Professional Documents
Culture Documents
SEGURIDAD DE LA INFORMACION
GITI5114-F
INDICE
INTRODUCCION ............................................................................................................................. 2
Seguridad de puerto en switch cisco .............................................................................................. 3
Como configurarlo: .................................................................................................................... 4
Acciones en caso de violacin: ................................................................................................... 4
ejemplo:..................................................................................................................................... 5
AUTO TRUKING .............................................................................................................................. 6
BPDU Guard ................................................................................................................................... 7
Root Guard .................................................................................................................................... 7
CDP ................................................................................................................................................ 8
Mejores prcticas en configuraciones de switch Cisco .................................................................. 11
Deshabilitacin de servicios no utilizados ................................................................................. 11
Habilitacin de comandos para minimizar impacto de ataque a los equipos ............................. 11
Habilitacin de traps ................................................................................................................ 12
Habilitacin de Root Guard ...................................................................................................... 12
Habilitacin de BPDU Guard ..................................................................................................... 13
Conf. Passwords, nombre y otros ............................................................................................. 13
BIBLIOGRAFIA .............................................................................................................................. 14
Como configurarlo:
Switch>enable
Switch#configure terminal
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport mode access
ejemplo:
Switch>enable
Switch#configure terminal
Switch(config-if)#interface fastEthernet 0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security mac-address sticky
Switch(config-if)#switchport port-security maximum 3
Switch(config-if)#switchport port-security violation shutdown
Switch(config-if)#do wr
AUTO TRUKING
DTP (Dynamic Trunking Protocol) es un protocolo propietario creado por Cisco
Systems que opera entre switches Cisco, el cual automatiza la configuracin de
trunking (etiquetado de tramas de diferentes VLAN's con ISL o 802.1Q) en
enlaces Ethernet.
Dicho protocolo puede establecer los puertos ethernet en cinco modos diferentes
de trabajo: AUTO, ON, OFF, DESIRABLE y NON-NEGOTIATE.
o bien 'trunking', es decir, pasarn las tramas de todas las VLAN permitidas
etiquetndolas adecuadamente (ISL o 802.1Q).
BPDU Guard
La funcin de STP BPDU Guard permite a los diseadores de la red mantener
predecible a la topologa de red activa. BPDU Guard es utilizada para proteger a la
red conmutada de posibles problemas causados por recibid BPDUs en puertos
que no deberan recibirlos. La recepcin de BPDUs podra ser accidental o parte
de un intento no autorizado de agregar un switch a la red.
Si un puerto configurado con PortFast recibe un BPDU, STP puede colocar dicho
puerto en modo deshabilitado, utilizando BPDU Guard.
BPDU Guard se implementa mejor sobre puertos de usuario, para prevenir las
extensiones de red clandestinas de un host atacante.
Utilice este comando para habilitar BPDU Guard en todos los puertos que tengan
habilitado PortFast.
Switch(config)# spanning-tree portfast bpduguard default
Root Guard
La funcin Root Guard de los switches Cisco provee un mtodo para asegurar la
seleccin de puentes raz en la red. Root Guard limita los puertos del switch a
travs de los cuales puede negociarse el puente raz. Si un puerto habilitado con
Root Guard recibe BPDUs superiores a aquellos que enva el puente raz actual,
dicho puerto pasa a un estado "root-inconsistent", efectivamente similar al estado
de escucha (listening) de STP, y no se reenvan ms datos a travs del mismo.
Debido a que un administrador puede configurar la prioridad del puente a cero en
forma manual, Root Guard puede parecer innecesario. Configurar la prioridad de
un switch a cero no garantiza que el mismo ser seleccionado como puente raz,
debido a que puede existir otro switch con prioridad cero y una direccin MAC
menor, y por lo tanto ser seleccionado como puente raz.
Root Guard se implementa mejor en puertos conectados a switches que no
deberan ser el puente raz.
Con Root Guard, si un host atacante enva BPDUs falsificadas en un intento de
convertirse en el puente raz, una vez recibido el BPDU, el mismo es ignorado y el
puerto pasa al estado "root-inconsistent". El puerto se recupera tan pronto como
dejan de recibirse los BPDUs ofensivos.
CDP
CISCO DISCOVERY PROTOCOL (protocolo CDP) se utiliza para obtener
informacin de router y switches que estn conectados localmente. El CDP es un
protocolo propietario de Cisco, destinado al descubrimiento de vecinos y es
independiente de los medios y del protocolo de enrutamiento. Aunque el CDP
solamente mostrar informacin sobre los vecinos conectados de forma directa,
este
constituye
una
herramienta
de
gran
utilidad.
El Protocolo CDP es un protocolo de Capa 2 que conecta los medios fsicos
inferiores con los protocolos de red de las capas superiores,
La lectura del comando show cdp neighbors incluyen la siguiente informacin:
Identificador del dispositivo
Interfaz local
Tiempo de espera
Capacidad
Plataforma
datos
se
del
agregan
en
el
puerto
CDPv2:
10
Capablyt
Plataform
R 2600
R 4500
Port
ID
Ser0/1
Ser1/0
11
12
Comandos a utilizar:
spanning-tree portfast bpduguard
13
BIBLIOGRAFIA
http://redesytrucos.blogspot.mx/2012/03/seguridad-de-puerto-en-switch-cisco.html
http://bit.ly/CCNASecurity
http://www.cisco.com/c/en/us/tech/lan-switching/dynamic-trunking-protocol-dtp/index.html
14