ES - RS - instructorPPT - Chapter3-HM Seguridad Vlan PDF

IS
Captulo 3:
-F
Implementando
Seguridad VLAN
G
P
Routing y Switching
U
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 1
Captulo 3
IS
3.1 Segmentacin VLAN
3.2 Implementacin de VLAN
-F
3.3 Seguridad y Diseo de VLAN
3.4 Resumen
G
P
U
Captulo 3: Objetivos
Explicar el propsito de las VLAN en las redes conmutadas
IS
Analizar cmo un switch reenva tramas basado en configuracin de
VLAN en ambientes multi-conmutados
-F
Configurar un puerto de switch para ser asignado a una VLAN
basado en requerimientos
Configurar un puerto troncal en un switch LAN
G
Configurar Dynamic Trunk Protocol (DTP)
Solucionar problemas de configuracin de VLAN y troncales en una
P
red conmutada
Configurar caractersticas de seguridad para mitigar ataques en un
U
entorno segmentado por VLAN
Explicar las mejores prcticas de seguridad en un entorno
segmentado por VLAN
Descripcin de VLANs
Definiciones de VLAN
VLAN (LAN virtual) es una particin lgica de una red de
IS
capa 2
Mltiples particiones pueden ser creadas, permitiendo que
-F
mltiples VLANs co-existan
Cada VLAN es un dominio de broadcast, usualmente con su
propia IP de red
G
Las VLANS estn mutuamente aisladas y los paquetes
solamente pueden pasar entre ellas a travs de un router
P
Las particiones de red de capa 2, se lleva dentro de un
dispositivo de capa 2, usualmente un switch.
U
Los hosts agrupados dentro de una VLAN no son

consientes de la existencia de la VLAN
Descripcin de VLANs
Definiciones de VLAN
IS
-F
G
P
U
Descripcin de VLANs
Beneficios de las VLANs
Seguridad
IS
Reduccin de costos
Mejor rendimiento
-F
Reduce el tamao de los dominios de broadcast
Mejora la eficiencia del personal de TI
G
Proteccin y administracin de aplicaciones ms
P
simple
U
Descripcin de VLANs
Tipos de VLANs
VLAN de datos
IS
VLAN por defecto
VLAN Nativa
-F
VLAN de Administracin
G
P
U
Descripcin de VLANs
Tipos de VLANs
IS
-F
G
P
U
Descripcin de VLANs
VLANs de Voz
El trfico de VoIP es sensible al tiempo y requiere:
IS
Ancho de banda asegurado para asegurar calidad de servicio
Prioridad de transmisin sobre otros tipos de trfico de red
-F
Habilidad de ser ruteado alrededor de reas congestionadas
en la red
Retardo de menos de 150 ms a travs de la red
G
La caracterstica de VLAN de voz permite a los puertos de acceso
llevar trfico voz IP desde un telfono IP
P
El switch se puede conectar a un telfono IP Cisco 7960 y llevar
trfico de voz IP
U
Debido a que la calidad del sonido de una llamada por telfono IP
se puede deteriorar si los datos se envan de forma desigual, el
switch debe soportar calidad de servicio (QoS)
Descripcin de VLANs
VLANs Voz
Los telfonos IP Cisco 7960 IP contienen tres puertos
IS
de switch integrados de 10/100:
Port 1 conecta al switch
-F
Port 2 es una interfaz interna de 10/100 que lleva el trfico
Port 3 (puertos acceso) conecta a un PC u otro dispositivo.
G
P
U
VLANs en un entorno multi-conmutado
VLAN Trunks
Un troncal VLAN lleva ms de una VLAN
IS
Usualmente establecido entre switch para que
dispositivos de la misma VLAN se puedan comunicar,
-F
an si estn conectados a diferentes switchs
Un troncal VLAN no se asocia a ninguna VLAN.
G
Tampoco se usa el puerto troncal para establecer el
enlace troncal
P
Cisco IOS soporta IEEE802.1q, un popular protocolo
de VLAN trunk
U
VLAN Trunks
IS
-F
G
P
U
Controlando dominios de Broadcast con VLANs
Las VLANs pueden ser usadas para limitar el alcance
IS
de las tramas de broadcast
Una VLAN es un dominio de broadcast por si misma
-F
Por lo tanto, una trama broadcast enviada por un
dispositivo en una VLAN especfica es reenviada
G
solamente dentro de esa VLAN
Esto ayuda a controlar el alcance de las tramas de
P
broadcast y su impacto en la red
Tramas unicast y multicast son reenviadas tambin
U
dentro de la VLAN originaria
Etiquetado de tramas Ethernet para la
identificacin de VLAN
El etiquetado de tramas es usado para transmitir
IS
apropiadamente tramas de mltiples VLAN a travs de un
enlace troncal
Los Switches etiquetarn las tramas la VLAN a la cual ellas
-F
pertenecen. Existen diferentes protocolos, siendo el IEEE
802.1q uno muy popular
G
Los protocolos definen la estructura del etiquetado agregado
al encabezado de la trama
Los switches agregarn etiquetas de VLAN a las tramas
P
antes de ponerlas en el enlace troncal y quita la etiqueta
antes de reenviar la trama a travs de puertos no troncales
U
Una vez etiquetada correctamente, las tramas pueden

atravesar varios switches va enlaces troncales y todava ser
reenviada dentro de la VLAN correcta al destino
Etiquetado de tramas Ethernet para la
identificacin de VLAN
IS
-F
G
P
U
VLANs Nativas y etiquetado 802.1q
Una trama que pertenece a la VLAN nativa no ser
IS
etiquetada
Una trama que es recibida sin etiqueta permanecer
-F
sin etiqueta y ser puesta en la VLAN nativa cuando se
reenve
G
Si no hay puertos asociados a la VLAN nativa y no hay
otros puertos troncales, una trama no etiquetada ser
descartada
P
En switchs Cisco, La VLAN nativa es la VLAN 1 por
U
defecto
Etiquetado de VLAN de Voz
IS
-F
G
P
U
Asignacin de VLAN
Rangos de VLAN en Switchs Catalyst
Los Switch Catalyst serie 2960 y 3560 soportan sobre 4,000
IS
VLANs
Estas VLANs estn divididas en 2 categoras:
-F
Rango de VLANs normales
Nmeros de VLAN desde 1 a 1005
Configuraciones almacenadas en el archivo vlan.dat (en la
G flash)
VTP pueden aprender y almacenar solamente rango de
P
VLANs normales
Rango de VLANs extendidas
U
Nmeros de VLAN desde 1006 a 4096
Configuraciones almacenadas en el running-config (en la
NVRAM)
VTP no aprende VLANs extendidas
Asignacin de VLAN
Creando una VLAN
IS
-F
G
P
U
Asignacin de VLAN
Asignando Puertos a VLANs
IS
-F
G
P
U
Asignacin de VLAN
Asignando Puertos a VLANs
IS
-F
G
P
U
Asignacin de VLAN
Cambiando pertenencia de puerto a VLAN
IS
-F
G
P
U
Asignacin de VLAN
Cambiando pertenencia de puerto a VLAN
IS
-F
G
P
U
Asignacin de VLAN
Borrando VLANs
IS
-F
G
P
U
Asignacin de VLAN
Verificando Informacin de VLAN
IS
-F
G
P
U
Asignacin de VLAN
Verificando Informacin de VLAN
IS
-F
G
P
U
Asignacin de VLAN
Configurando enlace troncal IEEE 802.1q
IS
-F
G
P
U
Asignacin de VLAN
Reseteando el troncal al estado por defecto
IS
-F
G
P
U
Asignacin de VLAN
Reseteando el troncal al estado por defecto
IS
-F
G
P
U
Asignacin de VLAN
Verificando la Configuracin Troncal
IS
-F
G
P
U
Dynamic Trunking Protocol
Introduccin a DTP
Los puertos de switch pueden ser manualmente
IS
configurados para formar troncales
Los puertos de switch tambin pueden ser configurados
para negociar y establecer un enlace troncal con un par
-F
conectado
Dynamic Trunking Protocol (DTP) es un protocolo para
G
administrar la negociacin troncal
DTP es un protocolo propietario Cisco y est habilitado por
P
defecto en los switch Cisco Catalyst 2960 y 3560
Si el puerto en el switch vecino est configurado en un
U
modo troncal que soporta DTP, l administra la negociacin
La configuracin por defecto de DTP para los switch Cisco
Catalyst 2960 y 3560 es dynamic auto
Dynamic Trunking Protocol
Modos de Negociacin de Interfaz
Cisco Catalyst 2960 y 3560 soportan los siguientes
IS
modos troncales:
switchport mode dynamic auto
switchport mode dynamic desirable
-F
switchport mode trunk
switchport nonegotiate
G
P
U
Resolucin de Problemas de VLANs y Trunks
Abordando problemas con VLAN
Es una prctica muy comn asociar una VLAN con una red
IS
IP
Ya que diferentes rede IP slo se pueden comunicar a
travs de un router, todos los dispositivos dentro de una
-F
VLAN deben ser parte de la misma red IP para comunicarse
En la imagen de abajo, el PC1 no puede comunicarse al
G
servidor debido a que tiene una direccin IP errnea
configurada
P
U
Missing VLANs
Si todas las direcciones IP errneas han sido resueltas
IS
pero los dispositivos an no se pueden conectar, revisa
si la VLAN existe en el switch.
-F
G
P
U
Introduccin a Troubleshooting de troncales
IS
-F
G
P
U
Problemas Comunes con Troncales
Los problemas de troncales son usualmente asociados
IS
con configuraciones incorrectas.
Los tipos ms comunes de errores de configuracin
-F
troncales son:
1. Desajuste (mismatches) de VLAN Nativa
2. Desajuste (mismatches) de modo Troncal
G 3. VLANs permitidas (Allowed) en los troncales
Si un problema es detectado, Las pautas de mejores

P
prcticas recomendadas, se muestran en orden
arriba.
U
Modos Mismatches (errneos) de Troncales
Si un puerto en un enlace troncal es configurado con un
IS
modo troncal que es incompatible con el puerto troncal del
vecino, un enlace troncal falla de formarse entre los dos
switchs
-F
Verifica el estado de los puertos troncales en los switchs
usando el comando show interfaces trunk
G
Para solucionar el problema, configura las interfaces con los
modos troncales apropiados.
P
U
Lista Incorrecta de VLAN
Las VLANs deben ser permitidas en el troncal antes de
IS
que sus tramas puedan ser transmitidas a travs del
enlace
-F
Usa el comando switchport trunk allowed vlan para
especificar cuales VLANs son permitidas en un enlace
troncal
G
Para asegurarse de que las VLANs correctas son
permitidas en un troncal, usa el comando show
P
interfaces trunk
U
Ataques en VLANs
Ataques de spoofing a Switch
Hay una cantidad de diferentes tipos de ataques de VLAN
IS
en redes conmutadas modernas. VLAN hopping es una de
ellas.
La configuracin por defecto de los puertos del switch es
-F
dynamic auto
Configurando un host para actuar como un switch y formar
G
un troncal, un atacante podra ganar acceso a cualquier
VLAN en la red.
Debido a que el atacante est ahora habilitado para acceder
P
a otras VLANs, esto es llamado un ataque de VLAN hopping
U
Para prevenir un ataque de spoofing bsico a switchs,
deshabilita trunking en todos los puertos, excepto los nicos
que especficamente requieren ser troncales
Ataques en VLANs
Ataque de Doble-Etiquetado
El ataque de doble-etiquetado toma ventajas de la
IS
forma en que el hardware en muchos switches
desencapsula las etiquetas 802.1Q
Muchos switches ejecutan slo un nivel de
-F
desencapsulado 802.1Q, permitiendo a un atacante
incrustar un segundo encabezado no autorizado en la
G
trama
Despus quitando el primero y legtimo encabezado
P
802.1Q, el switch reenva la trama a la VLAN
especificada en el encabezado 802.1Q no autorizado
U
La mejor propuesta para mitigar ataques de doble
etiquetado es asegurar que la VLAN nativa de los
puertos troncales es diferente de la VLAN de cualquier
puerto de usuario
Ataques en VLANs
Ataque de Doble-Etiquetado
IS
-F
G
P
U
Ataques en VLANs
PVLAN Edge
La caracterstica Edge de Private
IS
VLAN (PVLAN), tambin conocida
como puertos protegidos, asegura
que no hay intercambio de trfico
-F
unicast, broadcast, o multicast
entre puertos protegidos en el
switch
G
Slo de relevancia local
Un puerto protegido slo
P
intercambia trfico con puertos no
protegidos
U
Un puerto protegido no
intercambiar trfico con otro
puerto protegido
Mejores prcticas de Diseo para VLANs
Pauta de Diseo VLAN
Mueve todos los puertos de la VLAN1 y asgnalos a
IS
una VLAN no usada
Shutdown todos los puertos del switch no usados
-F
Separa el trfico de administracin del de datos
Cambia la VLAN de administracin a otra VLAN que
G
no sea la VLAN1. Lo mismo para la VLAN nativa
Asegrate que slo dispositivos en la VLAN de
P
administracin puedan conectarse a los switchs
El switch debera aceptar slo conexiones SSH
U
Deshabilita la autonegociacin de puertos troncales

No uses modos auto o desirable en puertos de switch
Captulo 3: Resumen
Este captulo introdujo VANS y sus tipos.
IS
Tambin cubri las conexiones entre VLANs y dominios
de broadcast
-F
El captulo tambin cubre etiquetado de tramas IEEE
802.1Q y cmo permite la diferenciacin entre tramas
G
Ethernet asociadas con distintas VLANs a medida que
atraviesan los enlaces troncales.
P
Este captulo tambin examin la configuracin,
verificacin y resolucin de problemas de VLANs y
U
troncales usando la CLI de IOS CL y explor la
seguridad bsica y consideraciones de diseo en el
contexto de VLANs.
IS
-F
G
P
U

ES - RS - instructorPPT - Chapter3-HM Seguridad Vlan PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

ES - RS - instructorPPT - Chapter3-HM Seguridad Vlan PDF

Cargado por

Copyright:

Formatos disponibles

IS

Los hosts agrupados dentro de una VLAN no son

Una vez etiquetada correctamente, las tramas pueden

Si un problema es detectado, Las pautas de mejores

Deshabilita la autonegociacin de puertos troncales

También podría gustarte