Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1
CCNAS
Objetivos
• Describir la seguridad de sistemas finales con IronPort.
• Describir la seguridad de sistemas finales con el Control de Admisión de Red.
• Describir la seguridad de sistemas finales con el Agente de Seguridad Cisco.
• Describir los ataques de MAC spoofing , ataques de manipulación de STP, ataques de
desbordamiento de tabla de direcciones MAC, ataques de tormenta de broadcast y ataques
de VLAN.
• Describir las técnicas de mitigación específicas para los ataques de Capa 2.
• Configurar la seguridad de puerto, el guardián BPDU, el guardián de puente raíz, control de
tormentas de difusión, SPAN y RSPAN.
• Describir las consideraciones de seguridad inalámbricas, VoIP, y SAN.
• Describir las soluciones de seguridad inalámbricas, VoIP, y SAN.
2
CCNAS
Introducción
• Las amenazas más debatidas en los medios de comunicación son las amenazas externas,
como los gusanos de Internet y ataques DoS.
• Asegurar una LAN es tan importante como asegurar el perímetro de una red.
• Muchos administradores de red desarrollan su estrategia de seguridad desde el
perímetro de una red hacia la LAN. Otros administradores desarrollan su estrategia de
seguridad en la LAN hacia el perímetro de la red.
• Independientemente del enfoque, las dos áreas específicas que son vitales para
garantizar la seguridad son los dispositivos finales y la infraestructura de red.
• La LAN se compone de dispositivos finales. Un punto final, o host, es un sistema
informático individual o dispositivo que actúa como un cliente de red. Dispositivos finales
comunes son: portátiles, de escritorio, teléfonos IP, y asistentes digitales personales
(PDA) y servidores.
• La estrategia de seguridad de LAN hacia el perímetro se basa en la idea de que si los
usuarios no están practicando la seguridad en sus sistemas de escritorio, ninguna
cantidad de medidas de seguridad garantiza una red segura.
• La infraestructura de red es la otra área de enfoque para asegurar la LAN
3
CCNAS
4
CCNAS
5
CCNAS
7
CCNAS
Soluciones Cisco
Otras Soluciones
8
CCNAS
IronPort
• Cisco Systems adquirió IronPort Systems en 2007. IronPort es un proveedor líder de
dispositivos anti-spam, anti-virus y anti-spyware.
• IronPort utiliza SenderBase, la más grande base de datos del mundo de detección de
amenazas, para ayudar a proporcionar medidas de seguridad preventivas y reactivas.
• IronPort ofrece dispositivos de seguridad diferentes:
– C-Series - Un “appliance” de seguridad de correo electrónico para control de virus y
spam.
– S-Series - Un “appliance” de seguridad Web para el filtrado de spyware, filtrado de
URL, y anti-malware.
– M-Series - Un “appliance” de gestión de seguridad que complementa a los
“appliance” de la serie C y S , permitiendo la gestión y seguimiento de políticas
de seguridad y la información de auditoria.
• M-Series es una herramienta de gestión flexible para centralizar y consolidar la
política y los datos en tiempo de ejecución, ofrece a los profesionales de seguridad
una sola interfaz para manejar todos sus sistemas de seguridad de capa de
aplicación
• IronPort permite una defensa perimetral para ayudar a prevenir que todo tipo de
amenazas de Internet pueda llegar a los escritorios de los empleados.
9
CCNAS
IronPort Serie E
• La Serie S de IronPort es un “appliance” de seguridad Web que ofrece anti-malware de múltiples
motores de escaneo y filtrado de spyware basado en firmas en un único dispositivo integrado.
• Brinda protección contra una amplia variedad de amenazas basadas en Web, que van desde el
adware, phishing, pharming, troyanos, gusanos…
11
CCNAS
12
CCNAS
• Dentro del marco NAC sus funciones, incluyendo autenticación, autorización y auditoria (AAA),
escaneo, y readaptación, son realizadas por otros productos de Cisco, tales como Cisco Secure
ACS (CSACS), o productos de partner´s tales como TrendMicro.
• El objetivo del marco NAC como de Cisco NAC Appliance es garantizar que sólo se permiten en la
red a los hosts autenticados cuya situación de seguridad haya sido valorada y aprobada.
– Por ejemplo, los portátiles de la empresa que hayan sido utilizados fuera de la misma por un cierto
período de tiempo no recibieran las actualizaciones de seguridad o que pudieran haber sido
infectados por otros sistemas, no podrán conectarse a la red hasta que sean examinados y
autorizados.
• Los dispositivos de acceso a la red funcionan como capa de refuerzo. Obligan a los clientes a
consultar a un servidor RADIUS para la autenticación y autorización. El servidor RADIUS puede
consultar otros dispositivos, como un servidor antivirus TrendMicro, y responder a los
dispositivos de refuerzo de la red.
13
CCNAS
14
CCNAS
15
CCNAS
16
CCNAS
17
CCNAS
18
CCNAS
20
CCNAS
21
CCNAS
22
CCNAS
23
CCNAS
24
CCNAS
25
CCNAS
Seguridad en capa 2
• La seguridad de una red es tan fuerte como el eslabón más débil, y ese vínculo es a
menudo la capa de enlace de datos. Si esta se ve comprometida el resto también y lo que
es más importante no son conscientes de este problema.
• Para ayudar a prevenir los ataques de capa 2, una aplicación debe validar cuidadosamente
los datos introducidos por el usuario. La entrada puede contener datos formateados
incorrectamente, secuencias de control, o demasiados datos, tales como desbordamientos
de búfer.
• Un desbordamiento de búfer trata de sobrescribir la memoria en una aplicación.
– Se utilizan principalmente para acceder a privilegios de “root” o provocar un ataque
DoS.
• Herramientas, tales como Cisco Security Agent, puede ser usado para prevenir
desbordamientos de buffer.
26
CCNAS
27
CCNAS
29
CCNAS
31
CCNAS
32
CCNAS
33
CCNAS
34
CCNAS
Ataques de VLAN
• Una VLAN es un dominio de broadcast lógico que abarca muchos segmento de LAN
• Una estructura de VLANs pueden ser diseñada para permitir la agrupación lógica de las
estaciones, por su función, el equipo de proyecto o su aplicación sin tener en cuenta la
ubicación física de los usuarios.
• Cada puerto del switch se puede asignar a una sola VLAN, lo que añade una capa de
seguridad. Puertos en una VLAN comparten los broadcast, los puertos en diferentes
VLANs no comparten los broadcast.
• Usando la tecnología VLAN, los puertos de switch y los usuarios conectados pueden
agruparse en comunidades lógicamente definidas, tales como compañeros de trabajo
en el mismo departamento, un equipo multifuncional de productos, o diversos
grupos de usuarios que comparten la misma aplicación de red.
• Una VLAN pueden existir en un único conmutador o abarcar varios conmutadores.
Una VLAN pueden incluir ordenadores en un solo edificio o varios. VLAN también puede
conectarse a través de redes de área metropolitana.
35
CCNAS
38
CCNAS
39
CCNAS
Si una interfaz está en el modo por defecto (auto dinámico), no puede ser
configurada como un puerto seguro.
42
CCNAS
43
CCNAS
44
CCNAS
45
CCNAS
46
CCNAS
47
CCNAS
48
CCNAS
49
CCNAS
50
CCNAS
51
CCNAS
52
CCNAS
53
CCNAS
56
CCNAS
57
CCNAS
58
CCNAS
59
CCNAS
60
CCNAS
• Todo el tráfico bidireccional que tiene como origen el puerto Gigabit Ethernet 0/1 es
reflejado en el puerto destino Gigabit Ethernet 0/2, manteniendo el método de
encapsulación.
– Switch(config)# no monitor session 1
– Switch(config)# monitor session 1 source interface gigabitethernet0/1
– Switch(config)# monitor session 1 destination interface gigabitethernet0/2 encapsulation
replicate
– Switch(config)# end
• Otro ejemplo ilustra la captura del tráfico de las VLANs 10 y 20 reflejándolo en el
puerto FastEthernet 3/4.
– Switch(config)# monitor session 1 source vlan 10 rx
– Switch(config)# monitor session 1 source vlan 20 tx
– Switch(config)# monitor session 1 destination interface FastEthernet 3/4
• Para verificar la configuración del SPAN:
– show monitor session session-number
61
CCNAS
62
CCNAS
63
CCNAS
64
CCNAS
65
CCNAS
66
CCNAS
67
CCNAS
68
CCNAS
69
CCNAS
70
CCNAS
72
CCNAS
73
CCNAS
74
CCNAS
75
CCNAS
76
CCNAS
78
CCNAS
79
CCNAS
81
CCNAS
82
CCNAS
83
CCNAS
85
CCNAS
86
CCNAS
87
CCNAS
88
CCNAS
90
CCNAS
91
CCNAS
93
CCNAS
94
CCNAS
95
CCNAS
96
CCNAS
97
CCNAS
98
CCNAS
99
CCNAS
100
CCNAS
101