Documentos de Académico
Documentos de Profesional
Documentos de Cultura
PDA
Actividad de Aprendizaje
ACTIVIDAD DE APRENDIZAJE
Ingeniera en Conectividad y Redes
Carrera/s
Sigla Curso
Modalidad
Versin PDA
Material de apoyo (insumos y
equipamiento) para la actividad
CAS6501
Presencial
2015
NOMBRE DE LA ACTIVIDAD
Seguridad en Switchs de Capa 2
Escenario
Un compaero Ingeniero de Red que ya conoces hace mucho tiempo y de confianza, te ha
invitado a almorzar esta semana. En el almuerzo, l toca el tema de la seguridad de red y
cmo dos de sus colegas han sido arrestados por usar diferentes tcnicas de ataque de capa 2
para reunir informacin de otros usuarios en la oficina para obtener datos financieros y
personales. La historia te sorprende ya que sabes que tu colega es muy cuidadoso acerca de
la seguridad de la red. Esta historia te hacer darte cuenta que a pesar que has sido muy
cuidadoso con las amenazas externas, con la seguridad de capa 3 a la 7, firewalls en los
lmites, entre otras medidas, la seguridad de Capa 2 ha sido insuficiente a interior de la red.
Cuando vuelves a la oficina, te renes con tu jefe para discutir el tema. Luego de revisar las
polticas de seguridad, comienzas a trabajar en la seguridad de la capa 2.
Primero, estableces cuales amenazas estn relacionadas directamente con la red y se debe
poner en accin un plan para mitigar esas amenazas. Mientras se estudian esas amenazas, se
estudian otras potenciales amenazas de capa 2 que pueden no ser maliciosas pero pueden
alterar la estabilidad. Se decide incluir esas amenazas en las polticas.
Otras medidas de seguridad deben ser aplicadas para una mayor seguridad de la red, pero se
comienza con la configuracin de los switchs ante otros tipos especficos de ataques,
incluyendo ataques de inundacin de MAC, ataques DHCP spoofing y accesos no autorizados
a la red local. Estas medidas deben ser puestas en prctica para iniciar las actividades de
produccin de la organizacin.
Preparacin de la Red
Configuracin de los Parmetros del Switch y Troncales.
a. Configurar la direccin IP de la VLAN 99. Configurar el hostname, la contrasea y el
acceso Telnet a todos los switchs. HSRP ser usado ms adelante en el laboratorio, por lo
que se debe configurar el direccionamiento IP para la VLAN 99 en DLS1 y DLS2. Debido a
que la IP 172.16.99.1 ser el Gateway por defecto virtual para la VLAN 99, usar la .3 y .4
para la direccin IP en DLS1 y DLS2, respectivamente.
b. Configurar una puerta por defecto en los switchs de la capa de acceso.
c.
Configurar troncales 802.1q entre los switchs de acuerdo al diagrama. En los switchs
2960, solo es soportado dot1q, por lo tanto el comando switchport trunk
encapsulation no est disponble. Como se han agregado medidas de seguridad,
cambiar la VLAN nativa en los troncales a la VLAN 666. El comando para cambiar la VLAN
nativa es switchport trunk native vlan 666. Adems, desactivar la negociacin
de puerto usando el comando switchport nonegotiate.
Configurar las VLANs de acuerdo al diagrama. Se usan dos VLANs, una para estudiantes y
otra para la facultad y los empleados. Esas VLANs sern creadas en el DLS1, el cual es
configurado como servidor VTP. DLS2 se mantiene en su estado VTP por defecto y acta como
servidor tambin. ALS1 y ALS2 son configurados como clientes VTP.
Los puertos de acceso para esas VLANs en ALS1 y ALS2. Configurar los puertos de acceso
estticos y activar spanning-tree PortFast. Configurar esos puertos de acuerdo al diagrama.
a Configurar ALS1 para cliente VTP.
ALS1(config)# vtp mode client
Setting device to VTP CLIENT mode.
ALS1(config)# interface range fa0/6, fa0/15 - 24
ALS1(config-if-range)# switchport mode access
ALS1(config-if-range)# switchport access vlan 100
ALS1(config-if-range)# spanning-tree portfast
%Warning: portfast should only be enabled on ports connected to a
single
host. Connecting hubs, concentrators, switches, bridges, etc... to
this
interface when portfast is enabled, can cause temporary bridging
loops.
Use with CAUTION
%Portfast will be configured in 10 interfaces due to the range command
but will only have effect when the interfaces are in a non-trunking
mode.
b Configurar ALS2 para cliente VTP.
ALS2(config)# vtp mode client
Setting device to VTP CLIENT mode.
ALS2(config)# interface range fa0/6, fa0/15 - 24
ALS2(config-if-range)# switchport mode access
ALS2(config-if-range)# switchport access vlan 200
ALS2(config-if-range)# spanning-tree portfast
%Warning: portfast should only be enabled on ports connected to a
single
host. Connecting hubs, concentrators, switches, bridges, etc... to
this
interface when portfast is enabled, can cause temporary bridging
loops.
Use with CAUTION
%Portfast will be configured in 10 interfaces due to the range command
but will only have effect when the interfaces are in a non-trunking
mode.
Configurar en enrutamiento IP, las VLANs, las SVI y HSRP en el DLS1 y DLS2.
HSRP es necesario para la red, y las VLANs 100 y 200 son configuradas para usar HSRP y
permitir redundancia en la Capa 3. Usar el comando priority para hacer que DLS1 sea el
router activo para las VLANs 1 y 100, y el DLS2 e router activo para la VLAN 200.
a Configurar VTP, las VLANs y el enrutamiento IP en DLS1.
DLS1(config)# vtp domain SWPOD
DLS1(config)# vtp version 2
DLS1(config)# vlan 99
DLS1(config-vlan)# name Management
DLS1(config)# vlan 100
DLS1(config-vlan)# name Staff
DLS1(config-vlan)# vlan 200
DLS1(config-vlan)# name Student
DLS1(config-vlan)# vlan 666
DLS1(config-vlan)# name NATIVEVLAN_DONOTUSE
DLS1(config-vlan)# vlan 999
DLS1(config-vlan)# name PARKING_LOT
DLS1(config-vlan)# exit
DLS1(config)# ip routing
c Configurar las SVIs y HSRP en el DLS1.
DLS1(config)# interface vlan 99
DLS1(config-if)# standby 99 ip 172.16.99.1
DLS1(config-if)# standby 99 preempt
DLS1(config-if)# standby 99 priority 150
DLS1(config-if)#
DLS1(config-if)#
DLS1(config-if)#
DLS1(config-if)#
DLS1(config-if)#
DLS1(config-if)#
DLS1(config-if)#
DLS1(config-if)#
DLS1(config-if)#
Verificar las configuraciones usando los comandos show vlan brief, show vtp status,
show standby brief y show ip route.
VLAN Name
Status
Ports
---- ------------------------------ --------- ------------------------------1
default
active
Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24, Gi0/1, Gi0/2
100 staff
active
200 Student
active
1002 fddi-default
act/unsup
1003 trcrf-default
act/unsup
1004 fddinet-default
act/unsup
1005 trbrf-default
act/unsup
DLS1# show vtp status
VTP Version capable
: 1 to 3
VTP version running
: 2
VTP Domain Name
: SWPOD
VTP Pruning Mode
: Disabled
VTP Traps Generation
: Disabled
Device ID
: e840.406f.8b80
Configuration last modified by 172.16.1.3 at 3-1-93 00:18:32
Local updater ID is 172.16.1.3 on interface Vl1 (lowest numbered VLAN
interface found)
Feature VLAN:
-------------VTP Operating Mode
Maximum VLANs supported locally
Number of existing VLANs
Configuration Revision
MD5 digest
:
:
:
:
:
Server
1005
7
3
0xAE 0xEB 0x3A 0xEB 0x28 0x23 0x1D 0x85
0x7E 0x8C 0x70 0x56 0x03 0x70 0x29 0xB2
Virtual IP
172.16.1.1
172.16.100.1
172.16.200.1
Verificacin
Mitigacin
Inundacin o
suplantacin de
direcciones MAC
Comando
show mac-address
Suplantacin
DHCP
Acceso no
autorizado a la LAN
Implementacin de Seguridad
Prevencin de Tormentas (Storm Prevention)
Cuando los paquetes inundan la LAN, se produce una tormenta de trfico. Esto puede
degradar el desempeo de la red. La funcin Storm Control ayuda a proteger contra este tipo
de ataques. Storm Control es tpicamente implementado en la capa de acceso para mitigar los
efectos de las tormentas de trfico antes que se propaguen a la red. Tambin puede ser
implementada en las interfaces troncales, incluyendo interfaces Port-Channel, para proteger
los dispositivos de la capa de distribucin de la saturacin de trfico.
Storm control puede detectar y mitigar tormentas de broadcast, unicast o trfico muticast.
Como parte de la configuracin, se pueden especificar los valores de la tormenta, como
umbrales altos y bajos basados en el porcentaje el ancho de banda usado de una interface (la
tormenta es identificada cuando el ancho de banda alcanza el X% del trfico usado, y se
desactiva cuando baja del Y% del ancho de banda usado), o e revisa si pasa o baja de cierto
umbral en bps o paquetes por segundo (pps).
Opciones de los comandos de Storm Control
storm-control [unicast |
broadcast | multicast ] level
0-100
0-100
Rising
Falling Threshold
Threshold
high/low mark
bps
0-10,000,000,000
[k|m|g] Rising
Threshold
0-10,000,000,000
[k|m|g] Falling
Threshold
pps
0-10,000,000,000
[k|m|g] Rising
Threshold
0-10,000,000,000
[k|m|g] Falling
Threshold
Para configurar estos niveles, se debe conocer la cantidad y tipo de trfico fluyendo en la red
durante las horas punta.
Cuando se detecta una tormenta de trfico y STORM CONTROL es configurado, la respuesta
por defecto es filtrar el trfico. Pero, opcionalmente, puede ser configurado para apagar la
interface que recibe la tormenta de trfico o para enviar un mensaje SNMP al NMS.
Habilitar broadcast storm control en los puertos de acceso.
a
Habilitar storm control en los puertos Fa0/6 y Fa0/15 24 en el ALS1 con los siguientes
parmetros:
a. Unicast storms sern detectados el 65% del uso del ancho de banda y desactivado
al 35% del ancho de banda
b. Broadcast storms sern detectados a los 1000 pps y desactivados a los 300pps
c.
Multicast storms sern detectados el 30% del uso del ancho de banda y
desactivado al 25% del ancho de banda.
Lower
----------300 pps
Current
---------0 pps
Lower
----------25.00%
Current
---------0.00%
Fa0/7 y Fa0/8 del DLS1 con parmetros bajos y generar trfico desde el ALS1 para provoque
que los umbrales sean excedidos.
a. En el DLS1, configurar Fa0/7 y Fa0/8:
DLS1(config)#int ran f0/7-8
DLS1(config-if-range)#storm-control unicast level bps 750 300
DLS1(config-if-range)#storm-control action shut
DLS1(config-if-range)#exit
b. En ALS1, ejecutar el comando ping 172.16.99.3 repeat 1000
c.
Luego de algunos segundos, se ver un mensaje SYSLOG en el DLS1 indicando que una
tormenta ha sido detectada y las interfaces se han apagado.
DLS1#
Oct 15 13:55:53.798: %PM-4-ERR_DISABLE: storm-control error detected
on Fa0/7, putting Fa0/7 in err-disable state
Oct 15 13:55:53.823: %STORM_CONTROL-3-SHUTDOWN: A packet storm was
detected on Fa0/7. The interface has been disabled.
Oct 15 13:55:54.813: %LINEPROTO-5-UPDOWN: Line protocol on Interface
FastEthernet0/7, changed state to down
Oct 15 13:55:55.828: %LINK-3-UPDOWN: Interface FastEthernet0/7,
changed state to down
Oct 15 13:56:25.070: %PM-4-ERR_DISABLE: storm-control error detected
on Fa0/8, putting Fa0/8 in err-disable state
Oct 15 13:56:25.096: %STORM_CONTROL-3-SHUTDOWN: A packet storm was
detected on Fa0/8. The interface has been disabled.
Oct 15 13:56:26.085: %LINEPROTO-5-UPDOWN: Line protocol on Interface
FastEthernet0/8, changed state to down
Oct 15 13:56:27.100: %LINK-3-UPDOWN: Interface FastEthernet0/8,
changed state to down
Port Status
Violation Mode
Aging Time
Aging Type
SecureStatic Address Aging
Maximum MAC Addresses
Total MAC Addresses
Configured MAC Addresses
Sticky MAC Addresses
Last Source Address:Vlan
Security Violation Count
:
:
:
:
:
:
:
:
:
:
:
Secure-up
Shutdown
0 mins
Absolute
Disabled
2
1
0
1
000c.2915.800e:100
0
arp-inspection
bpduguard
channel-misconfig (STP)
dhcp-rate-limit
dtp-flap
gbic-invalid
inline-power
link-flap
loopback
mac-limit
pagp-flap
port-mode-failure
pppoe-ia-rate-limit
psecure-violation
psp
security-violation
sfp-config-mismatch
small-frame
storm-control
udld
vmps
Timer Status
-------------Disabled
Disabled
Disabled
Disabled
Disabled
Disabled
Disabled
Disabled
Disabled
Disabled
Disabled
Disabled
Disabled
Enabled
Disabled
Disabled
Disabled
Disabled
Disabled
Disabled
Disabled
.
Si el Host A fuese un atacante, el ataque podra falsificar los mensajes OFFER u otros
mensahes del servidor DHCP en respuesta a las peticiones DHCP del Host B.
Para ayudar a proteger la red de dichos ataques, se puede usar DHCP snooping.
DHCP snooping es una caracterstica de los Cisco Catalyst que determina cuales puertos del
switch pueden responder las peticiones DHCP. Los puertos son definidos como de Confianza o
No Confianza. Los puertos de Confianza pertmiten todos los mensajes DHCP, mientras que los
No Confiables permiten solo el ingreso de peticiones DHCP. Los puertos confiables pueden
conecar un servidor DHCP o pueden condudir hacia un servidor DHCP. Si un dispositivo falso
en un puerto No Confiable trata de enviar una respuesta DHCP a la red, el puerto es
deshabilitado. Desde la perspectiva del DHCP snooping, los puertos de acceso No Confiables
no deben enviar ningn tipo de respuestas DHCP, tales como DHCPOFFER, DHCPACK o
DHCPNAK.
Habilitar DLS1 y DLS2 para que confen en la informacin DHCP enviada por el ALS1 y
ALS2, para que el servidor DHCP pueda responder a las perticiones confiables desde
ALS1 y ALS2. Esto se logra con el comando ip dhcp relay information trustall.
DLS1(config)# ip dhcp relay information trust-all
DLS2(config)# ip dhcp relay information trust-all
Nota: por defecto, todos los switchs que reenvan informacin DHCP insertan la option-82,
la cual puede ser usada para funciones administrativas. Cuando un switch recibe una
trama DHCP con la option-82 en una interface de No Confianza, la trama es eliminada. El
Configurar un lmite a las peticiones DHCP en los puertos de acceso. Esto se realiza
usando el comando ip dhcp snooping limit rate rate_in_pps. Este
comando previene los ataques de saturacin DHCP limitando la velocidad a la que
entran las peticiones DHCP en los puertos No Confiables.
Configurar las VLANs que usarn DHCP snooping. En este escenario, DHCP snooping
ser usado en ambas VLANs (Empleados y Estudiantes).
Trusted
------no
Allow option
-----------no
yes
yes
unlimited
yes
yes
unlimited
Trusted
------yes
Allow option
-----------yes
yes
yes
unlimited
yes
yes
unlimited
yes
yes
unlimited
Configurar AAA
AAA significa Authentication (Autenticacin), Authorization (Autorizacin) y Accounting
(Registro). La porcin de autenticacin de AAA se preocupa de que el usuario sea autenticado
antes de ser admitido en la red. La autenticacin es configurada definiendo una lista de
mtodos de autenticacin y aplicando esa lista a interfaces especficas. Si no se define esta
lista, se usa una lista por defecto.
Para esta red, se ha decidido que AAA sea usado para validar a los usuarios que traten de
ingresar por las lneas VTY a los dispositivos de red. Para este laboratorio, el servidor AAA
ser un servidor RADIUS en el Host C (172.16.99.50) conectado a la interface Fa0/6 del DLS1.
Existen muchas alternativas de servidores RADIUS, pero para este caso usaremos WinRadius.
Configurar WinRadius
Configurar y ejecutar WinRadius. Como parte de la configuracin, se debe configurar la cuenta
de usuario con la contrasea cisco123.