Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Lab 1 Ruteo

    Cargado por

    darwin2088
    52 vistas6 páginas

    Título original

    lab_1_ruteo

    Derechos de autor

    © Attribution Non-Commercial (BY-NC)

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    52 vistas6 páginas

    Lab 1 Ruteo

    Cargado por

    darwin2088

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 6

    PORT-SECURITY EN SWITCHES CISCO

    Es una feature de los switches Cisco que nos permite retener las direcciones MAC conectadas
    a un puerto y permitir solamente esas direcciones MAC registradas comunicarse a través de
    ese puerto del switch.

    Nos permite restringir:

     Restringir el acceso a los puertos del switch según la MAC.


     Restringir el número de MACs por puerto en el switch.
     Reaccionar de diferentes maneras a violaciones de las restricciones anteriores.
     Establecer la duración de las asociaciones MAC-Puerto. 

    Si un dispositivo con otra dirección MAC intenta comunicarse a través de un puerto de


    la LAN, port-security deshabilitará el puerto

    Ejemplo de cómo el Puerto de seguridad controla el acceso al switch


    Cómo configurar la seguridad del puerto de switches Cisco Catalyst que
    se ejecutan el software Cisco IOS del sistema:

     sw(config)# interface interfaz slot/port -> seleccionamos la interfaz y el


    puerto
     sw(config)# switchport mode access -> automaticamente cuando conectemos
    un host funciona
     sw(config)# switch port-security -> activamos la seguridad

     sw(config)# switch port-security maximum n -> El comando maximun nos


    dice el número de direcciones máximas que aprenderá el puerto (n)

     sw(config)# switch port-security mac-addres MMMM.AAAA.CCCC

    El comando mac-addres nos dice las direcciones MAC de los host que tendrán permitido el
    acceso a ese puerto, este comando tiene sentido si existe un número máximo de direcciones
    definido previamente,

     sw(config)# switch port-security mac-addres sticky

    Con este comando las direcciones se irán almacenando en la tabla CAM (MAC) del
    switch de forma automatica y cuando llegue al limite ya tendria definidas las
    direcciones MAC posibles que se conectarían desde ese puerto.

     sw(config)# switch port-security violation {shutdown/protect/restrict}

    Este comando sirve para especificar que acción se llevara acabo en caso de que alguna
    de nuestras reglas definidas anteriormente sea saltada, nos encontramos con tres
    opciones:

     shutdown: Es la opción por defecto y lo que hace es tirar el puerto que ha


    sufrido la violación.
     protect: Evita la entrada a la red a la MAC no permitida.
     restrict: Evita la entrada a la red a la MAC no permitida y además manda
    una alerta al servidor de eventos por lo que nos da más control sobre lo que
    pasa en la red.

    Dirección MAC segura estática

     Se configura manualmente.
     Se agrega a la tabla de direcciones MAC.
     Se guarda en la running-config.
     Se puede hacer permanente guardando la configuración.

    SwA(config-if)# switchport port-security mac-address DIRECCION-MAC


    Dirección MAC segura dinámica

     Se aprende del tráfico que atraviesa la interfaz.


     Se la guarda en la tabla de direcciones MAC.
     Se pierde cuando se reinicia el equipo.

    SwA(config-if)# switchport port-security

    Dirección MAC segura sticky

     Se la puede configurar de forma manual o dinámica.


     Se la guarda en la tabla de direcciones MAC.
     Se almacena en la running-config.
     Se puede hacer permanente guardando la configuración.

    SwA(config-if)# switchport port-security mac-address sticky


    [DIRECCION-MAC]

    Configuración de Port-Security

    El proceso de configuración requiere ingresar a la configuración de la interfaz en


    cuestión y ejecutar el comando port-security. En el siguiente ejemplo vamos a tomar el
    puerto 15 del switch:

    switch# configure terminal


    switch(config)# int fa0/15
    switch(config-if)# switchport port-security ?
      aging        Port-security aging commands
      mac-address  Secure mac address
      maximum      Max secure addresses
      violation    Security violation mode
      <cr>    

    Asumir valores por defecto

    Si se ejecuta el comando básico se asumen los valores por defecto: solo se permite 1
    dirección MAC en el puerto, que será la primera que se conecte al mismo. En caso de
    que otra dirección MAC intente conectarse utilizando el mismo puerto, este será
    deshabilitado o bloqueado:

    switch(config-if)# switch port-security

     
    Número de direcciones MAC permitidas

    Para definir el número de direcciones MAC permitidas que se conecten a través de la


    interfaz del switch ejecutamos:

    switch(config-if)# switchport port-security maximum 2

    Acciones a realizar

    Para establecer la acción que tomará el switch en caso de que se supera el número de
    direcciones MAC establecidas ejecutamos:

    switch(config-if)# switchport port-security violation protect

    switch(config-if)# switchport port-security violation restrict

    switch(config-if)# switchport port-security violation shutdown

    Opciones:

     protect: que deje de prender.


     restrict: que envíe una alerta administrativa.
     shutdown: que deshabilite el puerto.

    Volver a habilitar un puerto

    Si un puerto ha sido deshabilitado por recibir conexiones de direcciones MACs


    indeseadas podemos volver habilitarlo de la siguiente manera:

    switch(config-if)# switchport port-security mac-address


    0.3.ba.ae.59.8f
    switch(config-if)# shutdown
    switch(config-if)# no shutdown

    Con el parámetro "mac-address" podemos definir manualmente la MAC que


    aceptaremos. Si no conocemos la MAC de un equipo podemos establecer que la MAC
    se aprenda dinámicamente:

    switch(config-if)# switchport port-security mac-address sticky


     

    Deshabilitar Port-Security de un puerto

    Para deshabilitar el port-security de un puerto especifico ejecutamos:

    switch(config)# no switchport port-security

    Resumen:

    Utilizando el puerto de seguridad, puede configurar cada puerto del conmutador con una lista
    única de las direcciones MAC de los dispositivos que están autorizados a acceder a la red a
    través de ese puerto. Esto permite a los distintos puertos para detectar, prevenir y registro de
    los intentos de los dispositivos no autorizados para comunicarse a través del interruptor.

    Conclusiones
    Característica general del puerto de seguridad puede ayudar a aliviar la vida de un
    administrador de red mediante la limitación de acceso no autorizado a una red de personas.
    Puerto de seguridad no es una solución 100% segura porque las direcciones MAC pueden ser
    falseadas. Una solución más elegante sería implementar estándar IEEE 802.1X.

    La principal ventaja de las direcciones sticky en contraposición con las dinámicas es que éstas
    últimas se agregan a la running-config. Así nos evitamos escribir un montón de direcciones
    MAC de manera estática pero aún podemos guardarlas en el archivo de configuración de
    manera que se mantengan inclusive si el switch se reinicia.

    Recomendaciones

    Dos aspectos importantes a tener en cuenta:


     Si se habilitan las direcciones MAC sticky y ya había direcciones aprendidas de
    forma dinámica, éstas pasan a la running-config y todas las nuevas que se
    aprendan también se agregan allí.
     Si se deshabilitan las direcciones MAC sticky todas las que hubiera pasan a ser
    dinámicas y se borran de la running-config. Además, todas las que se aprendan
    también serán dinámicas.

    Bibliografia

    http://www.netstorming.com.ar/2009/11/26/seguridad-de-puerto-en-
    switches-cisco/

    http://infodocs.net/articulo/networking/port-security-en-switches-cisco

    También podría gustarte