Temas: Seguridad, Falsificacin de direcciones MAC, Desbordamiento de Tablas MAC.
TECNOLOGA DE LA INFORMACIN Y COMUNICACIN
Ocosingo, Chiapas a; 03 de Octubre de 2014
ndice INTRODUCCIN ........................................................................................................................ 1 Seguridad ................................................................................................................................. 1 MAC Spoofing (Falsificacin de la direccin MAC) .............................................................. 1 Desbordamiento de Tablas MAC ........................................................................................... 2 DESCRIBIR LOS DISPOSITIVOS............................................................................................. 3 TOPOLOGA................................................................................................................................ 6 TABLA DE DIRECCIONAMIENTO ............................................................................................ 7 CONFIGURACIN...................................................................................................................... 8 CONFIGURACIN DHCP .......................................................................................................... 9 CONFIGURACIN DE DNS .................................................................................................... 10 CONCLUSIN........................................................................................................................... 15
1
INTRODUCCIN Seguridad La seguridad de las redes es ahora una parte integral de las redes informticas. Incluye protocolos, tecnologas, dispositivos, herramientas y tcnicas que aseguran los datos y reducen las amenazas. Las soluciones de seguridad en redes surgieron en los aos 1960 pero no se convirtieron en un conjunto exhaustivo de soluciones para redes modernas hasta el principio del nuevo milenio. La mayor motivacin de la seguridad en redes es el esfuerzo por mantenerse un paso ms adelante de los hackers malintencionados. Se han creado organizaciones de seguridad en redes para establecer comunidades formales de profesionales de la seguridad en redes. Estas organizaciones establecen estndares, fomentan la colaboracin y proveen oportunidades de desarrollo para los profesionales de la seguridad. Las polticas de seguridad en redes son creadas por empresas y organizaciones gubernamentales para proveer un marco para que los empleados sigan en su trabajo diario. Tal como la seguridad en redes est compuesta de dominios, los ataques a las redes son clasificados para hacer ms fcil el aprender de ellos y abordarlos apropiadamente. Los virus, los gusanos y los troyanos son tipos especficos de ataques a las redes. Ms generalmente, los ataques a las redes se clasifican como de reconocimiento, de acceso o de Denegacin de Servicio. MAC Spoofing (Falsificacin de la direccin MAC) Los intrusos usan una tcnica denominada falsificacin de la direccin MAC (control de acceso a soportes) para hackear el equipo de una vctima usando la direccin MAC de otro equipo para enviar un paquete de respuesta del ARP (protocolo de resolucin de direcciones) a la vctima, aunque no haya enviado una solicitud de ARP. El host de la vctima renueva la tabla interna de ARP con el paquete de respuesta de ARP malicioso. Consulte tambin Proteccin contra la falsificacin de la direccin MAC. 2
Desbordamiento de Tablas MAC Las tablas del Content Addressable Memory (CAM) se limitan de tamao. Si bastantes entradas se ingresan en la tabla CAM antes de que se expiren otras entradas, la tabla CAM llena hasta la punta que ningunas nuevas entradas puede ser validada. Tpicamente, un intruso de la red inunda el Switch con un gran nmero de Media Access Control (MAC) Address del origen no vlido hasta la tabla CAM se llena. Cuando ocurre eso, el Switch inunda todos los puertos con el trfico entrante porque no puede encontrar el nmero del puerto para un MAC Address determinado en la tabla CAM. El Switch, esencialmente, acta como un concentrador. Si el intruso no mantiene la inundacin de las direcciones MAC del origen no vlido, el Switch mide el tiempo eventual hacia fuera de ms viejas entradas de MAC Address de la tabla CAM y comienza a actuar como un Switch otra vez. Las inundaciones del desbordamiento de la tabla CAM solamente trafican dentro del VLA N local as que el intruso ve solamente el trfico dentro del VLA N local con el cual l o ella estn conectados. El ataque del desbordamiento de la tabla CAM puede ser atenuado configurando la Seguridad de puerto en el Switch. Esta opcin prev la especificacin de las direcciones MAC en un puerto del switch determinado o la especificacin del nmero de direcciones MAC que se puedan aprender por un puerto del switch. Cuando un MAC Address invlido se detecta en el puerto, el Switch puede bloquear el MAC Address que ofende o apagar el puerto. La especificacin de las direcciones MAC en los puertos del switch es una solucin demasiado unmanageable lejana para un entorno de produccin. Un lmite del nmero de direcciones MAC en un puerto del switch es manejable. Ms administrativo una solucin escalable es la implementacin de la Seguridad de puerto dinmico en el Switch. Para implementar la Seguridad de puerto dinmico, especifique un nmero mximo de MAC Addresses que sea docto.
3
DESCRIBIR LOS DISPOSITIVOS Multilayer Switch Un switch capa 3 funciona en las mismas capas que el Router. Puede realizar tareas de ruteo, la diferencia es que el switch realiza sus tareas con chips especializados para que el ruteo y switcheo de paquetes se haga lo ms rpido posible (esto se le conoce como wire-speed). Este tipo de switches integran routing y switching para producir altas velocidades (medidas en millones de paquetes por segundo).
Switch 2960 Son Switches Gigabit Ethernet (10/100/1000) apilables de configuracin fija que ofrecen conectividad de red para grandes y medianas empresas, y sucursales. Permiten realizar operaciones empresariales de manera confiable y segura con un menor costo total de propiedad a travs de diversas caractersticas innovadoras, tales como Cisco FlexStack-Plus, visibilidad y control de aplicaciones, Power over Ethernet Plus (PoE+), revolucionarias funciones de administracin de energa y Smart Operations. 2960-X ofrecen switching de capa 2 y estn provistos de una fuente de alimentacin fija con una fuente de alimentacin externa redundante. Asimismo, brindan 24 o 48 puertos Gigabit Ethernet wire-rate, compatibilidad con PoE/PoE+ y cuatro enlaces de subida SFP (Small Form-Factor Pluggable) de 1 G o dos enlaces de subida SFP+ de 10 G.
4
Servidores DNS Domain Name System o DNS (en espaol Sistema de Nombres de Dominio) es un sistema de nomenclatura jerrquica para computadoras, servicios o cualquier recurso conectado a Internet o a una red privada. Este sistema asocia informacin variada con nombres de dominios asignado a cada uno de los participantes. Su funcin ms importante, es traducir (resolver) nombres inteligibl es para las personas en identificadores binarios asociados con los equipos conectados a la red, esto con el propsito de poder localizar y direccionar estos equipos mundialmente. El servidor DNS utiliza una base de datos distribuida y jerrquica que almacena informacin asociada a nombres de dominio en redes como Internet. DHCP DHCP (siglas en ingls de Dynamic Host Configuration Protocol, en espaol protocolo de configuracin dinmica de host) es un protocolo de red que permite a los clientes de una red IP obtener sus parmetros de configuracin automticamente. Se trata de un protocolo de tipo cliente/servidor en el que generalmente un servidor posee una lista de direcciones IP dinmicas y las va asignando a los clientes conforme stas van quedando libres, sabiendo en todo momento quin ha estado en posesin de esa IP, cunto tiempo la ha tenido y a quin se la ha asignado despus. Este protocolo se public en octubre de 1993, y su implementacin actual est en la RFC 2131. Para DHCPv6 se publica el RFC 3315.
5
PCs Computadora personal, ordenador personal, conocida como PC (sigla en ingls de personal computer), es un tipo de microcomputadora diseada en principio para ser utilizada por una sola persona a la vez. Habitualmente, la sigla PC se refiere ms especficamente a las computadoras IBM PC compatibles. Una computadora personal es generalmente de tamao medio y es usado por un solo usuario (aunque hay sistemas operativos que permiten varios usuarios simultneamente, lo que es conocido como multiusuario). Una computadora personal suele estar equipada para cumplir tareas comunes de la informtica moderna, es decir permite navegar por Internet, escribir textos y realizar otros trabajos de oficina o educativos, como editar textos y bases de datos. Adems de actividades de ocio, como escuchar msica, ver videos, jugar, estudiar, etc.
CONFIGURACIN Configuracin manual de la seguridad del puerto donde conectado el servidor.
Switch>en Switch#config t Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#int fa0/1 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security maximum 1 Switch(config-if)#switchport port-security mac-address 00E0.B07C.30D0 Switch(config-if)#end Switch# %SYS-5-CONFIG_I: Configured from console by console Switch#wr Building configuration... [OK]
Configuracin automtica de la seguridad en los puertos.
Switch#config t Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#int range fa0/2-6 Switch(config-if-range)#switchport mode access Switch(config-if-range)#switchport port-security Switch(config-if-range)#switchport port-security maximum 1 Switch(config-if-range)#switchport port-security mac-address sticky Switch(config-if-range)#end Switch# %SYS-5-CONFIG_I: Configured from console by console Switch#write Building configuration... [OK]
9
CONFIGURACIN DHCP
Configuramos el servicio DHCP y queda de esta manera:
10
CONFIGURACIN DE DNS
La configuracin del servicio DNS queda de esta manera:
11
Por ltimo configuramos el puerto Fa0.
En las PCS hay que activar el servidor DHCP, en la figura de abajo aparece La configuracin IP.
12
Ahora hay que activar donde dice DHCP y automticamente nos dar la configuracin de la IP.
13
Para verificar la pgina web utilizaremos una PC y daremos clic en Web Browser.
Despus escribimos la direccin de la pgina web
14
Luego damos en Go y nos aparecer la pagina principal de CISCO.
15
CONCLUSIN La seguridad bsica del switch no evita los ataques malintencionados. La seguridad es un proceso en capas que, bsicamente, nunca est completo. Cuanto ms consciente sea el equipo de profesionales de redes de una organizacin sobre los ataques de seguridad y los peligros que presentan, mejor. Algunos tipos de ataques de seguridad se describen aqu, pero los detalles sobre cmo funcionan algunos de estos ataques exceden el mbito de este curso. Encontrar informacin ms detallada en los cursos de tecnologas WAN y de seguridad de CCNA. La tabla de direcciones MAC de un switch contiene las direcciones MAC relacionadas con cada puerto fsico y la VLAN asociada para cada puerto. Cuando un switch de la Capa 2 recibe una trama, el switch busca en la tabla de direcciones MAC la direccin MAC de destino. Todos los modelos de Switches Catalyst utilizan una tabla de direcciones MAC para la conmutacin en la Capa 2. A medida que llegan las tramas a los puertos del switch, se registran las direcciones MAC de origen en la tabla de direcciones MAC. Si la direccin MAC tiene una entrada en la tabla, el switch reenva la trama al puerto correspondiente