Documentos de Académico
Documentos de Profesional
Documentos de Cultura
VACL
La caracterstica de un VACL's (vlan access-list) tiene la capacidad de filtro por
dominio de vlan
Las vlan Access list nos permite realizar el filtrado y la redireccin de trfico
para su posterior anlisis . Esta redireccin se refiere a la capacidad de permitir
y denegar paquetes cuando se encuentra una coincidencia con las listas de
acceso creadas
Se necesita filtrar el trfico dentro de la VLAN 99 para que el host al
192.168.99.17 no se le sea permitido comunicarse con otro host en la subred
local. Se crea la lista de acceso local 17para identificar el trfico entre este
host y cualquier otra cosa en su subred local. A continuacin, VLAN Access map
se define: Si la lista de acceso local-17 coincide con la direccin IP, el
paquete se descarta; de lo contrario, el paquete se reenva.
Private Vlans
Normalmente, se permite que el trfico se mueva sin restricciones a travs de
una vlan. Los paquetes enviados desde un host a otro normalmente son
escuchados por el host destino, ya que asi funciona la conmutacin en la capa
2.
Las VLAN tradicionales permiten a los administradores de redes crear
topologas ms seguras y adaptables limitando el tamao de los dominios de
broadcast y as facilitar las tareas de administracin, operacin y seguridad.
Sin embargo, hay situaciones donde la creacin de mltiples VLANs pueden ser
ms un problema que una real solucin y es aqu donde entra a jugar un rol
importante la siguiente parte del capitulo que habla sobre las VLAN privadas
Lo que hacen las vlans privadas bsicamente es permitir aislar los puertos de
switch dentro de un mismo dominio de broadcast, evitando que los dispositivos
conectados en estos puertos se comuniquen entre s, aunque pertenezcan a la
misma VLAN y subred.
primaria. Pero no una vlan secundaria. Este modo se ocupa generalmente en las granjas de
server y los grupos de trabajo.
Por ej. Lo que se desea lograr es que cada uno de los tres servidores puedan tener acceso a
internet pero no comunicarse directamente entre s (a nivel de capa 2). Entonces, lo que se
hace es crear una VLAN primaria (VLAN5) en la que estn los tres puertos de los
servidores; se crean tambin tres VLAN privadas y se asignan cada una de las VLAN
privadas a cada uno de los tres puertos de los servidores. As, la nica forma de que un
servidor se comunique con los dems sera yendo hasta el router y volviendo por l,
quedando aisalado en capa 2 del resto de los servidores.
Cada vlan privada debe estar configurada localmente en cada switch que las interconecta.
Se debe configurar cada puerto de switch que usa una vlan privada con alguno de los
siguientes modos:
Promiscuo: un puerto en este estado puede comunicarse con todos los dems puertos,
incluso en estado Isolated y Community dentro de una PVLAN.
Host: el puerto de switch se conecta a un host regular que see encuentra en una VLAN
isolated o comunnity. Solo se comunica con un puerto promiscuo o puertos en la misma
comunnity vlan
Para configurar una VLAN privada, se parte por definir cualquier vlan
secundaria que se necesite para aislarla. Se crea la vlan y con el comando
private-vlan se define isolated o community.
Ahora se define la vlan primaria, usando el comando private vlan ASSOCIATION
se asocia con la vlan secundaria.
Tambin se debe asociar los puerto del switch con sus respectivas vlan
privadas
Primero, se define la funcion del puerto que participara en la vlan privda
usando el siguiente comando. Si el host conectado a este puerto es un router,
firewall o una puerta de enlace comun para la VLAN, se usa el modo
promiscuo. De lo contrario usar el comando host. Para los puertos host, se
debe asociar el puerto del switch con la apropida vlan primaria y secundaria
utilizando este comando. para los puertos promiscuos se debe usar el
siguiente comando "Mapping". lo que hace esto es mapear el puerto con las
vlan primarias y secundarias
VLAN Hooping
El atacante trata de inyectar trfico de la VLAN X en la VLAN Y sin que ningn
router intervenga. El hecho de que no haya router involucrado hace que el
Ya que el enlace troncal tiene como VLAN nativa la VLAN 1, el switch 1 quita el
tag 1 y enva el paquete al switch 2.
El switch 2 recibe el paquete con un tag 10, por lo tanto es clasificado como
perteneciente a la VLAN 10.
Como se puede ver, el problema de este ataque tiene que ver con el uso VLAN
nativas sin etiqueta.
Crear la VLAN nativa de un trunk con una VLAN id no usada, luego remover la
VLAN nativa desde los 2 extremos del trunk.
Ptra alternativa es forzar todos los trunks 802.1q que agreguen etiquetas a las
tramas de la vlan nativa tambien