Descripción General Este modulo define las potenciales vulnerabilidades relacionadas con las VLANs dentro de una red y sus posibles soluciones. Los tópicos incluyen seguridad de puerto para mitigar las suplantaciones e inundaciones MAC, utilizando PVLANs y VACLs para controlar el tráfico VLAN, VLAN hopping, Suplantación DHCP, suplantación ARP y ataques STP. Aprenderá acerca de los muchos potenciales problemas y soluciones; en particular, aprenderá como asegurar un switch de acceso usando ACLs vty e implementando SSH. 8.1.1 Descripción General de las preocupaciones de seguridad en Switch Mucha atención de parte de la industria reside en los ataques de seguridad provenientes desde el exterior de una organización y las capas superiores del modelo OSI. La seguridad en la red también se enfoca en los dispositivos de enrutamiento de borde y en el filtrado de paquetes basado en los encabezados de capa 3 y 4, puertos y la Inspección de estado de paquetes. Esto incluye todo lo relacionado a la capa 3 y todo el tráfico marcado hacia la red del campus desde Internet. Generalmente, la mayoría de las discusiones de seguridad no consideran los dispositivos de acceso al campus y tampoco la comunicación de capa 2. El estado por defecto del equipamiento de redes pone de relieve este enfoque en la protección exterior y la comunicación abierta interna. Los firewalls son colocados en las fronteras organizacionales y por defecto para un modo operacional seguro, no se establece comunicación hasta que se halla configurado para ello. El modo operacional por defecto para routers y switches dentro de una organización es permitir la comunicación y enviar todo el tráfico, lo cual a menudo resulta en una configuración de seguridad minima y las convierte en objetivos para ataques maliciosos. Si se lanza un ataque a la capa 2 en un dispositivo del campus interno, el resto de la red puede comprometerse rapidamente, a menudo sin ser detectados. Muchas caracteristicas de seguridad estan disponibles para los switches y routers, pero deben ser activadas para que sean efectivas. Igualmente en la capa 3, donde la seguridad debe ser mas estricta en los dispositivos dentro del campus, donde hay mayor actividad maliciosa, las medidas de seguridad deben tomarse ahora para protegerse de la actividad maliciosa en la capa 2. Un nuevo enfoque de seguridad se centra en los ataques lanzados maliciosamente aprovechando el funcionamiento normal de los switches en la capa 2. Las caracteristicas de seguridad existen para proteger los switches y la operación de capa 2 pero, con las listas de control de acceso (ACLs) para la seguridad de las capas superiores, una politica se debe establecer y las caracteristicas apropiadas configuradas para protegerse contra potenciales actos maliciosos, mientras que se mantiene a diario la funcionalidad de la red.

Figura 1

8.1.2 Descripción del acceso no autorizado de dispositivos ocultos El acceso oculto viene en varias formas. Por ejemplo, como los puntos de acceso ilegales son baratos y fácilmente adquiribles, los empleados a menudo los conectan dentro de las LAN existentes y crean redes Wireless ad hoc sin el conocimiento o el consentimiento del departamento de IT. Estos puntos de acceso ilegales pueden ser un grave riesgo para la seguridad de la red ya que pueden ser conectados a un puerto de red detrás del firewall corporativo. Los empleados generalmente no activan ninguna opción de seguridad en el punto de acceso ilegal, así que es fácil para los usuarios no autorizados usar los puntos de acceso para interceptar el trafico de red y descifrar las sesiones de un cliente. Los puntos de acceso maliciosos, aunque es mucho menos común que los empleados los instalen, presentan un riesgo aun mayor y un reto ya que son intencionalmente ocultados de la vista física de la red. Estos puntos de acceso ilegales crean una conexión LAN inalámbrica no segura que pone a la red entera bajo riesgo. Otra amenaza de seguridad son los switches ilegales de capa 2. Un atacante con acceso físico al cableado de datos conecta un switch ilegal que puede ser usado para manipular el Protocolo Spanning Tree (STP), VLANs, husmeo de tráfico, etc. Este switch ilegal puede ser una estación de trabajo con la habilidad de conectarse y participar en las operaciones de otros dispositivos de capa 2. Para mitigar la manipulación de STP, el uso de los comandos root guard y BPDU guard enhancement para forzar la elección del puente raíz en la red y los bordes del dominio STP. El STP BPDU guard permite a los diseñadores de red mantener la topología actual predecible, Mientras que el BPDU guard puede parecer innecesario dado que el administrador puede establecer la prioridad del puente a cero, no hay ninguna garantía de que el puente será elegido como puente raíz ya que puede haber

otro puente con la prioridad cero y un menor ID de puerto. Es mejor activar el BPDU guard en los puertos que usan los usuarios para prevenir que se extienda la red con switches ilegales conectados por un atacante. Figura 1

8.1.3 Tipos de ataques a Switches

Los ataques maliciosos a la capa 2 son típicamente lanzados por un dispositivo conectado a la red en el campus. Este puede ser un dispositivo ilegal físico puesto en la red o una intrusión externa que toma el control de y lanza ataques desde un dispositivo confiable. En cualquier cosa, la red visualiza todo el tráfico como originado desde un dispositivo conectado legítimo. A continuación se enumeran los tipos de ataques que se lanzan en contra de los switches y la capa 2:

• Ataques de capa MAC • Ataque Vlan • Ataques de falseo • Ataque de dispositivos Switch

La figura describe los métodos de ataque y los pasos para mitigarlos

8.1.4 Describiendo un ataque de inundación MAC Un ataque común de capa 2 o ataque de switch es la inundación MAC, lo que provoca una sobrecarga en la tabla CAM del switch, resultando en inundaciones regulares de tramas de datos por todos los puertos del switch. (1) Este ataque puede ser lanzado para recoger una amplia muestra de tráfico o como un ataque de denegación de servicio (DoS).

La tabla CAM de los switches es limitada y por lo tanto, puede contener solo un número limitado de entradas en cualquier momento, Un intruso en la red puede inundar maliciosamente un switch con un gran numero de tramas con un rango invalido de direcciones MAC origen. Si se crean suficientes entradas nuevas antes de que las viejas expiren, las entradas nuevas validas no son aceptadas. Luego, cuando el trafico llega al switch de un dispositivo legitimo que esta conectado a uno de los puertos del switch no puede crear una entrada en la tabla CAM, el switch debe inundar con tramas todos sus puertos. Esto tiene dos efectos adversos:

• El trafico del switch es ineficiente y voluminoso.

• Un dispositivo intruso puede ser conectado a cualquier puerto de switch y capturar el trafico que normalmente no puede ser visto en ese puerto.

Si el ataque se lanza antes de iniciarse el dia, la tabla CAM in los switches se llena. Como la mayoria de los dispositivos finales legítimos se encienden, sus direcciones MAC origen no deben ser puestas en las tablas CAM. Si esto representa un gran numero de dispositivos de red, el numero de direcciones MAC para las cuales el trafico debe ser enviado es alta y los puertos del switch deben procesar inundaciones con tramas desde un gran numero de dispositivos.

Si la inundación inicial de entradas invalidas en la tabla CAM es un evento aislado, el switch eventualmente enviara fuera las mas antiguas, las entradas invalidas en la tabla CAM, permiten nuevamente, legitimar dispositivos para crear una entrada. La inundación de trafico se detendra y nunca sera detectada, mientras el intruso intercepta una cantidad significante de datos desde la red. La figura (2) muestra el progreso de un ataque de inundación MAC.

Para mitigar las inundaciones MAC, se configura la seguridad de puerto para definir el numero de direcciones MAC que estan permitidas en un puerto dado. La seguridad de puerto tambien puede especificar cual direccion MAC se permite en un puerto dado.

8.1.4 Describiendo la seguridad del puerto Los switches Cisco Catalyst incluyen la seguridad de puerto como una característica. La seguridad de puerto restringe un puerto de switch a un número específico de direcciones MAC. (1) Estas direcciones se pueden aprender dinámicamente o ser configuradas estáticamente. El puerto entonces provee acceso solo a las tramas de esas direcciones. Sin embargo, el numero de direcciones es limitado a cuatro pero no se configuran direcciones MAC especificas, los puertos permiten aprender cualquiera de las cuatro direcciones MAC dinámicamente, el acceso al puerto es entonces limitado a esas cuatro direcciones aprendidad dinámicamente.

Una característica de seguridad en el puerto también llamada “aprendizaje adherido” el cual esta disponible en algunas plataformas de switch, combina las características de las direcciones aprendidas dinámicamente o configuradas estáticamente. Cuando esta característica es configurada en una interfaz, la interfaz convierte dinámicamente las direcciones aprendidas a direcciones con “seguridad adherida”. Estas direcciones son añadidas a la configuración activa como si fueran configurada usando el comando switchport port-security mac-address. Escenario Imagine cinco individuos cuyas computadoras portátiles pueden conectarse a un puerto de switch específico cuando visitan un área del edificio. Queremos restringir el acceso al puerto del switch a las direcciones de esos 5 computadores y permitir que las direcciones no sean aprendidas dinámicamente en ese puerto. La figura (2) describe el proceso para lograr esto.

Nota: La seguridad en el puerto no puede aplicarse a puertos troncales donde las direcciones pueden cambiar frecuentemente. Las implementaciones de seguridad de puerto varían por plataforma Catalyst Cisco. Consulte la documentación para ver si y como un hardware en particular puede soportar esta caracteristica. 8.1.5 Configurando la seguridad del puerto en el Switch La figura (1) describe lo que esta involucrado en la configuración de seguridad de puerto para limitar el acceso al puerto del switch, un grupo especifico de direcciones MAC de dispositivos finales.

La figura (2) muestra los pasos de configuración.

Usted debe tener en cuenta las siguientes cosas: Paso 1 la seguridad de puerto se activa puerto por puerto. Paso 2 por defecto, solo se permite el acceso de direcciones MAC a través de un puerto de switch dado cuando la seguridad de puerto esta activada. Este parámetro incrementa ese número. Que no impone ninguna restricción en las direcciones MAC específicas, solo en el numero total de direcciones que pueden ser aprendidas por puerto. Las

direcciones aprendidas no caducan por defecto, pero pueden configurarse para hacer eso después de un periodo de tiempo específico usando el comando switchport port-security aging. El valor del parámetro puede ser cualquier numero desde 1 a 1024, con ciertas restricciones sobre el numero de puertos en un switch dado con la seguridad de puerto activada. Nota: Asegúrese de establecer el valor del parámetro a un valor de 2 cuando este configurando un puerto para soportar VoIP y requiere un teléfono y una computadora accesible en el puerto. Si se usa el valor por defecto, ocurre una violación a la seguridad del puerto. Paso 3 El Acceso al puerto del switch puede restringirse a una o mas direcciones MAC especificas. Si el numero de direcciones MAC asignado es menor que el valor establecido en el paso 2, las direcciones permitidas restantes pueden ser aprendidas dinámicamente. Si usted especifica un conjunto de direcciones MAC que es igual al numero máximo permitido, el acceso es limitado a ese conjunto de direcciones MAC. Paso 4 Por defecto, si numero maximo de conexiones es alcanzado y una nueva direccion MAC intenta acceder al puerto, el switch debe tomar una de las siguientes acciones:

• Proteger: Las tramas desde las direcciones no permitidas son descartadas, pero no hay registro de esa violación.

Nota: El argumento proteger depende de la versión de la plataforma

• Restringir: Las tramas que provienen desde las direcciones no permitidas son descartadas, se crea un mensaje de registro y se envía una trampa del protocolo simple de administración de red (SNMP).

• Apagado: Si cualquier trama es enviada desde una direccion no permitida, la interfaz es (errdisabled) desactivada, se crea una entrada de registro, se envía una trampa SNMP y la intervención manual o recuperacion (errdisable) debe usarse para hacer que la interface puede funcionar.

Use los comando show para verificar la configuración de seguridad de puerto. El comando show port-security enumera los puertos en los que la seguridad ha sido activada. También muestra información de las cuentas y acciones de seguridad que deberán tomarse por la interfaz. (3)

La sintaxis completa del comando es la siguiente: Switch#show port-security [interface interface_id] address

Puede ver el estatus de la seguridad de puerto por interfaz o por las direcciones asociadas con la seguridad de puerto en todas las interfaces. La figura (3) muestra el resultado del comando Show port-security cuando no se introduce ninguna interfaz, Use la palabra clave interface para obtener el resultado para una interfaz específica. La figura (4) muestra el resultado del comando Show port-security para una interfaz específica.

Utilice la palabra clave address mostrar la información de seguridad de la tabla de direcciones MAC. La figura (5) muestra el resultado del comando Show port-security address en el modo de configuración privilegiado. La columna Age restante es llenada solo si esta específicamente configurado para una interfaz dada.

8.1.6 Seguridad de puerto con MAC adherida La seguridad de puerto puede ser usada para mitigar los ataques burlas (spoof) limitando el acceso a través de cada puerto a una sola dirección MAC. Esto previene que los intrusos usen múltiples direcciones MAC en un corto periodo de tiempo pero no limita el acceso al puerto a una dirección MAC específica. La implementación de seguridad de puerto más restrictiva debe especificar la dirección MAC exacta del dispositivo que ganara acceso a través de cada puerto. Implementando este nivel de seguridad, sin embargo, requiere una sobrecarga administrativa considerable. La seguridad de puerto posee una característica llamada “Dirección MAC Adherida” que puede limitar el acceso al puerto del switch a una única, dirección MAC especifica sin que el administrador de red tenga que determinar la direccion MAC de cada dispositivo autenticado y asociarlo manualmente con un puerto de switch en particular. Cuando se usan las direcciones MAC adheridas, el puerto del switch convierte dinámicamente las direcciones MAC aprendidas a direcciones MAC adheridas y las añade a la configuración en uso como si fueran entradas estaticas para una unica direccion MAC permitida por la seguridad de puerto. Las direcciones MAC adheridas seguras son añadidas a la configuración en uso pero no forman parte de la configuración

de la NVRAM, a menos que la configuración en uso sea copiada a la NVRAM después de que se aprendieron las direcciones. Si son guardadas en la configuración de la NVRAM, no tienen que ser aprendidas cuando se reinicie el switch, lo cual provee un mayor nivel de seguridad. El siguiente comando convierte todas las direcciones MAC aprendidas dinámicamente por seguridad de puerto a direcciones MAC adheridas seguras: switchport port-security mac-address sticky

Este comando no puede ser usado en puertos que han sido configurados para VLAN de voz.

8.1.7 Autenticación, Autorización y manejo de Cuentas. Los servicios de seguridad autenticación, autorización y manejo de cuentas (AAA) proveen el marco de trabajo primario a través del cual el control de acceso es configurado en el switch. AAA es un marco de trabajo arquitectónico para configurar un grupo de tres funciones de seguridad independientes de una manera consistente. AAA provee una forma modular de llevar acabo esos servicios. Para propósitos de este curso, solo se discute la autenticación. La autenticación es la manera en que un usuario se identifica antes de que se le permita el acceso a la red y a sus servicios. La autenticación AAA es configurada definiendo una lista de métodos de autenticación con nombre y luego se debe aplicar esa lista a interfaces especificas antes de que se realicen cualquiera de los métodos de autenticación definidos. Si no hay una lista de métodos definidos, una lista por defecto

con métodos definidos (llamada “default”) se aplica. Una lista con métodos definidos reemplaza la lista con métodos por defecto. En muchas circunstancias, AAA usa protocolos como RADIUS, TACACS+, o 802.1x para administrar las funciones de seguridad. Si el switch esta actuando como servidor de acceso a la red, AAA es el medio por el cual el switch establece comunicación entre el servidor de acceso a la red y el servidor de seguridad RADIUS, TACACS+ o 802.1x.

8.1.8 Métodos de Autenticación. Los servicios de seguridad AAA facilitan una variedad de métodos de autenticación de acceso. (1)

El argumento list-name es el nombre de la lista que se esta creando. El argumento method se refiere al método actual del algoritmo de autenticación. Adicionalmente los métodos de autenticación son usados solo si el método anterior devuelve un error, si no falla. Por ejemplo, para especificar RADIUS como el método por defecto para la autenticación de usuarios durante el acceso, escriba el siguiente comando: aaa authentication dot1x default group radius

La figura (2) describe el proceso básico para configurar AAA

8.1.10x Autenticación Basada en Puerto El estándar IEEE 802.1x define un control de acceso basado en puerto y el protocolo de autenticación que restringe a las estaciones de trabajo no autorizadas para que no se conecten a la red LAN a través de puertos del switch de acceso publico. El servidor de autenticación autentifica cada estación de trabajo conectada a un puerto del switch antes de que este disponible cualquier servicio ofrecido por el switch o la red LAN. Hasta que la estación de trabajo se autentique, el control de acceso 802.1x permite solo el tráfico del protocolo de autenticación extensible sobre LAN (EAPOL) a través del puerto al cual esta conectada la estación de trabajo. Después que ocurre la autenticación, el tráfico normal puede pasar a través del puerto. Con la autenticación basada en puerto 802.1x, el dispositivo en la red tiene los siguientes roles específicos: (1)

*Cliente: El dispositivo (estación de trabajo) que solicita acceso a la red LAN y los servicios del switch, y responde las peticiones del switch. La estación de trabajo debe estar ejecutando el software cliente 802.1x compatible, como lo que ofrecen los sistemas operativos Windows XP y Windows Vista. (El puerto al que se conecta el cliente es el cliente que pide en la especificación IEEE 802.1.) *Servidor de autenticación: Realiza la autenticación actual del cliente. El servidor de autenticación valida la identidad del cliente y notifica al switch si se autoriza el acceso al cliente a la red LAN o a los servicios del switch. Ya que el switch actua como el Proxy, el servicio de autenticación es transparente al cliente. El sistema de seguridad RADIUS con extensiones EAP el único servidor de autenticación soportado.

*Switch (también llamada el autenticador) : Controla el acceso físico a la red basandose en el estado de la autenticación del cliente. El switch actua como un (Proxy) intermediario entre el cliente y el servidor de autenticación, solicitando información de identificación al cliente, verificando esa información con el servidor de autenticación y entregando la respuesta al cliente. El switch usa un agente se software RADIUS, el cual es responsable de encapsular y desencapsular las tramas EAP e interactuar con el servidor de autenticación. El estado del puerto del switch determina si se le permite el acceso a la red al cliente. El puerto se inicia en el estado desautorizado. Mientras permanece en este estado, el puerto no permite ningún ingreso o salida de tráfico, excepto por los paquetes del protocolo 802.1x. Cuando el cliente se autentica correctamente, el puerto cambia al estado autorizado, permitiendo que todo el trafico hacia el cliente fluya normalmente. Si el switch solicita la identidad del cliente (iniciación del autenticador) y el cliente no soporta 802.1x, el puerto permanece en el estado desautorizado y no se le permite el acceso al cliente a la red. En contraste, cuando un cliente que ejecuta 802.1x se conecta a un puerto y el cliente inicia el proceso de autenticación (supplicant initiation) enviando la trama EAPOL-start al un switch que no este ejecutando 802.1x, no habrá respuesta de parte del switch y el cliente comenzará a enviar tramas como si el puerto estuviera en el estado autorizado. Usted controla el estado de la autorización del puerto usando el comando de configuración de interfaz de control de puerto dot1x y estas palabras clave: Autorización forzada: Desactiva la autenticación basada en puerto 802.1x y ocasiona que el puerto transiciones al estado autorizado sin que ningun intercambio de autenticación sea requerido. El puerto transmite y recibe tráfico normal sin 802.1x basado en la autenticación del cliente. Esta es la configuración por defecto. Desautorización forzada: Ocasiona que el puerto permanezca en el estado desautorizado, ignorando todos los intentos del cliente para autenticarse. El switch no puede proveer servicio de autenticación al cliente a través de la interfaz. Auto: Activa la autenticación basada en puerto 802.1x y ocasiona que el puerto inicie en el estado desautorizado, permitiendo que solo las tramas EAPOL sean enviadas y recibidas a través del puerto. El proceso de autenticación comienza cuando el estado de enlace del puerto cambia de apagado a encendido (iniciación del autenticador) o cuando una trama EAPOL- start es recibida (suplicant initiacion). El switch solicita la identidaddel cliente y comienza a enviar mensaje de autenticación entre el cliente y el servidor de autenticación. El switch solamente identifica cada cliente que intenta acceder a la red con la dirección MAC del cliente. Si el cliente se autentica exitosamente (recibe una trama “accept” desde el servidor de autenticación), el estado del puerto cambia a autorizado y todas las tramas desde el cliente autenticado son permitidas a través del puerto. Si la autenticación falla, el puerto permanece en el estado desautorizado. Si no se puede alcanzar el servidor de autenticación, el switch puede retransmitir la petición. Si no se recibe respuesta desde el

servidor después de un número determinado de intentos, la autenticación falla y el acceso a la red es denegado. Cuando un cliente cierra sesión, envía un mensaje EAPOL-logoff, ocasionando que el puerto del switch cambie al estado desautorizado. Los comandos para configurar 802.1x esta ilustrado en la figura (2).

Para implementar la autenticación basada en puerto 802.1x, siga los pasos de la figura. (3)

En la figura (4), el ejemplo muestra como habilitar AAA y802.1x en el puerto Fast Ethernet 5/1.

8.2.1 Explicando el VLAN Hopping El VLAN hopping es una ataque de red mediante el cual un ordenador envía paquetes hacia, o recoge paquetes desde, una VLAN que no debería ser accesible a ese ordenador (1). Esto se logra mediante el etiquetado del tráfico invasivo con una ID de VLAN específica o negociando un enlace troncal para enviar o recibir trafico en la red VLAN penetradas. El VLAN hopping se puede lograr con la suplantación de identidad de switch o doble etiquetado.

En un ataque se suplantación de ID, el atacante configura un sistema para suplantarse a el mismo como un switch mediante un enlace Inter-Switch (ISL) o tronqueado 802.1Q, junto con las negociaciones DTP, para establecer una conexión troncal hacia el switch. Cualquier puerto de switch configurado como auto DTP pude ser un puerto troncal cuando se recibe un paquete DTP generado por el dispositivo atacante y aceptar el tráfico destinado a cualquier VLAN soportada en ese puerto. El dispositivo malicioso puede entonces enviar paquetes para, o recoger paquetes desde cualquier VLAN dentro del trunk negociado. La figura (2) describe la secuencia de eventos de suplantación de switch.

Otro método de VLAN hopping es en un ordenador para generar tramas con dos encabezados 208.1Q para conseguir que el switch envíe las tramas en una VLAN que debería ser inaccesible al atacante a través de medios legítimos. (3)

Si la trama doble etiquetada es un multicast, broadcast o con destino desconocido, el switch que recibe la trama inundará esta trama por todos los puertos conectados a la misma VLAN (VLAN10) como la VLAN nativa del puerto atacante. El switch quitaría el primer tag de la VLAN antes de enviar, con la condición de que esta vlan nativa coincida con el puerto en el cual se recibió. Cualquier puerto de acceso en este primer switch asignado a la VLAN10 debería recibir la trama con el tag de la segunda VLAN.

Si un puerto troncal tiene la misma VLAN nativa (VAN10), el switch no volverá a etiquetar la trama y llegaría al siguiente switch solo con el segundo tag de VLAN. El segundo switch creerá que la trama fue originada en una VLAN distinta (VLAN20) y por lo tanto la inundará por todos los puertos activos en esta segunda VLAN. También el segundo switch deberá enviar la trama a cualquier enlace troncal adicional que estuviera activo con la segunda VLAN. Si el puerto troncal en el primer switch fue asignado a una VLAN distinta que la del puerto del atacante, la trama debería simplemente ser inundada por todos los puertos activos en la VLAN 10 en ambos switch (no hay hopping de VLAN). La razón es que el primer switch debería etiquetar la trama 201.1Q con la VLAN del puerto del atacante antes de enviarla a través del enlace troncal. La figura (4) describe el método de doble etiquetado de VLAN hopping.

8.2.2 Mitigando el VLAN hopping Las medidas para defender la red del VLAN hopping consiste en una serie de mejores prácticas para todos los puertos del switch junto con los parámetros a seguir para establecer un puerto troncal: *Configurar todos los puertos sin uso como puertos de acceso para que el trunking no pueda negociarse a través de esos enlaces. *Colocar todos los puertos sin uso en modo shutdown y asociarlos con una VLAN designada solo para puertos sin uso, sin enviar ningún tipo de tráfico de usuario. *Cuando se cree un enlace troncal, configure lo siguiente: -Hacer que la VLAN nativa sea diferente de cualquier VLAN de datos. -Establecer el trunking como “on”, en lugar de negociarla. -Especificar el rango de VLAN para ser enviado en el enlace troncal.

Nota: Los comando de configuración en la figura no funcionan en los puertos de acceso que soportan VoIP ya que han sido configurados como puertos troncales. Sin embargo, el todos los demás puertos de acceso, esta es la mejor practica para aplicar esos comando y mitigar el VLAN hopping.

8.2.3 Listas de Control de Acceso VLAN Los switches Cisco multicapas soportan tres tipos de ACLs: *Lista de control de acceso de router (RACL): Aplicada a las interfaces de capa 3 tales como SVI o puertos de router L3. Controla el acceso del tráfico enrutado entre VLANs. Las RACLs son aplicadas en interfaces para direcciones específicas (entrante o saliente). Puedes aplicar una lista de acceso en cada dirección. Para mejorar el rendimiento en los switches multicapas, las RACLs son admitidas en la memoria direccionable de contenido ternario (TCAM).

• Listas de control de acceso de puerto (PACL): Aplicadas en el puerto de switch de capa 2, puerto troncal o puerto EthernetChannel. Las PACLs realizan control de acceso en el tráfico entrante en la interfaz de capa 2. Con las PACLs, puedes filtrar el tráfico IP usando listas de acceso IP y tráfico no IP usando direcciones MAC. Cuando aplicas una PACL a un puerto troncal, filtra el tráfico en todas las VLANs presentes en el puerto troncal.

• Lista de control de acceso VLAN (VACL): Compatibles con el software de los switches multicapas Cisco. Filtrado basado en parámetros de capa 2 o capa 3 dentro de una VLAN. A diferencia de las RACLs, las VACLs no están definidas por la dirección (entrante o saliente).

Los switches catalyst soportan cuatro búsquedas de ACL por paquete: ACL de seguridad entrante y saliente, y ACL de calidad de servicio (QoS) entrante y saliente.

Los switches catalyst usan dos métodos de realización para combinarse: dependiente del orden e independiente del orden. Con la combinación dependiente del orden. Las ACLs se transforman de una serie de acciones dependiente del orden a una serie mascaras y patrones dependientes del orden. El resultado de la entrada de control de acceso (ACE) puede ser bastante largo. La combinación usa muchos recursos de memoria y procesador. Una combinación dependiente del orden es una mejora reciente en los switches catalyst en los cuales las listas de acceso conservan sus su aspecto dependiente del orden. El cálculo es mucho mas rápido y usa menos recursos de procesador. Las RACLs son soportadas en hardware a través de las ACLs IP estándar y las ACLs IP extendidas, con acciones de denegar o permitir. El procesamiento de ACL es una parte intrínseca del proceso de envío de paquetes. Las entradas ACL son programadas en hardware. Las búsquedas ocurren en la tubería si la ACL es o no configurada. Con las RACLs, las estadísticas de listas de acceso y registro no están disponibles.

8.2.4 Configurando VACLs

Las VACLs (también llamadas mapas de acceso VLAN en el software IOS de Cisco) se aplican a todo el tráfico en la VLAN. Puedes configurar VACLs para el tráfico IP y MAC. Las VACLs siguen las convenciones route-map en el que las secuencias de mapa son controladas en orden. Cuando se encuentra una coincidencia ACE permisiva, el switch toma una acción. Cuando se encuentra una coincidencia ACE de denegación, el switch compara la siguiente ACL en la secuencia o revisa la siguiente secuencia. Se permiten tres acciones VACL

• Permitir (con captura, Catalyst 6500 únicamente) • Redireccionar (Catalyst 6500 únicamente) • Denegar (Con registro, Catalyst 6500 únicamente)

Se soportan dos características únicamente en los Cisco catalyst 6500:

• Captura VACL: Los paquetes enviados son capturados en los puertos de captura. La opción de captura es solamente en las ACEs permisivas. El puerto de captura puede ser un puerto monitor IDS o cualquier puerto Ethernet. El puerto de captura debe estar en una VLAN de salida para el tráfico conmutado de capa 3.

• Redirigir VACL: Los paquetes coincidentes son redireccionados a puertos específicos. Puedes configurar más de 5 puertos de redireccionamiento. Los puertos de redireccionamiento deben estar en la VLAN donde se aplique la VACL.

La opción de captura VACL copia el tráfico a los puertos de captura especificados. Las ACEs VACL instaladas en el hardware son combinadas con las RACLs y otras características. La figura (1) enumera los comandos usados para configurar las VACLs.

La figura (2) describe los pasos usados para configurar las VACLs.

La figura (3) muestra un ejemplo de configuración.

La configuración anterior no permite ningún Host con la dirección IP origen desde 10.1.0.0 hasta 10.1.255.255 para enviar tramas a través del switch. Si el switch recibe a una trama con IP origen dentro de este rango de direcciones IP, son descartadas. No importa en que VLAN se origino la trama o si la trama esta destinada a la misma VLAN donde se originó. Las tramas con cualquier otra dirección origen son permitidas y enviadas. Nota: También puede especificar el filtrado de direcciones MAC dentro de una VLAN usando configuraciones VACL. 8.2.5 VLANs privadas y Puertos Protegidos Los proveedores de servicio de Internet (ISP) a menudo tienen dispositivos de múltiples clientes, así como de sus propios servidores, en un segmento único de zona desmilitarizada (DMZ) o VLAN. Como los temas de seguridad son muchos, se vuelve necesario proveer aislamiento de tráfico entre dispositivos, a pesar de que pueden existir en el mismo segmento VLAN de capa 3. Los switches catalyst 6500/4500/3750/3560 implementan las VLAN privadas para mantener algunos puertos del switch compartidos y algunos aislados, aunque todos los puertos existen en la misma VLAN. (1) El 2960 soporta “puertos protegidos,” que es funcionalmente similar a las PVLANs en función de cada switch.

La solución tradicional para hacer frente a esos requerimientos del ISP es proveer una VLAN por cliente, con cada VLAN teniendo su propia subred IP. Un dispositivo de capa 3 provee Inter conectividad entre VLANs y destinos de Internet. Estos son los desafíos con esta solución tradicional:

• Implementar una VLAN por cliente puede requerir un gran número de interfaces en los dispositivos del proveedor de servicio.

• Spanning tree se vuelve mas complicado con muchas interacciones VLAN. • El espacio de direccionamiento de red debe ser dividido en muchas subredes, las

cuales desperdician espacio e incrementa la complejidad de administración. • Se requieren múltiples aplicaciones ACL para mantener la seguridad en

múltiples VLAN, resultando en complejidad de administración incrementada. Las PVLANs y los puertos protegidos proveen aislamiento de capa 2 entre los puertos dentro de la misma VLAN. Este aislamiento elimina la necesidad de una VLAN separada y una subred IP por cliente. Un puerto protegido no reenvía el tráfico (unicast, multicast o broadcast) a cualquier otro puerto que también es un puerto protegido. El tráfico no puede enviado entre puertos protegidos en la capa 2; todo el tráfico que pasa a través de los puertos protegidos debe ser enviado a través de un dispositivo de capa 3. El comportamiento de envío entre un puerto protegido y un puerto no protegido no se ve afectado y continúa normalmente. El ejemplo en la figura (2) muestra como configurar la interfaz Fast Ethernet 0/1 como un puerto protegido y verificar la configuración.

Las PVLANs son soportadas en los switches Catalyst 3560, 3750, 4500 y 6500. Un puerto en una PVLAN puede ser uno de tres tipos: (3)

• Aislado: Tiene una separación de capa 2 completa de otros puertos dentro de la misma PVLAN, excepto por el puerto promiscuo. Las PVLANs bloquean todo en tráfico en los puertos aislados, excepto el tráfico que proviene de los puertos promiscuos.

• Promiscuos: Se comunican con todos los puertos dentro de la PVLAN, incluyendo la comunidad y los puertos aislados. El Gateway por defecto para el segmento probablemente se encuentra en un puerto promiscuo, dado que todos los dispositivos en la PVLAN necesitan comunicarse con ese puerto.

• Comunidad: Comunicarse entre sí y con sus puertos promiscuos. Esas interfaces son aisladas en la capa 2 desde todas las otras comunidades en otras comunidades, o en puertos aislados dentro de su PVLAN.

Nota: Debido a que los puertos troncales pueden admitir el tráfico entre VLAN aisladas, comunidad y puertos promiscuos, el tráfico de puerto aislado y de comunidad podría entrar a salir del switch a través de la interfaz troncal. Los puertos PVLAN son asociados con un grupo de VLANs que son usadas para crear la estructura VLAN. Una PVLAN usa las VLAN de tres maneras:

• Como la VLAN principal: Lleva el tráfico de los puertos promiscuos a los aislados. Comunidad y otros puertos promiscuos en la misma VLAN primaria.

• Como una VLAN aislada: Lleva el tráfico de los puertos aislados a los puertos promiscuos.

• Como una VLAN comunitaria: Lleva el tráfico entre los puertos comunitarios y los puertos promiscuos. Puedes configurar múltiples VLAN comunitarias en una PVLAN.

Las VLAN aisladas y comunitarias son llamadas VLANs secundarias. Puedes extender las PVLANs a través de múltiples dispositivos conectando la VLAN primaria, aislada y comunitaria a otros dispositivos que soporten PVLANs. Nota: Un puerto promiscuo puede dar servicio solo en la VLAN primaria. Un puerto promiscuo puede dar servicio a una VLAN aislada o muchas VLAN comunitarias. Con un puerto promiscuo, puedes conectar un amplio rango de dispositivos como puntos de acceso a una PVLAN. Por ejemplo, puedes conectar un puerto promiscuo a un puerto servidor para conectar una VLAN aislada un número de VLANs comunitarias al servidor. Un balanceador de carga puede ser usado para balancear la carga de los servidores presentes en las VLAN aisladas o comunitarias, o puedes usar un puerto promiscuo para monitorear o respaldar todos los servidores PVLAN desde una estación de administración.

8.2.6 Configurando PVLANs Para configurar una PVLAN en un catalyst 3560, 3750, 4500, o 6500, siga los siguientes pasos: Paso1: Establezca el modo transparente VTP Paso2: Crear las VLAN secundarias. Nota: Las VLANs aisladas y comunitarias son VLANs secundarias. Paso3: Crear la VLAN primaria. Paso4: Asociar la VLAN primaria con la VLAN secundaria, Solamente una VLAN aislada puede ser mapeada a una VLAN primaria, pero más de una VLAN comunitaria puede ser mapeada a una VLAN primaria. Paso5: Configurar una interfaz como puerto aislado o comunitario. Paso6: Asociar el puerto aislado o comunitario con el par de VLAN primario-secundario. Paso7: Configurar una interfaz como puerto promiscuo. Paso8: Mapear el puerto promiscuo al par VLAN primario- secundario. Use estos comandos para configurar una VLAN como una PVLAN. (1) Switch(config)#vlan vlan_ID Switch(config-vlan)#[no] private-vlan {isolated | primary}

El siguiente ejemplo muestra como configurar la VLAN202 como VLAN primaria y verificar su configuración:

Switch#configure terminal Switch(config)#vlan 202 Switch(config-vlan)#private-vlan primary Switch(config-vlan)#end Switch#show vlan private-vlan type

Primary Secondary Type Interfaces

------- --------- ----------------- ------------

202 primary

Este ejemplo muestra como configurar la VLAN 200 como una VLAN aislada y verificar la configuración: Switch#configure terminal Switch(config)#vlan 200 Switch(config-vlan)#private-vlan isolated Switch(config-vlan)#end Switch#show vlan private-vlan type

Primary Secondary Type Interfaces

------- --------- ----------------- ------------

202 primary

200 isolated

Para asociar la VLAN secundaria con la VLAN primaria, debe relizar el siguiente procedimiento:

Switch(config)#vlan primary_vlan_ID Switch(config-vlan)#[no] private-vlan association {secondary_vlan_list | add secondary_vlan_list | remove secondary_vlan_list}

Cuando asocia una VLAN secundaria con una VLAN primaria, tenga en cuenta lo siguiente:

• El parámetro secondary_vlan_list contiene solo una ID de VLAN aislada • Use la palabra clave remove junto con el parámetro secondary_vlan_list para

limpiar la asociación entre las VLAN primaria y secundaria. • Use la palabra clave no para limpiar todas las asociaciones con la VLAN

primaria. El comando no tiene efecto hasta salir del modo de configuración VLAN.

Para configurar una interfaz de capa 2 como puertoVLAN promiscuo, se debe realizar este procedimiento: (2) Switch(config)#interface {fastethernet | gigabitethernet} slot/port Switch(config-if)#switchport mode private-vlan {host | promiscuous} Switch(config-if)#[no] switchport private-vlan mapping primary_vlan_ID {secondary_vlan_list | add secondary_vlan_list | remove secondary_vlan_list}

Cuando configure una interfaz de capa 2 como un puerto de VLAN promiscuo, tenga en cuenta lo siguiente:

• El parámetro secondary_vlan_list no puede contener espacios. • Puede contener multiples elementos separados por coma. Cada elemento puede

ser una única ID de PVLAN o un rango con guión de ID PVLAN. • Ingrese el comando secondary_vlan_list o use el comando add junto con

secondary_vlan_list para mapear las VLANs secundarias al puerto promiscuo PVLAN.

• Use el comando remove junto con secondary_vlan_list para limpiar el mapeo entre las VLANs secundarias y el puerto promiscuo PVLAN.

• Use el comando no para limpiar todos los mapeos con el puerto promiscuo PVLAN.

Este ejemplo muestra como configurar la interfaz FastEthernet 5/2 como puerto promiscuo PVLAN, mapearlo a una PVLAN y verificar la configuración: Switch#configure terminal Switch(config)#interface fastethernet 5/2 Switch(config-if)#switchport mode private-vlan promiscuous Switch(config-if)#switchport private-vlan mapping 202 440 Switch(config-if)#end Switch#show interfaces fastethernet 5/2 switchport Name: Fa5/2 Switchport: Enabled Administrative Mode: private-vlan promiscuous Operational Mode: down

Administrative Trunking Encapsulation: negotiate Negotiation of Trunking: On Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 1 (default) Administrative private-vlan host-association: none ((Inactive)) Administrative private-vlan mapping: 202 (VLAN0202) 440 (VLAN0440) Operational private-vlan: none Trunking VLANs Enabled: ALL Pruning VLANs Enabled: 2-1001 Capture Mode Disabled Para configurar una interfaz de capa 2 como puerto de host VLAN, lleve acabo este procedimiento: Switch(config)#interface {fastethernet | gigabitethernet} slot/port Switch(config-if)#switchport mode private-vlan {host | promiscuous} Switch(config-if)#[no] switchport private-vlan host-association primary_vlan_ID secondary_vlan_ID Este ejemplo muestra como configurar la interfaz FastEthernet 5/1 como un puerto de host PVLAN y verificar la configuración: Switch#configure terminal Switch(config)#interface fastethernet 5/1 Switch(config-if)#switchport mode private-vlan host Switch(config-if)#switchport private-vlan host-association 202 440 Switch(config-if)#end Switch#show interfaces fastethernet 5/1 switchport Name: Fa5/1 Switchport: Enabled Administrative Mode: private-vlan host Operational Mode: down Administrative Trunking Encapsulation: negotiate Negotiation of Trunking: On Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 1 (default) Administrative private-vlan host-association: 202 (VLAN0202) Administrative private-vlan mapping: none Operational private-vlan: none Trunking VLANs Enabled: ALL Pruning VLANs Enabled: 2-1001 Capture Mode Disabled

Para permitir que el enrutamiento de tráfico de la VLAN secundaria ingrese, lleve acabo este procedimiento: Switch(config)#interface vlan primary_vlan_ID Switch(config-if)#[no] private-vlan mapping primary_vlan_ID {secondary_vlan_list | add secondary_vlan_list | remove secondary_vlan_list} Cuando permites el enrutamiento en el tráfico que ingresa de la VLAN secundaria, tome en cuenta lo siguiente:

• Ingrese el valor para el parámetro secondary_vlan_list o use la palabra add junto con el parámetro anterior para mapear las VLANs secundarias a la VLAN primaria.

• Use la palabra clave remove junto con el parámetro secondary_vlan_list para limpiar el mapeo entre las VLANs secundarias y la VLAN primaria.

• Use la palabra clave no para limpiar todos los mapeos o asociaciones con el puerto promiscuo PVLAN.

Este ejemplo muestra como permitir que el enrutamiento de la VLAN secundaria del tráfico que ingresa desde la PVLAN440 y verificar la configuración: Switch#configure terminal Switch(config)#interface vlan 202 Switch(config-if)#private-vlan mapping add 440 Switch(config-if)#end Switch#show interfaces private-vlan mapping Interface Secondary VLAN Type --------- --------- ----------------- vlan202 440 isolated 8.3.1 Describiendo los ataques Spoof DHCP Una de las formas en que un atacante puede obtener acceso al tráfico de red e de falsificar respuestas que pueden ser enviadas por un servidor DHCP válido.

(1) El dispositivo falsificador DHCP responde a las peticiones DHCP del cliente. El servidor legítimo puede responder también, pero si el dispositivo falsificador se encuentra en el mismo segmento del cliente, su respuesta al cliente puede llegar primero. El intruso DHCP responde ofreciendo una dirección IP y la información de soporte que designa el intruso, como Gateway por defecto o servidor de sistema de nombre de dominio (DNS). En el caso de un Gateway, el cliente envía paquetes al dispositivo atacante, que a su vez los envía hacia el destino deseado. Se refiere a esto como un ataque “hombre-en-el-medio” y puede ir completamente indetectado como el intruso intercepta el flujo de tráfico a través de la red. La figura (2) describe la secuencia del ataque falsificador DHCP.

8.3.2 Describiendo el Snooping DHCP El snooping DHCP es una característica cisco catalyst que determina que puertos del switch pueden responder a las peticiones DHCP. (1) Los puertos son identificados como confiables y no confiables. Los puertos confiables pueden enviar todos los mensajes DHCP, mientras que los puertos no confiables pueden enviar peticiones solamente. Los puertos confiables albergan un servidor DHCP o pueden ser un enlace a través del servidor DHCP. Si un dispositivo pillo o un puerto no confiable intenta enviar una respuesta DHCP dentro de la red, el puerto es apagado.

Los puertos no confiables son aquellos que no están configurados explícitamente como confiables. Una tabla DHCP es construida para los puertos no confiables. Cada entrada contiene la dirección MAC del cliente, su dirección IP, tiempo de arrendamiento, tipo de vínculo, número de VLAN y ID de puerto registrados como clientes al hacer peticiones DHCP. La tabla se utiliza para filtrar subsecuentemente el tráfico DHCP. Desde la perspectiva del snooping DHCP, los puertos de acceso no confiables no deberían enviar ninguna respuesta al servidor DHCP, como una DHCPOFFER, DHCPACK o DHCPNAK. Con la característica DHCP option-82 activada en el switch, el aislamiento broadcast DHCP puerto a puerto es alcanzado cuando los puertos del cliente están dentro de una misma VLAN. Durante los intercambios cliente- servidor, las peticiones broadcast desde los clientes conectados a los puertos de acceso VLAN son interceptados por un agente de entrega ejecutándose en el switch y no son inundados a otros clientes en la misma VLAN. El agente de entrega intercepta información adicional dentro de los paquetes de petición DHCP, como desde que puerto se originó la petición y entonces lo envía al servidor DHCP. Durante los intercambios cliente-servidor, el servidor DHCP (independiente de option-82) envía una respuesta broadcast que contiene el campo option-82. El agente de entrega usa esta información para identificar cual puerto se conecta al cliente solicitante y evade la transmisión de la respuesta a la VLAN completa. (2)

8.3.3 Configurando el snooping DHCP Para activar el snooping DHCP, use el comando en la figura (1).

La figura (2) describe los pasos para configurar el snooping DHCP.

La figura (3) muestra como visualizar la configuración DHCP snooping para un switch.

Solo los puertos que son confiables o tienen un límite de porcentaje aplicado son mostrados en el resultado. Todos los otros puertos son no confiables y no se muestran. El guardia de la IP origen es una característica de seguridad que previene el spoofing de una dirección IP origen. (4)

Esta característica es activada en un puerto de capa 2 no confiable snooping DHCP. Todo el tráfico IP en el puerto es bloqueado, excepto por los paquetes DHCP que están permitidos por el proceso snooping DHCP. Cuando un cliente recibe una dirección IP válida desde un servidor DHCP, una lista de control de acceso VLAN por puerto (PVACL) es instalada en el puerto. Este proceso restringe el tráfico IP del cliente a esas direcciones IP origen configuradas en el binding. Cualquier tráfico IP con una dirección IP distinta a la dirección IP binding es filtrada. Este filtrado limita la habilidad del host para atacar la red reclamando la dirección IP de un host vecino. Nota: Si el guardia de dirección IP origen esta activado en un puerto trunk con un gran número de VLANs que tienen activado el snooping DHCP, podría quedarse sin recursos de hardware y algunos paquetes podrían ser envíados en software. El guardia de dirección IP origen soporta solo puertos de capa 2, incluyendo ambos acceso y trunk. Para cada puerto de capa 2 no confiable, hay 2 niveles de filtrado de seguridad de tráfico IP, como sigue: Filtrado de dirección IP origen: El tráfico IP es filtrado basado en su dirección IP origen. Solo el tráfico IP con dirección IP origen que coincide con la dirección IP guardada (binding) es permitida.

Un filtro de dirección IP origen es cambiado cuando una nueva entrada binding de dirección IP origen es creada o borrada en el puerto. El puerto PVACL es recalculado y reaplicado en el hardware para reflejar el cambio de la dirección IP origen binding. Por defecto, si el filtro IP esta activado son ninguna dirección IP origen binding en el puerto, una PVACL por defecto que deniega todo el tráfico IP se instala en ese puerto. De manera similar, cuando se desactiva un filtro IP, cualquier filtro de IP origen PVACL es removido de la interfaz. Una dirección IP origen binding estática puede ser configurada en un puerto mediante el siguiente comando global: Switch(config)#ip source binding ip-addr ip vlan number interface interface Filtro de dirección MAC e IP origen: El tráfico IP es filtrado basandose en su dirección IP origen así como su dirección MAC. Solo el tráfico IP con la dirección IP origen o la dirección MAC coincidentes con la entrada binding (guardada) son permitidas. La figura (5) describe los comandos para configurar el guardia de dirección IP origen.

La figura (6) describe el procedimiento para activar el guardia de la dirección IP origen.

Nota: El binding (guardado) de dirección IP origen solo puede ser configurado en los puertos de capa 2 del switch. Si ejecuta el comando ip source binding vlan interface en un puerto de capa 2, recibirá este mensaje de error: “Static IP source binding can only be configured on switch port.” 8.3.4 Describiendo el Spoofing ARP En la operación normal ARP, un host envía un broadcast para determinar la dirección MAC de un host con una dirección IP en particular. El dispositivo con esa dirección IP responde a su dirección MAC. El host origen registra la respuesta ARP, usandola para llenar el encabezado de destino de capa 2 de los paquetes enviados a esa dirección IP. Con el spoofing una respuesta ARP desde un dispositivo legítimo con una ARP gratuita, un dispositivo atacante aparece para ser el host destinatario solicitado por los remitentes. La respuesta ARP del atacante ocasiona que el que envía guarde la dirección MAC del sistema atacante en el caché ARP. Todos los paquetes destinados a esa dirección IP son enviados a través del sistema atacante. Las figuras (1) y (2) ilustran la secuencia de eventos en el ataque de spoofing ARP.

8.3.5 Inspección de ARP Dinámica La inspección de ARL dinámica (DAI) determina la validez de un paquete ARP basándose en la dirección MAC e IP binding (guardadas) almacenadas en la base de datos snooping DHCP. Adicionalmente, DAI puede validar los paquetes ARP basándose en una ACL configurable por el usuario para hosts que usan direcciones IP configuradas estáticamente. Para prevenir el spoofing ARP o “envenenamiento,” un switch debe asegurarse que solo las peticiones ARP válidas y las respuestas son entregadas. Para asegurarse que solo las respuestas y peticiones son entregadas, DAI toma las siguientes acciones:

• Envía los paquetes ARP recibidos en una interfaz confiable sin ninguna revisión. • Intercepta todos los paquetes ARP en los puertos no confiables. • Verifica que cada paquete interceptado tenga una IP-a-MAC binding válida

antes de enviar paquetes que pueden actualizar el caché ARP local. • Descarta, registra, o descarta y registra los paquetes ARP con un binding

inválido de direcciones IP y MAC. Generalmente, todos los puertos de acceso del switch deben ser configurados como no confiables y todos los puertos del switch conectados a otros switch como confiables. Todos los paquetes que atraviesan la red desde la zona de distribución o switch de núcleo pueden eludir el control de seguridad sin requerir mayor validación También puede usar DAI para establecer el límite de paquetes ARP y entonces desactivar la interfaz si se excede el límite.

8.3.6 Configurado la inspección dinámica de ARP

La figura (1) enumera los comandos usados para configurar la inspección dinámica ARP

La (2) figura describe los comandos.

El siguiente ejemplo muestra como configurar DAI para los host en la VLAN 1, donde se encuentran los dispositivos cliente para el switch2. Todos los puertos cliente son no confiables por defecto. Solo el puerto 3/3 es confiable, porque este es el único puerto donde las respuestas DHCP pueden esperarse. Switch S2(config)#ip arp inspection vlan 1 Switch S2(config)#interface fastethernet 3/3 Switch S2(config-if)#ip arp inspection trust

8.3.7 Protegiéndose contra los ataques spoofing ARP. Para mitigar la posibilidad de un spoofing ARP, se recomienda el siguiente procedimiento: Paso 1: Implementar la protección contra el spoofing DHCP Paso 2: Activar la inspección de ARP dinámica.

8.4.1 Protegiendo la Operación de STP Cisco proporciona características para proteger a spanning tree de los loop que se crean ene los puertos donde ha sido activado PortFast. En una configuración adecuada, PortFast debería ser activado solo en los puertos para Host como servidores y estaciones de trabajo. Se anticipa que las BPDUs de un dispositivo switch no deberían ser recibidas en una interfaz PortFast. Sin embargo, si esto sucede, el BPDU guard y BDPU filtering proveen protección. Ambos BPDU guard y BPDU filtering pueden ser configurados globalmente en todos los puertos configurados con PortFast o en puertos individuales. El BDPU guard protege la red conmutada de los problemas que pueden ser causados por el receptor de las BPDUs en los puertos que no deberían ser recibidas. El receptor de las BPDUs inesperados puede ser accidental o puede ser parte de un intento desautorizado para añadir un switch a la red.

El BPDU filtering PortFast afecta como el switch acusa de recibo las BPDUs vistas en los puertos configurados como PortFast. Esta funcionalidad difiere si es configurada globalmente o en base a un puerto. El root guard protege contra los switches afuera de la red designada que intentan volverse puente raíz bloqueándole el acceso hasta que termine la recepción de sus BPDUs.

8.2.4 Configurando el Guardia BPDU El BPDU guard protege la red de los loops que pueden formarse si las BPDUs son recibidas en un puerto de switch que tiene PortFast activado. Nota: Cuando la característica BPDU guard se activa, spanning tree aplica el BPDU guard a todas las interfaces configuradas con PortFast. Puede activar el BPDU guard en los puertos configurados con PorFast a nivel global. En una configuración válida, los puertos con PortFast activado no reciben BPDUs. La recepción de una BPDU en un puerto con PortFast activado es señas de una configuración inválida, como la conexión de un dispositivo no autorizado y la característica BPDU guard coloca el puerto en un estado error-desactivado. También puedes activar el BPDU guard en cualquier puerto a nivel de interface sin activar la característica PortFast. Cuando el puerto recibe una BPDU, se pone en un estado error-desactivado.

Para activar el BPDU guard globalmente en el switch, use este comando: Switch(config)#spanning-tree portfast bpduguard default

La forma negada del comando desactiva la característica en el switch. Para activar el BPDU guard globalmente en el switch, use este comando: Switch(config)#spanning-tree bpduguard enable La forma negada del comando desactiva la característica en la interfaz. Use el siguiente comando para verificar la configuración BPDU: Switch#show spanning-tree summary totals

Root bridge for: none.

PortFast BPDU guard is enabled

Etherchannel misconfiguration guard is enabled

UplinkFast is disabled

BackboneFast is disabled

Default pathcost method used is short

Name Blocking Listening Learning Forwarding STP Active

--------- --------- --------- -------- ---------- ---------

34 VLANs 0 0 0 36 36

8.4.3 Configurando el filtro BPDU Puede configurar el filtro BPDU globalmente o en puertos individuales habiliatodos con PortFast. (1)

El filtrado global de BPDU tiene los siguientes atributos:

• Afecta a todos los puertos habilitados con PortFast en un switch que no tiene el filtro BPDU configurado en los puertos individuales.

• Si se consideran las BPDU. El puerto pierde su estatus PortFast, el filtro BPDU se desactiva y STP envía y recibe BPDUs en el puerto como cualquier otro puerto STP en el switch.

• En el inicio, el puerto transmite 10 BPDUs. Si este puerto recibe cualquier BPDUs durante ese tiempo, el filtrado PortFast y PortFast BPDU se desactiva.

El filtrado BPDU tiene tres atributos cuando se activa en un puerto individual:

• Ignora todas las BPDU recibidas. • Envía BPDUs no.

PRECAUCIÓN: La configuración explícita del filtrado de BPDU PortFast en un puerto no conectado a un Host puede resultar en la reducción de los bucles. El puerto ignora cualquier BPDU entrante y cambios al estado de envío. Esto no ocurre cuando el filtrado de BPDU PortFast esta activado globalmente.

Para activar el filtrado de BPDU PortFast en el switch, use este comando: Switch(config)#spanning-tree portfast bpdufilter default Para activar el filtrado de BPDU PortFast en un puerto de switch específico, use este comando: Switch(config-if)#spanning-tree bpdufilter enable Para verificar la configuración en el switch, use este comando:

PxD1#show spanning-tree summary Switch is in pvst mode

Root bridge for: none

Extended system ID is enabled

Portfast Default is disabled

PortFast BPDU Guard Default is disabled

Portfast BPDU Filter Default is disabled

Loopguard Default is disabled

EtherChannel misconfig guard is enabled

UplinkFast is disabled

BackboneFast is disabled

Configured Pathcost method used is short

Name Blocking Listening Learning Forwarding STP Active

-------------- ---- -------- ------- -------- ---------- ---------

VLAN0001 2 0 0 6 8

----------------- -- -------- ------- -------- ---------- ---------

1 vlan 2 0 0 6 8

PxD1#

Para verificar la configuración en un puerto específico, use el siguiente comando: Switch#show spanning-tree interface fastEthernet 4/4 detail

Port 196 (FastEthernet4/4) of VLAN0010 is forwarding

Port path cost 1000, Port priority 160, Port Identifier 160.196.

Designated root has priority 32768, address 00d0.00b8.140a

Designated bridge has priority 32768, address 00d0.00b8.140a

Designated port id is 160.196, designated path cost 0

Timers:message age 0, forward delay 0, hold 0

Number of transitions to forwarding state:1

The port is in the portfast mode by portfast trunk configuration

Link type is point-to-point by default

Bpdu filter is enabled

BPDU:sent 0, received 0

La figura (2) enumera las combinaciones posibles que resultan de la configuración del filtrado BPDU globalmente y en los puertos individuales en el mismo switch.

8.4.4 Guardia Raíz El guardia raíz limita los puertos del switch fuera de los cuales el puente raíz puede ser negociado. Si un puerto raíz con guardia activado recibe una BPDU que son superiores a los que son enviados actualmente por el puente raíz, ese puerto es movido al estado root-incoherente, que es efectivamente igual a un estado STP de escucha. No se enviará tráfico de datos a través de este puerto. En la figura (1), los switches A y B son el núcleo de la red. El switch A es el puente raíz de una VLAN. El switch C es un switch de capa de acceso. El enlace entre B y C esta bloqueado en el lado C. El flujo de BPDUs STP se muestra con flechas.

En la izquierda, el dispositivo D comienza a participar en STP. Si la prioridad del switch D donde cualquier valor menor que el del actual puente raíz, el switch D debería ser escogido el puente raíz. Esto haría que el enlace que conecta los switches A y B se bloquee, lo que causa que el tráfico desde el switch B fluya a través del switch C en la capa de acceso, lo que es claramente desventajoso. Si el guardia raíz fuera configurado en el puerto del switch C donde el switch D esta conectado, el switch D nunca habría sido escogido como el puente raíz. El guardia raíz es configurado puerto por puerto. Si se recibe una BPDU superior en el puerto, el guardia raíz pone el puerto en el estado root-inconsistente. Cuando el switch D para de enviar BPDU superiores, el puerto es desbloqueado de nuevo y transicional a través de los estados STP como cualquier otro puerto. La recuperación no requiere intervención. Un puerto guardia raíz se encuentra en un estado STP designado. Cuando el guardia raíz se activa en un puerto, el switch no permite que ese puerto se vuelva un puerto STP raíz. El puerto permanece como puerto STP-designado. El guardia raíz debe ser habilitado en todos los puertos donde el puente raíz no esta previsto. En el ejemplo, el guardia raíz debe ser activado de la siguiente forma: * Switch A: port connecting to switch C * Switch B: port connecting to switch C * Switch C: port connecting to switch D El siguiente mensaje de consola aparece cuando el guardia raíz bloquea un puerto:

%SPANTREE-2-ROOTGUARDBLOCK: Port 1/1 tried to become non-designated in VLAN 77. Moved to root-inconsistent state 8.4.5 Configurando el guardia raíz La figura (1) enumera los comandos para configurar y verificar el guardia raíz.

La figura (2) describe estos comandos.

Para activar el guardia raíz en un puerto de acceso de capa 2 (para forzarlo a que se convierta en puerto designado), use el siguiente comando. Para desactivar el guardia raíz, use la forma no del comando. Switch(config-if)#spanning-tree guard root La figura (3) demuestra como verificar la configuración del guardia raíz.

Para mostrar la configuración de la interfaz, use el siguiente comando: Switch#show running-config interface fastethernet 5/8 Para determinar si los puertos están en estado root-inconsistente, use el siguiente comando: Switch#show spanning-tree inconsistentports Name Interface Inconsistency

------------- ------------------ ------------------

VLAN0001 FastEthernet3/1 Port Type Inconsistent

VLAN0001 FastEthernet3/2 Port Type Inconsistent

VLAN1002 FastEthernet3/1 Port Type Inconsistent

VLAN1002 FastEthernet3/2 Port Type Inconsistent

VLAN1003 FastEthernet3/1 Port Type Inconsistent

VLAN1003 FastEthernet3/2 Port Type Inconsistent

VLAN1004 FastEthernet3/1 Port Type Inconsistent

VLAN1004 FastEthernet3/2 Port Type Inconsistent

VLAN1005 FastEthernet3/1 Port Type Inconsistent

VLAN1005 FastEthernet3/2 Port Type Inconsistent

Number of inconsistent ports (segments) in the system :10

8.5.1 Detección de enlace unidireccional Un enlace unidireccional se produce cuando el tráfico es transmitido entre vecinos en una sola dirección. Los enlaces unidireccionales pueden causar loops de topología spanning tree. La detección de enlace unidireccional (UDLD) permite a los dispositivos

detectar condiciones de enlace unidireccional cuando no lo logran los mecanismos de capa 1 y provee la habilidad para apagar la interfaz afectada. (1)

UDLD es un protocolo de capa 2 que funciona con los mecanismos de capa 1 para determinar el estado físico de un enlace. Por ejemplo, si un hilo de fibra en un par se desconecta, la auto-negociación de capa 1 no permitiría que enlace se activara de nuevo. Pero si ambos hilos de fibra están operativos, UDLD determina si el tráfico esta fluyendo bi-direccionalmente entre los vecinos correctos. El switch transmite periódicamente paquetes UDLD en una interfaz con UDLD activado. Si los paquetes no hacen eco dentro de un lapso de tiempo específico, el enlace es marcado como unidireccional y la interfaz es apagada. Los dispositivos en ambos extremos del enlace deben soportar UDLD para que el protocolo identifique satisfactoriamente y desactive los enlaces unidireccionales. La función de UDLD es para prevenir la comunicación unidireccional entre vecinos adyacentes. Cuando UDLD detecta una conversación unidireccional, puede hacer una de dos cosas, dependiendo si UDLD esta configurado en modo normal o agresivo. En modo normal, UDLD cambia el puerto activado con UDLD a un estado indeterminado cuando para de recibir mensajes UDLD de su vecino directamente conectado. El modo agresivo realiza ocho intentos de reestablecer la relación de vecinos UDLD antes deshabilitar el puerto por error. El modo agresivo es el método preferido de configuración UDLD y es el único modo que puede detectar una condición UDLD en un cable de par trenzado. UDLD usa la MAC destino 01-00-0c-cc-cc-cc junto con el protocolo SNAP HDLC tipo 0x0111.

La figura (2) describe el estado por defecto para el UDLD en modo global o por interfaz.

8.5.2 Guardia Loop Como UDLD, el guardia loop provee protección para STP cuando un enlace es unidireccional y las BPDU comienzan a enviarse, pero no son recibidas, en un enlace que es considerado operacional. (1)

Sin el guardia loop, un puerto bloqueado cambia a transmitiendo si este para de recibir BPDU. Si el guardia loop es activado y el enlace no esta recibiendo BPDUs, la interfaz cambia al estado STP de bloqueo de loop-inconsistente. Cuando el guardia loop bloquea un puerto, este mensaje es enviado a la consola o al archivo de registro: SPANTREE-2-LOOPGUARDBLOCK: No BPDUs were received on port 3/2 in vlan 3. Moved to loop-inconsistent state.

Cuando se recibe una BPDU en un puerto guardia loop que se encuentra en un estado loop-inconsistente, el puerto cambia al estado apropiado según sea determinado por el funcionamiento normal de spanning tree. La recuperación no requiere intervención del usuario. Después de la recuperación, este mensaje es registrado: SPANTREE-2-LOOPGUARDUNBLOCK: port 3/2 restored in vlan 3. La función guardia loop protege contra los posibles loops spanning tree detectando un enlace unidireccional. Con un enlace unidireccional, un puerto en uno de los link socios está operacional en el estado up y transmitiendo pero no esta recibiendo tráfico. Al mismo tiempo, el otro socio en el enlace esta operando correctamente. El guardia loop es activado en los puertos que participan en spanning tree y son redundantes en la capa 2. Cuando el switch para de recibir BPDUs en su puerto raíz o puerto bloqueado, cambia el puerto a modo de loop inconsciente, el cual no pasa tráfico. El guardia loop es configurado por puerto en versiones del sistema operativo anteriores a Catalyst 7.1 (1). El guardia loop es incompatible con el guardia raíz. Además, el guardia loop no debe ser activado en puertos PortFast. En un paquete EthernetChannel, UDLD apaga solo el enlace físico que ha fallado. El guardia loop, sin embargo, es indiferente ya que el primer puerto operacional en un paquete EthernetChannel es usado para BPDUs y no otros puertos. Si el primer puerto tiene una falla unidireccional, el loop guardia cambia todos los enlaces del Channel al estado loop-inconsistente. Este no es un efecto deseado, ya que la redundancia inherente que se gana a través del channeling se pierde. En el ejemplo ilustrado en la figura (2), el switch A es el puente raíz. Debido a la fala de un enlace unidireccional en el enlace entre los switches B y C, el switch C no está recibiendo BPDUs desde el switch B.

Sin el guardia loop, el puerto bloqueando STP en C cambia al estado STP escuchando cuando el timer max age expira y entonces pasa al estado enviando en 2 veces el tiempo de retardo de envío y se crea un loop. La figura (3) describe como funciona el guardia loop para prevenir los loops durante una falla de enlace unidireccional.

Con el guardia loop activado, el puerto bloqueando en el switch C cambia al estado loop-inconsistente cuando expira el max age timer. Ya que un puerto en el estado STP loop-inconsistente no transmite tráfico de usuario, no se crea un loop. El estado loop-inconsistente es efectivamente igual al estado de bloqueando. 8.5.3 Configurando UDLD y el Guardia Loop Para activar o desactivar UDLD y el guardia loop, use los comandos en la figura (1).

Esos comandos se describen en la figura (2).

UDLD se usa cuando un enlace debe ser apagado por una falla de hardware que esta causando comunicación unidireccional. En un bundle (paquete) EthernetChannel, UDLD apaga solo el enlace físico que ha fallado. UDLD puede ser activado globalmente para todas las interfaces o puerto por puerto. (3)

Para activar UDLD en una interfaz, use el siguiente comando: Switch(config)#udld enable UDLD apaga las interfaces. Para resetear todas las interfaces que han sido apagadas, use el siguiente comando: (4)

Switch#udld reset Para verificar la configuración UDLD para una interfaz, use este comando: Switch#show udld interface Este ejemplo muestra como visualizar el estado UDLD para una interfaz: Switch#show udld GigabitEthernet2/2 Interface Gi2/2

---

Port enable administrative configuration setting: Follows device

default

Port enable operational state: Enabled

Current bidirectional state: Bidirectional

Current operational state: Advertisement

Message interval: 60

Time out interval: 5

No multiple neighbors detected

Entry 1

---

Expiration time: 146

Device ID: 1

Current neighbor state: Bidirectional

Device name: 0050e2826000

Port ID: 2/1

Neighbor echo 1 device: SAD03160954

Neighbor echo 1 port: Gi1/1

Message interval: 5

El guardia loop es activado puerto por puerto. Cuando el guardia loop es activado, se aplica automáticamente a todas las instancias VLAN activas a las que pertenece ese puerto. Cuando desactiva el guardia loop, se desactiva para los puertos especificados. Desactivando el guardia loop mueve todos los puertos loop-inconsistente al estado escuchando. Si el guardia loop es activado en una interfaz EthernetChannel, el canal entero es bloqueado para una VLAN particular, ya que EthernetChannel es considerado como un puerto lógico desde el punto de vista de STP. El guardia loop debe ser activado en el puerto raíz y los puertos alternativos en los switches de acceso. Para activar el guardia loop en una interfaz específica, use este comando: (5)

Switch(config-if)#spanning-tree guard loop

Para desactivar el guardia loop, use este comando: Switch(config-if)#no spanning-tree guard loop Activando el guardia loop desactiva el guardia raíz si es que el guardia raíz esta activado actualmente en los puertos. El guardia loop puede ser activado globalmente en un switch para todos los enlaces punto a punto. Un enlace full-duplex es considerado para ser un enlace punto a punto. Puede cambiar el estado del guardia loop en una interfaz incluso si la característica ha sido activada globalmente. Para activar el guardia loop globalmente en un catalyst 4500 o 6500 ejecutando CatOS, use este comando: Switch(config)#spantree global-default loopguard enable Para desactivar globalmente el guardia loop, use este comando: Switch(config)#spantree global-default loopguard disable Para verificar el estado del guardia loop, use este comando: Switch#show spantree guard mod/port | vlan Por Ejemplo: Switch#show spantree guard 3/13 Port VLAN Port-State Guard Type ------------------------ ---- ------------- ---------- 3/13 2 forwarding loop Para activar el guardia loop globalmente en un Catalyst 3560, use el siguiente comando global: Switch(config)#spanning-tree loopguard default 8.5.4 Previniendo las fallas STP a Causa de Enlaces Unidireccionales Las funciones de UDLD y el guardia loop se superponen parcialmente en tanto que ambos protegen contra las fallas STP causadas por los enlaces unidireccionales. Estas 2 funciones son diferentes en su enfoque hacia el problema y también en la manera en que funcionan. La figura (1) identifica las diferencias claves.

Dependiendo de varias consideraciones de diseño, puedes escoger entre UDLD o el guardia loop. UDLP no provee protección contra las fallas STP causadas por aplicaciones que resultan en que el switch designado no envíe BPDUs. Este tipo de falla, sin embargo, es menos común que las causadas por fallas de hardware. En un bundle EthernetChannel, UDLD desactiva los enlaces fallidos individualmente. El canal se mantiene funcional si hay disponibles otros enlaces. El guardia loop pone el canal entero en estado loop-inconsciente si las BPDUs no se reciben a través del EthernetChannel. El guardia loop no funciona en enlaces compartidos o en un enlace que ha sido unidireccional desde su configuración inicial. Activando ambos UDLD y guardia loop provee el más alto nivel de protección. 8.6.1 Describiendo las Vulnerabilidades de CPD Los atacantes con conocimiento de cómo trabaja CDP podrían encontrar formas para tomar ventaja de los paquetes CDP de texto-limpio para obtener conocimiento de la red. CDP se ejecuta a nivel de capa 2 permitiendo a los dispositivos Cisco identificarse a si mismos a otros dispositivos Cisco. Sin embargo, la información enviada a través de CDP es transmitida en texto limpio y no es autenticada. Utilizando un analizador de paquetes, los atacantes pueden recoger información acerca del dispositivo de red con los anuncios CDP. (1)

CDP es necesario para la administración de aplicaciones y no puede ser desactivado sin menoscabar algunas aplicaciones de administración de la red. Sin embargo, CDP puede ser desactivado selectivamente en las interfaces donde la administración no se lleva acabo. El comando de interfaz no cdp enable desactiva cdp en una interfaz individual. La figura (2) describe como CDP puede ser usado maliciosamente.

8.6.2 Vulnerabilidades del Protocolo Telnet Telnet tiene las siguientes vulnerabilidades:

• Todos los nombres de usuario y datos enviados sobre la red pública en texto limpio son vulnerables.

• Todos los usuarios con una cuenta en el sistema pueden obtener elevados privilegios.

• Un atacante remoto puede votar el servicio Telnet, previniendo el uso legítimo de ese servicio.

• Un atacante remoto puede encontrar una cuenta de invitado activada que puede estar presente en cualquier parte sin los dominios confiables del servidor.

8.6.3 Configurando el Protocolo Seguro Shell SSH es un protocolo cliente y servidor usado para entrar en otro dispositivo sobre la red, ejecutar comandos en una máquina remota y mover archivos desde una máquina a otra. Provee una fuerte autenticación y comunicaciones seguras sobre canales inseguros. Se trata de un reemplazo para rlogin, rsh. rcp, rdist y Telnet. Cuando se utiliza el login SSH (en vez de Telnet), la sesión entera de logeo, incluyendo la transmisión de password, es encriptada; por lo tanto, es casi imposible para un externo conseguir los passwords. Las implementaciones Cisco de SSH requieren IOS Cisco que soporte autenticación RSA y encriptación DES mínima. Aunque SSH es seguro, muchas implementaciones de vendedores de SSH contienen vulnerabilidades que pueden permitir a un atacante remoto executar código arbitrario con los privilegios del proceso SSH o causar una denegación de servicio. La mayoría de las vulnerabilidades SSH han sido corregidas en los últimos IOS de Cisco y en otros vendedores de servidores SSH y software cliente.

Precaución: Las implementaciones de la versión 1 de SSH son vulnerables a varios compromisos de seguridad. Siempre que sea posible, use SSH versión 2. Para permitir SSH en una interfaz VTY, utilice el comando transport input ssh. El valor por defecto es transpor input all. SSH requiere una base de datos de nombre de usuario local, dominio IP y una clave RSA para ser generada. Switch(config)# username Joe password User Switch(config)# ip domain-name sshtest.lab Switch(config)# crypto key generate key Switch(config)# line vty 0 15 Switch(config-line)# login local Switch(config-line)# transport input ssh Ahora se necesita una aplicación en una estación de trabajo que soporte SSH, como SecureCRT o PuTTY.SH versión 2.

8.6.4 ACLs vty Cisco provee ACLs para permitir o denegar el acceso Telnet a los puertos vty de un switch. Los dispositivos Cisco varían en el número de puertos vty que están disponibles por defecto. Al configurar las ACLs vty, asegúrese que todos los puertos por defecto han sido removidos o tienen una ACL vty específica aplicada. El filtrado de Telnet es considerado normalmente una función ACL IP extendida ya que se está filtrando un protocolo de alto nivel, Sin embargo, ya que el comando access-

class filtra las sesiones de Telnet entrantes por dirección origen y aplica el filtrado a las lineas vty, puede usar declaraciones ACL IP estándar para controlar el acceso vty. El comando access-class también aplica el filtrado de ACL IP estándar a las lineas vty para las sesiones salientes de Telnet procedentes del switch. Puede aplicar ACLs vty a cualquier combinación de lineas vty. Puede aplicar la misma ACL a todas las lineas vty o específicamente a cada linea vty. La práctica más común es aplicar la misma ACL en todas las lineas vty.

8.6.5 Aplicando las ACLs a las Líneas vty Para configurar las ACLs vty en un switch Cisco, cree una ACL IP estándar y aplíquela a las interfaces vty. A diferencia de la aplicación de una ACL a una interfaz de datos, aplíquela a la línea vty o rango de líneas con el comando access-class. Considere este ejemplo. Se concede permiso a cualquier dispositivo en la red 192.168.1.0/24 para establecer una sesión Telnet con el switch. Por supuesto, el usuario debe saber los passwords apropiados para entrar al modo de usuario y privilegiado. Restricciones idénticas han de ser activadas en cada línea vty. Ya que la línea en la cual el usuario vty esta conectado no puede ser controlada. El deny any implícito al final de la lista de acceso todavía se sigue aplicando a la ACL cuando es usada como una entrada de clase-acceso. Switch(config)# access-list 12 permit 192.168.1.0 0.0.0.255 Switch(config)# line vty 0 15 Switch (config-line)# access-class 12 in

Nota: El número actual de líneas vty depende de la plataforma y el software IOS que se ejecuta.

8.6.6 Mejores Prácticas para la Seguridad del Switch Las vulnerabilidades a la seguridad incluyen perdida de privacidad, robo de datos, suplantación de identidad y pérdida de integridad. Las medidas de seguridad básicas que deberían ser tomadas en cada red para mitigar los efectos adversos de la negligencia de usuarios o actos maliciosos. Los siguientes pasos son necesarios cuando se instalan nuevos equipos: Paso 1 Considerar o establecer políticas de seguridad organizacional. Paso 2 Asegurar los dispositivos switch. Paso 3 Asegurar los protocolos del switch. Paso 4 Mitigar los ataque lanzados a través del switch. Debería considerar las políticas de una organización cuando determine que nivel y tipo de seguridad implementar. Debe balancear los objetivos de una seguridad de red razonable con la sobrecarga administrativa o medidas de seguridad extremamente restrictivas. Una política de seguridad bien establecida tiene tres características:

• Provee un proceso de auditoría para la seguridad de la red existente.

• Provee un marco de trabajo de seguridad general para la implementación de seguridad

• Define los comportamientos no reconocidos a través de datos electrónicos. • Determina cuales herramientas y procedimientos son necesarios para la

organización. • Se comunica con el consenso entre un grupo de tomadores de decisiones claves

y define las responsabilidades de los usuarios y administradores. • Define un proceso para manipular los incidentes en la seguridad de la red. • Activa la empresa a nivel mundial, plan de implementación de seguridad general

y plan de reforzamiento. Siga estas mejores prácticas para el acceso seguro del switch:

• Establezca los passwords del sistema • Active el comando enable secret para establecer el password que permite el

acceso al modo enable del sistema IOS Cisco. Ya que el comando enable secret implementa MD5 en el password configurado, ese password todavía permanece vulnerable para realizar ataques. Por lo tanto, aplique las prácticas estándar seleccionando un password factible. Intente crear passwords que contengan letras, números y caracteres especiales, por ejemplo, “$pecial1$” en vez de “specials”, donde la “s” ha sido reemplazada por “$,” y la “l” ha sido reemplaza por “1” (one). Asegurar el acceso a la consola: el acceso a la consola requiere un nivel mínimo seguridad ambas físicas y lógica. Un individuo que obtiene acceso de consola a un sistema puede recuperar o resetear el password system-enable, lo que permite a esa persona pasar por alto todas las otras seguridades implementadas en ese sistema. Consecuentemente, es imperativo asegurar el acceso a la consola.

• Acceso seguro a las líneas vty: Los pasos mínimos recomendados para asegurar el acceso a Telnet son:

- Aplicar la ACL básica para el acceso dentro de banda a todas las líneas vty. - Configurar un password de línea para todas las líneas vty configuradas.

• Usar SSH: El protocolo SSH y aplicación provee una conexión remota segura al

switch. Encripta todo el tráfico, incluyendo passwords, entre una consola remota y un switch. Ya que SSH no envía tráfico en texto limpio, los administradores de red pueden conducir las sesiones de acceso remoto que los observadores casuales no pueden ver. El servidor SSH en el software IOS trabaja con clientes SSH disponibles pública y comercialmente.

• Configurar el sistema de alerta banners: Para los efectos legales y administrativos, mostrar un sistema de alerta banner antes de logear es una manera convincente y efectiva de reforzar la seguridad y las políticas de uso general. Al establecer claramente la propiedad de uso, utilización, acceso y políticas de protección antes de logear, puede proveer un respaldo más sólido para un potencial enjuiciamiento futuro.

• Desactivar los servicios innecesarios: Por defecto, los dispositivos Cisco implementan multiples servidores TCP y UDP para facilitar la administración e integración en los entornos existentes. Para la mayoría de las instalaciones, esos servicios son tipicamente no requeridos y desactivarlos puede reducir

considerablemente la exposición de la seguridad. Estos comandos desactivan los servicios que tipicamente no se usan:

no service tcp-small-servers no service udp-small-servers no service finger no service config