INGENIERIA EN TECNOLOGIAS DE LA INFORMACION Y COMUNICACIN

SEGURIDAD DE LA INFORMACION

GITI5114-F

ADALBERTO MEJIA MONJARAS

Seguridad de la informacin 2015

INTRODUCCION

Este documento ofrece breves consejos de configuracin que abarcan varios

problemas relacionados con la seguridad de la informacin
El objetivo es proporcionar notas importantes que se pueden aplicar en la mayora
de las implementaciones de red para minimizar los problemas que puedan surgir.
Nota: Todas las redes no son iguales, por lo que algunos consejos no se podrn
aplicar en su instalacin. Verifique siempre dichos consejos antes de llevar a cabo
cualquier cambio en una red que est en funcionamiento.

Seguridad de la informacin 2015

INDICE
INTRODUCCION ............................................................................................................................. 2
Seguridad de puerto en switch cisco .............................................................................................. 3
Como configurarlo: .................................................................................................................... 4
Acciones en caso de violacin: ................................................................................................... 4
ejemplo:..................................................................................................................................... 5
AUTO TRUKING .............................................................................................................................. 6
BPDU Guard ................................................................................................................................... 7
Root Guard .................................................................................................................................... 7
CDP ................................................................................................................................................ 8
Mejores prcticas en configuraciones de switch Cisco .................................................................. 11
Deshabilitacin de servicios no utilizados ................................................................................. 11
Habilitacin de comandos para minimizar impacto de ataque a los equipos ............................. 11
Habilitacin de traps ................................................................................................................ 12
Habilitacin de Root Guard ...................................................................................................... 12
Habilitacin de BPDU Guard ..................................................................................................... 13
Conf. Passwords, nombre y otros ............................................................................................. 13
BIBLIOGRAFIA .............................................................................................................................. 14

Seguridad de puerto en switch cisco

La Seguridad del Puerto es proteger el switch de Ataques de Direcciones MAC
malintencionados, limitando el nmero mximo de direcciones MAC que pueden
ser adquiridas por la direccin MAC dinmicamente / estticamente. Cuando el

Seguridad de la informacin 2015

nmero de direcciones MAC adquiridas alcanza el mximo, el puerto dejar de
adquirir. Por lo tanto lo dispositivos con la direccin MAC no adquirida no pueden
acceder a la red por medio de este puerto.

Como configurarlo:
Switch>enable
Switch#configure terminal
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport mode access

Switch(config-if)#switchport port-security mac-address"aqu la mac"

este comando solo permite la mac que se registre en el comando

Switch(config-if)#switchport port-security mac-address sticky

este comando permite que el primer equipo que se conecta se asegura el
puerto."osea no tiene que registrarse"

Switch(config-if)#switchport port-security maximum "3"

Si hay un switch o un hub, conectado a un puerto del switch que quieres asegurar,
puedes configurar un mximo de direcciones MAC asociadas a ese puerto, por
ejemplo si queremos configurar un mximo de 3 direcciones MAC ese es el
comando.

Acciones en caso de violacin:

Switch(config-if)#switchport port-security violation protect

Seguridad de la informacin 2015

Proteccin: Rechaza los paquetes hasta que el causante de la violacin es

subsanado, el usuario no advierte que se ha producido una violacin de seguridad.
Switch(config-if)#switchport port-security violation restrict

Restriccin: Rechaza los paquetes hasta que el causante de la violacin es

subsanado, el usuario advierte que se ha producido una violacin de seguridad.
De manera especfica se enva un mensaje SNMP, se registra un mensaje de
syslog y se aumenta el contador de violaciones.
Switch(config-if)#switchport port-security violation shutdown

Desactivacin (default): La interfaz se deshabilita de manera inmediata por error y

se apaga el led del puerto. Tambin enva un mensaje SNMP, se registra un
mensaje de syslog y se incrementa el contador de violaciones. Cuando esto
sucede es necesario volver a habilitar el puerto manualmente mediante el
comando "no shutdown"."en pocas palabras el puerto se apaga"

ejemplo:
Switch>enable
Switch#configure terminal
Switch(config-if)#interface fastEthernet 0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security mac-address sticky
Switch(config-if)#switchport port-security maximum 3
Switch(config-if)#switchport port-security violation shutdown
Switch(config-if)#do wr

Seguridad de la informacin 2015

Building configuration...
[OK]

AUTO TRUKING
DTP (Dynamic Trunking Protocol) es un protocolo propietario creado por Cisco
Systems que opera entre switches Cisco, el cual automatiza la configuracin de
trunking (etiquetado de tramas de diferentes VLAN's con ISL o 802.1Q) en
enlaces Ethernet.
Dicho protocolo puede establecer los puertos ethernet en cinco modos diferentes
de trabajo: AUTO, ON, OFF, DESIRABLE y NON-NEGOTIATE.

auto Es el modo por defecto, e implica que el puerto aguardar

pasivamente la indicacin del otro extremo del enlace para pasar a modo
troncal. sin embargo si los dos extremos estn en modo auto no se
establecer el enlace como troncal.

DTP se habilita automticamente en un puerto del switch cuando se configura un

modo de trunking adecuado en dicho puerto. Para ello el administrador debe
ejecutar el comando switchport mode adecuado al configurar el puerto: switchport
mode {access | trunk | dynamic auto | dynamic desirable}.
Con el comando switchport nonegotiate se desactiva DTP.
Su funcin es gestionar de forma dinmica la configuracin del enlace troncal al
conectar dos switches, introduciendo los comandos del IOS (sistema operativo de
los switches y routers Cisco) en la configuracin del dispositivo (running-config) de
forma automtica sin que el administrador intervenga.
Esto implica que si estamos configurando un puerto de un switch Cisco para DTP,
el puerto del otro lado del enlace tambin debe tener DTP habilitado para que el
enlace quede configurado correctamente.
La combinacin de los modos asignados a los puertos define cul va a ser el
estado final del enlace asociado a stos:

o bien 'access', es decir, pasarn las tramas de una nica VLAN y no

necesitaremos etiquetarlas.

Seguridad de la informacin 2015

o bien 'trunking', es decir, pasarn las tramas de todas las VLAN permitidas
etiquetndolas adecuadamente (ISL o 802.1Q).

BPDU Guard
La funcin de STP BPDU Guard permite a los diseadores de la red mantener
predecible a la topologa de red activa. BPDU Guard es utilizada para proteger a la
red conmutada de posibles problemas causados por recibid BPDUs en puertos
que no deberan recibirlos. La recepcin de BPDUs podra ser accidental o parte
de un intento no autorizado de agregar un switch a la red.
Si un puerto configurado con PortFast recibe un BPDU, STP puede colocar dicho
puerto en modo deshabilitado, utilizando BPDU Guard.
BPDU Guard se implementa mejor sobre puertos de usuario, para prevenir las
extensiones de red clandestinas de un host atacante.
Utilice este comando para habilitar BPDU Guard en todos los puertos que tengan
habilitado PortFast.
Switch(config)# spanning-tree portfast bpduguard default

Root Guard
La funcin Root Guard de los switches Cisco provee un mtodo para asegurar la
seleccin de puentes raz en la red. Root Guard limita los puertos del switch a
travs de los cuales puede negociarse el puente raz. Si un puerto habilitado con
Root Guard recibe BPDUs superiores a aquellos que enva el puente raz actual,
dicho puerto pasa a un estado "root-inconsistent", efectivamente similar al estado
de escucha (listening) de STP, y no se reenvan ms datos a travs del mismo.
Debido a que un administrador puede configurar la prioridad del puente a cero en
forma manual, Root Guard puede parecer innecesario. Configurar la prioridad de
un switch a cero no garantiza que el mismo ser seleccionado como puente raz,
debido a que puede existir otro switch con prioridad cero y una direccin MAC
menor, y por lo tanto ser seleccionado como puente raz.
Root Guard se implementa mejor en puertos conectados a switches que no
deberan ser el puente raz.
Con Root Guard, si un host atacante enva BPDUs falsificadas en un intento de
convertirse en el puente raz, una vez recibido el BPDU, el mismo es ignorado y el
puerto pasa al estado "root-inconsistent". El puerto se recupera tan pronto como
dejan de recibirse los BPDUs ofensivos.

Seguridad de la informacin 2015

BPDU Guard y Root Guard son similares, pero tienen diferentes impactos. BPDU
Guard deshabilita el puerto al recibir un BPDU, si dicho puerto tiene PortFast
habilitado. Esta deshabilitacin niega a estos puertos en forma efectiva la
participacin en el proceso STP. El administrador debe volver a habilitarlos en
forma manual, o configurar un temporizador automtico.
Root Guard permite que el dispositivo participe del proceso STP siempre y cuando
no intente convertirse en raz. Si Root Guard bloquea el puerto, la recuperacin
subsecuente es automtica. La recuperacin ocurre tan pronto como el dispositivo
culpable deja de enviar BPDUs superiores.
Este es el comando para configurar Root Guard en una interfaz.
Switch(config-if)# spanning-tree guard root
Para verificar el funcionamiento de Root Guard, utilice el comando show spanningtree inconsistentports. Debe considerarse que el switch pone al puerto en el
estado "root-inconsistent" si ste recibe BPDUs que no debera recibir. El puerto
se recupera en el momento en que deja de recibir dichos BPDUs.

CDP
CISCO DISCOVERY PROTOCOL (protocolo CDP) se utiliza para obtener
informacin de router y switches que estn conectados localmente. El CDP es un
protocolo propietario de Cisco, destinado al descubrimiento de vecinos y es
independiente de los medios y del protocolo de enrutamiento. Aunque el CDP
solamente mostrar informacin sobre los vecinos conectados de forma directa,
este
constituye
una
herramienta
de
gran
utilidad.
El Protocolo CDP es un protocolo de Capa 2 que conecta los medios fsicos
inferiores con los protocolos de red de las capas superiores,
La lectura del comando show cdp neighbors incluyen la siguiente informacin:
Identificador del dispositivo
Interfaz local
Tiempo de espera
Capacidad
Plataforma

Seguridad de la informacin 2015

Identificador
Los
siguientes

datos

se

del
agregan

en

el

puerto
CDPv2:

Administracin de nombres de dominio VTP

VLAN Nativas
Full o half-duplex

Para obtener los nombres y tipos de plataforma de routers vecinos, nombres y

versin de la imagen Cisco IOS:
Show cdp neighbors
Para obtener datos de routers vecinos en ms detalle:
Show cdp neighbors detail

Para saber el trafico de CDP que ocurre en el router.

Router#show cdp traffic
Hay dos formas de deshabilitar CDP, una es en un interfaz especfico y la otra de
forma general.
Desde una interfaz:
Router#configure terminal
Router(config)#[nmero de interfaz]
Router(config-if)#no cdp enable
De modo total:
Deshabilita CDP en el router:
Router(config)#no cdp run
Habilita CDP en el router:
Router(config)#cdp run
Show cdp interface

Muestra el estado de todos los interfaces que tienen activado CDP.

Restaura los contadores a cero:

Seguridad de la informacin 2015

Router#clear cdp counters

Borra la informacin contenida en la tabla de vecinos:

Router#clear cdp table

Los siguientes comandos pueden utilizarse para mostrar la versin, la informacin

de actualizacin, las tablas y el trfico:
show cdp traffic
show debugging
debug cdp adjacency
debug cdp events
debug cdp ip
debug cdp packets
cdp timer
cdp holdtime
show cdp

Ejemplo de un Show cdp neighbors

Router#show cdp neighbors
Capability Codes: R-Router, T-Trans Bridge, B-Sourse
Route Bridge, S-Switch, H-Host, I-IGMP, r-Repeater
DeviceID
Local
Interfce Holdtme
Router3
Ser0/1 150
Router4
Ser0/0 142
Switch FastEt0/0 120 S 2950 Fast0/5

10

Capablyt
Plataform
R 2600
R 4500

Port
ID
Ser0/1
Ser1/0

Seguridad de la informacin 2015

Mejores prcticas en configuraciones de switch Cisco

En esta apartado te voy a dar a conocer, las configuraciones generales que

debiese tener todo switch, para mantener el equipo ms confiable de ataques o
acceso a la red sin autorizacin.

Deshabilitacin de servicios no utilizados

Descripcin: Deshabilitacin de servicios no utilizados por la plataforma.
Comandos a aplicar:
no ip source-route
no service pad
no ip finger
no ip bootp server
no mop enable

Habilitacin de comandos para minimizar impacto de ataque a los

equipos
Descripcin: Los siguientes comandos permiten mejorar las respuestas de
equipo (para su administracin) en caso de un ataque basado en
inundacin de trfico, mientras que los TCP keepalives permiten prevenir
sesiones truncadas en caso de desconexiones repentinas.
Comandos a aplicar :
scheduler allocate
service tcp-keepalives-in
service tcp-keepalives-out

11

Seguridad de la informacin 2015

Habilitacin de traps
Descripcin: Habilitacin de traps generados por eventos o cambios de
configuracin en los equipos.
loggin traps
logging event link-status default
snmp-server enable traps vtp
snmp-server enable traps vlancreate
snmp-server enable traps vlandelete
snmp-server enable traps envmon
snmp-server enable traps stackwise
snmp-server enable traps config
snmp-server enable traps hsrp
snmp-server enable traps ipmulticast

Habilitacin de Root Guard

Descripcin: Definicin de permetro de seguridad de STP. Estos comandos
sern aplicados en las interfaces de acceso de los equipos.
Comandos a utilizar:
Interface [tipo][numero]
spanning-tree guard root
spanning-tree rootguard

12

Seguridad de la informacin 2015

Habilitacin de BPDU Guard
Descripcin : Permitir deshabilitar una puerta en caso que se conecte un
switch a una puerta configurada con portfast (De esta forma se evita que la
insercin
de
un
switch
en
la
red
sea
descontrolada)

Comandos a utilizar:
spanning-tree portfast bpduguard

Conf. Passwords, nombre y otros

#conf t
enable secret xxxxxxxx
line con 0
exec-timeout 5 0
password xxxxxxxxx
line vty 0 4
exec-timeout 5 0
timeout login response 300
password xxxxxxxxxx
login
line vty 5 15
no login
udld enable

13

Seguridad de la informacin 2015

no ip http server
no setup express
no ip forward-protocol udp netbios-ns
no ip forward-protocol udp netbios-dgm
no ip source-routeno ip domain-lookup
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
logging buffered 8000 debugging
spanning-tree mode rapid-pvst
spanning-tree portfast bpduguard default
spanning-tree extend system-id

BIBLIOGRAFIA
http://redesytrucos.blogspot.mx/2012/03/seguridad-de-puerto-en-switch-cisco.html
http://bit.ly/CCNASecurity
http://www.cisco.com/c/en/us/tech/lan-switching/dynamic-trunking-protocol-dtp/index.html

14