Documentos de Académico
Documentos de Profesional
Documentos de Cultura
8 CLI en Routers y Switches Cisco
8 CLI en Routers y Switches Cisco
IntroduccinalCLI
enRoutersySwitchesCISCO
(Versin2.0)
Puedesdescargarlaltimaversindeestedocumentode:
http://blog.unlugarenelmundo.es/?page_id=127
JosMaraMoralesVzquez
josemaria@morales-vazquez.com
Pgina 1
CONTENIDO
1.INTRODUCCIN................................................................................................................3
Modosdeoperacin......................................................................................................3
OtrostrucostilesenelCLI.............................................................................................4
2.CONTRASEADEACCESOALMODOPRIVILEGIADOYOTROSCOMANDOS.........4
Elcomandoshow............................................................................................................4
Historialdecomandos...................................................................................................4
Contraseadeaccesoalmodoprivilegiado.............................................................5
Elcomandono................................................................................................................5
Elcomandodo................................................................................................................5
Otroscomandosbsicos................................................................................................5
3.INTERFACESYLNEAS.CONFIGURACINBSICADEUNROUTER..............................6
Identificacindeinterfacesylneas.............................................................................6
Configuracindeinterfacesethernet..........................................................................6
Configuracinderutasestticas..................................................................................7
4.ACCESOREMOTO............................................................................................................7
Accesoportelnet............................................................................................................8
Accesoporssh.................................................................................................................8
5.CONFIGURACINDEUNSERVIDORDHCP...................................................................9
6.SWITCHES.........................................................................................................................10
AsignacindeunaIPalswitchparaaccederdeformaremota...........................11
7.REDESVIRTUALES(VLANs)..............................................................................................11
EnrutamientoentreVLANs............................................................................................12
8.OTROSCOMANDOS......................................................................................................13
9.INTRODUCCINALOSPROTOCOLOSDEENCAMINAMIENTODINMICO.............13
10.RIP,ROUTINGINFORMATIONPROTOCOL...................................................................14
11.EIGRP,ENHACEDINTERIORGATEWAYROUTINGPROTOCOL...................................15
12.OSPF,OPENSHORTESTPATHFIRST...............................................................................17
13.INTRODUCCINALASEGURIDADENLOSSWITCHESCISCO..................................18
Desconexindepuertosnousadososospechosos.................................................18
DHCPSnooping.............................................................................................................19
ControldelasMACconectadasalospuertosdelSwitch......................................20
StormControl.................................................................................................................22
Pgina 2
1.INTRODUCCIN
Los routers CISCO son como pequeos ordenadores. Tienen un procesador, se
pueden ampliar con nuevos interfaces, su software se actualiza como un
verdaderosistemaoperativo,etc.Unadesuscaractersticasmsimportantesson
suscuatrodiferentestiposdememoria:
ROMEslamemoriaquevienedeserieycontieneelcdigoindispensable
paraqueelrouterarranque.Nopuedemodificarse.
Flash EslamemoriadondesecargaelsoftwareIOSdeCISCOqueesel
quenosvaapermitirconfiguraryoperarelrouter.EsactualizableyCISCO
proporciona nuevas versiones peridicamente corrigiendo errores y
proporcionandonuevasfuncionalidades.
NVRAMEsunapequeamemoriadondeseguardalaconfiguracindel
router que queremos que se cargue inicialmente cada vez que este
arranca.
RAM Eslamemoriadetrabajodelrouterdondesecarganlastablasde
rutado, las configuraciones que hemos aplicado pero que no hemos
salvado,etc.Eslanicamemoriavolatil,esdecir,quesepierdecuandose
reiniciaelrouter.
Laprimeravezquevamosaconfigurarunrouternostenemosqueconectarcon
uncableseriealaentradadeconsolaynossaltarunscriptdeconfiguracin
inicialquepodemossaltarnos(pulsandoCtrl+cencualquiermomentoodiciendo
queno a laprimerapregunta).PacketTracer nos simula este proceso cuando
entramos en la pestaa CLI de un router o cuando lo conectamos a un PC
medianteunterminalseriealpuertodeconsola.
Los routers de CISCO suelen llevar tambin un pequeo servidor web al que
podemos conectarnos a travs de un navegador para configurarlos. CISCO
tambin proporciona aplicaciones Java para hacer esto, pero la opcin ms
popularymsbuscadaentrelosprofesionalesesquesepanconfigurarunrouter
CISCOatravsdelCLI(CommandLineInterface).
Modosdeoperacin
LosroutersCISCOtienentresmodosdeoperacinensulneadecomando:
modonormaldeusuario,elinicialconunpromptas>
privilegiadoodeadministracin,conprompt#
deconfiguracin,conlapalabraconfigantesdelprompt#
Parapasardemodonormalaprivilegiadoseusaelcomandoenable
Parapasardeprivilegiadoaconfiguracinseusaelcomando configure
terminal
Para volver atrs un nivel se usa el comando exit. Ctrl+Z tambin nos
Jos Mara Morales Vzquez
Pgina 3
OtrostrucostilesenelCLI
Paraautocompletarcomandosseusaeltabulador
Parapedirayudadecomandosdisponiblesuopcionesdelosmismosseusa
elsigno?
No hace falta escribir los comandos completos. Basta con las letras
suficientesparaquenohayaconfusinconotrasalternativas.Esvlidoena
porenable,configtermporconfigureterminal,etc.
Ctrl+Shift+6 interrumpe la ejecucin de un comando que no responde y
quesehaquedadopillado.
Historialdecomandos
Comocasitodoslosinterfacesenlneadecomandos,elCLIdeCISCOguardaun
historial de las ltimas rdenes que hemos ejecutado desde la cnsola y que
podemosvisualizarconlasiguienteordenquesepuedeejecutardesdeelmodo
normaloprivilegiado:
showhistory
Por defecto se guardan los ltimos 10 comandos ejecutados. Si queremos
incrementaresenmerolohacemosdesdeelmodoprivilegiadoconlasiguiente
orden:
terminalhistorysize50
Siquisiramosdesactivarelhistorialdecomandosejecutamoslosiguiente:
terminalhistorysize0
Pgina 4
Contraseadeaccesoalmodoprivilegiado
Como hemos visto, al sacar el router de la caja este no est protegido con
contrasea. Existen diferentes formas de proteger el acceso al router pero la
primeraquedebemos de usaresladeasegurarnos quenadieentraal modo
privilegiado sin una contrasea cifrada. Para ello, desde el modo de
configuracintenemosqueejecutarelcomandoenablesecretyacontinuacin
lacontraseaquedeseamos.
Existeotraopcinmedianteelcomando enablepassword,peroenestecasola
contraseaselistarenclaroalhacer showrunningconfig.Podemoscifraresta
contraseamedianteelcomandoservicepasswordencryption,peroanasse
trata de una proteccin muy debil que puede saltarse mediante herramientas
comunescomolaquehayenestaweb:
http://www.ibeast.com/content/tools/CiscoPassword/
Veremosmsadelanteotrasformasdeprotegerelaccesoanuestrorouter:con
usuarioycontrasea,etc.
Elcomandono
Elcomandonoantespuestoaotrocomandosirve,enlasocasionesenlasque
estosepuedehacer,paraeliminar,desactivar,volveratrsodeshacerelefecto
dedichocomando.Porejemplo,paraeliminarlacontraseadeaccesoalmodo
priviliegiado usamos no enable secret o para borrar el nombre que le hemos
puestoanuestrorouterpodemosusarelcomandonohostname.
Elcomandodo
Si queremos ejecutar un comando del modo privilegiado desde el modo
configuracin(algotpicosinecesitamosejecutaralgncomandoshowmientras
estamosconfigurandoalgo)ynoqueremosestarcambiandocontinuamentede
modo, podemos hacerlo anteponiendo el comando do. Por ejemplo,
escribiendo do sh ip route desde el modo de configuracin nos ejecutara el
comandocomosiestuveramosenelmodoprivilegiado.Elnicoinconveniente
deejecutarcomandoscon do esquenotendremosdisponiblesnilasfuncioens
deautocompletarnilaayudaconlatecla?
Otroscomandosbsicos
hostname<nombre>desdeelmododeconfiguracin,nospermitecambiar
elnombredistintivodelrouter.
banner motd # Tambin desde el modo de configuracin, nos permite
personalizar el mensaje de bienvenida que recibimos al conectarnos al
router. Podemos escribir lo que queramos usando varias lneas, etc. El
mensajefinalizacuandovolvamosaescribir # alprincipiodeunalneay
Jos Mara Morales Vzquez
Pgina 5
pulsemoslateclaINTRO.Silodeseamospodemosusarotrocaractercomo
finalizadorcambindoloenelcomando.
reload Desde el modo privilegiado reinicia el router. Los cambios no
salvadossepierden.
writememoryoslowritedesdeelmodoprivilegiadosalvalaconfiguracin
actualmenteenejecucincomoconfiguracinpordefecto.
copyrunningconfigstartupconfigIdemalanterior.
writeerase Limpiatodalaconfiguracindelrouterylodejacomorecin
salidodelacaja.
writestartupconfigIdemalanterior.
3.INTERFACESYLNEAS.CONFIGURACINBSICADEUNROUTER
Identificacindeinterfacesylneas
LosroutersCISCOtienendostiposdeconexiones:interfacesylneas.Lasinterfaces
sonaquellasconexionesqueusamosparaconectarlosentresoaotrosequipos
paraquedesempeenlasfuncionesderutadopropiamentedichas.Laslneas,
porotrolado,sonconexionesqueusamossloparaconfigurarlosomanipularlos.
Lasinterfacespuedenserserie,ethernet,fastethernet,gigaethernet,atm,etc.Las
lneaspuedenserconsole,auxovty.
Lasinterfacesseidentificanporunasecuenciadenumerosseparadosporbarras
deltipo0/0/0dondeelprimerorepresentalabaha,elsegundoelslotyeltercero
elpuerto.Sislohubieradosseranslotypuertoysiapareceunosloesquese
identificaconelpuertosinms(aunqueestoslosueleocurrirenlaslneasyno
enlosinterfaces).Seaadeadems,alprincipiodelasecuencia,unaletraque
indica el tipo de interface (e por ethernet, f por fast ethernet, g por gigabit
ethernet,sporserial,etc.).Porejemploe0/1/0of0/0,s0/0/0og7/0.
Podemos listar los interfaces que tiene nuestra mquina con todos sus detalles
medianteelcomandoshowinterfacesdesdeelmodoprivilegiado.
Siqueremosinformacinslodeundeterminadointerfaceloconcretamosenel
comando.Porejemploshowinterfacef0/1
Configuracindeinterfacesethernet
Laconfiguracindeuninterfaceserealizaentrespasos,siempredesdeelmodo
de configuracin: seleccionar la interface a configurar, asignarle una ip y una
mscara a ese interface y, finalmente, activarla. Para las interfaces serie
necesitaramos, adems, activar una seal de reloj en uno (y slo uno) de los
extremosdelacomunicacin,peroestonovamosaverloporelmomento.
Supongamosquequeremosconfigurarelinterfazfastethernetidentificadocomo
Pgina 6
Configuracinderutasestticas
Lasrutasestticasseintroducenenelrouteratravsdelostresmismosparmetros
queusbamosenlasventanasdeasistenciadelpackettracer.Unejemplodel
comando a usar (desde el modo de configuracin) para introducir una ruta
estticaeselsiguiente:
iproute192.168.3.0255.255.255.0192.168.0.2
Donde192.168.3.0esladireccindelaredalaquequeremosllegar,255.255.255.0
sumscaray192.168.0.2elsiguientesalto,esdecir,ladireccinIPdeotrorouter,
conocido por el que estamos configurando, donde hay que entregar los
mensajesparaencaminarloshacalaredalaquequeremosllegar.
Elcomandoshowiproutenosmuestratodaslasredesquenuestrorouterconoce,
distinguiendosiestconectadodirectamenteaellas,sitienealgunarutaesttica
configurada o cualquier otra condicin. Si slo queremos ver las redes
directamenteconectadasanuestrorouterusaremoselcomando showiproute
connected
4.ACCESOREMOTO
HastaahorahemostrabajadoenmodoCLIconnuestrosroutersCISCO,peroen
ningnmomentonoshemosplanteadocomorealizamoseseacceso.
Cmo accedemos a la pantalla del CLI de un dispositivo CISCO realmente?
Pgina 7
Accesoportelnet
Laconfiguracindelaccesomediantetelneteslamssimple,perohemosde
recordar que el acceso por telnet se hace siempre en claro y cualquierea
podra escuchar a travs de la red cualquier comando o contrasea que
escribamos.Desdeelmododeconfiguracin,ejecutamoslosiguiente:
linevty04vamosaconfigurarhastacincoaccesossimultaneos(desdeel0
al4)remotos.Elpromptcambiaa(configline)#
passwordsmrdefinimoslacontraseadeentradaportelnetcomosmr
loginhabilitamoselacceso
Conestonosdejaconectarnosportelnetperononosvaadejarentraralmodo
privilegiadooaldeconfiguracinporquenoestprotegidoconcontrasea.Para
quesenospermitausarelmodoprivilegiadoenunaconexinremotatenemos
queprotegerlomediantecontraseacomoyasabemoshacer:
enablesecretarboleda
NOTA:Elprocedimientoeselmismoparapoderaccederaunrouteroaunswitch.
Accesoporssh
Elaccesoporssheselmscomnyltamenterecomendado.Todoeltrfico
entrenuestroterminalyeldispositivodeCISCOserealizacifradoyesindescifrable.
Todoslosroutersadmitenaccesoporsshperoslolosswitchsdegamaaltalo
soportan. Recuerda, adems, que tanto unos como otros deben de tener
configurada una direccin IP para que podamos acceder a ellos por ssh. Los
comandosnecesariosdesdeelmododeconfiguracinson:
hostnamemirouter
ipdomainnamearboleda.netEsobligatoriodefinirunnombreyunnombre
dedominioparaeldispositivo.Lohacemosconelcomandoanterior(que
Jos Mara Morales Vzquez
Pgina 8
5.CONFIGURACINDEUNSERVIDORDHCP
LosrouterCISCO,aligualquecasitodoslosrouters,puedenconfigurarsedeforma
queademsrealicenlasfuncionesdeservidordhcp.Laformadeconfigurarloses
muysimpleytienecuatropasos:crearunpooldedirecciones,asociarloauna
determinadared(indicandoladireccindelamismaysumscara),indicarla
direccindelrouterpordefectoqueentregaranasusclientesy,porltimo,excluir
las direcciones que usaremos para asignaciones manuales. Los comandos
concretosausar,desdeelmododeconfiguracin,sonlossiguientes:
ipdhcppoollaarboleda creaunpooldedireccionesparaadministrarpor
dhcpyleasignaelnombredistintivolaarboleda
network 192.168.0.0 255.255.255.128 le asigna al pool anterior la red
delimitadaporladireccindered192.168.0.0conmscara255.255.255.128
defaultrouter192.168.0.1 asignaladireccin 192.168.0.1 comoladelrouter
pordefectoqueentregaralosclientesjuntoconlaipcorrespondiente,
exit parasalirdelmododeconfiguracindeldhcpyvolveralmodode
configuracinnormal.
Jos Mara Morales Vzquez
Pgina 9
Elrouterpuedetenermsdeuninterfacederedytambinmsdeunpoolde
direcciones dhcp. El asocia los pools con los interfaces a travs de los cuales
entregarlasdireccionesporqueladireccindelinterfacedebedecorresponder
conladelaredasociadaalpooly,comoyasabemos,cadainterfacedelrouter
debedeperteneceraunareddiferente.
Observatambinque,aligualqueocurraconlaconfiguracindelosinterfaces,
elprompttambincambiaaqupordhcpconfigparaadvertirnosdelmodoenel
quenosencontramos.
Paraexcluirunrangodedireccionesusamoselsiguientecomando:
ip dhcp excludedaddress 192.168.0.1 192.168.0.20 para exlcuir las
direccionesentrela192.168.0.1yla192.168.0.20.Elrestodelasdirecciones
de la red (en este caso desde la 192.168.0.21 hasta la 192.168.126) seran
usadasporelserviciodhcp
Podemosinspeccionarlatabladeasignacindedireccionesdelserviciodhcp
medianteelsiguientecomando:
shipdhcpbinding
Elserviciosedetienesimplementeusandoelcomandonosobrelaprimeraorden:
noipdhcppoollaarboleda
Existenmuchasmsopcionesalahoradeconfigurarelservidordhcpdeunrouter
CISCO:eltiempodevidadelasdireccionesentregadas,asignardireccionesfijas
por MAC a ciertos equipos, asignar las direcciones de los servidores DNS a los
clientes,etc.(aunquealgunasdeestasopcionesnovienenanimplementadas
enpackettracer).Paraquienquierainformacinexhaustivasobreestotienela
siguientegua(eningls)elaboradaporCISCO:
http://www.cisco.com/en/US/docs/ios/12_2/ip/configuration/guide/1cfdhcp.html
6.SWITCHES
Los switches de CISCO usan el mismo sistema de configuracin en lnea de
comandoquelosroutersy,portanto,muchasdelas rdenesquehemosvisto
hastaahora nossirventambinparalosswitches.Laformadeentrarenmodo
privilegiado o de configuracin, la ayuda, los comandos para salvar la
configuracin,etc.
Pgina 10
AsignacindeunaIPalswitchparaaccederdeformaremota
Elprimerpasopararealizarunaccesoremotoesqueeldispositivocuentecon
unadireccinIPconfigurada.Enlosroutersyasabemoshacerlo.Paralosswitches
elprocedimientodeconfiguracindeunaIPesligeramentediferente.Desdeel
mododeconfiguracinejecutamoslosiguiente:
intvlan1entramosaconfigurarlavlan1.UnswitchdeCISCOpuedetener
hasta 1005 VLANs diferentes, pero la nmero 1 es especial para
administracin (porque la ip que asignemos ser escuchada por
cualquieradesuspuertos)yentrela1002yla1005estnreservadas.Ms
adelante veremos en detalle que son las VLAN y para que otras cosas
sirven.Elpromptcambiaalmodo(configvlan)#
ip address 192.168.1.2 255.255.255.0 le asignamos la ip y mscara
especificada
noshparaactivarelinterface
Si queremos acceder a l desde una red diferente a la que se encuentra
instaladotenemos,adems,quedefinirleunrouterpordefecto:
ipdefaultgateway192.168.1.1
7.REDESVIRTUALES(VLANs)
LasRedesVirtualesconstituyenunatcnicatilparadividirunaredendiferentes
subredes separadas entre si sin necesidad de usar routers y permitiendo una
separacinfuncionaldelosequiposendiferentesgruposdetrabajosinimportarla
ubicacin donde se encuentran conectados. No se trata de una tecnologa
propietariadeCISCOypuedeimplementarseigualmenteconswitchesdeotros
fabricantes.
Comohemosdichoantes,losswitchesCISCOpermitenhasta1005VLANsdelas
cualesla1esespecialylasexistentesentrela1002yla1005estnreservadas.
PodemosverinformacindelasVLAN'sactivasennuestroswitchconelcomando
siguiente:
showvlanbrief
Crear una VLAN es tan fcil como ejecutar lo siguiente (desde el modo de
configuracin):
vlan 2 para crear una vlan con el identificador 2. El prompt cambia a
(configvlan)#
nameestudiantesparaasignarleelnombreestudiantes(estoesopcionaly
noindispensableparaquefuncione.Sinoseasignanombreseponeuno
deformaautomatica)
intvlan2
Pgina 11
EnrutamientoentreVLANs
LacomunicacinentrelasdiferentesVLANssepuedehacerdevariasformas.Una
Jos Mara Morales Vzquez
Pgina 12
8.OTROSCOMANDOS
Pordefecto,yalrevesdeloqueocurreconlosrouters,todoslosinterfacesdeun
switchvienenactivos.Siqueremosdeshabilitarunodeellos(porejemploporque
vemos una actividad de trfico sospechoso) ejecutamos lo siguiente desde el
mododeconfiguracin:
intf0/12
shparadeshabilitarlo
ElcomandoquenospermiteverlasdireccionesMACasociadasacadapuerto
delswitcheseste:
show macaddresstable para visualizar la tabla de direcciones MAC
asociadasacadapuertodelswitch.
Pgina 13
10.RIP,ROUTINGINFORMATIONPROTOCOL
Routing Information Protocol. Protocolo deencaminamiento dinmico estndar
muysimple.Esunprotocolo delosdenominados de vectordistancia yesmuy
utilizadoenredespequeasomedianas.
LaconfiguracindeRIPesmuysencilla:elrouterslonecesitainformacindelas
redesconectadasdirectamenteal.Elrestolodescubrirporlainformacinque
leenvenlosdemsrouters.RIPeligesiemprelarutaconmnimonmerodesaltos,
perosiestasecaeyexisteotradisponibleserecuperaylasustituye(aunquelo
hace de forma bastante lenta comparada con otros protocolos). Existen dos
versionesdeRIP.Lasegunda,queeslaqueveremos,esdeconfiguracinsin
clase(classless),ynospermitirelusodesubnettingysupernettingennuestras
redessintener,adems,queindicarlasmscarasdelasmismas.
Enlosprotocolosdevectordistancialosroutersnotienenunatablacompletade
lared,sinoslodelosdestinosadyacentes(deformamuyparecidaalasrutas
estticas).RIPestrestringidoaredesconmsde15saltosentredosdestinos.De
formapredeterminadaactualizalainformacindesustablascomunicandocon
losdemsroutersdelaredcada30segundos.Estoesasinclusocuandonohay
cambiosenlaredenvariosdas.
LosroutersconRIPensuversin1secomunicanentreellosusandobroadcastyla
direccin especial 255.255.255.255. En la versin 2, ms recomendable, usan
multicastyladireccinIP 224.0.0.9 (recuerda:unadireccinclaseDqueestn
reservadasparausosespecialescomoeste).
Los comandos bsicos para configurar un roter CISCO con la versin 2 del
protocoloRIPson:
routerripdesdeelmododeconfiguracinactivaelmododeconfiguracin
delprotocoloRIP.Elpromptcambiaa(configrouter).
version2 habilitaelusodelaversin2delprotocolo,queesconlaque
trabajaremos.
Acontinuacintenemosqueiragregandounaaunatodaslasredesquetienen
conexindirectaconelrouter.Lohacemosaadiendoslolasdireccionesdered
(sinmscara)atravsdelsiguientecomando:
Pgina 14
11.EIGRP,ENHACEDINTERIORGATEWAYROUTINGPROTOCOL
EnhancedInteriorGatewayRoutingProtocol.Setratadeunprotocolopropietario
deCISCO.Avecesseloconsideraunprotocolohbridoqueusavectordistanciay
estadodeenlace,peroenrealidadesunprotocolodevectordistanciaqueusa
algunasdelascaractersticasdelosprotocolosdeestadodeenlacey,alahora
detransmitirinformacinalosroutersvecinos,notieneencuentasloelnmero
desaltosparallegaradestinosinoquetambinconsideraotrosparmetros.
EIGRPusa5mtricasparaestablecerlasrutas ptimas:elanchodebanda,el
retrasodelared,laconfiabilidad,lacargadelaredyelmtuounidadmximade
transferencia,aunquetieneun modo pordefectoqueslo tomael ancho de
Pgina 15
Pgina 16
shipeigrpinterfaces
shipeigrpneighbors
shipeigrptopology
shipeigrptraffic
Msinformacin:
http://www.cisco.com/en/US/docs/ios/12_1/iproute/configuration/guide/1cdeigrp.html
12.OSPF,OPENSHORTESTPATHFIRST
OpenShortestPathFirst.Esunprotocoloestndarddelosdenominadosdeestado
deenlace quenosgarantizaelusodelcaminomscortoentredospuntos.Se
trata,posiblemente,delprotocolomsusadoenredesgrandesycomplejas. A
grandesrasgos,cadarouterconstruyeunatopologadelaredqueconoceyla
comparteconsusvecinosdeformaqueentretodoscompletanunplanototalde
laredenlaquetrabajanydeformaquecadaunocalculasusrutasdeforma
independientealosdems.
Ensumodocompletosetratadeunprotocolocomplejoquepermitedividirlared
en diferentes reas y tratarlas de forma diferente. Nosotros veremos aqu el
protocoloOSPFdereanica.
SeleconsideracomoelsucesordeRIP.Paralacomunicacinusalasdirecciones
Pgina 17
13.INTRODUCCINALASEGURIDADENLOSSWITCHESCISCO
Losswitchessonelementoscentralesdelaconfiguracindenuestrasredes.Todo
el trfico pasa por ellos y todos los equipos deben, de una forma directa o
indirecta, estar conectados a un switch para tener acceso a nuestra red.
Introducirmecanismosdeseguridadenlosmismoses,portanto,unabuenaforma
decontrolardeformapreventivaalgunosproblemasimportantesdeseguridad.
Enestedocumentoveremosalgunasdeestasmedidasysuimplementacinen
switchesCISCO.
Desconexindepuertosnousadososospechosos
Los puertos no usados de nuestros switches osospechosos detener problemas
deberandesconectarsedelared.Pordefectotodoslospuertosdelosswitches
Jos Mara Morales Vzquez
Pgina 18
DHCPSnooping
ELDHCPSnoopingcomprendeunconjuntodetcnicasencaminadasahacer
msseguroelfuncionamientodelprotocoloDHCP.Yavimosensumomentoque
setratabadeunprotocolomuycmodoenredesgrandesperoconevidentes
problemasdeseguridad.
CISCOimplementaalgunastcnicasencaminadasaestefin.Laprimeradeellas
nospermiteprohibireltrficodeunservidorDHCPdesdetodoslospuertosdel
switchsalvodelosquenosotrosautoricemos.Paradecir,porejemplo,quenuestro
servidorDHCPestenelpuertof0/2,ejecutaramoslosiguiente:
ena
configterm
ipdhcpsnooping
intf0/2
ipdhcpsnoopingtrust
Pararetirarlaautorizacindelinterfazusaramoselcomandono:
intf0/2
noipdhcpsnoopingtrust
SinuestroswitchdetectaraunservidorDHCPconectadoacualquierotropuertolo
desconectaradeformaautomtica.
Elsegundomecanismodeseguridadnospermitelimitarelnmerodepeticionesa
unservidorDHCPqueserealizadesdedeterminadospuertos.Estonosayudaa
mitigar que alguien trate de saturar un servidor DHCP cambiando de MAC y
enviadopeticionesalservidor.Enelsiguienteejemploselimitana5paquetespor
Pgina 19
ControldelasMACconectadasalospuertosdelSwitch
Todos sabemos que la principal diferencia del switch frente al hub es que el
primeromemorizalospuertosalosqueestnconectadoslosdistintosequipos
de forma que la comunicacin entre un equipo y otro slo se enva por los
segmentosderedadecuados.Estomejoralacalidaddelascomunicacionesen
nuestraredlocal(tenemos un mayor ancho debandadisponible) y mejora la
seguridad en la red (alguien con un sniffer lo tiene ms difcil para leer la
informacinquenovadestinadaal.)
Losswitchesrealizanestafuncindeformasimplealmacenandoensumemoria
unastablasconlasdireccionesMACdelosequiposylospuertosalosqueestn
conectados los mismos. Estas tablas deben de tener capacidad para guardar
msdeunaMACporpuerto(podemostenerunswitchde96puertosconectado
encascadaalpuertodeotroswitch)y,lgicamente,tienenuntamaofinito.
SiunswitchrecibeunmensajeparaunequipocuyaMACnotieneregistradoen
sustablasenvaelmensajeatodossuspuertoscomosifueseunhub.Cuandoel
equiporesponderegistraelpuertodesdeelquelohahechoy,apartirdeese
momento,yaleenviarsiemprelosmensajesdirectamente.
Perocmosecomportaunswitchsiestastablassellenandeltodoytieneque
enviarleunmensajeaunequipocuyaMACnoestincluidaenellasyportanto
no sabe en que puerto est conectado? Difundiendo el mensaje a travs de
todossuspuertoscomosisetratasedeunhub.Elprobelmaocurrecuandoeste
equipocontesta.Puestoqueelswitchnotieneespacionoincluirelpuertodesde
elquelohaceyseguirsiempreenviandolelosmensajescomosisetratasedeun
hub.
UnataquedesaturacinoinundacindedireccionesMAC(MACfloodingoARP
flooding)estencaminadoaesto:inundarunswitchconpeticionesdediferentes
direcciones MAC ficticias para que el switch sature sus tablas y comience a
comportarse como un hub con mensajes legtimos de forma que podamos
capturarlosmedianteelusodeunsniffer.CISCOincluyefuncionalidadesquenos
Jos Mara Morales Vzquez
Pgina 20
Pgina 21
Por ltimo, los comandos que nos permiten ver la configuracin que hemos
realizadodeestasmedidassonlossiguientes:
showportsecurity
showportsecurityintf0/5
Si, adems, queremos ver las direcciones MAC autorizadas para cada puerto
ejecutaramosesto:
showportsecurityaddress
UnavariantedeesteataquesedenominaARPspoofingoenvenenamientode
ARP. En este caso no hace falta llenar la tabla ARP del switch sino que se lo
engaahacindolepensarqueunequipoestenunpuertodiferente.Elswitch
mandalosmensajesaestepuertoyelequipoquerealizaelengaolosleey
luegolosremitealamquinaautnticaparaqueestanosospeche.Siestomismo
sehacesimultaneamentecondosequiposseespiatodaslasconversaciones
entre ambos constituyendo lo que se conoce como ataque de hombre en el
medio(oManintheMiddle).Existenmuchasherramientasparahacerestode
forma automtica pero tal vez la ms popular y fcil de usar sea ettercap,
disponibletantoparaplataformasLinuxcomoWindows.
StormControl
Aveces,ygeneralmenteporaverashardwareosoftware,algunastarjetasdered
creanuna cantidad detrfico tangrandequesaturan alswitchal queestn
conectadas, deteriorando las comunicaciones y llegando incluso al punto de
hacercaertotaloparcialmentelared.LosswitchesCISCOtienenlaposibilidad
decontrolarestomedianteunsubconjuntodecomandos.
ena
configterm
intf0/1
stormcontrolbroadcastlevel20
En elejemplo anteriorhabilitamos elstorm control para elpuerto 1 denuestro
switchdeformqueeltrficobroadcastdelmismonosupereel20%delanchode
bandanominaldelmismo.
Podemos controlar de igual forma el trfico unicast y el multicast con, por
ejemplo,lasiguientesintrucciones:
stormcontrolmulticastlevel50
stormcontrolunicastlevel90
Nodebemosdeolvidarcuandoconfiguramosestosparmetrosquelostrestipos
detrficosonnecesariosyque,enparticular,elmulticastseusaportodoslos
protocolos de rutado dinmico (entre otros) y el unicast constituira el trfico
Pgina 22
Pgina 23