Documentos de Académico
Documentos de Profesional
Documentos de Cultura
MOD2 Cap2
MOD2 Cap2
Los switches de Cisco no necesitan ninguna configuración. Sin embargo, se puede ajustar requisitos de velocidad, de ancho
de banda y de seguridad de los puertos. Se puede administrar de manera local y remota con una dirección IP y un Gateway
El cargador de arranque busca la imagen de Cisco IOS de la siguiente manera: el SW intenta arrancar mediante el BOOT si
no lo encuentra hace una búsqueda en profundidad en archivos de la FLASH. Luego, el IOS inicia las interfaces mediante
archivo de configuración, startup-config, almacenado en NVRAM.
El botón Mode se utiliza para alternar entre el estado del puerto, el modo dúplex del puerto, la velocidad del puerto y el
estado de alimentación por Ethernet (PoE [si se admite])
LED del sistema.
o apagado (no está encendido)
o verde (funciona normalmente)
o ámbar (recibe alimentación pero no funciona correctamente)
LED del sis. de alimen. redundante (RPS)
o Apagado (RPS apagado o no se conectó correctamente
o Verde (conectado y listo para respaldo
o Parpadea verde (conectado pero no está disponible porque está alimentando a otro dispositivo)
o Ámbar (modo de reserva o presenta una falla)
o Parpadea ámbar (fuente de alimentación interna del switch presenta una falla y RPS está alimentando)
LED de estado del puerto: color verde, se seleccionó este modo
o apagado, no hay enlace, o el puerto estaba administrativamente inactivo
o verde, hay un enlace
o parpadea verde, hay actividad y el puerto está enviando o recibiendo datos
o verde y ámbar, hay una falla en el enlace
o ámbar bloqueado para asegurar que no haya un bucle
o parpadea ámbar, el puerto está bloqueado para evitar un
posible bucle
LED de modo dúplex del puerto: verde se seleccionó el modo
dúplex del puerto
o Apagado, modo half-duplex
o Verde, modo full-duplex
LED de velocidad del puerto
o Apagado 10 Mb/s
o Verde 100 Mb/s.
o Parpadea verde 1000 Mb/s
LED de modo de alimentación por Ethernet:
WINDOWS 7 : C:\ Users\User1> pkgmgr /iu:”TelnetClient” //habilita telnet cliente por consola
How many bits in the modulus [512]: 1024 //longitud de modulo cisco recomienda 1024 pero si es mayo es mas
seguro pero se tarda ms en generarlo y utilizarlo
S1(config)#username “administrador” password “cisco” //para autentificar se crea el usuario y pass
S1(config)#line vty 0 15
S1(config-line)#transport input ssh //habilita solo conexiones ssh en las lineas vty
S1(config-line)#login local //autentificación mediante base de datos de usuarios locales
S1(config-line)#end
S1(config)#ip ssh version 2 // 1.99 en (show ssh) significa q tiene ssh2.. la version 1 tienen
vulnerabilidad se recomienda la 2
S1(config)# crypto key zeroize rsa //elimina par de claves rsa, servicio SSH se desabilita
SS1(config)# username “usuario” privilege “15” password “password” //en caso de asignar privilegios a un usuario
SATURACION TABLA MAC (y poder recibir todas las tramas que se envían)
El comportamiento de un switch de saturar direcciones MAC para las direcciones desconocidas se puede usar para atacar
un switch conocido como “ataque de desbordamiento de la tabla
de direcciones MAC” o “ataques de saturación MAC”
2. suplantación de identidad de DHCP, un atacante configura un servidor de DHCP falso El motivo es obligar a los
clientes a que usen servidores de Sistema de nombres de dominios (DNS) o de Servicio de nombres Internet de
Windows (WINS) falsos y hacer como gateway predeterminado.
El agotamiento de DHCP se suele utilizar antes de un ataque de suplantación lo que facilita la introducción de un servidor de
DHCP falso en la red
Para mitigar los ataques de DHCP, se usan las características de detección de DHCP y de seguridad de puertos de los
switches Cisco Catalyst. Estas características se abarcan más adelante en otro tema
(CDP, Cisco Discovery Protocol) (Descubriendo IOS, IPs vecinos ataque DOS)
protocolo propiedad de Cisco, detecta otros dispositivos de Cisco
conectados directamente que permite conexión automática, es capa 2
por lo q los routers no propagan mensajes CDP
CDP se envía en difusiones periódicas sin cifrar, como la dirección IP,
versión IOS
plataforma, las capacidades VLAN nativa y se puede usar en un ataque (DoS). Que los atacantes pueden crear paquetes CDP
falsos y enviarlos a un dispositivo de Cisco conectado directamente
Se recomienda inhabilitar puertos que no necesitan usarlo no cdp run y por puerto
Ataques de Telnet: inseguro, Existen herramientas fuerza bruta contra las líneas vty
Ataque de contraseña de fuerza bruta: La primera fase uso de contraseñas comunes y un programa
establecer una sesión de Telnet mediante todas las palabras del diccionario. la segunda fase un programa que
genera combinaciones de caracteres
Para mitigar los ataques de contraseña de fuerza bruta, use contraseñas seguras y cámbielas con frecuencia
El acceso a las líneas vty se puede limitar (ACL)
Ataque DoS por Telnet: explota un defecto del software del servidor Telnet que se ejecuta en el switch se
recomienda usar SSH