ASIGNATURA:

CONFIGURACIÓN AVANZADA DE SWITCHES

CCNP SWITCH
➢ Total Horas: 90 Horas
➢ Créditos: 10

Víctor Araneda Serrano

Ing. En Telecomunicaciones, Conectividad y Redes – Instructor ITQ
Certificado CCNP R&S - CCDA - CCNA Security - CCNA R&S
Huawei HCIA – MTA Microsoft Networking
varaneda@duoc.cl
ASIGNATURA:

CONFIGURACIÓN AVANZADA DE SWITCHES

CCNP SWITCH

Unidad 3: Monitoreo y Seguridad en Redes Corporativas

Clase 13: Seguridad en Redes Corporativas

Objetivos: - Conocer las vulnerabilidades, tipos de ataques y mitigación en switch.

- Conocer el uso de PACL, Control de Tormentas, DHCP Snooping y VACL.
- Conocer y Configurar VLAN Privadas en redes corporativas.
2
Acceso Riesgoso
El acceso riesgoso viene de varias formas. Por ejemplo, pueden existir accesos no
autorizados a través de access point y routers inalámbricos que son muy básicos y que se
obtienen fácilmente, por lo cual los empleados pueden conectarse a redes LAN existente y
construir redes inalámbricas ad hoc sin tener conocimiento TI. Estos puntos de accesos
vulnerables pueden ser una grave violación en la seguridad de la red, ya que se pueden
conectar a un puerto detrás del firewall corporativo. Debido a que los empleados no
permiten habilitar la seguridad en un equipo, es fácil para los usuarios no autorizados
utilizar un AP para interceptar el tráfico de red y “secuestrar” sesiones de clientes.

3
Vulnerabilidad en Switches
Después de ingresar a la red, los ataques pueden ser generados en un esfuerzo para
interrumpir la red. El ataque, también puede provenir de una intrusión extrema de tomar
el control, y lanzar ataques a equipos de confianza. En cualquier caso, la red ve todo
como tráfico de origen un dispositivo conectado de manera legitima.

A continuación, se da conocer todos los tipos de ataques y forma de mitigación en

switches Cisco:

4
Vulnerabilidad en Switches
A continuación, se da conocer todos los tipos de ataques y forma de mitigación en
switches Cisco:

5
Vulnerabilidad en Switches
A continuación, se da conocer todos los tipos de ataques y forma de mitigación en
switches Cisco:

6
 Condiciones de Error de Puerto
Un tema es reconocer las condiciones de error de puerto. Ya que resulta clave para la
seguridad. El switch coloca un puerto en el estado de err-disable, y apaga la interfaz cuando
detecta condiciones de error o toma acción basado en algún limite A continuación se da
conocer que situaciones provocan condiciones de error de puerto:

• Violación Port-Security: Cuando una dirección MAC no válida es aprendida o hay

demasiadas direcciones MAC.
• Violación Spanning-Tree BPDU Guard: Cuando tiene configurado PortFast en
combinación con BPDU Guard el puerto quedará con error si recibe una BPDU en el
puerto.
• Inconsistencia EtherChannel: Todos los parámetros deben ser idénticos para ambos
lados del grupo, de lo contrario, el puerto quedará con error.
• Inconsistencia Dúplex: El modo dúplex debe ser el mismo en ambos lados del enlace.
• Condición UDLD: Asegura que el enlace es bidireccional en todo momento, así que
cuando se detecta un enlace unidireccional, el puerto quedará con error.
• Spanning-Tree Root Guard: Si un puerto está habilitado con Root Guard y recibe una
BPDU superior a la enviada por el puerto raíz actual, la puerta quedará con error.
• Link Flapping: Cuando un enlace está inestable entre los estados arriba y abajo, el puerto
quedará con error.
• Otras Razones: Incluye la detección de colisiones, protocolo de detección de túnel en
capa 2, DHCP Snooping, Incorrect Gigabit Interface Convert (GBIC) y Inspección ARP 7
Optimización Condición de Error
La detección de condición de error está habilitada para todas las causas anteriores de
manera predeterminada. Puede configurar otras razones para desencadenar una
deshabilitación del puerto. Puede realizarlo a través del siguiente comando.

Por otro lado, una vez que se elimina la causa del origen de la condición de error de
puerto, puede entrar en funcionamiento mediante el proceso shutdown/no shutdown.
Debido a que la condición de error ya no está presente, no producirá la condición de error.
Por lo tanto, para reducir la carga administrativa, el puerto del switch se puede configurar
para volver a activarse automáticamente después de un tiempo especifico. Por supuesto, si
la condición sigue presente, el puerto pasará de inmediato al estado de condición de error.

8
Lista de Puerto de Acceso
Las PACL son otra manera de aplicar seguridad en las redes corporativas. Ofrece la
capacidad de realizar el control de acceso en un puerto especifico en capa 2. Es de
destacar que las PACL no son compatibles con todas las plataformas switch Cisco Catalyst.
Además, los parámetros que admite y la escala de listas de acceso compatibles varias
según la plataforma y versión de software.

Un puerto de capa 2 es una puerta troncal o acceso que pertenece a una VLAN. La
función de ACL de puerto solo se admite en el hardware. Además, las PACL no afecta al
control de paquetes de capa 2, como CDP, VTP, DTP y STP, además de lo recibido por los
puertos.

Existen dos tipos de PACL:

• Lista de Acceso IP: Filtra los paquetes IPv4 e IPv6 que entran al puerto de capa 2.

• Lista de Acceso MAC: Filtra los paquetes que son de un tipo no soportado (no IP, ARP, o
MPLS) basado en los campos de la trama Ethernet. Una lista de acceso MAC no se
aplica a IP, MPLS o mensajes ARP. También se pueden definir listas de acceso
nombradas MAC.

9
Configuración de PACL
Las ACL IP y MAC se pueden aplicar las interfaces físicas de capa 2. Las ACL estándares, y
extendidas nombradas son compatibles con ACL MAC.

En términos de configuración, los comandos para configurar una ACL MAC, y como se
aplica en una interfaz de capa 2 son los siguientes:

Además, los comandos para configurar una dirección ACL IP estándar o extendida, y
como se aplica a una interfaz de capa 2 son los siguientes:

10
Control de Tormentas
Una tormenta de tráfico se produce cunado los paquetes inunda la LAN, creando tráfico
excesivo y generando un rendimiento bajo de la red. La función de control de tormenta
impide que puertos LAN puedan ser interrumpidos por un broadcast, multicast o una
tormenta de tráfico unicast en las interfaces físicas, y se utiliza, para proteger contra o
aislar las tormentas de broadcast causadas por errores de configuración de STP. El control
de tormenta también contra las tormentas unicast creadas por host con
malfuncionamiento o ataques de denegación de servicio.

Para combatir esta situación de tormenta de tráfico, el switch ejecuta un proceso de

control llamado “control de tormenta de tráfico”, que controla los niveles de entrada de
tráfico durante un intervalo de 1 segundo. Durante el intervalo, se compara el nivel de
tráfico con el nivel de umbral de tormenta de tráfico que configure. Si el umbral es
excedido, todo lo sobrepasado es automáticamente descartado por la interfaz.

11
Configuración Control de Tormentas
La configuración de control de tormentas se hace por interfaz para cada tipo de tráfico
de forma separada. El control de tormentas, se configura típicamente en los puertos de
acceso, para limitar el efecto de la tormenta de tráfico en el nivel de acceso, antes de
entrar a la red. El control de tormentas se puede configurar en los puertos troncales, por lo
que esta configuración debe ser utilizada como un control segundario.

A continuación se muestra un ejemplo de configuración, y la verificación de los tipos de

tráficos en una interfaz.

12
DHCP Snooping
Es una característica de seguridad de Cisco que protege contra los accesos vulnerables y
servidores DHCP maliciosos. La característica simplemente determina que puerto de
switch pueden responder a las peticiones DHCP y evitar que servidores DHCP falsos vean
las solicitudes de clientes.

Los puertos se identifican como de confianza y desconfiables. Los puertos de confianzas

puede abastecerse de todos los mensajes DHCP, mientras los puertos desconfiables por lo
cual solo pueden recibir peticiones. Por lo tanto, según la configuración del switch, el
DHCP Snooping permite que solamente el servidor autorizado DHCP pueda responder las
peticiones DHCP y distribuir la información de red a los clientes.

13
Opción 82 DHCP
La opción 82 de DHCP proporciona seguridad adicional cuando se utiliza DHCP para
asignar direcciones de red. Esta característica permite que DHCP Relay, pueda incluir
información sobre sí mismo y el cliente que DHCP pueda reenviar solicitudes a un servidor
DHCP.

El servidor DHCP puede entonces utilizar esta información para asignar direcciones IP,
llevando a cabo el control de acceso, y establecer la calidad de servicio (QoS) y las políticas
de seguridad (u otra políticas de parámetros de asignación) para cada host de una red.
Algunos proveedores de cable utiliza la opción DHCP 82 con cable modem para asegurar el
control de acceso y la calidad de servidor para los usuarios corporativos y residenciales.
Alternativamente, si la información no está presente o incorrecta, el servidor DHCP puede
optar por ignorar la petición.

14
Configuración DHCP Snooping
A continuación, se muestra la configuración de DHCP Snooping.

15
Lista de Acceso de VLAN
La lista de acceso de VLAN (VACLs) en switches Cisco sirve para los siguientes propósitos:

• Con ciertas limitaciones, filtrar el tráfico de capa 2.

• Superar las limitaciones de SPAN, mediante el uso de la función de puerto de captura.

Las VACL puede proporcionar control de acceso para todos los paquetes que pasan por
puente hacia una VLAN o paquetes que se enrutan dentro o fuera de una VLAN o una
interfaz WAN. A diferencia de las ACL que se aplican a todos los paquetes enrutados, las VACL
se aplican a todos los paquetes y pueden ser aplicado a cualquier VLAN o interfaz WAN.

Puede configurar VACLs para el tráfico de capa IP o MAC con algunas limitaciones en
función de la plataforma y versión de software.

Cada mapa de acceso de VLAN puede tener una o más secuencia, la cual cada una tiene un
match y una acción. El match especifica IP o MAC para filtrar el tráfico, y la acción especifica
la acción que debe realizarse cuando se produce una coincidencia. Por tal motivo la acción
será mediante cuando el tráfico necesario analizar ingrese por la interfaz aplicada.

16
Configuración de VACL
A continuación, se muestra la configuración de una VACL.

17
VLAN Privada
Las VLANs Privadas se ajustan a un requisito específico a menudo que se encuentra en
las redes públicas. PVLAN restringe los dispositivos finales de usuarios, como PC y
dispositivos móviles de comunicación, pero permitiendo la comunicación al router y a los
servicios de red. De esta manera, los dispositivos de usuario final, se comportan de manera
normal pero no puede comunicarse en el mismo dominio de capa 2. Este mecanismo
proporciona un nivel de seguridad. Ejemplo de la seguridad es cuando un dispositivo de
usuario final está infectado con analizadores de puerto o virus, el usuario final no puede
comunicarse con otro dispositivo en la misma red, ya que puede infectar a los dispositivos
de usuario final o escanear puertos para otras vulnerabilidad.

Por supuesto, la asignación de cada dispositivo final a su propia VLAN lograría el mismo
método de seguridad que una PVLAN, pero los switches tienen limitada el número de
VLAN soportadas, y un gran número de ellas proporciona un problema de escabilidad.

18
Tipos de Puertos PVLAN
Un dominio PVLAN tiene una VLAN primaria. Cada puerto en un dominio de VLAN
privada es un miembro de la VLAN primaria; la VLAN principal es todo el dominio de la
VLAN privada.

VLANs secundarias son subdominios que proporcionan aislamiento entre los puertos
dentro del mismo dominio de VLAN privada. Hay dos tipos de VLANs secundarias; las VLAN
aisladas y la VLAN de comunidad. La VLAN aislada contiene puertos aislados; que no
pueden comunicarse entre sí dentro de la VLAN aislada. La VLAN comunitaria contiene
puerto comunitarios que pueden comunicarse entre sí dentro de la comunidad de la VLAN.

19
Tipos de Puertos PVLAN
En resumen, los tres tipos de puertos de VLAN privadas son los siguientes:

• Promiscuo: Un puerto promiscuo pertenece a la VLAN primaria y puede comunicarse

con todos los puertos mapeados de una VLAN primaria, incluyendo los puertos
comunitarios y los puertos aislados. Un puerto que proporciona una conexión de
enlace ascendente a un router está configurado como un puerto promiscuo, porque
todos los host necesitan comunicarse con el router. No puede haber múltiples puertos
promiscuos en una VLAN primaria.

• Aislado: Es un puerto de host que pertenece a una VLAN secundaria. Un puerto

aislado tiene un completo aislamiento de otros puertos, excepto con los puertos
promiscuos asociados. Puede tener más de puerto aislado en una VLAN específica.
Cada puerto está completamente aislado de una VLAN aislada.

• Comunidad: Es un puerto de host que pertenece a una VLAN secundaria. Los puertos
de comunidad se comunican con otros puertos de comunidad de la misma VLAN y con
los puertos promiscuos asociados. Ellos están aislados de todos los puertos en otra
comunidad y los puertos aislados.

20
Configuración de PVLAN

A continuación, de muestra ejemplo de configuración de VLAN Privada:

21
Configuración de PVLAN

A continuación, de muestra ejemplo de configuración de VLAN Privada:

22
Comprobación de PVLAN
A continuación, de muestra ejemplo de configuración de VLAN Privada:

23
Función de Puerto Protegido
La característica de PVLAN no está disponible en todos los switches, por ejemplo, los
switches Catalyst 2950 no lo soporta. Sin embargo, la característica de puerto protegido
proporciona una funcionalidad similar a PVLAN en una gama más amplia de está línea de
switches.

Puerto protegido, también conocido como PVLAN Egde, es una característica que (a
diferencia de PVLAN) solo tiene significado local al switch. Los puertos protegidos no
reenviarán el tráfico a los puertos protegidos del mismos switch. Esto significa que todo el
tráfico que pasa por los puertos protegidos (unicast, multicast y broadcast) debe ser
enviado a través de un dispositivo de capa 3. Los puertos protegidos pueden enviar
cualquier tipo de tráfico a los puertos no protegidos, y se transmitirá como siempre a
todos los puertos en otros switches.

A continuación, se muestra comando para activar el PVLAN Edge en una interfaz.

24
Preguntas ¿?

25