciones. Si son guardadas en la configuracin de la NVRAM, no tienen que ser aprendidas cuando se reinicie el switch, lo cual provee un mayor nivel de seguridad. El siguiente comando convierte todas las direcciones MAC aprendidas dinmicamente por seguridad de puerto a direcciones MAC adheridas seguras:
switchport port-security mac-address sticky

Este comando no puede ser usado en puertos que han sido configurados para VLAN de voz.

8.1.7 Autenticacin, Autorizacin y manejo de Cuentas. Los servicios de seguridad autenticacin, autorizacin y manejo de cuentas (AAA) proveen el marco de trabajo primario a travs del cual el control de acceso es configurado en el switch. AAA es un marco de trabajo arquitectnico para configurar un grupo de tres funciones de seguridad independientes de una manera consistente. AAA provee una forma modular de llevar acabo esos servicios. Para propsitos de este curso, solo se discute la autenticacin. La autenticacin es la manera en que un usuario se identifica antes de que se le permita el acceso a la red y a sus servicios. La autenticacin AAA es configurada definiendo una lista de mtodos de autenticacin con nombre y luego se debe aplicar esa lista a interfaces especificas antes de que se realicen cualquiera de los mtodos de autenticacin definidos. Si no hay una lista de mtodos definidos, una lista por defecto

con mtodos definidos (llamada default) se aplica. Una lista con mtodos definidos reemplaza la lista con mtodos por defecto. En muchas circunstancias, AAA usa protocolos como RADIUS, TACACS+, o 802.1x para administrar las funciones de seguridad. Si el switch esta actuando como servidor de acceso a la red, AAA es el medio por el cual el switch establece comunicacin entre el servidor de acceso a la red y el servidor de seguridad RADIUS, TACACS+ o 802.1x.

8.1.8 Mtodos de Autenticacin. Los servicios de seguridad AAA facilitan una variedad de mtodos de autenticacin de acceso. (1)

El argumento list-name es el nombre de la lista que se esta creando. El argumento method se refiere al mtodo actual del algoritmo de autenticacin. Adicionalmente los mtodos de autenticacin son usados solo si el mtodo anterior devuelve un error, si no falla. Por ejemplo, para especificar RADIUS como el mtodo por defecto para la autenticacin de usuarios durante el acceso, escriba el siguiente comando:
aaa authentication dot1x default group radius

La figura (2) describe el proceso bsico para configurar AAA

8.1.10x Autenticacin Basada en Puerto El estndar IEEE 802.1x define un control de acceso basado en puerto y el protocolo de autenticacin que restringe a las estaciones de trabajo no autorizadas para que no se conecten a la red LAN a travs de puertos del switch de acceso publico. El servidor de autenticacin autentifica cada estacin de trabajo conectada a un puerto del switch antes de que este disponible cualquier servicio ofrecido por el switch o la red LAN. Hasta que la estacin de trabajo se autentique, el control de acceso 802.1x permite solo el trfico del protocolo de autenticacin extensible sobre LAN (EAPOL) a travs del puerto al cual esta conectada la estacin de trabajo. Despus que ocurre la autenticacin, el trfico normal puede pasar a travs del puerto. Con la autenticacin basada en puerto 802.1x, el dispositivo en la red tiene los siguientes roles especficos: (1)

*Cliente: El dispositivo (estacin de trabajo) que solicita acceso a la red LAN y los servicios del switch, y responde las peticiones del switch. La estacin de trabajo debe estar ejecutando el software cliente 802.1x compatible, como lo que ofrecen los sistemas operativos Windows XP y Windows Vista. (El puerto al que se conecta el cliente es el cliente que pide en la especificacin IEEE 802.1.) *Servidor de autenticacin: Realiza la autenticacin actual del cliente. El servidor de autenticacin valida la identidad del cliente y notifica al switch si se autoriza el acceso al cliente a la red LAN o a los servicios del switch. Ya que el switch actua como el Proxy, el servicio de autenticacin es transparente al cliente. El sistema de seguridad RADIUS con extensiones EAP el nico servidor de autenticacin soportado.

*Switch (tambin llamada el autenticador) : Controla el acceso fsico a la red basandose en el estado de la autenticacin del cliente. El switch actua como un (Proxy) intermediario entre el cliente y el servidor de autenticacin, solicitando informacin de identificacin al cliente, verificando esa informacin con el servidor de autenticacin y entregando la respuesta al cliente. El switch usa un agente se software RADIUS, el cual es responsable de encapsular y desencapsular las tramas EAP e interactuar con el servidor de autenticacin. El estado del puerto del switch determina si se le permite el acceso a la red al cliente. El puerto se inicia en el estado desautorizado. Mientras permanece en este estado, el puerto no permite ningn ingreso o salida de trfico, excepto por los paquetes del protocolo 802.1x. Cuando el cliente se autentica correctamente, el puerto cambia al estado autorizado, permitiendo que todo el trafico hacia el cliente fluya normalmente. Si el switch solicita la identidad del cliente (iniciacin del autenticador) y el cliente no soporta 802.1x, el puerto permanece en el estado desautorizado y no se le permite el acceso al cliente a la red. En contraste, cuando un cliente que ejecuta 802.1x se conecta a un puerto y el cliente inicia el proceso de autenticacin (supplicant initiation) enviando la trama EAPOL-start al un switch que no este ejecutando 802.1x, no habr respuesta de parte del switch y el cliente comenzar a enviar tramas como si el puerto estuviera en el estado autorizado. Usted controla el estado de la autorizacin del puerto usando el comando de configuracin de interfaz de control de puerto dot1x y estas palabras clave: Autorizacin forzada: Desactiva la autenticacin basada en puerto 802.1x y ocasiona que el puerto transiciones al estado autorizado sin que ningun intercambio de autenticacin sea requerido. El puerto transmite y recibe trfico normal sin 802.1x basado en la autenticacin del cliente. Esta es la configuracin por defecto. Desautorizacin forzada: Ocasiona que el puerto permanezca en el estado desautorizado, ignorando todos los intentos del cliente para autenticarse. El switch no puede proveer servicio de autenticacin al cliente a travs de la interfaz. Auto: Activa la autenticacin basada en puerto 802.1x y ocasiona que el puerto inicie en el estado desautorizado, permitiendo que solo las tramas EAPOL sean enviadas y recibidas a travs del puerto. El proceso de autenticacin comienza cuando el estado de enlace del puerto cambia de apagado a encendido (iniciacin del autenticador) o cuando una trama EAPOL- start es recibida (suplicant initiacion). El switch solicita la identidaddel cliente y comienza a enviar mensaje de autenticacin entre el cliente y el servidor de autenticacin. El switch solamente identifica cada cliente que intenta acceder a la red con la direccin MAC del cliente. Si el cliente se autentica exitosamente (recibe una trama accept desde el servidor de autenticacin), el estado del puerto cambia a autorizado y todas las tramas desde el cliente autenticado son permitidas a travs del puerto. Si la autenticacin falla, el puerto permanece en el estado desautorizado. Si no se puede alcanzar el servidor de autenticacin, el switch puede retransmitir la peticin. Si no se recibe respuesta desde el

servidor despus de un nmero determinado de intentos, la autenticacin falla y el acceso a la red es denegado. Cuando un cliente cierra sesin, enva un mensaje EAPOL-logoff, ocasionando que el puerto del switch cambie al estado desautorizado. Los comandos para configurar 802.1x esta ilustrado en la figura (2).

Para implementar la autenticacin basada en puerto 802.1x, siga los pasos de la figura. (3)

En la figura (4), el ejemplo muestra como habilitar AAA y802.1x en el puerto Fast Ethernet 5/1.

8.2.1 Explicando el VLAN Hopping El VLAN hopping es una ataque de red mediante el cual un ordenador enva paquetes hacia, o recoge paquetes desde, una VLAN que no debera ser accesible a ese ordenador (1). Esto se logra mediante el etiquetado del trfico invasivo con una ID de VLAN especfica o negociando un enlace troncal para enviar o recibir trafico en la red VLAN penetradas. El VLAN hopping se puede lograr con la suplantacin de identidad de switch o doble etiquetado.

En un ataque se suplantacin de ID, el atacante configura un sistema para suplantarse a el mismo como un switch mediante un enlace Inter-Switch (ISL) o tronqueado 802.1Q, junto con las negociaciones DTP, para establecer una conexin troncal hacia el switch. Cualquier puerto de switch configurado como auto DTP pude ser un puerto troncal cuando se recibe un paquete DTP generado por el dispositivo atacante y aceptar el trfico destinado a cualquier VLAN soportada en ese puerto. El dispositivo malicioso puede entonces enviar paquetes para, o recoger paquetes desde cualquier VLAN dentro del trunk negociado. La figura (2) describe la secuencia de eventos de suplantacin de switch.

Otro mtodo de VLAN hopping es en un ordenador para generar tramas con dos encabezados 208.1Q para conseguir que el switch enve las tramas en una VLAN que debera ser inaccesible al atacante a travs de medios legtimos. (3)

Si la trama doble etiquetada es un multicast, broadcast o con destino desconocido, el switch que recibe la trama inundar esta trama por todos los puertos conectados a la misma VLAN (VLAN10) como la VLAN nativa del puerto atacante. El switch quitara el primer tag de la VLAN antes de enviar, con la condicin de que esta vlan nativa coincida con el puerto en el cual se recibi. Cualquier puerto de acceso en este primer switch asignado a la VLAN10 debera recibir la trama con el tag de la segunda VLAN.

Si un puerto troncal tiene la misma VLAN nativa (VAN10), el switch no volver a etiquetar la trama y llegara al siguiente switch solo con el segundo tag de VLAN. El segundo switch creer que la trama fue originada en una VLAN distinta (VLAN20) y por lo tanto la inundar por todos los puertos activos en esta segunda VLAN. Tambin el segundo switch deber enviar la trama a cualquier enlace troncal adicional que estuviera activo con la segunda VLAN. Si el puerto troncal en el primer switch fue asignado a una VLAN distinta que la del puerto del atacante, la trama debera simplemente ser inundada por todos los puertos activos en la VLAN 10 en ambos switch (no hay hopping de VLAN). La razn es que el primer switch debera etiquetar la trama 201.1Q con la VLAN del puerto del atacante antes de enviarla a travs del enlace troncal. La figura (4) describe el mtodo de doble etiquetado de VLAN hopping.

8.2.2 Mitigando el VLAN hopping Las medidas para defender la red del VLAN hopping consiste en una serie de mejores prcticas para todos los puertos del switch junto con los parmetros a seguir para establecer un puerto troncal: *Configurar todos los puertos sin uso como puertos de acceso para que el trunking no pueda negociarse a travs de esos enlaces. *Colocar todos los puertos sin uso en modo shutdown y asociarlos con una VLAN designada solo para puertos sin uso, sin enviar ningn tipo de trfico de usuario. *Cuando se cree un enlace troncal, configure lo siguiente: -Hacer que la VLAN nativa sea diferente de cualquier VLAN de datos. -Establecer el trunking como on, en lugar de negociarla. -Especificar el rango de VLAN para ser enviado en el enlace troncal.

Nota: Los comando de configuracin en la figura no funcionan en los puertos de acceso que soportan VoIP ya que han sido configurados como puertos troncales. Sin embargo, el todos los dems puertos de acceso, esta es la mejor practica para aplicar esos comando y mitigar el VLAN hopping.

8.2.3 Listas de Control de Acceso VLAN Los switches Cisco multicapas soportan tres tipos de ACLs: *Lista de control de acceso de router (RACL): Aplicada a las interfaces de capa 3 tales como SVI o puertos de router L3. Controla el acceso del trfico enrutado entre VLANs. Las RACLs son aplicadas en interfaces para direcciones especficas (entrante o saliente). Puedes aplicar una lista de acceso en cada direccin. Para mejorar el rendimiento en los switches multicapas, las RACLs son admitidas en la memoria direccionable de contenido ternario (TCAM). Listas de control de acceso de puerto (PACL): Aplicadas en el puerto de switch de capa 2, puerto troncal o puerto EthernetChannel. Las PACLs realizan control de acceso en el trfico entrante en la interfaz de capa 2. Con las PACLs, puedes filtrar el trfico IP usando listas de acceso IP y trfico no IP usando direcciones MAC. Cuando aplicas una PACL a un puerto troncal, filtra el trfico en todas las VLANs presentes en el puerto troncal. Lista de control de acceso VLAN (VACL): Compatibles con el software de los switches multicapas Cisco. Filtrado basado en parmetros de capa 2 o capa 3 dentro de una VLAN. A diferencia de las RACLs, las VACLs no estn definidas por la direccin (entrante o saliente).

Los switches catalyst soportan cuatro bsquedas de ACL por paquete: ACL de seguridad entrante y saliente, y ACL de calidad de servicio (QoS) entrante y saliente.

Los switches catalyst usan dos mtodos de realizacin para combinarse: dependiente del orden e independiente del orden. Con la combinacin dependiente del orden. Las ACLs se transforman de una serie de acciones dependiente del orden a una serie mascaras y patrones dependientes del orden. El resultado de la entrada de control de acceso (ACE) puede ser bastante largo. La combinacin usa muchos recursos de memoria y procesador. Una combinacin dependiente del orden es una mejora reciente en los switches catalyst en los cuales las listas de acceso conservan sus su aspecto dependiente del orden. El clculo es mucho mas rpido y usa menos recursos de procesador. Las RACLs son soportadas en hardware a travs de las ACLs IP estndar y las ACLs IP extendidas, con acciones de denegar o permitir. El procesamiento de ACL es una parte intrnseca del proceso de envo de paquetes. Las entradas ACL son programadas en hardware. Las bsquedas ocurren en la tubera si la ACL es o no configurada. Con las RACLs, las estadsticas de listas de acceso y registro no estn disponibles.

8.2.4 Configurando VACLs

Las VACLs (tambin llamadas mapas de acceso VLAN en el software IOS de Cisco) se aplican a todo el trfico en la VLAN. Puedes configurar VACLs para el trfico IP y MAC. Las VACLs siguen las convenciones route-map en el que las secuencias de mapa son controladas en orden. Cuando se encuentra una coincidencia ACE permisiva, el switch toma una accin. Cuando se encuentra una coincidencia ACE de denegacin, el switch compara la siguiente ACL en la secuencia o revisa la siguiente secuencia. Se permiten tres acciones VACL Permitir (con captura, Catalyst 6500 nicamente) Redireccionar (Catalyst 6500 nicamente) Denegar (Con registro, Catalyst 6500 nicamente)

Se soportan dos caractersticas nicamente en los Cisco catalyst 6500: Captura VACL: Los paquetes enviados son capturados en los puertos de captura. La opcin de captura es solamente en las ACEs permisivas. El puerto de captura puede ser un puerto monitor IDS o cualquier puerto Ethernet. El puerto de captura debe estar en una VLAN de salida para el trfico conmutado de capa 3. Redirigir VACL: Los paquetes coincidentes son redireccionados a puertos especficos. Puedes configurar ms de 5 puertos de redireccionamiento. Los puertos de redireccionamiento deben estar en la VLAN donde se aplique la VACL.

La opcin de captura VACL copia el trfico a los puertos de captura especificados. Las ACEs VACL instaladas en el hardware son combinadas con las RACLs y otras caractersticas. La figura (1) enumera los comandos usados para configurar las VACLs.

La figura (2) describe los pasos usados para configurar las VACLs.

La figura (3) muestra un ejemplo de configuracin.

La configuracin anterior no permite ningn Host con la direccin IP origen desde 10.1.0.0 hasta 10.1.255.255 para enviar tramas a travs del switch. Si el switch recibe a una trama con IP origen dentro de este rango de direcciones IP, son descartadas. No importa en que VLAN se origino la trama o si la trama esta destinada a la misma VLAN donde se origin. Las tramas con cualquier otra direccin origen son permitidas y enviadas. Nota: Tambin puede especificar el filtrado de direcciones MAC dentro de una VLAN usando configuraciones VACL.

8.2.5 VLANs privadas y Puertos Protegidos Los proveedores de servicio de Internet (ISP) a menudo tienen dispositivos de mltiples clientes, as como de sus propios servidores, en un segmento nico de zona desmilitarizada (DMZ) o VLAN. Como los temas de seguridad son muchos, se vuelve necesario proveer aislamiento de trfico entre dispositivos, a pesar de que pueden existir en el mismo segmento VLAN de capa 3. Los switches catalyst 6500/4500/3750/3560 implementan las VLAN privadas para mantener algunos puertos del switch compartidos y algunos aislados, aunque todos los puertos existen en la misma VLAN. (1) El 2960 soporta puertos protegidos, que es funcionalmente similar a las PVLANs en funcin de cada switch.

La solucin tradicional para hacer frente a esos requerimientos del ISP es proveer una VLAN por cliente, con cada VLAN teniendo su propia subred IP. Un dispositivo de capa 3 provee Inter conectividad entre VLANs y destinos de Internet. Estos son los desafos con esta solucin tradicional: Implementar una VLAN por cliente puede requerir un gran nmero de interfaces en los dispositivos del proveedor de servicio. Spanning tree se vuelve mas complicado con muchas interacciones VLAN. El espacio de direccionamiento de red debe ser dividido en muchas subredes, las cuales desperdician espacio e incrementa la complejidad de administracin. Se requieren mltiples aplicaciones ACL para mantener la seguridad en mltiples VLAN, resultando en complejidad de administracin incrementada.

Las PVLANs y los puertos protegidos proveen aislamiento de capa 2 entre los puertos dentro de la misma VLAN. Este aislamiento elimina la necesidad de una VLAN separada y una subred IP por cliente. Un puerto protegido no reenva el trfico (unicast, multicast o broadcast) a cualquier otro puerto que tambin es un puerto protegido. El trfico no puede enviado entre puertos protegidos en la capa 2; todo el trfico que pasa a travs de los puertos protegidos debe ser enviado a travs de un dispositivo de capa 3. El comportamiento de envo entre un puerto protegido y un puerto no protegido no se ve afectado y contina normalmente. El ejemplo en la figura (2) muestra como configurar la interfaz Fast Ethernet 0/1 como un puerto protegido y verificar la configuracin.

Las PVLANs son soportadas en los switches Catalyst 3560, 3750, 4500 y 6500. Un puerto en una PVLAN puede ser uno de tres tipos: (3) Aislado: Tiene una separacin de capa 2 completa de otros puertos dentro de la misma PVLAN, excepto por el puerto promiscuo. Las PVLANs bloquean todo en trfico en los puertos aislados, excepto el trfico que proviene de los puertos promiscuos. Promiscuos: Se comunican con todos los puertos dentro de la PVLAN, incluyendo la comunidad y los puertos aislados. El Gateway por defecto para el segmento probablemente se encuentra en un puerto promiscuo, dado que todos los dispositivos en la PVLAN necesitan comunicarse con ese puerto. Comunidad: Comunicarse entre s y con sus puertos promiscuos. Esas interfaces son aisladas en la capa 2 desde todas las otras comunidades en otras comunidades, o en puertos aislados dentro de su PVLAN.

Nota: Debido a que los puertos troncales pueden admitir el trfico entre VLAN aisladas, comunidad y puertos promiscuos, el trfico de puerto aislado y de comunidad podra entrar a salir del switch a travs de la interfaz troncal. Los puertos PVLAN son asociados con un grupo de VLANs que son usadas para crear la estructura VLAN. Una PVLAN usa las VLAN de tres maneras: Como la VLAN principal: Lleva el trfico de los puertos promiscuos a los aislados. Comunidad y otros puertos promiscuos en la misma VLAN primaria. Como una VLAN aislada: Lleva el trfico de los puertos aislados a los puertos promiscuos. Como una VLAN comunitaria: Lleva el trfico entre los puertos comunitarios y los puertos promiscuos. Puedes configurar mltiples VLAN comunitarias en una PVLAN.

Las VLAN aisladas y comunitarias son llamadas VLANs secundarias. Puedes extender las PVLANs a travs de mltiples dispositivos conectando la VLAN primaria, aislada y comunitaria a otros dispositivos que soporten PVLANs. Nota: Un puerto promiscuo puede dar servicio solo en la VLAN primaria. Un puerto promiscuo puede dar servicio a una VLAN aislada o muchas VLAN comunitarias. Con un puerto promiscuo, puedes conectar un amplio rango de dispositivos como puntos de acceso a una PVLAN. Por ejemplo, puedes conectar un puerto promiscuo a un puerto servidor para conectar una VLAN aislada un nmero de VLANs comunitarias al servidor. Un balanceador de carga puede ser usado para balancear la carga de los servidores presentes en las VLAN aisladas o comunitarias, o puedes usar un puerto promiscuo para monitorear o respaldar todos los servidores PVLAN desde una estacin de administracin.

8.2.6 Configurando PVLANs Para configurar una PVLAN en un catalyst 3560, 3750, 4500, o 6500, siga los siguientes pasos: Paso1: Establezca el modo transparente VTP Paso2: Crear las VLAN secundarias. Nota: Las VLANs aisladas y comunitarias son VLANs secundarias. Paso3: Crear la VLAN primaria. Paso4: Asociar la VLAN primaria con la VLAN secundaria, Solamente una VLAN aislada puede ser mapeada a una VLAN primaria, pero ms de una VLAN comunitaria puede ser mapeada a una VLAN primaria. Paso5: Configurar una interfaz como puerto aislado o comunitario. Paso6: Asociar el puerto aislado o comunitario con el par de VLAN primariosecundario. Paso7: Configurar una interfaz como puerto promiscuo. Paso8: Mapear el puerto promiscuo al par VLAN primario- secundario. Use estos comandos para configurar una VLAN como una PVLAN. (1)
Switch(config)#vlan vlan_ID Switch(config-vlan)#[no] private-vlan {isolated | primary}

El siguiente ejemplo muestra como configurar la VLAN202 como VLAN primaria y verificar su configuracin:

Switch#configure terminal Switch(config)#vlan 202 Switch(config-vlan)#private-vlan primary Switch(config-vlan)#end Switch#show vlan private-vlan type Primary Secondary Type Interfaces ------- --------- ----------------- -----------202 primary

Este ejemplo muestra como configurar la VLAN 200 como una VLAN aislada y verificar la configuracin:
Switch#configure terminal Switch(config)#vlan 200 Switch(config-vlan)#private-vlan isolated Switch(config-vlan)#end Switch#show vlan private-vlan type Primary ------202 200 Secondary Type Interfaces --------- ----------------- -----------primary isolated

Para asociar la VLAN secundaria con la VLAN primaria, debe relizar el siguiente procedimiento:
Switch(config)#vlan primary_vlan_ID Switch(config-vlan)#[no] private-vlan association {secondary_vlan_list | add secondary_vlan_list | remove secondary_vlan_list}

Cuando asocia una VLAN secundaria con una VLAN primaria, tenga en cuenta lo siguiente: El parmetro secondary_vlan_list contiene solo una ID de VLAN aislada Use la palabra clave remove junto con el parmetro secondary_vlan_list para limpiar la asociacin entre las VLAN primaria y secundaria. Use la palabra clave no para limpiar todas las asociaciones con la VLAN primaria. El comando no tiene efecto hasta salir del modo de configuracin VLAN.

Para configurar una interfaz de capa 2 como puertoVLAN promiscuo, se debe realizar este procedimiento: (2) Switch(config)#interface {fastethernet | gigabitethernet} slot/port Switch(config-if)#switchport mode private-vlan {host | promiscuous} Switch(config-if)#[no] switchport private-vlan mapping primary_vlan_ID {secondary_vlan_list | add secondary_vlan_list | remove secondary_vlan_list}

Cuando configure una interfaz de capa 2 como un puerto de VLAN promiscuo, tenga en cuenta lo siguiente: El parmetro secondary_vlan_list no puede contener espacios. Puede contener multiples elementos separados por coma. Cada elemento puede ser una nica ID de PVLAN o un rango con guin de ID PVLAN. Ingrese el comando secondary_vlan_list o use el comando add junto con secondary_vlan_list para mapear las VLANs secundarias al puerto promiscuo PVLAN. Use el comando remove junto con secondary_vlan_list para limpiar el mapeo entre las VLANs secundarias y el puerto promiscuo PVLAN. Use el comando no para limpiar todos los mapeos con el puerto promiscuo PVLAN.

Este ejemplo muestra como configurar la interfaz FastEthernet 5/2 como puerto promiscuo PVLAN, mapearlo a una PVLAN y verificar la configuracin: Switch#configure terminal Switch(config)#interface fastethernet 5/2 Switch(config-if)#switchport mode private-vlan promiscuous Switch(config-if)#switchport private-vlan mapping 202 440 Switch(config-if)#end Switch#show interfaces fastethernet 5/2 switchport Name: Fa5/2 Switchport: Enabled Administrative Mode: private-vlan promiscuous Operational Mode: down

Administrative Trunking Encapsulation: negotiate Negotiation of Trunking: On Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 1 (default) Administrative private-vlan host-association: none ((Inactive)) Administrative private-vlan mapping: 202 (VLAN0202) 440 (VLAN0440) Operational private-vlan: none Trunking VLANs Enabled: ALL Pruning VLANs Enabled: 2-1001 Capture Mode Disabled Para configurar una interfaz de capa 2 como puerto de host VLAN, lleve acabo este procedimiento:

Switch(config)#interface {fastethernet | gigabitethernet} slot/port Switch(config-if)#switchport mode private-vlan {host | promiscuous} Switch(config-if)#[no] switchport private-vlan host-association primary_vlan_ID secondary_vlan_ID Este ejemplo muestra como configurar la interfaz FastEthernet 5/1 como un puerto de host PVLAN y verificar la configuracin:

Switch#configure terminal Switch(config)#interface fastethernet 5/1 Switch(config-if)#switchport mode private-vlan host Switch(config-if)#switchport private-vlan host-association 202 440 Switch(config-if)#end Switch#show interfaces fastethernet 5/1 switchport Name: Fa5/1 Switchport: Enabled Administrative Mode: private-vlan host Operational Mode: down Administrative Trunking Encapsulation: negotiate Negotiation of Trunking: On Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 1 (default) Administrative private-vlan host-association: 202 (VLAN0202) Administrative private-vlan mapping: none Operational private-vlan: none Trunking VLANs Enabled: ALL Pruning VLANs Enabled: 2-1001 Capture Mode Disabled

Para permitir que el enrutamiento de trfico de la VLAN secundaria ingrese, lleve acabo este procedimiento:

Switch(config)#interface vlan primary_vlan_ID Switch(config-if)#[no] private-vlan mapping primary_vlan_ID {secondary_vlan_list | add secondary_vlan_list | remove secondary_vlan_list} Cuando permites el enrutamiento en el trfico que ingresa de la VLAN secundaria, tome en cuenta lo siguiente: Ingrese el valor para el parmetro secondary_vlan_list o use la palabra add junto con el parmetro anterior para mapear las VLANs secundarias a la VLAN primaria. Use la palabra clave remove junto con el parmetro secondary_vlan_list para limpiar el mapeo entre las VLANs secundarias y la VLAN primaria. Use la palabra clave no para limpiar todos los mapeos o asociaciones con el puerto promiscuo PVLAN.

Este ejemplo muestra como permitir que el enrutamiento de la VLAN secundaria del trfico que ingresa desde la PVLAN440 y verificar la configuracin: Switch#configure terminal Switch(config)#interface vlan 202 Switch(config-if)#private-vlan mapping add 440 Switch(config-if)#end Switch#show interfaces private-vlan mapping Interface Secondary VLAN Type --------- --------- ----------------vlan202 440 isolated 8.3.1 Describiendo los ataques Spoof DHCP Una de las formas en que un atacante puede obtener acceso al trfico de red e de falsificar respuestas que pueden ser enviadas por un servidor DHCP vlido.

(1) El dispositivo falsificador DHCP responde a las peticiones DHCP del cliente. El servidor legtimo puede responder tambin, pero si el dispositivo falsificador se encuentra en el mismo segmento del cliente, su respuesta al cliente puede llegar primero. El intruso DHCP responde ofreciendo una direccin IP y la informacin de soporte que designa el intruso, como Gateway por defecto o servidor de sistema de nombre de dominio (DNS). En el caso de un Gateway, el cliente enva paquetes al dispositivo atacante, que a su vez los enva hacia el destino deseado. Se refiere a esto como un ataque hombre-en-elmedio y puede ir completamente indetectado como el intruso intercepta el flujo de trfico a travs de la red. La figura (2) describe la secuencia del ataque falsificador DHCP.

8.3.2 Describiendo el Snooping DHCP El snooping DHCP es una caracterstica cisco catalyst que determina que puertos del switch pueden responder a las peticiones DHCP. (1) Los puertos son identificados como confiables y no confiables. Los puertos confiables pueden enviar todos los mensajes DHCP, mientras que los puertos no confiables pueden enviar peticiones solamente. Los puertos confiables albergan un servidor DHCP o pueden ser un enlace a travs del servidor DHCP. Si un dispositivo pillo o un puerto no confiable intenta enviar una respuesta DHCP dentro de la red, el puerto es apagado.

Los puertos no confiables son aquellos que no estn configurados explcitamente como confiables. Una tabla DHCP es construida para los puertos no confiables. Cada entrada contiene la direccin MAC del cliente, su direccin IP, tiempo de arrendamiento, tipo de vnculo, nmero de VLAN y ID de puerto registrados como clientes al hacer peticiones DHCP. La tabla se utiliza para filtrar subsecuentemente el trfico DHCP. Desde la perspectiva del snooping DHCP, los puertos de acceso no confiables no deberan enviar ninguna respuesta al servidor DHCP, como una DHCPOFFER, DHCPACK o DHCPNAK. Con la caracterstica DHCP option-82 activada en el switch, el aislamiento broadcast DHCP puerto a puerto es alcanzado cuando los puertos del cliente estn dentro de una misma VLAN. Durante los intercambios cliente- servidor, las peticiones broadcast desde los clientes conectados a los puertos de acceso VLAN son interceptados por un agente de entrega ejecutndose en el switch y no son inundados a otros clientes en la misma VLAN. El agente de entrega intercepta informacin adicional dentro de los paquetes de peticin DHCP, como desde que puerto se origin la peticin y entonces lo enva al servidor DHCP. Durante los intercambios cliente-servidor, el servidor DHCP (independiente de option-82) enva una respuesta broadcast que contiene el campo option-82. El agente de entrega usa esta informacin para identificar cual puerto se conecta al cliente solicitante y evade la transmisin de la respuesta a la VLAN completa. (2)

8.3.3 Configurando el snooping DHCP Para activar el snooping DHCP, use el comando en la figura (1).

La figura (2) describe los pasos para configurar el snooping DHCP.

La figura (3) muestra como visualizar la configuracin DHCP snooping para un switch.

Solo los puertos que son confiables o tienen un lmite de porcentaje aplicado son mostrados en el resultado. Todos los otros puertos son no confiables y no se muestran. El guardia de la IP origen es una caracterstica de seguridad que previene el spoofing de una direccin IP origen. (4)

Esta caracterstica es activada en un puerto de capa 2 no confiable snooping DHCP. Todo el trfico IP en el puerto es bloqueado, excepto por los paquetes DHCP que estn permitidos por el proceso snooping DHCP. Cuando un cliente recibe una direccin IP vlida desde un servidor DHCP, una lista de control de acceso VLAN por puerto (PVACL) es instalada en el puerto. Este proceso restringe el trfico IP del cliente a esas direcciones IP origen configuradas en el binding. Cualquier trfico IP con una direccin IP distinta a la direccin IP binding es filtrada. Este filtrado limita la habilidad del host para atacar la red reclamando la direccin IP de un host vecino. Nota: Si el guardia de direccin IP origen esta activado en un puerto trunk con un gran nmero de VLANs que tienen activado el snooping DHCP, podra quedarse sin recursos de hardware y algunos paquetes podran ser envados en software. El guardia de direccin IP origen soporta solo puertos de capa 2, incluyendo ambos acceso y trunk. Para cada puerto de capa 2 no confiable, hay 2 niveles de filtrado de seguridad de trfico IP, como sigue: Filtrado de direccin IP origen: El trfico IP es filtrado basado en su direccin IP origen. Solo el trfico IP con direccin IP origen que coincide con la direccin IP guardada (binding) es permitida.

Un filtro de direccin IP origen es cambiado cuando una nueva entrada binding de direccin IP origen es creada o borrada en el puerto. El puerto PVACL es recalculado y reaplicado en el hardware para reflejar el cambio de la direccin IP origen binding. Por defecto, si el filtro IP esta activado son ninguna direccin IP origen binding en el puerto, una PVACL por defecto que deniega todo el trfico IP se instala en ese puerto. De manera similar, cuando se desactiva un filtro IP, cualquier filtro de IP origen PVACL es removido de la interfaz. Una direccin IP origen binding esttica puede ser configurada en un puerto mediante el siguiente comando global: Switch(config)#ip source binding ip-addr ip vlan number interface interface Filtro de direccin MAC e IP origen: El trfico IP es filtrado basandose en su direccin IP origen as como su direccin MAC. Solo el trfico IP con la direccin IP origen o la direccin MAC coincidentes con la entrada binding (guardada) son permitidas. La figura (5) describe los comandos para configurar el guardia de direccin IP origen.

La figura (6) describe el procedimiento para activar el guardia de la direccin IP origen.

Nota: El binding (guardado) de direccin IP origen solo puede ser configurado en los puertos de capa 2 del switch. Si ejecuta el comando ip source binding vlan interface en un puerto de capa 2, recibir este mensaje de error: Static IP source binding can only be configured on switch port. 8.3.4 Describiendo el Spoofing ARP En la operacin normal ARP, un host enva un broadcast para determinar la direccin MAC de un host con una direccin IP en particular. El dispositivo con esa direccin IP responde a su direccin MAC. El host origen registra la respuesta ARP, usandola para llenar el encabezado de destino de capa 2 de los paquetes enviados a esa direccin IP. Con el spoofing una respuesta ARP desde un dispositivo legtimo con una ARP gratuita, un dispositivo atacante aparece para ser el host destinatario solicitado por los remitentes. La respuesta ARP del atacante ocasiona que el que enva guarde la direccin MAC del sistema atacante en el cach ARP. Todos los paquetes destinados a esa direccin IP son enviados a travs del sistema atacante. Las figuras (1) y (2) ilustran la secuencia de eventos en el ataque de spoofing ARP.

8.3.5 Inspeccin de ARP Dinmica La inspeccin de ARL dinmica (DAI) determina la validez de un paquete ARP basndose en la direccin MAC e IP binding (guardadas) almacenadas en la base de datos snooping DHCP. Adicionalmente, DAI puede validar los paquetes ARP basndose en una ACL configurable por el usuario para hosts que usan direcciones IP configuradas estticamente. Para prevenir el spoofing ARP o envenenamiento, un switch debe asegurarse que solo las peticiones ARP vlidas y las respuestas son entregadas. Para asegurarse que solo las respuestas y peticiones son entregadas, DAI toma las siguientes acciones:

Enva los paquetes ARP recibidos en una interfaz confiable sin ninguna revisin. Intercepta todos los paquetes ARP en los puertos no confiables. Verifica que cada paquete interceptado tenga una IP-a-MAC binding vlida antes de enviar paquetes que pueden actualizar el cach ARP local. Descarta, registra, o descarta y registra los paquetes ARP con un binding invlido de direcciones IP y MAC.

Generalmente, todos los puertos de acceso del switch deben ser configurados como no confiables y todos los puertos del switch conectados a otros switch como confiables. Todos los paquetes que atraviesan la red desde la zona de distribucin o switch de ncleo pueden eludir el control de seguridad sin requerir mayor validacin Tambin puede usar DAI para establecer el lmite de paquetes ARP y entonces desactivar la interfaz si se excede el lmite.

8.3.6 Configurado la inspeccin dinmica de ARP

La figura (1) enumera los comandos usados para configurar la inspeccin dinmica ARP

La (2) figura describe los comandos.

El siguiente ejemplo muestra como configurar DAI para los host en la VLAN 1, donde se encuentran los dispositivos cliente para el switch2. Todos los puertos cliente son no confiables por defecto. Solo el puerto 3/3 es confiable, porque este es el nico puerto donde las respuestas DHCP pueden esperarse. Switch S2(config)#ip arp inspection vlan 1 Switch S2(config)#interface fastethernet 3/3 Switch S2(config-if)#ip arp inspection trust

8.3.7 Protegindose contra los ataques spoofing ARP. Para mitigar la posibilidad de un spoofing ARP, se recomienda el siguiente procedimiento: Paso 1: Implementar la proteccin contra el spoofing DHCP Paso 2: Activar la inspeccin de ARP dinmica.

8.4.1 Protegiendo la Operacin de STP Cisco proporciona caractersticas para proteger a spanning tree de los loop que se crean ene los puertos donde ha sido activado PortFast. En una configuracin adecuada, PortFast debera ser activado solo en los puertos para Host como servidores y estaciones de trabajo. Se anticipa que las BPDUs de un dispositivo switch no deberan ser recibidas en una interfaz PortFast. Sin embargo, si esto sucede, el BPDU guard y BDPU filtering proveen proteccin. Ambos BPDU guard y BPDU filtering pueden ser configurados globalmente en todos los puertos configurados con PortFast o en puertos individuales. El BDPU guard protege la red conmutada de los problemas que pueden ser causados por el receptor de las BPDUs en los puertos que no deberan ser recibidas. El receptor de las BPDUs inesperados puede ser accidental o puede ser parte de un intento desautorizado para aadir un switch a la red.

El BPDU filtering PortFast afecta como el switch acusa de recibo las BPDUs vistas en los puertos configurados como PortFast. Esta funcionalidad difiere si es configurada globalmente o en base a un puerto. El root guard protege contra los switches afuera de la red designada que intentan volverse puente raz bloquendole el acceso hasta que termine la recepcin de sus BPDUs.

8.2.4 Configurando el Guardia BPDU El BPDU guard protege la red de los loops que pueden formarse si las BPDUs son recibidas en un puerto de switch que tiene PortFast activado. Nota: Cuando la caracterstica BPDU guard se activa, spanning tree aplica el BPDU guard a todas las interfaces configuradas con PortFast. Puede activar el BPDU guard en los puertos configurados con PorFast a nivel global. En una configuracin vlida, los puertos con PortFast activado no reciben BPDUs. La recepcin de una BPDU en un puerto con PortFast activado es seas de una configuracin invlida, como la conexin de un dispositivo no autorizado y la caracterstica BPDU guard coloca el puerto en un estado error-desactivado. Tambin puedes activar el BPDU guard en cualquier puerto a nivel de interface sin activar la caracterstica PortFast. Cuando el puerto recibe una BPDU, se pone en un estado error-desactivado.

Para activar el BPDU guard globalmente en el switch, use este comando:


Switch(config)#spanning-tree portfast bpduguard default

La forma negada del comando desactiva la caracterstica en el switch. Para activar el BPDU guard globalmente en el switch, use este comando:
Switch(config)#spanning-tree bpduguard enable

La forma negada del comando desactiva la caracterstica en la interfaz. Use el siguiente comando para verificar la configuracin BPDU:
Switch#show spanning-tree summary totals Root bridge for: none. PortFast BPDU guard is enabled Etherchannel misconfiguration guard is enabled UplinkFast is disabled BackboneFast is disabled Default pathcost method used is short Name Blocking Listening Learning Forwarding STP Active --------- --------- --------- -------- ---------- --------34 VLANs 0 0 0 36 36

8.4.3 Configurando el filtro BPDU Puede configurar el filtro BPDU globalmente o en puertos individuales habiliatodos con PortFast. (1)

El filtrado global de BPDU tiene los siguientes atributos: Afecta a todos los puertos habilitados con PortFast en un switch que no tiene el filtro BPDU configurado en los puertos individuales. Si se consideran las BPDU. El puerto pierde su estatus PortFast, el filtro BPDU se desactiva y STP enva y recibe BPDUs en el puerto como cualquier otro puerto STP en el switch. En el inicio, el puerto transmite 10 BPDUs. Si este puerto recibe cualquier BPDUs durante ese tiempo, el filtrado PortFast y PortFast BPDU se desactiva.

El filtrado BPDU tiene tres atributos cuando se activa en un puerto individual: Ignora todas las BPDU recibidas. Enva BPDUs no.

PRECAUCIN: La configuracin explcita del filtrado de BPDU PortFast en un puerto no conectado a un Host puede resultar en la reduccin de los bucles. El puerto ignora cualquier BPDU entrante y cambios al estado de envo. Esto no ocurre cuando el filtrado de BPDU PortFast esta activado globalmente.

Para activar el filtrado de BPDU PortFast en el switch, use este comando: Switch(config)#spanning-tree portfast bpdufilter default Para activar el filtrado de BPDU PortFast en un puerto de switch especfico, use este comando: Switch(config-if)#spanning-tree bpdufilter enable Para verificar la configuracin en el switch, use este comando:
PxD1#show spanning-tree summary Switch is in pvst mode Root bridge for: none Extended system ID Portfast Default PortFast BPDU Guard Default Portfast BPDU Filter Default Loopguard Default EtherChannel misconfig guard UplinkFast BackboneFast Configured Pathcost method used

is is is is is is is is is

enabled disabled disabled disabled disabled enabled disabled disabled short

Name Blocking Listening Learning Forwarding STP Active -------------- ---- -------- ------- -------- ---------- --------VLAN0001 2 0 0 6 8 ----------------- -- -------- ------- -------- ---------- --------1 vlan 2 0 0 6 8 PxD1#

Para verificar la configuracin en un puerto especfico, use el siguiente comando:


Switch#show spanning-tree interface fastEthernet 4/4 detail Port 196 (FastEthernet4/4) of VLAN0010 is forwarding Port path cost 1000, Port priority 160, Port Identifier 160.196. Designated root has priority 32768, address 00d0.00b8.140a Designated bridge has priority 32768, address 00d0.00b8.140a Designated port id is 160.196, designated path cost 0 Timers:message age 0, forward delay 0, hold 0 Number of transitions to forwarding state:1 The port is in the portfast mode by portfast trunk configuration Link type is point-to-point by default Bpdu filter is enabled BPDU:sent 0, received 0

La figura (2) enumera las combinaciones posibles que resultan de la configuracin del filtrado BPDU globalmente y en los puertos individuales en el mismo switch.

8.4.4 Guardia Raz

El guardia raz limita los puertos del switch fuera de los cuales el puente raz puede ser negociado. Si un puerto raz con guardia activado recibe una BPDU que son superiores a los que son enviados actualmente por el puente raz, ese puerto es movido al estado root-incoherente, que es efectivamente igual a un estado STP de escucha. No se enviar trfico de datos a travs de este puerto. En la figura (1), los switches A y B son el ncleo de la red. El switch A es el puente raz de una VLAN. El switch C es un switch de capa de acceso. El enlace entre B y C esta bloqueado en el lado C. El flujo de BPDUs STP se muestra con flechas.

En la izquierda, el dispositivo D comienza a participar en STP. Si la prioridad del switch D donde cualquier valor menor que el del actual puente raz, el switch D debera ser escogido el puente raz. Esto hara que el enlace que conecta los switches A y B se bloquee, lo que causa que el trfico desde el switch B fluya a travs del switch C en la capa de acceso, lo que es claramente desventajoso. Si el guardia raz fuera configurado en el puerto del switch C donde el switch D esta conectado, el switch D nunca habra sido escogido como el puente raz. El guardia raz es configurado puerto por puerto. Si se recibe una BPDU superior en el puerto, el guardia raz pone el puerto en el estado root-inconsistente. Cuando el switch D para de enviar BPDU superiores, el puerto es desbloqueado de nuevo y transicional a travs de los estados STP como cualquier otro puerto. La recuperacin no requiere intervencin. Un puerto guardia raz se encuentra en un estado STP designado. Cuando el guardia raz se activa en un puerto, el switch no permite que ese puerto se vuelva un puerto STP raz. El puerto permanece como puerto STP-designado.

El guardia raz debe ser habilitado en todos los puertos donde el puente raz no esta previsto. En el ejemplo, el guardia raz debe ser activado de la siguiente forma:

* Switch A: port connecting to switch C * Switch B: port connecting to switch C * Switch C: port connecting to switch D El siguiente mensaje de consola aparece cuando el guardia raz bloquea un puerto:

%SPANTREE-2-ROOTGUARDBLOCK: Port 1/1 tried to become non-designated in VLAN 77. Moved to root-inconsistent state 8.4.5 Configurando el guardia raz La figura (1) enumera los comandos para configurar y verificar el guardia raz.

La figura (2) describe estos comandos.

Para activar el guardia raz en un puerto de acceso de capa 2 (para forzarlo a que se convierta en puerto designado), use el siguiente comando. Para desactivar el guardia raz, use la forma no del comando. Switch(config-if)#spanning-tree guard root La figura (3) demuestra como verificar la configuracin del guardia raz.

Para mostrar la configuracin de la interfaz, use el siguiente comando: Switch#show running-config interface fastethernet 5/8 Para determinar si los puertos estn en estado root-inconsistente, use el siguiente comando:
Switch#show spanning-tree inconsistentports Name Interface Inconsistency ------------- ------------------ -----------------VLAN0001 FastEthernet3/1 Port Type Inconsistent VLAN0001 FastEthernet3/2 Port Type Inconsistent VLAN1002 FastEthernet3/1 Port Type Inconsistent VLAN1002 FastEthernet3/2 Port Type Inconsistent VLAN1003 FastEthernet3/1 Port Type Inconsistent VLAN1003 FastEthernet3/2 Port Type Inconsistent VLAN1004 FastEthernet3/1 Port Type Inconsistent VLAN1004 FastEthernet3/2 Port Type Inconsistent VLAN1005 FastEthernet3/1 Port Type Inconsistent VLAN1005 FastEthernet3/2 Port Type Inconsistent Number of inconsistent ports (segments) in the system :10

8.5.1 Deteccin de enlace unidireccional Un enlace unidireccional se produce cuando el trfico es transmitido entre vecinos en una sola direccin. Los enlaces unidireccionales pueden causar loops de topologa spanning tree. La deteccin de enlace unidireccional (UDLD) permite a los dispositivos

detectar condiciones de enlace unidireccional cuando no lo logran los mecanismos de capa 1 y provee la habilidad para apagar la interfaz afectada. (1)

UDLD es un protocolo de capa 2 que funciona con los mecanismos de capa 1 para determinar el estado fsico de un enlace. Por ejemplo, si un hilo de fibra en un par se desconecta, la auto-negociacin de capa 1 no permitira que enlace se activara de nuevo. Pero si ambos hilos de fibra estn operativos, UDLD determina si el trfico esta fluyendo bi-direccionalmente entre los vecinos correctos. El switch transmite peridicamente paquetes UDLD en una interfaz con UDLD activado. Si los paquetes no hacen eco dentro de un lapso de tiempo especfico, el enlace es marcado como unidireccional y la interfaz es apagada. Los dispositivos en ambos extremos del enlace deben soportar UDLD para que el protocolo identifique satisfactoriamente y desactive los enlaces unidireccionales. La funcin de UDLD es para prevenir la comunicacin unidireccional entre vecinos adyacentes. Cuando UDLD detecta una conversacin unidireccional, puede hacer una de dos cosas, dependiendo si UDLD esta configurado en modo normal o agresivo. En modo normal, UDLD cambia el puerto activado con UDLD a un estado indeterminado cuando para de recibir mensajes UDLD de su vecino directamente conectado. El modo agresivo realiza ocho intentos de reestablecer la relacin de vecinos UDLD antes deshabilitar el puerto por error. El modo agresivo es el mtodo preferido de configuracin UDLD y es el nico modo que puede detectar una condicin UDLD en un cable de par trenzado. UDLD usa la MAC destino 01-00-0c-cc-cc-cc junto con el protocolo SNAP HDLC tipo 0x0111.

La figura (2) describe el estado por defecto para el UDLD en modo global o por interfaz.

8.5.2 Guardia Loop Como UDLD, el guardia loop provee proteccin para STP cuando un enlace es unidireccional y las BPDU comienzan a enviarse, pero no son recibidas, en un enlace que es considerado operacional. (1)

Sin el guardia loop, un puerto bloqueado cambia a transmitiendo si este para de recibir BPDU. Si el guardia loop es activado y el enlace no esta recibiendo BPDUs, la interfaz cambia al estado STP de bloqueo de loop-inconsistente. Cuando el guardia loop bloquea un puerto, este mensaje es enviado a la consola o al archivo de registro: SPANTREE-2-LOOPGUARDBLOCK: No BPDUs were received on port 3/2 in vlan 3. Moved to loop-inconsistent state.

Cuando se recibe una BPDU en un puerto guardia loop que se encuentra en un estado loop-inconsistente, el puerto cambia al estado apropiado segn sea determinado por el funcionamiento normal de spanning tree. La recuperacin no requiere intervencin del usuario. Despus de la recuperacin, este mensaje es registrado: SPANTREE-2-LOOPGUARDUNBLOCK: port 3/2 restored in vlan 3. La funcin guardia loop protege contra los posibles loops spanning tree detectando un enlace unidireccional. Con un enlace unidireccional, un puerto en uno de los link socios est operacional en el estado up y transmitiendo pero no esta recibiendo trfico. Al mismo tiempo, el otro socio en el enlace esta operando correctamente. El guardia loop es activado en los puertos que participan en spanning tree y son redundantes en la capa 2. Cuando el switch para de recibir BPDUs en su puerto raz o puerto bloqueado, cambia el puerto a modo de loop inconsciente, el cual no pasa trfico. El guardia loop es configurado por puerto en versiones del sistema operativo anteriores a Catalyst 7.1 (1). El guardia loop es incompatible con el guardia raz. Adems, el guardia loop no debe ser activado en puertos PortFast. En un paquete EthernetChannel, UDLD apaga solo el enlace fsico que ha fallado. El guardia loop, sin embargo, es indiferente ya que el primer puerto operacional en un paquete EthernetChannel es usado para BPDUs y no otros puertos. Si el primer puerto tiene una falla unidireccional, el loop guardia cambia todos los enlaces del Channel al estado loop-inconsistente. Este no es un efecto deseado, ya que la redundancia inherente que se gana a travs del channeling se pierde. En el ejemplo ilustrado en la figura (2), el switch A es el puente raz. Debido a la fala de un enlace unidireccional en el enlace entre los switches B y C, el switch C no est recibiendo BPDUs desde el switch B.

Sin el guardia loop, el puerto bloqueando STP en C cambia al estado STP escuchando cuando el timer max age expira y entonces pasa al estado enviando en 2 veces el tiempo de retardo de envo y se crea un loop. La figura (3) describe como funciona el guardia loop para prevenir los loops durante una falla de enlace unidireccional.

Con el guardia loop activado, el puerto bloqueando en el switch C cambia al estado loop-inconsistente cuando expira el max age timer. Ya que un puerto en el estado STP loop-inconsistente no transmite trfico de usuario, no se crea un loop. El estado loopinconsistente es efectivamente igual al estado de bloqueando.

8.5.3 Configurando UDLD y el Guardia Loop Para activar o desactivar UDLD y el guardia loop, use los comandos en la figura (1).

Esos comandos se describen en la figura (2).

UDLD se usa cuando un enlace debe ser apagado por una falla de hardware que esta causando comunicacin unidireccional. En un bundle (paquete) EthernetChannel, UDLD apaga solo el enlace fsico que ha fallado. UDLD puede ser activado globalmente para todas las interfaces o puerto por puerto. (3)

Para activar UDLD en una interfaz, use el siguiente comando: Switch(config)#udld enable UDLD apaga las interfaces. Para resetear todas las interfaces que han sido apagadas, use el siguiente comando: (4)

Switch#udld reset Para verificar la configuracin UDLD para una interfaz, use este comando: Switch#show udld interface Este ejemplo muestra como visualizar el estado UDLD para una interfaz:
Switch#show udld GigabitEthernet2/2 Interface Gi2/2 --Port enable administrative configuration setting: Follows device default

Port enable operational state: Enabled Current bidirectional state: Bidirectional Current operational state: Advertisement Message interval: 60 Time out interval: 5 No multiple neighbors detected Entry 1 --Expiration time: 146 Device ID: 1 Current neighbor state: Bidirectional Device name: 0050e2826000 Port ID: 2/1 Neighbor echo 1 device: SAD03160954 Neighbor echo 1 port: Gi1/1 Message interval: 5

El guardia loop es activado puerto por puerto. Cuando el guardia loop es activado, se aplica automticamente a todas las instancias VLAN activas a las que pertenece ese puerto. Cuando desactiva el guardia loop, se desactiva para los puertos especificados. Desactivando el guardia loop mueve todos los puertos loop-inconsistente al estado escuchando. Si el guardia loop es activado en una interfaz EthernetChannel, el canal entero es bloqueado para una VLAN particular, ya que EthernetChannel es considerado como un puerto lgico desde el punto de vista de STP. El guardia loop debe ser activado en el puerto raz y los puertos alternativos en los switches de acceso. Para activar el guardia loop en una interfaz especfica, use este comando: (5)

Switch(config-if)#spanning-tree guard loop

Para desactivar el guardia loop, use este comando: Switch(config-if)#no spanning-tree guard loop Activando el guardia loop desactiva el guardia raz si es que el guardia raz esta activado actualmente en los puertos. El guardia loop puede ser activado globalmente en un switch para todos los enlaces punto a punto. Un enlace full-duplex es considerado para ser un enlace punto a punto. Puede cambiar el estado del guardia loop en una interfaz incluso si la caracterstica ha sido activada globalmente. Para activar el guardia loop globalmente en un catalyst 4500 o 6500 ejecutando CatOS, use este comando: Switch(config)#spantree global-default loopguard enable Para desactivar globalmente el guardia loop, use este comando: Switch(config)#spantree global-default loopguard disable Para verificar el estado del guardia loop, use este comando: Switch#show spantree guard mod/port | vlan Por Ejemplo: Switch#show spantree guard 3/13 Port VLAN Port-State Guard Type ------------------------ ---- ------------- ---------3/13 2 forwarding loop Para activar el guardia loop globalmente en un Catalyst 3560, use el siguiente comando global: Switch(config)#spanning-tree loopguard default 8.5.4 Previniendo las fallas STP a Causa de Enlaces Unidireccionales Las funciones de UDLD y el guardia loop se superponen parcialmente en tanto que ambos protegen contra las fallas STP causadas por los enlaces unidireccionales. Estas 2 funciones son diferentes en su enfoque hacia el problema y tambin en la manera en que funcionan. La figura (1) identifica las diferencias claves.

Dependiendo de varias consideraciones de diseo, puedes escoger entre UDLD o el guardia loop. UDLP no provee proteccin contra las fallas STP causadas por aplicaciones que resultan en que el switch designado no enve BPDUs. Este tipo de falla, sin embargo, es menos comn que las causadas por fallas de hardware. En un bundle EthernetChannel, UDLD desactiva los enlaces fallidos individualmente. El canal se mantiene funcional si hay disponibles otros enlaces. El guardia loop pone el canal entero en estado loop-inconsciente si las BPDUs no se reciben a travs del EthernetChannel. El guardia loop no funciona en enlaces compartidos o en un enlace que ha sido unidireccional desde su configuracin inicial. Activando ambos UDLD y guardia loop provee el ms alto nivel de proteccin. 8.6.1 Describiendo las Vulnerabilidades de CPD Los atacantes con conocimiento de cmo trabaja CDP podran encontrar formas para tomar ventaja de los paquetes CDP de texto-limpio para obtener conocimiento de la red. CDP se ejecuta a nivel de capa 2 permitiendo a los dispositivos Cisco identificarse a si mismos a otros dispositivos Cisco. Sin embargo, la informacin enviada a travs de CDP es transmitida en texto limpio y no es autenticada. Utilizando un analizador de paquetes, los atacantes pueden recoger informacin acerca del dispositivo de red con los anuncios CDP. (1)

CDP es necesario para la administracin de aplicaciones y no puede ser desactivado sin menoscabar algunas aplicaciones de administracin de la red. Sin embargo, CDP puede ser desactivado selectivamente en las interfaces donde la administracin no se lleva acabo. El comando de interfaz no cdp enable desactiva cdp en una interfaz individual. La figura (2) describe como CDP puede ser usado maliciosamente.

8.6.2 Vulnerabilidades del Protocolo Telnet Telnet tiene las siguientes vulnerabilidades:

Todos los nombres de usuario y datos enviados sobre la red pblica en texto limpio son vulnerables. Todos los usuarios con una cuenta en el sistema pueden obtener elevados privilegios. Un atacante remoto puede votar el servicio Telnet, previniendo el uso legtimo de ese servicio. Un atacante remoto puede encontrar una cuenta de invitado activada que puede estar presente en cualquier parte sin los dominios confiables del servidor.

8.6.3 Configurando el Protocolo Seguro Shell SSH es un protocolo cliente y servidor usado para entrar en otro dispositivo sobre la red, ejecutar comandos en una mquina remota y mover archivos desde una mquina a otra. Provee una fuerte autenticacin y comunicaciones seguras sobre canales inseguros. Se trata de un reemplazo para rlogin, rsh. rcp, rdist y Telnet. Cuando se utiliza el login SSH (en vez de Telnet), la sesin entera de logeo, incluyendo la transmisin de password, es encriptada; por lo tanto, es casi imposible para un externo conseguir los passwords. Las implementaciones Cisco de SSH requieren IOS Cisco que soporte autenticacin RSA y encriptacin DES mnima. Aunque SSH es seguro, muchas implementaciones de vendedores de SSH contienen vulnerabilidades que pueden permitir a un atacante remoto executar cdigo arbitrario con los privilegios del proceso SSH o causar una denegacin de servicio. La mayora de las vulnerabilidades SSH han sido corregidas en los ltimos IOS de Cisco y en otros vendedores de servidores SSH y software cliente.

Precaucin: Las implementaciones de la versin 1 de SSH son vulnerables a varios compromisos de seguridad. Siempre que sea posible, use SSH versin 2. Para permitir SSH en una interfaz VTY, utilice el comando transport input ssh. El valor por defecto es transpor input all. SSH requiere una base de datos de nombre de usuario local, dominio IP y una clave RSA para ser generada.
Switch(config)# username Joe password User Switch(config)# ip domain-name sshtest.lab Switch(config)# crypto key generate key Switch(config)# line vty 0 15 Switch(config-line)# login local Switch(config-line)# transport input ssh

Ahora se necesita una aplicacin en una estacin de trabajo que soporte SSH, como SecureCRT o PuTTY.SH versin 2.

8.6.4 ACLs vty Cisco provee ACLs para permitir o denegar el acceso Telnet a los puertos vty de un switch. Los dispositivos Cisco varan en el nmero de puertos vty que estn disponibles por defecto. Al configurar las ACLs vty, asegrese que todos los puertos por defecto han sido removidos o tienen una ACL vty especfica aplicada. El filtrado de Telnet es considerado normalmente una funcin ACL IP extendida ya que se est filtrando un protocolo de alto nivel, Sin embargo, ya que el comando access-

class filtra las sesiones de Telnet entrantes por direccin origen y aplica el filtrado a las lineas vty, puede usar declaraciones ACL IP estndar para controlar el acceso vty. El comando access-class tambin aplica el filtrado de ACL IP estndar a las lineas vty para las sesiones salientes de Telnet procedentes del switch. Puede aplicar ACLs vty a cualquier combinacin de lineas vty. Puede aplicar la misma ACL a todas las lineas vty o especficamente a cada linea vty. La prctica ms comn es aplicar la misma ACL en todas las lineas vty.

8.6.5 Aplicando las ACLs a las Lneas vty Para configurar las ACLs vty en un switch Cisco, cree una ACL IP estndar y aplquela a las interfaces vty. A diferencia de la aplicacin de una ACL a una interfaz de datos, aplquela a la lnea vty o rango de lneas con el comando access-class. Considere este ejemplo. Se concede permiso a cualquier dispositivo en la red 192.168.1.0/24 para establecer una sesin Telnet con el switch. Por supuesto, el usuario debe saber los passwords apropiados para entrar al modo de usuario y privilegiado. Restricciones idnticas han de ser activadas en cada lnea vty. Ya que la lnea en la cual el usuario vty esta conectado no puede ser controlada. El deny any implcito al final de la lista de acceso todava se sigue aplicando a la ACL cuando es usada como una entrada de clase-acceso.

Switch(config)# access-list 12 permit 192.168.1.0 0.0.0.255 Switch(config)# line vty 0 15 Switch (config-line)# access-class 12 in

Nota: El nmero actual de lneas vty depende de la plataforma y el software IOS que se ejecuta.

8.6.6 Mejores Prcticas para la Seguridad del Switch Las vulnerabilidades a la seguridad incluyen perdida de privacidad, robo de datos, suplantacin de identidad y prdida de integridad. Las medidas de seguridad bsicas que deberan ser tomadas en cada red para mitigar los efectos adversos de la negligencia de usuarios o actos maliciosos. Los siguientes pasos son necesarios cuando se instalan nuevos equipos: Paso 1 Considerar o establecer polticas de seguridad organizacional. Paso 2 Asegurar los dispositivos switch. Paso 3 Asegurar los protocolos del switch. Paso 4 Mitigar los ataque lanzados a travs del switch. Debera considerar las polticas de una organizacin cuando determine que nivel y tipo de seguridad implementar. Debe balancear los objetivos de una seguridad de red razonable con la sobrecarga administrativa o medidas de seguridad extremamente restrictivas. Una poltica de seguridad bien establecida tiene tres caractersticas: Provee un proceso de auditora para la seguridad de la red existente.

Provee un marco de trabajo de seguridad general para la implementacin de seguridad Define los comportamientos no reconocidos a travs de datos electrnicos. Determina cuales herramientas y procedimientos son necesarios para la organizacin. Se comunica con el consenso entre un grupo de tomadores de decisiones claves y define las responsabilidades de los usuarios y administradores. Define un proceso para manipular los incidentes en la seguridad de la red. Activa la empresa a nivel mundial, plan de implementacin de seguridad general y plan de reforzamiento.

Siga estas mejores prcticas para el acceso seguro del switch: Establezca los passwords del sistema Active el comando enable secret para establecer el password que permite el acceso al modo enable del sistema IOS Cisco. Ya que el comando enable secret implementa MD5 en el password configurado, ese password todava permanece vulnerable para realizar ataques. Por lo tanto, aplique las prcticas estndar seleccionando un password factible. Intente crear passwords que contengan letras, nmeros y caracteres especiales, por ejemplo, $pecial1$ en vez de specials, donde la s ha sido reemplazada por $, y la l ha sido reemplaza por 1 (one). Asegurar el acceso a la consola: el acceso a la consola requiere un nivel mnimo seguridad ambas fsicas y lgica. Un individuo que obtiene acceso de consola a un sistema puede recuperar o resetear el password system-enable, lo que permite a esa persona pasar por alto todas las otras seguridades implementadas en ese sistema. Consecuentemente, es imperativo asegurar el acceso a la consola. Acceso seguro a las lneas vty: Los pasos mnimos recomendados para asegurar el acceso a Telnet son: Aplicar la ACL bsica para el acceso dentro de banda a todas las lneas vty. Configurar un password de lnea para todas las lneas vty configuradas. Usar SSH: El protocolo SSH y aplicacin provee una conexin remota segura al switch. Encripta todo el trfico, incluyendo passwords, entre una consola remota y un switch. Ya que SSH no enva trfico en texto limpio, los administradores de red pueden conducir las sesiones de acceso remoto que los observadores casuales no pueden ver. El servidor SSH en el software IOS trabaja con clientes SSH disponibles pblica y comercialmente. Configurar el sistema de alerta banners: Para los efectos legales y administrativos, mostrar un sistema de alerta banner antes de logear es una manera convincente y efectiva de reforzar la seguridad y las polticas de uso general. Al establecer claramente la propiedad de uso, utilizacin, acceso y polticas de proteccin antes de logear, puede proveer un respaldo ms slido para un potencial enjuiciamiento futuro. Desactivar los servicios innecesarios: Por defecto, los dispositivos Cisco implementan multiples servidores TCP y UDP para facilitar la administracin e integracin en los entornos existentes. Para la mayora de las instalaciones, esos servicios son tipicamente no requeridos y desactivarlos puede reducir

considerablemente la exposicin de la seguridad. Estos comandos desactivan los servicios que tipicamente no se usan:
no no no no service service service service tcp-small-servers udp-small-servers finger config