6-Asegurando La Red de Area Local

6. Asegurar la Red de área local.
6.0 Capítulo Introducción.
Una red segura sólo es tan fuerte como su enlace más débil. Por esta razón, además de asegurar el borde de red,
también es importante asegurar los dispositivos de final que residen dentro de la red. La seguridad de Punto-Final
incluye asegurar los dispositivos de infraestructura de red en la red de área local así como los sistemas de final, como
estaciones de trabajo, servidores, teléfonos de IP, puntos de acceso, y área de almacenaje que conecta a la red
dispositivos (SAN). Hay varias aplicaciones de seguridad Punto-Final y los dispositivos disponibles para llevar a cabo esto,
incluso Cisco IronPort aplicaciones de seguridad, control de admisión de Red (NAC), y Agente de Seguridad Cisco (CSA).
La seguridad de Punto-Final también cerca la Capa que asegura 2 de la infraestructura de red para impedir contra la
Capa 2 ataques, como el MAC se dirigen a spoofing y ataques de manipulación STP. La capa 2 configuraciones de
seguridad incluyen la seguridad de puerta de habilitación, la guardia de BPDU, la guardia de raíz, asalta el control, Cisco
puerta cambiada analizador (SPAN), Y SPAN remota (RSPAN).
Finalmente, el tipo de soluciones de seguridad puestas en práctica depende del tipo de tecnologías de red de área local
usadas. Por ejemplo, las redes que emplean radio, VoIP, y tecnologías SANs tienen consideraciones de seguridad
adicionales y soluciones.
En este capítulo, usted:

• Describir la seguridad de punto final con IronPort.
• Describir la seguridad de punto final con la Red de Control de Admisión.
• Describir la seguridad de punto final con Cisco Seguridad Agent.
• Describir los ataques de suplantación de direcciones MAC, ataques de manipulación STP, ataques de
desbordamiento de direcciones MAC, ataques de tormenta LAN, y ataques VLAN.
• Describir las técnicas de mitigación específicas para los ataques de capa 2.
• Configurar la seguridad de puerto, BPDU guardia, raíz de guardia, control de las tormentas, SPAN, y
RSPAN.
• Describir inalámbricas, VoIP, seguridad y SAN.
• Describir inalámbrica, VoIP y soluciones de seguridad de SAN.
6.1 Seguridad de Punto-Final.
6.1.1 Introducción a la Seguridad del Punto-Final (1).
Las amenazas prominentes, las que más a menudo se habla en los medios son amenazas externas, como gusanos de
Internet y ataques de DoS. Pero asegurar una red de área local interna (LAN) es tan importante como asegurar el
perímetro de una red. Sin una red de área local segura, los usuarios en una organización pueden no ser capaces de tener
acceso a la red, que puede reducir considerablemente la productividad.
Muchos administradores de red desarrollan su estrategia de seguridad del perímetro de una red y trabajo hacia la red de
área local. Otros administradores desarrollan su estrategia de seguridad de red en la red de área local y trabajo hacia el
perímetro. Sin tener en cuenta el enfoque, dos áreas específicas que son esenciales para asegurar son el Punto-Final y la
infraestructura de red.
La red de área local es creada para la red de los Puntos-Finales. Un Punto-Final, o servidor, es un sistema de ordenador
individual o dispositivo que actúa como un cliente de red. Punto-Final comunes son laptops, escritorios, teléfonos de IP,
y ayudantes digitales personales (PDAs). Los servidores también pueden considerarse Punto-Final. La estrategia de
seguridad de red de área local al perímetro está basada en la idea que si los usuarios no practican la seguridad en sus
operaciones de escritorio, ninguna cantidad de precauciones de seguridad garantizará una red segura.
La infraestructura de red es la otra área del foco para asegurar la red de área local. La parte de asegurar una red de área
local mitiga ataques. Estos ataques incluyen la dirección de MAC spoofing ataques, ataques de manipulación de STP,
ataques de desbordamiento de tabla de dirección de MAC, ataques de tormenta de red de área local, y ataques de
VLAN. Otro elemento a asegurar la infraestructura de red asegura los dispositivos de red de área local no-Punto-Final.
Éstos incluyen switches, dispositivos inalámbricos, dispositivos de telefonía de IP, y área de almacenaje que conecta a la
red dispositivos (SAN).
Antes de asegurar la infraestructura de red, el foco inicial debe ser la seguridad Punto-Final. Los servidores deben ser
protegidos de virus, Caballos de Troya, gusanos, y otras amenazas de seguridad. La estrategia Cisco para dirigirse a la
seguridad Punto-Final está basada en tres elementos:
• Control de Admisión de Red de Cisco (NAC) - La solución NAC asegura que cada Punto-Final cumple con políticas de
seguridad de red antes de ser concedido el acceso a la red. NAC proporciona el acceso a dispositivos compatibles y
asegura que los dispositivos no compatibles son privados de acceso, colocados en la cuarentena, o acceso
restringido dado a recursos.
• Protección de Punto-Final - La tecnología basada en el Comportamiento está disponible con el Agente de Seguridad
Cisco (CSA), que protege Punto-Final contra amenazas que son planteadas por virus, Caballos de Troya, y gusanos.
Complemento de aplicaciones de seguridad de perímetro de IronPort CSA concentrándose en e-mail y seguridad de
web.
• La contención de infección de red - Para dirigirse a los métodos de ataque más nuevos que pueden poner en
peligro la red, contención se concentra en automatizar elementos claves del proceso de respuesta de infección. Los
Cisco que Autodefienden la Red (SDN) los elementos del NAC, CSA, e IPS proporcionan este servicio.
Una estrategia de seguridad Punto-Final es necesaria porque el software tiende a tener debilidades. El software (de
confianza) seguro es diseñado para proteger datos y resistir tentativas de ataque. Históricamente, el software seguro
sólo estuvo usado dentro de los militares y en sistemas comerciales críticos. Generalmente, este tipo del software es el
software de encargo.
El software no seguro puede ser hecho más confiado endureciéndolo o bloqueando vulnerabilidades. Mientras el
endurecimiento a menudo es hecho, requiere la documentación de los componentes de software internos, que no es
comúnmente proporcionada por vendedores. Además, asegurar el software requiere sistemas operativos que aseguran
y cualquier aplicación que se ejecuta dentro de un sistema operativo.
Los sistemas operativos proporcionan servicios de seguridad básicos a aplicaciones:
• El código confiado y camino confiado - Asegura que la integridad del sistema operativo no es violada. El código
confiado se refiere al aseguramiento que el código de sistema operativo no está puesto en peligro. Un sistema
operativo podría proporcionar la comprobación de integridad de todo el código que se ejecuta usando códigos de
autentificación de mensaje de picadillo (HMACs) o firmas digitales. La verificación de integridad del software de
complemento podría ser necesaria en la instalación. Las firmas digitales también pueden estar usadas. El paso
confiado se refiere a una instalación que asegura que el usuario usa un sistema genuino y no un Caballo de Troya.
Un ejemplo de un paso confiado es la secuencia de clave de Ctrl-Alt-Delete requerida para registrar en el Servidor
de Windows y Windows XP.
• El contexto privilegiado de la ejecución - Proporciona autentificación de identidad y ciertos privilegios basados en
la identidad.
• La protección de memoria de proceso y el aislamiento - Proporcionan la separación de otros usuarios y sus datos.
• El control de acceso a recursos - Asegura la confidencialidad y la integridad de datos.
Un atacante puede minar todos estos servicios. Si el código confiado o un paso confiado no están presentes o están
puestos en peligro, el sistema operativo y todas las aplicaciones pueden ser fácilmente derribados por el código hostil.
Un sistema operativo podría ser hecho más vulnerable si hay una necesidad de proporcionar el apoyo a protocolos de
herencia.
Los sistemas operativos modernos proveen cada proceso de una identidad y privilegios. El privilegio cambiar es posible
durante la operación de programa o durante una sesión de conexión sola. Por ejemplo, el UNIX tiene el suid
(identificación de usuario de juego) la instalación y Windows tienen la herramienta RUNAS.
Éstos son unas técnicas que la ayuda protege un Punto-Final de vulnerabilidades de sistema operativo:
• La menor parte de concepto de privilegio - Para proteger mejor un Punto-Final, nunca deberían dar a un proceso
más privilegio que es necesario para realizar un trabajo.
• El aislamiento entre procesos - Aislamiento entre procesos puede ser virtual o físico. Por ejemplo, la protección de
memoria puede ser hecha en el hardware. Unos confiaron que los sistemas operativos proporcionan el aislamiento
usando compartimentos de ejecución lógicos.
• Monitor de referencia - Un monitor de referencia es un concepto de control de acceso que se refiere a un
mecanismo o tratar lo que media todo el acceso a objetos. Esto proporciona un punto central a todas las decisiones
de política, típicamente poniendo en práctica funciones que revisan para guardar la pista del acceso. Además del
monitor de referencia que por lo general existe en un sistema operativo, funciones de CSA como un monitor de
referencia.
• Las piezas pequeñas, verificables del código - Para toda la funcionalidad de seguridad, la idea es tener piezas
pequeñas, fácilmente verificables del código que son manejadas y supervisadas por un monitor de referencia.
El objetivo último de un atacante a menudo es ejecutarse de aplicación en un servidor que trata datos confidenciales
que el atacante quiere obtener. Los ataques a aplicaciones pueden ser directos o indirectos. En un ataque directo, el
atacante engaña la aplicación en la realización de una tarea con los privilegios de la aplicación. En un ataque indirecto, el
atacante primeros compromisos otro subsistema y ataques la aplicación por el subsistema puesto en peligro
(intensificación de privilegio).
Cuando un atacante tiene la opción de comunicación directamente con la aplicación objetiva, la aplicación debe ser
apropiadamente protegida. Por ejemplo, un atacante podría intentar un ataque de DoS a una aplicación específica. Otro
ejemplo de un ataque directo a una aplicación objetiva es si un atacante usa defectos en la aplicación para evitar sus
mandos de acceso para obtener leído o escribir el acceso a datos confidenciales.
En otro guión, un atacante indirectamente gana el acceso a datos confidenciales por una cadena de compromisos de
otros componentes de sistema. Por ejemplo, un atacante primero obtiene el acceso de nivel del usuario básico al
sistema en el cual los datos confidenciales residen. Entonces, explotando un defecto en cualquier aplicación local, el
atacante alcanza privilegios de administración de sistema (intensificación de privilegio). Usando aquellos privilegios, el
atacante podría ser capaz de leer o escribir a la mayor parte de objetos en el sistema, incluso datos confidenciales de la
aplicación objetiva.
Los Sistemas de Cisco proporcionan varios componentes para asegurar una solución de seguridad Punto-Final robusoa.
Los componentes primarios de esta solución son:
• IronPort.
• Cisco NAC.
• CSA.
Los Cisco IronPort aplicaciones de seguridad de perímetro protegen empresas contra amenazas de Internet, con un foco
en e-mail y seguridad de web, dos de las consideraciones de seguridad Punto-Final principales. Punto-Finales en este
caso son asegurados por dispositivos que trabajan en el perímetro de red.
NAC usa la infraestructura de red para hacer cumplir la conformidad de política de seguridad en todos los dispositivos
que procuran tener acceso a recursos de teleinformática. Con NAC, los profesionales de seguridad de red pueden
certificar, autorizar, evaluar, y usuarios conectados, inalámbricos, y remotos remediatos y sus máquinas antes del acceso
de red. NAC se identifica si los dispositivos conectados a la red son compatibles con las políticas de seguridad de red y
repara cualquier vulnerabilidad antes de permitir el acceso a la red.
CSA proporciona una solución de seguridad Punto-Final totalmente integrada que se combina conducido por la política,
prevención de pérdida de los datos con prevención de ataque de actualización cero y descubrimiento de antivirus en un
agente solo y consola de dirección. CSA defiende Punto-Final contra la pérdida de datos tanto de malgrama como de
acciones de usuario y hace cumplir el uso aceptable y políticas de conformidad dentro de una infraestructura de
dirección simple.
IronPort, NAC, y CSA tienen algún traslapo en su apoyo funcional de la seguridad Punto-Final. Estas tecnologías, cuando
usado en la paralela, añaden capas de la protección y son interoperables. Ellos se combinan para proporcionar la
protección de vulnerabilidades de sistema operativo tanto contra ataques directos como contra indirectos.
Mientras hay varias alternativas a las soluciones de seguridad Punto-Final proporcionadas por Sistemas Cisco, la
limitación de estos otros sistemas es que ellos no proporcionan un enfoque de punta a punta completo a asegurar la
red. Algunos jugadores principales en el suministro Punto-Final soluciones de seguridad son McAfee, Symantec, Enebro,
SonicWALL, y Fortinet.
6.1.2 Seguridad de Punto-Final con IronPort (1).
Los Sistemas de Cisco adquirieron Sistemas IronPort en 2007. IronPort es un proveedor principal de antispam, antivirus,
y aplicaciones anti-spyware. IronPort usa SenderBase, la base de datos de descubrimiento de amenaza del mundo más
grande, para ayudar a proporcionar medidas de seguridad preventivas y reactivas.
IronPort ofrece aplicaciones de seguridad diferentes:
• • C-serie - Una aplicación de seguridad de e-mail para virus y control de spam.

• • S-serie - Una aplicación de seguridad de web para filtración de spyware, filtración de URL, y anti-malgrama.
• • M-serie - Una aplicación de dirección de seguridad que congratula el e-mail y aplicaciones de seguridad de web
pudiendo y supervisando configuraciones de política de una organización e información de auditoría.
La aplicación de M-serie es como unas herramientas de dirección flexibles para centralizar y consolidar política y datos
de tiempo de ejecución, proveyendo a profesionales de seguridad una interface sola para manejar todos sus sistemas de
seguridad de capa de aplicación.
Proporcionando soluciones de seguridad desplegadas en la pasarela de red, IronPort habilita una defensa de perímetro
para ayudar a impedir a amenazas de Internet de todos los tipos de alcanzar los escritorios de empleados.
El IronPort SenderBase es el servicio de supervisando de tráfico de e-mail del mundo más grande. SenderBase colecciona
datos de más de 100 000 proveedores de servicios internet, universidades, y corporaciones. Esto mide más de 120
parámetros diferentes para cualquier servidor de e-mail en el Internet. Esta base de datos masiva recibe más de cinco
mil millones de preguntas por día, con datos de tiempo real que corren en de cada continente y tanto proveedores de
red pequeños como grandes. SenderBase tiene la vista más exacta de los modelos que envian de cualquier remitente de
correo dado debido al tamaño de la base de datos. Ha permanecido el más grande en el mundo debido a la exactitud de
los datos. IronPort licencia datos SenderBase a la comunidad abierta y de la fuente y otras instituciones que participan
en la lucha contra el spam.
Los ocho proveedores de servicios internet más grandes y más del 20 por ciento de las empresas más grandes en el
mundo usan las aplicaciones de seguridad de e-mail de C-serie IronPort. Protegiendo los sistemas de e-mail de empresas
de todos los tamaños, el tiempo de indisponibilidad que tiene que ver con spam, virus, y una amplia variedad de otras
amenazas ha sido reducido. El sistema también reduce la carga del personal técnico.
Spyware se ha hecho una de las cuestiones de seguridad corporativas más significativas. Más del 80 por ciento de
ordenadores personales corporativos es infectado por spyware, aún menos del 10 por ciento de corporaciones ha
desplegado el perímetro spyware defensa. La velocidad, la variedad, y malévolo de spyware y ataques de malgrama
basados en la web han resaltado la importancia de una plataforma robusta, segura para proteger el perímetro de red de
empresa de tales amenazas. La S-serie IronPort es una aplicación de seguridad de web rápida que ofrece motores de
escaneando de antimalgrama múltiples en una aplicación sola, integrada. La S-serie incluye la tecnología de Reputación
de Web exclusiva de IronPort y Dirigir Dinámico y Derramar el motor, una nueva tecnología que escanea que habilita la
filtración de spyware basada en la firma.
Un profesional de seguridad puede ejecutar los motores que escanean simultáneamente para ofrecer la mayor
protección contra amenazas de malgrama, con la degradación de rendimiento mínima. Esto proporciona la protección
contra una amplia variedad de amenazas basadas en la web, en los límites de adware, phishing, y ataques de pharming a
amenazas más malévolas, como Caballos de Troya, gusanos, y otros ataques de supervisando de sistema.
6.1.3 Seguridad de Punto-Final con Control de Admisión de Red (1).
El objetivo de Cisco NAC es doble: permita que sistemas sólo autorizados y compatibles (o manejado o no manejado)
tengan acceso a la red y hagan cumplir la política de seguridad de red.
NAC ayuda a mantener la estabilidad de red proporcionando cuatro aspectos importantes: autentificación y
autorización, asesoramiento de postura (evaluando un dispositivo de entrada contra las políticas de la red), poner en
cuarentena de sistemas no compatibles, y nueva mediación de sistemas no compatibles.
Los Cisco NAC productos vienen a dos categorías generales:
• Marco de NAC - El marco NAC usa la infraestructura de red de Cisco existente y software de tercero para hacer
cumplir la conformidad de política de seguridad en todo Punto-Final. El marco NAC es satisfecho para ambientes de
red de alto rendimiento con Punto-Final diverso. Estos ambientes requieren una red de área local consecuente,
WAN, radio, extranet, y solución de acceso remota que se integra en el software de parche y seguridad existente,
herramientas, y procesos. Los dispositivos diferentes en la red, no necesariamente un dispositivo, pueden
proporcionar los cuatro aspectos de NAC.
• Cisco NAC Aplicación - El Cisco NAC solución de Aplicación se condensa las cuatro funciones de NAC en una
aplicación se forman y proporciona una solución de seguridad de controlar el acceso de red. Esta solución es un
adecuado natural para redes escaladas por el medio que requieren una solución autónoma, de seguridad. El Cisco
NAC Aplicación es ideal para organizaciones que necesitan el rastreo simplificado e integrado de sistema operativo
y parches de antivirus y actualizaciones de vulnerabilidad. Esto no requiere una red de Cisco.
Los componentes de un marco NAC proporcionan el control de acceso basado en la conformidad. Las funciones de NAC,
incluso la autentificación, autorización, y considerando (AAA), escanear, y nueva mediación, son realizadas por otros
productos Cisco, como un Cisco Servidor de Control de Acceso Seguro (ACS), o productos de socio, como el TrendMicro.
El objetivo tanto del marco NAC como del Cisco NAC Aplicación es asegurar que sólo recibe lo que es certificado y ha
hecho examinar su postura de seguridad y se ha aprobado son permitidos en la red. Por ejemplo, los laptops de
compañía que han estado usados offsite para el periodo del tiempo no podrían haber recibido actualizaciones de
seguridad corrientes o podrían haberse hecho infectados de otros sistemas no puede conectar a la red hasta que ellos
sean examinados y aprobados.
Los dispositivos de acceso de red funcionan como la capa de imposición. Ellos obligan a los clientes a preguntar a un
servidor de RADIO para autentificación y autorización. El servidor de RADIO puede preguntar otros dispositivos, como un
servidor de antivirus TrendMicro, y contestar a la red enforcers. Sólo cuando todo es hasta el estándar es el servidor
identificado y se confesó culpable de la red.
El Cisco NAC Aplicación consolida todas las funciones del marco NAC en una aplicación de red sola que realiza todos los
mismos papeles. Varios componentes principales llevan a cabo estas tareas:
• El Cisco NAC Servidor de Aplicación (NAS) - Un dispositivo que es usado para realizar el control de acceso de red.
Este dispositivo de imposición de seguridad es puesto en práctica al nivel de red. Puede ser puesto en práctica en el
grupo o del grupo en Capa 2 o Capa 3 como una pasarela virtual o como una verdadera pasarela de IP, y puede ser
desplegado centralmente o en una manera distribuida. El Cisco NAS realiza controles de conformidad del
dispositivo cuando los usuarios intentan tener acceso a la red.
• El Cisco NAC Administrador de Aplicación (NAM) - Una interface administrativa centralizada que está usada por el
personal de apoyo técnico. Cisco NAM proporciona una interface basada en la web a crear políticas de seguridad y
manejar a usuarios en línea. Esto también puede actuar como un apoderado de autentificación para certificar a
servidores en los servicios de fondo. Los administradores pueden usarlo para establecer papeles de usuario,
controles de conformidad, y exigencias de nueva mediación. Cisco NAM se comunica con y maneja a Cisco NAS, que
es el componente de imposición de Cisco Aplicación de NAC.
• Cisco NAC Agente de Aplicación (NAA) - Software de Cliente que facilita la admisión de red. Este agente ligero, sólo
para leer se ejecuta en una máquina Punto-Final. Esto realiza una inspección profunda del perfil de seguridad de
una máquina local analizando configuraciones de registro, servicios, y archivos. Por esta inspección, el NAA puede
determinar si un dispositivo tiene el antivirus requerido dat archivo, parche de seguridad, o Windows crítico hotfix.
Un hotfix es un parche que puede ser instalado, mientras la aplicación se ejecuta, para dirigirse a vulnerabilidades.
Esto puede corregir entonces el problema empujando la actualización requerida al servidor. Para activos no
manejados, el Cisco NAA puede ser descargado como necesario.
• Actualizaciones puestas por la regla - Las actualizaciones Automáticas son usadas para guardar el nivel de
seguridad alto proporcionando siempre las últimas actualizaciones de virus y parches de software para servidores
puestos en cuarentena.
• Cisco NAS.
Sirve como una banda o fuera de banda del dispositivo de control de acceso a red.
• Cisco NAM.
Centraliza la gestión para los administradores, personal de apoyo, y los operadores.
• Cisco NAA.
Opción de cliente ligero dispositivo de registro basado en las exploraciones en entornos no administrados.
• Regla-actualización.
Programado para las actualizaciones automáticas de antivirus, parches críticos caliente, y otras aplicaciones.
El Cisco NAC Aplicación amplía NAC a todos los métodos de acceso de red, incluso el acceso por redes de área local,
pasarelas de acceso remoto, y puntos de acceso inalámbricos. El Cisco NAC Aplicación también apoya el asesoramiento
de postura para usuarios de invitado.
Cuando desplegado, el Cisco NAC Aplicación proporciona varias ventajas:
• Reconoce a usuarios, sus dispositivos, y sus papeles en la red. Este primer paso ocurre en el punto de
autentificación, antes de que el código malévolo pueda causar daño.
• Evalúa si las máquinas son compatibles con políticas de seguridad. Las políticas de seguridad pueden incluir
antivirus específico o software anti-spyware, actualizaciones de sistema operativo, o parches. El Cisco NAC
Aplicación apoya políticas que varían por tipo de usuario, tipo de dispositivo, o sistema operativo.
• Hace cumplir políticas de seguridad obstruyéndose, aislando, y reparando máquinas no compatibles.
Las máquinas no compatibles son desviadas en un área de cuarentena, donde la nueva mediación ocurre a discreción de
un profesional de seguridad.
El Cisco NAC proceso de Aplicación implica varios pasos:
• • Paso 1. El usuario intenta tener acceso a un recurso de red.

• • Paso 2. El usuario es desviado a una página de conexión.
• • Paso 3. El servidor es certificado y opcionalmente escaneado para la conformidad de postura. De ser dócil,
conceden al servidor el acceso a la red. Si no dócil, el servidor es puesto en cuarentena a un VLAN, donde el
servidor puede ser remendado y se hace dócil.
El Cisco NAA es la interface de software que los usuarios ven cuando ellos se relacionan con el Cisco NAC la Aplicación.
Hay tres ventanas de acceso:
1. La primera ventana es la ventana de conexión inicial donde el usuario escribe el nombre de usuario y contraseña
y el sistema es escaneado para la conformidad.
2. Si la exploración falla, el usuario es concedido el acceso temporal y es presentado el Usted Tiene la ventana de
Acceso Temporal.
3. Si la nueva mediación está disponible, el Por favor Descargue e Instale la ventana de Software Requerida invita
al usuario a instalar el software necesario para hacerse dócil.
6.1.4 Seguridad de Punto-Final con Agente de Seguridad Cisco (1).
El Agente de Seguridad de Cisco (CSA), un sistema de prevención de intrusión basado en el servidor (CSA) producto, es el
software que proporciona la seguridad Punto-Final proporcionando capacidades de protección de amenaza de servidor y
escritorio sistemas de calcular. Como una consola de dirección sola puede apoyar a hasta 100 000 agentes, es una
solución muy ampliable.
El modelo de arquitectura CSA consiste en dos componentes:
• El Centro de Dirección de CSA - Permite que el administrador divida a servidores de red en grupos por función y
exigencias de seguridad, y luego configure políticas de seguridad para aquellos grupos. Esto puede mantener un
registro de violaciones de seguridad y enviar alarmas por e-mail o paginador.
• Agente de Seguridad de Cisco - El componente CSA es instalado en el sistema host, continuamente supervisa la
actividad de sistema local y analiza las operaciones de aquel sistema. CSA toma la acción preventiva para bloquear
la actividad malévola intentada y vota el Centro de Dirección en intervalos configurables para actualizaciones de
política.
Una interface de web habilitada por el SSL puede ser usada bien para conectar de una estación de trabajo de
administración al Centro de Dirección de CSA.
Cuando una aplicación necesita el acceso a recursos de sistema, esto hace un sistema operativo llamar al grano. CSA
intercepta estas llamadas de sistema operativo y los compara con la política de seguridad escondida. Si la petición no
viola la política, es pasada al grano para la ejecución.
Si la petición viola la política de seguridad, CSA bloquea la petición y toma dos acciones:
• Un mensaje de error apropiado es pasado atrás a la aplicación.

• Una alarma es generada y enviada al Centro de Dirección de CSA.
CSA correlaciona esta llamada de sistema operativo particular con las otras llamadas hechas por aquella aplicación o
proceso, y supervisa estos acontecimientos para descubrir la actividad malévola.
CSA proporciona la protección por el despliegue de cuatro interceptores:
• Interceptor de sistema de archivo - Todo el archivo leyó o escribe que las peticiones son interceptadas y permitidas
o negadas basadas en la política de seguridad.
• Interceptor de red - Especificación de interface de driver de Red (NDIS) los cambios son controlados y conectan a la
red conexiones son borrados por la política de seguridad. El número de conexiones de red que son permitidas
dentro de un tiempo especificado también puede ser limitado para prevenir ataques de DoS.
• El interceptor de configuración - Leído y escribe que las peticiones al registro en Windows o ejecutar el control (rc)
archivos en el UNIX son interceptadas. Esta interceptación ocurre porque la modificación de la configuración de
sistema operativo puede tener consecuencias serias. Por lo tanto, CSA fuertemente controla leen/escriben
peticiones al registro.
• Interceptor de espacio de ejecución - Este interceptor trata con el mantenimiento de la integridad del ambiente de
tiempo de ejecución dinámico de cada aplicación descubriendo y bloqueando peticiones de escribir a la memoria
que no son poseídos por la aplicación de solicitación. Las tentativas de una aplicación para inyectar el código, como
una biblioteca compartida o biblioteca de enlace dinámica (DLL) en el otro, también son descubiertas y bloqueadas.
El interceptor también descubre ataques de desbordamiento parachoques, así conservando la integridad de
recursos dinámicos, como el sistema de archivo, la configuración de servicios de web, memoria, y entrada-salida de
red.
Interceptando la comunicación entre aplicaciones y el sistema subyacente, CSA combina la funcionalidad de

acercamientos de seguridad tradicionales:
• Cortafuegos distribuido - El interceptor de red realiza las funciones de un cortafuegos de servidor.

• HIPS - Los equipos de interceptor de red con el interceptor de espacio de ejecución para proveer la capacidad que
alerta de unas CSA con la imposición preventiva de una política de seguridad.
• Cajón de arena de aplicación - Un cajón de arena de aplicación es un espacio de ejecución en el cual los programas
de sospechoso pueden ser ejecutados con menos que el acceso normal a recursos de sistema. Este servicio de
seguridad es proporcionado por una combinación de sistema de archivo, configuración, e interceptores de espacio
de ejecución.
• Prevención de gusano de red - La red y los interceptores de espacio de ejecución proporcionan la prevención de
gusano sin una necesidad de actualizaciones.
• Monitor de integridad de archivo - El sistema de archivo y los interceptores de configuración actúan como un
monitor de integridad de archivo.
Las políticas por defecto que son pre-configuradas en CSA ponen en práctica todos estos aspectos de seguridad. De ser
necesario, la clientela puede crear fácilmente o cambiar políticas.
Los ataques malévolos vienen a miles de variedades, y los nuevos ataques están siendo constantemente ideados para
explotar vulnerabilidades descubiertas. Un análisis de la progresión lógica de un ataque ayuda a ilustrar como casi cada
ataque tiene la intención de ganar el control de mecanismos principales en el sistema objetivo. Hay diferencias
significativas entre los mecanismos de ataque que están usados en la sonda y penetran fases comparado con los
mecanismos de ataque en la fase persistir.
Las dos primeras etapas cambian continuamente, con nuevas vulnerabilidades descubiertas y proezas de encargo
creadas casi cada día. Combatir ataques en la sonda y penetra fases requiere la actualización constante de firmas IPS
malévolas y defensa de cortafuegos cuando estos ataques evolucionan. Los ataques en estas fases tempranas también
se prestan a técnicas de evasión, como codificación de Unicode de cuerdas de web o traslapo de fragmentos de
paquete. Los ataques que cambian en la etapa penetrar requieren una cantidad significativa de la investigación porque
ellos pueden generar falsas alarmas que requieren la revisión entretenida por un administrador de seguridad.
En contraste, los mecanismos de ataque en la fase persistir y las fases posteriores son comparativamente estables. Las
actividades malévolas de un atacante son limitadas, y un ataque implica hacer un sistema llamar al grano para tener
acceso a los recursos de sistema. El código malévolo puede intentar modificar el sistema operativo, modificar archivos,
crear o cambiar conexiones de red, o violar el espacio de memoria de procesos activos.
Como consecuentemente la identificación de ataques en sus fases tempranas es casi imposible, CSA se concentra en
proporcionar la seguridad preventiva controlando el acceso a recursos de sistema. Este enfoque evita la necesidad de
actualizar la defensa para mantenerse al corriente del último ataque y protege a servidores de un nuevo ataque. Por
ejemplo, los gusanos de Trena y Nimda causaron millones de dólares del daño a empresas durante el primer día de su
aspecto antes de que las actualizaciones estuvieran disponibles, pero CSA paró estos ataques identificando su
comportamiento malévolo sin cualquier actualización.
CSA genera mensajes en máquinas de cliente, que son registradas y perceptibles de la consola de CSA. Un usuario o el
administrador pueden examinar los mensajes de registro. Un mensaje de registro incluye la fecha y tiempo, seriedad,
texto, un código de acontecimiento, nombre del archivo, nombre de proceso, fuente y lugar de destino IPs,
identificación de regla, código de botón, fuente y puertas de lugar de destino, usuario, paquete de red, y acontecimiento
crudo.
IronPort, NAC, y CSA trabajan juntos para proporcionar una solución sin costuras, completa, de punta a punta a la
seguridad Punto-Final en una red de área local. Sin embargo, una red de área local puede ser vulnerable a varia Capa 2
ataques y ataques de VLAN. Más allá de la seguridad Punto-Final, la mitigación de ataque en la red de área local es una
prioridad.
6.2 Consideraciones de Seguridad en la Capa 2.
6.2.1 Introducción a la Seguridad en la Capa 2 (1).
Los profesionales de seguridad de red deben mitigar ataques dentro de la Capa 2 infraestructura. Estos ataques incluyen
dirección de MAC spoofing, manipulación de STP, desbordamientos de tabla de dirección de MAC, tormentas de red de
área local, y ataques de VLAN.
El primer paso en la mitigación de ataques, como éstos debe entender las amenazas subyacentes planteadas por la Capa
2 infraestructura. La capa 2 puede ser un enlace muy débil a las Capas de interconexión de sistemas abiertos más altas
porque si la Capa 2 está puesta en peligro, los hackers pueden trabajar su camino. Es importante para el profesional de
seguridad de red recordar que la Capa 2 ataques típicamente requiere el acceso interno, de un empleado o de invitado.
Otra consideración fundamental es desbordamientos parachoques. Los desbordamientos parachoques a menudo son la
fuente de un ataque de DoS. Los desbordamientos parachoques pueden ser usados para habilitar la ejecución del código
arbitrario en un programa e intensificación de privilegio no autorizada.
6.2.1 Introducción a la Seguridad en la Capa 2 (2).
La capa 2 es la Capa de Enlace para transmisión de datos en el modelo de interconexión de sistemas abiertos. Es una de
las siete capas diseñadas para trabajar juntos, pero con la autonomía. La capa 2 opera encima de la Capa Física y debajo
de la Red y Capas de Transporte. La capa 2 independencias habilita el interoperabilidad y la interconectividad. De una
perspectiva de seguridad, Capa 2 independencia crea un desafío porque cuando la capa está puesta en peligro, otras
capas no son conscientes de aquel hecho, dejándolos abierto a estar comprometidas. La seguridad de red sólo es tan
fuerte como el enlace más débil, y aquel enlace a menudo es la Capa de Enlace para transmisión de datos.
Para ayudar a prevenir la Capa 2 explotaciones, una aplicación debe validar con cuidado la introducción de datos por el
usuario. El insumo podría contener datos incorrectamente formateados, secuencias de control, o demasiados datos, tal
como con desbordamientos parachoques. Recuerde, almacene el intento de proezas de desbordamiento en un buffer de
sobrescribir la memoria en una aplicación.
Los desbordamientos parachoques son quizás la mayor parte de método común de la subversión de aplicación en el
Internet hoy. Ellos sobre todo son usados para ganar el acceso para arraigar privilegios o causar un ataque de DoS.
Las herramientas, como el Agente de Seguridad de Cisco, pueden ser usadas para prevenir desbordamientos
parachoques.
• Si la capa de enlace de datos es pirateado, las comunicaciones están en peligro las otras capas sin ser
conscientes del problema.
• La seguridad es sólo tan fuerte como el eslabón más débil.
• En cuanto a la seguridad de la red, la capa de enlace de datos es a menudo el eslabón más débil.
6.2.2 Ataques Spoofing de Direcciones MAC (1).
A diferencia de hubs, los switches regulan el flujo de datos entre puertas creando redes inmediatas que sólo contienen
los dos dispositivos Punto-Final que se comunican el uno con el otro en aquel momento. Los switches llevan a cabo esto
expidiendo datos puertas específicas basadas en la dirección de MAC. Los switches mantienen tablas de dirección de
MAC, también conocidas como la memoria direccionales por el contenido (CAM) tablas de consulta, para rastrear las
direcciones de MAC de la fuente asociadas con cada puerta de conmutador. Estas tablas de consulta son pobladas por
un proceso de aprendizaje de la dirección en el conmutador.
Es importante notar que los cuadros de datos son enviados por sistemas de final, y su fuente y direcciones de lugar de
destino no son cambiadas en todas partes del dominio cambiado. Si un conmutador recibe un cuadro de datos de
entrada y el lugar de destino la dirección de MAC no está en la tabla, el conmutador expide al cuadro todas las puertas,
excepto la puerta en la cual fue recibido. Cuando el nodo de lugar de destino responde, el conmutador registra la
dirección de MAC del nodo en la tabla de dirección del espacio de dirección de fuente de cuadro. Los switches pueblan
la tabla de dirección de MAC registrando la dirección de MAC de la fuente de un cuadro, y asociando aquella dirección
con la puerta en la cual el cuadro es recibido.
En redes con switches interconectados múltiples, las tablas de dirección de MAC registran direcciones de MAC múltiples
para las puertas que interconectan switches. Estas direcciones de MAC reflejan nodos remotos o nodos que son
conectados a otro conmutador dentro del dominio cambiado.
El método usado por switches para poblar la tabla de dirección de MAC lleva a una vulnerabilidad conocida como MAC
spoofing. Los ataques de Spoofing ocurren cuando mascaradas de servidor o se hacen pasar por el otro para recibir
datos por otra parte inaccesibles o burlar configuraciones de seguridad.
6.2.2 Ataques Spoofing de Direcciones MAC (2).
Los MAC spoofing ataques ocurren cuando un atacante cambia la dirección de MAC de su servidor para emparejar al
otro la dirección de MAC conocida de un servidor objetivo. El servidor de ataque entonces envía un cuadro en todas
partes de la red con la dirección de MAC recién configurada. Cuando el conmutador recibe el cuadro, examina la
dirección de MAC de la fuente. El conmutador sobrescribe la entrada de tabla de dirección de MAC corriente y adjudica
la dirección de MAC a la nueva puerta. Esto entonces por descuido expide cuadros destinados al servidor objetivo al
servidor de ataque.
Cuando el conmutador cambia la tabla de dirección de MAC, el servidor objetivo no recibe ningún tráfico hasta que esto
envié el tráfico. Cuando el servidor objetivo envía el tráfico, el conmutador recibe y examina el cuadro, causando la tabla
de dirección de MAC vuelta a escribir una vez más, realineando la dirección de MAC a la puerta original.
6.2.3 Ataques por Desbordamiento de la Tabla de direcciones MAC (1).
Además de MAC spoofing ataques, los ataques de desbordamiento de tabla de dirección de MAC también son posibles
en la Capa 2 dispositivos. Recuerde que los switches usan direcciones de MAC para dirigir comunicaciones de red por su
tela de conmutador a la puerta apropiada hacia el nodo de lugar de destino. La tela de término se refiere a los circuitos
integrados y la máquina acompañante que programa que habilita la operación de dispositivo. Por ejemplo, la tela de
conmutador es responsable de controlar los pasos de datos por el conmutador. La tabla de dirección de MAC en un
conmutador contiene las direcciones de MAC que pueden ser alcanzadas de una puerta física dada de un conmutador y
los parámetros VLAN asociados para cada uno. Cuando una Capa 2 conmutador recibe un cuadro, las miradas de
conmutador en la tabla de dirección de MAC para el lugar de destino MAC se dirigen y expide los cuadros
apropiadamente.
La clave del entendimiento como el trabajo de ataques de desbordamiento de dirección de MAC debe saber que las
tablas de dirección de MAC son limitadas en el tamaño. La inundación de MAC aprovecha esta limitación bombardeando
el conmutador con direcciones de MAC de la fuente falsas hasta el conmutador la tabla de dirección de MAC es llena. Si
bastantes entradas son entradas en la tabla de dirección de MAC antes de que las entradas más viejas expiren, la tabla
se llena hasta el punto que ningunas nuevas entradas pueden ser aceptadas. Cuando esto ocurre, el conmutador
comienza a inundar todo el tráfico de entrada a todas las puertas porque no hay ningún cuarto en la tabla para aprender
cualquier dirección de MAC legítima. El conmutador, en la esencia, actúa como un concentrador. Como consiguiente, el
atacante puede ver todos los cuadros enviados de un servidor al otro. El tráfico sólo es inundado dentro de VLAN local,
entonces el intruso sólo ve el tráfico dentro de VLAN local al cual el intruso es conectado.
Si el intruso no mantiene la inundación de direcciones de MAC de la fuente inválidas, el conmutador finalmente años las
entradas de dirección de MAC más viejas de la tabla y comienza a actuar como un conmutador otra vez.
6.2.3 Ataques por Desbordamiento de la Tabla de direcciones MAC (2).
El modo más común de poner en práctica un ataque de desbordamiento de tabla de dirección de MAC usa las
herramientas macof. Estas herramientas inundan un conmutador de cuadros que contienen la fuente al azar generada y
el lugar de destino MAC y direcciones IP. Durante un período de tiempo corto, la tabla de dirección de MAC se llena.
Cuando la tabla de dirección de MAC es llena de direcciones de MAC de la fuente inválidas, el conmutador comienza a
inundar todos los cuadros que esto recibe. Mientras el macof es dejado ejecutándose, la tabla en el conmutador
permanece llena, y el conmutador sigue inundando todos los cuadros recibidos de cada puerta.
Tanto el MAC spoofing como los ataques de desbordamiento de tabla de dirección de MAC pueden ser mitigados
configurando la seguridad de puerta en el conmutador. Con la seguridad de puerta, el administrador puede especificar o
estáticamente que las direcciones de MAC en un conmutador particular viran a babor o permiten que el conmutador
aprenda dinámicamente un número fijo de direcciones de MAC para una puerta de conmutador. Especificar
estáticamente las direcciones de MAC no es una solución manejable para un ambiente de producción. El permiso del
conmutador para aprender dinámicamente un número fijo de direcciones de MAC es una solución administrativamente
ampliable.
6.2.4 Ataques de Manipulación de STP (1).
Otra vulnerabilidad de la Capa 2 dispositivos es el Protocolo de Árbol que Atraviesa (STP). STP es una Capa 2 protocolo
que asegura una topología sin repetición. STP opera eligiendo un puente de raíz y construyendo una topología de árbol
de aquella raíz. STP tiene el despido en cuenta, pero al mismo tiempo, asegura que sólo un enlace es operacional a la vez
y ningunas repeticiones están presentes.
Los atacantes de red pueden manipular STP para conducir un ataque cambiando la topología de una red. Un atacante
puede hacerlo parecer que el servidor de ataque es un puente de raíz, así spoofing el puente de raíz. Todo el tráfico para
el dominio cambiado inmediato entonces pasa por el puente de raíz de pícaro (el sistema de ataque).
6.2.4 Ataques de Manipulación de STP (2).
Para conducir un ataque de manipulación STP, el servidor de ataque transmite la configuración STP y topología cambian
BPDUs para forzar nuevos cálculos de atravesar-árbol. Los BPDUs enviados por el servidor de ataque anuncian una
prioridad de puente inferior en una tentativa para ser elegida como el puente de raíz. De ser acertado, el servidor de
ataque se hace el puente de raíz y ve una variedad de cuadros que por otra parte no son accesibles.
Este ataque puede ser usado para usurpar todos los tres de los objetivos de seguridad: confidencialidad, integridad, y
disponibilidad.
Las técnicas de mitigación para la manipulación STP incluyen la habilitación PortFast así como guardia de raíz y guardia
de BPDU.
6.2.5 Ataque de Tormenta en la LAN (1).
La capa 2 dispositivos también es vulnerable a ataques de tormenta de red de área local. Una tormenta de red de área
local ocurre cuando los paquetes inundan la red de área local, creando el tráfico excesivo y degradando el rendimiento
de red. Los errores en la realización de pilas de protocolo, los errores en configuraciones de red, o los usuarios que
emiten un ataque de DoS pueden causar una tormenta. Las tormentas de difusión también pueden ocurrir en redes.
Recuerde que cambia difusiones siempre adelante todas las puertas. Algunos protocolos necesarios, como Protocolo de
Resolución de Dirección (ARP) y Protocolo de Configuración de Servidor Dinámico (DHCP), usan difusiones; por lo tanto,
los switches deben ser capaces de expedir el tráfico de difusión.
6.2.5 Ataque de Tormenta en la LAN (1). (2).
Mientras no es posible prevenir todos los tipos de tormentas de paquete y difusiones excesivas, es posible suprimirlos
usando el control tormentoso. El control tormentoso previene el tráfico en una red de área local de ser interrumpido por
una difusión, multidifusión, o tormenta de unidifusión en una de las interfaces físicas. El control tormentoso (o supresión
de tráfico) supervisa paquetes que pasan de una interface al ducto que cambia y determina si el paquete es la
unidifusión, la multidifusión, o la difusión. El conmutador cuenta el número de paquetes de un tipo especificado recibido
dentro de un cierto intervalo de tiempo y compara la medida con un umbral de nivel de la supresión predefinido. El
control tormentoso entonces bloquea el tráfico cuando el umbral creciente es alcanzado.
Si la tormenta de control está activado, cuando se especifica la cantidad de tráfico supere el umbral en un
determinado período de tiempo, todo el tráfico de este tipo se cae para el próximo período de tiempo. En este
ejemplo, el tráfico de difusión se remitió superado el umbral configurado entre los intervalos de tiempo T1 y T2 y
entre T4 y T5. Por lo tanto, el tráfico de difusión se bloquea durante los siguientes intervalos de T2 y T5. En el
siguiente intervalo de tiempo (por ejemplo, T3), si el tráfico de difusión no supere el umbral, se remitió de nuevo.
6.2.6 Ataques de VLAN (1).
Un VLAN es un dominio de difusión lógico que puede atravesar segmentos de red de área local físicos múltiples. Dentro
de las interredes cambiadas, VLANs proporcionan la segmentación y la flexibilidad organizativa. Una estructura VLAN
puede ser diseñada para habilitar la agrupación de estaciones lógicamente por la función, proyectar el equipo, o
aplicación sin hacer caso de la posición física de los usuarios. Cada puerta de conmutador puede ser adjudicada a sólo un
VLAN, así añadiendo una capa de la seguridad. Las puertas en un VLAN comparten difusiones; las puertas en VLANs
diferente no comparten difusiones. Conteniendo difusiones dentro de un VLAN mejora el rendimiento total de la red.
Usando la tecnología de VLAN, las puertas de conmutador y sus usuarios conectados pueden ser agrupados en
comunidades lógicamente definidas, como compañeros de trabajo en el mismo departamento, un equipo de producto
enfadado y funcional, o grupos de usuario diversos que comparten la misma aplicación de red. Un VLAN puede existir en
un conmutador solo o atravesar switches múltiples. VLANs puede incluir a servidores en un edificio solo o
infraestructuras que construyen del modo múltiple. VLANs también puede conectar a través de redes de área
metropolitanas.
Hay varios tipos diferentes de ataques de VLAN frecuentes en redes cambiadas modernas. Más bien que poner todos los
tipos en una lista de ataques, es importante entender la metodología general detrás de estos ataques y los
acercamientos primarios para mitigarlos.
La arquitectura VLAN simplifica el mantenimiento de red y mejora el rendimiento, pero esto también abre la puerta para
abusar. VLAN saltar habilita el tráfico de un VLAN para ser visto por otro VLAN con la ayuda de un direccionador. En
ciertas circunstancias, los atacantes pueden oler datos y extraer contraseñas y otra información sensible. El ataque
trabaja aprovechando una puerta de tronco incorrectamente configurada. En ausencia, las puertas de tronco tienen el
acceso a todo VLANs y tráfico de pase para VLANs múltiple a través del mismo enlace físico, generalmente entre
switches . Los datos que superan estos enlaces podrían ser encapsulados con IEEE 802.1Q o enlace de interconmutador
(ISL).
En VLAN básico que salta el ataque, el atacante aprovecha la configuración trunking automática por defecto en la mayor
parte de switches . El atacante de red configura un sistema a la burla sí mismo como un conmutador. Este spoofing
requiere que el atacante de red sea capaz de la emulación ISL o 802.1Q haciendo señas junto con el Protocolo Trunking
Dinámico Cisco-patentado (DTP) señalización. Engañando un conmutador en el pensamiento es otro conmutador que
necesita al tronco, un atacante puede ganar el acceso a todo el VLANs permitido en la puerta de tronco. Este ataque
requiere una configuración en la puerta que apoya trunking con automóvil o modo dinámico para tener éxito. Como
consiguiente, el atacante es un miembro de todos los VLANS que son trunked en el conmutador y pueden saltar, es decir
enviar y recibir el tráfico en todo el VLANs.
Un VLAN que salta el ataque puede ser lanzado de uno de dos modos:
• Los Spoofing DTP mensajes del ataque reciben para hacer que el conmutador escriba el modo trunking. De aquí, el
atacante puede enviar el tráfico etiquetado con VLAN objetivo, y el conmutador entonces entrega los paquetes al
lugar de destino.
• Introducción de un conmutador de pícaro y habilitación trunking. El atacante puede tener acceso entonces a todo el
VLANs en el conmutador de víctima del conmutador de pícaro.
El mejor modo de impedir VLAN básico saltar el ataque debe apagar trunking en todas las puertas, excepto estos que
expresamente requieren trunking. En las puertas de trunking requeridas, inhiba DTP (automóvil trunking) negociaciones
y a mano habilite trunking.
Otro tipo del ataque de VLAN es un etiquetar del modo doble (o encapsulado del modo doble) VLAN que salta el ataque.
Este tipo del ataque aprovecha el modo que el hardware en la mayor parte de switches opera. La mayor parte de
switches realizan sólo un nivel de 802.1Q decapsulation; esto puede permitir que un atacante en situaciones específicas
empotre un escondido 802.1Q etiqueta dentro del cuadro. Esta etiqueta permite que el cuadro vaya a un VLAN que el
externo 802.1Q etiqueta no especificó. Una característica importante de VLAN encapsulado del modo doble que salta el
ataque consiste en que trabaja aun si las puertas de tronco son inhibidas.
VLAN que etiqueta del modo doble y salta el ataque sigue cuatro pasos:
1. El atacante envía un etiquetado del modo doble 802.1Q cuadro al conmutador. La cabecera externa tiene la
etiqueta de VLAN del atacante, que es el mismo como VLAN natal de la puerta de tronco. Con los objetivos de
este ejemplo, suponga que esto sea VLAN 10. La etiqueta interior es la víctima VLAN, en este ejemplo, VLAN 20.
2. El cuadro llega al conmutador, que mira primeros 4 bytes 802.1Q etiqueta. El conmutador ve que el cuadro es
destinado a VLAN 10 y lo envía en todo VLAN 10 puertas (sin el VLAN 10 etiqueta en el tronco), porque no hay
ninguna entrada de tabla de dirección de MAC. En este punto, la segunda etiqueta de VLAN todavía es intacta y
no ha sido inspeccionada por el primer conmutador.
3. El cuadro llega al segundo conmutador, pero no tiene ningún conocimiento que se supuso que esto era para
VLAN 10. El tráfico VLAN natal no es etiquetado por el conmutador que envia como especificado en el 802.1Q
especificación.
4. El segundo conmutador sólo mira el interior 802.1Q etiqueta que el atacante envió y ve que el cuadro es
destinado a VLAN 20, VLAN objetivo. El segundo conmutador reexpide el cuadro a la puerta de víctima o lo
inunda, según si hay una entrada de tabla de dirección de MAC existente para el servidor de víctima.
Este tipo del ataque es unidireccional y sólo trabaja cuando el atacante y la puerta de tronco tienen mismo VLAN natal.
La frustración de este tipo del ataque no es tan fácil como la parada de VLAN básico ataques que saltan. El mejor
enfoque debe asegurar que VLAN natal de las puertas de tronco es diferente de VLAN natal de las puertas de usuario. De
hecho, se considera una seguridad la mejor práctica para usar VLAN falso que es no usado en todas partes de la red de
área local cambiada como VLAN natal para todos 802.1Q troncos en una red de área local cambiada.
6.3 Configurar la Seguridad de Capa 2.
6.3.1 Configurar la Seguridad de Puerto (1).
Después de las vulnerabilidades de una Capa 2 dispositivo es entendido, el siguiente paso debe poner en práctica
técnicas de mitigación para prevenir los ataques que aprovechan aquellas vulnerabilidades. Por ejemplo para prevenir
MAC spoofing y desbordamientos de tabla de MAC, habilite la seguridad de puerta.
La seguridad de puerta permite que un administrador especifique estáticamente direcciones de MAC para una puerta o
permita al conmutador aprender dinámicamente un número limitado de direcciones de MAC. Limitando el número de
direcciones de MAC permitidas en una puerta a uno, la seguridad de puerta puede ser usada para controlar la extensión
no autorizada de la red.
Cuando las direcciones de MAC son adjudicadas a una puerta segura, la puerta no expide cuadros con direcciones de
MAC de la fuente fuera del grupo de direcciones definidas. Cuando una puerta configurada con la seguridad de puerta
recibe un cuadro, la dirección de MAC de la fuente del cuadro es comparado con la lista de direcciones de la fuente
seguras que fueron a mano configuradas o autoconfiguradas (aprendidas) en la puerta. Si una dirección de MAC de un
dispositivo adjuntado a la puerta se diferencia de la lista de direcciones seguras, la puerta que cualquiera apaga hasta
que sea administrativamente habilitado (modo por defecto) o deje caer cuadros de entrada del servidor inseguro
(restringe la opción). El comportamiento de la puerta depende de como es configurado para responder a un infractor de
seguridad.
Se recomienda que un administrador configure el aspecto de seguridad de puerta para emitir un cierre más bien que
dejar caer cuadros de servidores inseguros con la opción restringir. La opción restringir podría fallar bajo la carga de un
ataque.
Éstos son los pasos para configurar la seguridad de puerta en una puerta de acceso:
Paso 1. Configure una interface como una interface de acceso.
Switch(config-if)# switchport mode access
Si una interface está en el modo por defecto (automóvil dinámico), no puede ser configurado como una puerta segura.
Paso 2. Habilite la seguridad de puerta en la interface usando la seguridad de la puerta switchport.
La sintaxis completa incluye varios parámetros opcionales.
Switch(config-if)# switchport port-security [mac-address mac-address [vlan {vlan-id | {access | voice}}]] |

[mac-address sticky [mac-address| vlan {vlan-id | {access | voice}}]] [maximum value [vlan {vlan-list | {access |
voice}}]]
Paso 3. El Juego (opcional) el número máximo de MAC seguro se dirige para la interface.
Switch(config-if)# switchport port-security maximum value
La variedad es 1 a 132. Por defecto es 1.

Después de que la seguridad de puerta es habilitada, es necesario establecer las reglas de violación para la puerta de
acceso. Las reglas de violación se refieren a las acciones que el conmutador toma si una violación de seguridad ocurre.
Éstos son los pasos para configurar la violación de seguridad de puerta en una puerta de acceso:
Paso 1. Ponga el modo de violación. Esto es la acción que el conmutador toma cuando una violación de seguridad es
descubierta. Si el modo de violación no es especificado, por defecto debe apagar la puerta.
Switch(config-if)# switchport port-security violation {protect | restrict | shutdown | shutdown vlan}
Cuando una puerta segura está en el estado inhibido por el error, suponiendo que una violación ha ocurrido y la puerta
es inhibida, traerlo de este estado escribiendo la orden errdisable recovery cause psecure-violation de configuración
global, o a mano habilitarlo de nuevo escribiendo las órdenes shutdown y no shutdown de configuración de interface.
Paso 2. Escriba una dirección de MAC segura estática para la interface.
Switch(config-if)# switchport port-security mac-address mac-address
Repita este orden cuando muchas veces si es necesario para cada uno aseguran la dirección de MAC.
Paso 3. Habilite el aprendizaje pegajoso en la interface.
Switch(config-if)# switchport port-security mac-address sticky
Cuando el aprendizaje pegajoso es habilitado, la interface añade que todos aseguran direcciones de MAC que son
dinámicamente aprendidas, hasta el número máximo configurado, a la configuración que se ejecuta y converte estas
direcciones a direcciones de MAC seguras pegajosas.
Use la orden no switchport port-security de configuración de interface para devolver la interface a la condición por
defecto como una puerta no segura. Las direcciones seguras pegajosas permanecen la parte de la configuración que se
ejecuta.
Use la orden no switchport port-security maximum de configuración de interface para devolver la interface al número
por defecto de direcciones de MAC seguras.
Use la orden no switchport port-security violation {protect | restrict} de configuración de interface para devolver el
modo de violación a la condición por defecto (modo de cierre).
El envejecimiento de seguridad de puerta puede ser usado para poner el tiempo envejecido para direcciones seguras
estáticas y dinámicas en una puerto. dos tipos del envejecimiento son apoyados por puerto:
• Absoluto - Las direcciones seguras en la puerta son borradas después del tiempo envejecido especificado.
• Inactividad - Las direcciones seguras en la puerta sólo son borradas si ellos son inactivos para el tiempo envejecido
especificado.
Use el envejecimiento para borrar direcciones de MAC seguras en una puerta segura sin borrar a mano las direcciones
de MAC seguras de la existencia. Los límites de tiempo envejecidos también pueden ser aumentados para asegurar que
las direcciones de MAC por delante seguras permanecen hasta mientras nuevo las direcciones de MAC son añadidas.
Tenga presente que el número máximo de direcciones seguras por puerta puede ser configurado. El envejecimiento de
direcciones seguras estáticamente configuradas puede ser habilitado o inhibido en una base por puerta.
Use la orden switchport port-security aging {static | time time | type {absolute | inactivity}} de habilitar o inhibir el
envejecimiento estático para la puerta segura o poner el tiempo envejecido o tipo.
Una configuración de seguridad de puerta típica para una puerta de voz requiere dos direcciones de MAC seguras. Las
direcciones son por lo general aprendidas dinámicamente. Una dirección de MAC es para el teléfono de IP, y la otra
dirección es para el ordenador personal conectado al teléfono de IP. Las violaciones de esta política causan la puerta
apagada. El intervalo de espera envejecido para las direcciones de MAC cultas es puesto a dos horas.
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security maximum 2
Switch(config-if)#switchport port-security violation shutdown
Switch(config-if)#switchport port-security mac-address sticky
Switch(config-if)#switchport port-security aging time 120

6.3.2 Verificación de la Seguridad de Puertos (1).
Cuando la seguridad de puerta es habilitada, el administrador debería usar las órdenes show de verificar que la puerta
aprendió la dirección de MAC. Además, las órdenes show útiles supervisando y configuraciones de seguridad de la
puerta de localización de fallas. Ellos pueden ser usados para ver la información, como el número máximo de direcciones
de MAC que pueden tener que ver con una puerta, la cuenta de violación, y el modo de violación corriente.
Use la orden show port-security de ver configuraciones de seguridad de puerta para el conmutador, incluso cuenta de
violación, interfaces configuradas, y acciones de violación de seguridad.
Use show port-security [interface interface-id] orden de ver configuraciones de seguridad de puerta para la interface
especificada, incluso el número permitido máximo de direcciones de MAC seguras para la interface, el número de
direcciones de MAC seguras en la interface, el número de violaciones de seguridad que han ocurrido, y el modo de
violación.
Use la orden show port-security [interface interface-id] address de ver todos aseguran direcciones de MAC configuradas
en todas las interfaces de conmutador o en una interface especificada con la información envejecida para cada
dirección.
Los administradores de la red necesitan un modo de supervisar quién usa la red y donde ellos son. Por ejemplo, si la
puerta F2/1 es seguro en un conmutador, una trampa de SNMP es generada cuando una entrada de dirección de MAC
para aquella puerta desaparece de la tabla de dirección de MAC.
El aspecto de notificación de dirección de MAC envia trampas de SNMP a la estación de dirección de red (NMS) siempre
que una nueva dirección de MAC sea añadida a o una vieja dirección es borrada de las tablas que expiden. Las
notificaciones de dirección de MAC sólo son generadas para dinámico y aseguran direcciones de MAC.
La notificación de dirección de MAC permite que el administrador de red supervise direcciones de MAC que son
aprendidas así como direcciones de MAC que la edad y es borrada del conmutador.
Use la orden mac address-table notification de configuración global de habilitar el aspecto de notificación de dirección
de MAC en un conmutador.
6.3.3 Guardia de Raíz y Guardia de BPDU que configura (1).
Para mitigar la manipulación STP el PortFast, la guardia de raíz, y BPDU se protegen los órdenes de realce STP pueden
ser habilitados. Estos aspectos hacen cumplir la colocación del puente de raíz en la red y hacen cumplir los bordes de
dominio STP.
PortFast
El atravesar-árbol aspecto de PortFast causa una interface configurada como una Capa 2 puerta de acceso a la transición
del bloqueo al estado que expide inmediatamente, evitación de la escucha y aprendizaje de estados. PortFast puede
estar usado en la Capa 2 puertas de acceso que conectan a una estación de trabajo sola o servidor para permitir que
aquellos dispositivos conecten a la red inmediatamente, en vez de esperar STP a convergir.
Como el objetivo de PortFast es minimizar el tiempo que las puertas de acceso deben esperar STP a convergir, sólo
debería estar usado en puertas de acceso. Si PortFast es habilitado en una puerta que conecta a otro conmutador, hay
un riesgo de crear una repetición de atravesar-árbol.
Este orden configura PortFast para todas las puertas de non-trunking inmediatamente.
Switch(config)# spanning-tree portfast default
Este orden configura Portfast en una interface.
Switch(config-if)# spanning-tree portfast
Este orden verifica que PortFast ha sido configurado en una interface.
Switch# show running-config interface FastEthernet 0/8
Guardia de BPDU
El STP BPDU aspecto de guardia permite que diseñadores de red guarden la topología de red activa previsible. La guardia
de BPDU es usada para proteger la red cambiada de los problemas causados recibiendo BPDUs en puertas que no
deberían recibirlos. El recibo de BPDUs inesperado podría ser casual o la parte de una tentativa no autorizada de añadir
un conmutador a la red.
Si una puerta que es configurada con PortFast recibe un BPDU, STP puede poner la puerta en el estado inhibido usando
la guardia de BPDU.
La guardia de BPDU es mejor desplegada hacia puertas que están enfrente del usuario para prevenir extensiones de red
de conmutador de pícaro por un servidor de ataque.
Use este orden de habilitar la guardia de BPDU en todas las puertas con PortFast habilitado.
Switch(config)# spanning-tree portfast bpduguard default

Para mostrar la información sobre el estado de atravesar el árbol, use la orden show spanning-tree summary. En esta
producción, la guardia de BPDU es habilitada.
Switch# show spanning-tree summary
Root bridge for: VLAN0001, VLAN0004-VLAN1005
VLAN1013-VLAN1499, VLAN2001-VLAN4094
EtherChannel misconfiguration guard is enabled
Extended system ID is enabled
Portfast is enabled by default
PortFast BPDU Guard is enabled
Portfast BPDU Filter is disabled by default
Loopguard is disabled by default
UplinkFast is disabled
BackboneFast is disabled
Pathcost method used is long
<output omitted>
Otro orden útil de verificar la configuración de guardia de BPDU es LA orden show spanning-tree summary totals.
Guardia de Raíz
El aspecto de guardia de raíz de conmutador de Cisco proporciona un modo de hacer cumplir la colocación de puentes
de raíz en la red. La guardia de raíz limita las puertas de conmutador de las cuales el puente de raíz puede ser negociado.
Si una puerta habilitada por la raíz por la guardia recibe BPDUs que son superiores a aquellos que el puente de raíz
corriente envia, aquella puerta es movida a un estado inconsecuente por la raíz, que es con eficacia igual a un STP que
escucha el estado, y ningún tráfico de datos es expedido a través de aquella puerta.
Como un administrador puede poner a mano la prioridad de puente de un conmutador al cero, la guardia de raíz puede
parecer innecesaria. El ajuste de la prioridad de un conmutador al cero no garantiza que el conmutador será elegido
como el puente de raíz, porque podría haber otro conmutador con una prioridad de cero y una dirección de MAC
inferior, y por lo tanto una identificación de puente inferior.
La guardia de raíz es mejor desplegada hacia puertas que conectan a switches que no deberían ser el puente de raíz.
Con la guardia de raíz, si un servidor de ataque envía spoofed BPDUs, en un intento de hacerse el puente de raíz, el
conmutador, al recibo de un BPDU, no hace caso del BPDU y pone la puerta en un estado inconsecuente por la raíz. La
puerta recupera tan pronto como la ofensa BPDUs se cesa.
La guardia de BPDU y la guardia de raíz son similares, pero su impacto es diferente. La guardia de BPDU inhibe la puerta
sobre la recepción BPDU si PortFast es habilitado en la puerta. La incapacidad con eficacia niega dispositivos detrás de
tales puertas de participar en STP. El administrador debe habilitar de nuevo a mano a la puerta que es puesta en
errdisable declaran o configuran un intervalo de espera errdisable.
La guardia de raíz permite que el dispositivo participe en STP mientras el dispositivo no trata de hacerse la raíz. Si la
guardia de raíz bloquea la puerta, la recuperación subsecuente es automática. La recuperación ocurre tan pronto como
el dispositivo de ofensa deja de enviar BPDUs superior.
Esto es el orden para configurar la guardia de raíz en una interface.
Switch(config-if)# spanning-tree guard root
Para verificar la guardia de raíz, use la orden show spanning-tree inconsistentports. Tenga presente que un conmutador
coloca una puerta en un estado inconsecuente por la raíz si recibe BPDUs en una puerta que no debería recibir BPDUs.
La puerta recupera tan pronto como la ofensa BPDUs se cesa.
6.3.4 Configurar el Control de Tormentas (1).
Los ataques de tormenta de red de área local pueden ser mitigados usando el control tormentoso para supervisar
umbrales de nivel de la supresión predefinidos. Habilitando el control tormentoso, tanto un umbral creciente como un
umbral decreciente pueden ser puestos.
El control tormentoso usa uno de estos métodos de medir la actividad de tráfico:
• El ancho de banda como un porcentaje del ancho de banda disponible total de la puerta que puede estar usada por
la difusión, multidifusión, o tráfico de unidifusión.
• El precio de tráfico en paquetes por segundo en el cual la difusión, la multidifusión, o los paquetes de unidifusión
son recibidos.
• El precio de tráfico en bits por segundo en los cuales la difusión, la multidifusión, o los paquetes de unidifusión son
recibidos.
• Precio de tráfico en paquetes por segundo y para pequeños cuadros. Este aspecto es habilitado globalmente. El
umbral para pequeños cuadros es configurado para cada interface.
Con cada método, la puerta bloquea el tráfico cuando el umbral creciente predefinido es alcanzado. La puerta
permanece bloqueada hasta las gotas de precio de tráfico debajo del umbral decreciente si uno es especificado, y luego
reanuda expedir normal. Si el umbral decreciente no es especificado, el conmutador bloquea todo el tráfico hasta las
gotas de precio de tráfico debajo del umbral creciente. El umbral, o nivel de supresión, se refiere al número de paquetes
permitidos antes de que la acción sea tomada. En general, más alto el nivel de supresión, menos eficaz la protección
contra tormentas de difusión.
Use el orden storm-control de configuración de interface para habilitar el control tormentoso en una interface y poner
el valor de umbral para cada tipo del tráfico. El nivel de supresión de control tormentoso puede ser configurado como
un porcentaje del ancho de banda total de la puerta, como un precio en paquetes por segundo en el cual el tráfico es
recibido, o como un precio en bits por segundo en los cuales el tráfico es recibido.
Cuando el nivel de supresión de tráfico es especificado como un porcentaje (hasta dos sitios decimales) del ancho de
banda total, el nivel puede ser de 0.00 a 100.00. Un valor de umbral de medios del 100 por ciento que ningún límite es
colocado en el tipo especificado del tráfico (difusión, multidifusión o unidifusión). Un valor de 0.0 medios que todo el
tráfico de aquel tipo en aquella puerta es bloqueado.
Los porcentajes de umbral son aproximaciones debido a limitaciones de hardware y el camino del cual los paquetes de
tamaños diferentes son contados. Según los tamaños de paquete que arreglan el tráfico de entrada, el umbral forzado
actual podría diferenciarse del nivel configurado por puntos de varios porcentajes.
El control tormentoso es apoyado en interfaces físicas. Con Cisco IOS la Liberación 12.2 (25), el control tormentoso
también puede ser configurado en EtherChannels. Configurando el control tormentoso en un EtherChannel, las
configuraciones de control tormentosas se propagan a las interfaces físicas EtherChannel.
Esto es la sintaxis completa para la orden storm-control.
storm-control {{broadcast | multicast | unicast} level {level [level-low] | bps bps [bps-low] | pps pps [pps-low]}} |
{action {shutdown | trap}}
las opciones trap y shutdown son independientes el uno del otro.
Si la acción trap es configurada, el conmutador enviará un mensaje de registro de SNMP cuando una tormenta ocurre.
Si la acción shutdown es configurada, la puerta es inhibida por el error durante una tormenta, la orden no shutdown de
configuración de interface debe ser usado para traer la interface de este estado.
Cuando una tormenta ocurre y la acción debe filtrar el tráfico, si el nivel de supresión decreciente no es especificado, el
conmutador bloquea todo el tráfico hasta las gotas de precio de tráfico debajo del nivel de supresión creciente. Si el
nivel de supresión decreciente es especificado, el tráfico de bloques de conmutador hasta las gotas de precio de tráfico
debajo de este nivel.
Switch(config-if)# storm-control broadcast level 75.5
Switch(config-if)# storm-control multicast level pps 2k 1k
Switch(config-if)# storm-control action shutdown
Use la orden show storm-control [interface] [{broadcast | multicast | unicast | history}] para verificar configuraciones
de control tormentosas. Este orden muestra el juego de niveles de supresión de control tormentoso en todas las
interfaces, o la interface especificada, para el tipo de tráfico especificado. Si ningún tipo de tráfico es especificado, por
defecto es el tráfico de difusión.
6.3.5 Seguridad de tronco VLAN que configura (1).
El mejor modo de mitigar VLAN los ataques que saltan deben asegurar que trunking sólo es habilitado en puertas que
requieren trunking. Además, esté seguro de inhibir DTP (automóvil trunking) negociaciones y a mano habilitar trunking.
Para impedir un VLAN saltar el ataque que usa doble 802.1Q encapsulation, el conmutador debe mirar adelante en el
cuadro para determinar si más de una etiqueta de VLAN es adjuntada a ello. Lamentablemente, la mayor parte de
switches tienen el hardware que es optimizado para buscar una etiqueta y luego cambiar el cuadro. La cuestión de
rendimiento contra la seguridad requiere que administradores equilibren sus exigencias con cuidado.
La Mitigación VLAN ataques que saltan que usan doble 802.1Q encapsulation requiere varias modificaciones a la
configuración VLAN. Uno de los elementos más importantes debe usar VLAN natal dedicado para todas las puertas de
tronco. Este ataque es fácil a pararse siguiendo la práctica recomendada de no usar VLANs natal para puertas de tronco
en ninguna parte en el conmutador. Además, inhiba todas las puertas de conmutador no usadas y colóquelos en VLAN
no usado.
• Desactivar la línea en todos los puertos de acceso.

• Desactive la auto trunking y activar manualmente la línea.
• Asegúrese de que la nativa VLAN sólo se utiliza para líneas troncales.
6.3.5 Seguridad de tronco VLAN que configura (2).
Para controlar trunking para puertas, varias opciones están disponibles.
Para enlaces que no son queridos como troncos, use la orden de configuración de interface switchport mode Access
para inhibir trunking.
Hay tres pasos para crear enlaces de tronco:
Paso 1. Use el orden switchport mode trunk de configuración de interface de hacer que la interface se haga un enlace
de tronco.
Paso 2. Use la orden switchport nonegotiate de configuración de interface de prevenir la generación de cuadros de
DTP.
Paso 3. Use la orden switchport trunk native vlan vlan_número de configuración de interface de poner VLAN natal en
el tronco a VLAN no usado. VLAN natal por defecto es VLAN 1.
6.3.6 Cisco que configura Puerta Cambiada Analizador (1).
Además de las técnicas de mitigación, también es posible configurar una Capa 2 dispositivo para apoyar el análisis de
tráfico. El tráfico de red pasar por puertas o VLANs puede ser analizado usando la puerta cambiada analizador (SPAN) O
SPAN remota (RSPAN). La SPAN puede ser configurada para enviar una copia del tráfico a otra puerta en el conmutador,
en otro conmutador que ha sido conectado a una red analizador, u otro supervisar o dispositivo de seguridad.
ATRAVIESE copias (o duplicaciones) tráfico recibido, enviado, o ambos en puertas de la fuente o VLANs de la fuente a
una puerta de lugar de destino para el análisis. La SPAN no afecta cambiar del tráfico de red en las puertas de la fuente o
VLANs. La puerta de lugar de destino es dedicada para el uso de SPAN. Excepto el tráfico que se requiere para la SPAN o
sesión RSPAN, las puertas de lugar de destino no reciben o expiden el tráfico. Las interfaces deberían ser por lo general
supervisadas en ambas direcciones, mientras VLANs debería ser supervisado en sólo una dirección.
LA SPAN no se requiere para syslog o SNMP. La SPAN es usada para reflejar el tráfico, mientras syslog y SNMP son
configurados para enviar datos directamente al servidor apropiado. La SPAN no mitiga ataques, pero realmente habilita
supervisar de la actividad malévola.
• Un puerto SPAN refleja el tráfico hacia otro puerto en el que un dispositivo de control está conectada.
• De lo contrario, puede ser difícil a los hackers la pista después de haber entrado en la red.
Una sesión de SPAN puede ser configurada para supervisar el tráfico de puerta de la fuente a una puerta de lugar de
destino. En este ejemplo, la configuración de SPAN existente para la sesión 1 es borrada, y el tráfico luego bidireccional
es reflejado de Gigabit de la fuente puerta de Ethernet 0/1 al lugar de destino Gigabit puerta de Ethernet 0/2,
reteniendo el método encapsulation.
witch(config)# no monitor session 1
Switch(config)# monitor session 1 source interface gigabitethernet0/1
Switch(config)# monitor session 1 destination interface gigabitethernet0/2 encapsulation replicate
Switch(config)# end
Otro ejemplo ilustra la captura del tráfico recibido y transmitido para VLANs 10 y 20, respectivamente.
Switch(config)# monitor session 1 source vlan 10 rx
Switch(config)# monitor session 1 source vlan 20 tx
Switch(config)# monitor session 1 destination interface FastEthernet 3/4
Para verificar la configuración de SPAN, use la orden show monitor session session-number.
Un sistema de descubrimiento de intrusión (IDS) tiene la capacidad de descubrir el mal uso, el abuso, y el acceso no
autorizado a recursos conectados a la red. La SPAN puede ser usada para reflejar el tráfico a otra puerta donde una
sonda o un sensor de IDS son conectados. Cuando un sensor de IDS descubre a un intruso, el sensor puede enviar un
reinicio de TCP que derriba la conexión de intruso dentro de la red, inmediatamente borrando al intruso de la red.
LA SPAN es comúnmente desplegada cuando unas IDS son añadidas a una red. Los dispositivos de IDS tienen que leer
todos los paquetes en uno o varios VLANs, y la SPAN puede ser usada para conseguir los paquetes a los dispositivos de
IDS.
• Utilice para SPAN espejo tráfico de entrada y salida de puerto FA0 / 1 a puerto FA0 / 2.
6.3.7 Puerta Cambiada Remota Cisco que Configura Analizador (1).
RSPAN tiene todos los aspectos de la SPAN, más el apoyo a puertas de la fuente y puertas de lugar de destino que son
distribuidas a través de switches múltiples, permitiendo un para supervisar cualquier puerta de lugar de destino
localizada en el RSPAN VLAN. Esto permite que un administrador supervise el tráfico en un conmutador usando un
dispositivo en otro conmutador.
RSPAN puede ser usado para expedir el tráfico para alcanzar unas IDS que analiza el tráfico para el comportamiento
malévolo. Las puertas de la fuente para el tráfico atravesado pueden estar en switches múltiples. Si el objetivo es el
descubrimiento de intrusión, las IDS examina el tráfico expedido por todos los dispositivos de la fuente. Si un atacante
pone en peligro la red interna por un direccionador de perímetro, una copia del tráfico de intruso es expedida a las IDS
para el examen.
Como con la SPAN, RSPAN no se requiere para syslog o SNMP y sólo es usado para reflejar el tráfico, no enviar datos
directamente a un servidor definido. RSPAN no mitiga ataques, pero realmente habilita supervisar de la actividad
malévola.
• Un puerto RSPAN espejos tráfico a otro puerto en otro interruptor que una sonda o sensor IDS está conectado.
• Esto permite que más cambia a ser controlados con una sola sonda o IDS.
6.3.7 Puerta Cambiada Remota Cisco que configura Analizador (2).
Para configurar RSPAN, comience configurando el RSPAN VLAN. Aquí, VLAN 100 es creado y configurado como un RSPAN
VLAN.
2960-1(config)# vlan 100
2960-1(config-vlan)# remote-span
2960-1(config-vlan)# exit
Después, es necesario configurar las puertas de la fuente RSPAN y VLANs. El tráfico capturado de la puerta de la fuente
es reflejado a una puerta de reflector dedicada, que simplemente actúa como una interface de bucle de retorno en la
cual esto refleja el comercio capturado al RSPAN VLAN. Ningún tráfico realmente es enviado la puerta de reflector. Esto
simplemente proporciona un mecanismo de bucle de retorno interno a sesiones de la fuente RSPAN. Una puerta de
reflector sólo existe para una sesión de la fuente RSPAN. En este ejemplo, hay sólo una puerta de la fuente.
2960-1(config)# monitor session 1 source interface FastEthernet 0/1
2960-1(config)# monitor session 1 destination remote vlan 100 reflector-port FastEthernet 0/24
2960-1(config)# interface FastEthernet 0/2
2960-1(config-if)# switchport mode trunk
Finalmente, configure el tráfico RSPAN para ser expedido una interface hacia las IDS. En este ejemplo, el tráfico
destinado a VLAN 100 es expedido interface Ethernet Rápido 0/2.
2960-2(config)# monitor session 2 source remote vlan 100
2960-2(config)# monitor session 2 destination interface FastEthernet 0/3
2960-2(config)# interface FastEthernet 0/2
2960-2(config-if)# switchport mode trunk
6.3.7 Puerta Cambiada Remota Cisco que configura Analizador (3).
Use las órdenes show monitor y show interfaces trunk para verificar la configuración RSPAN.
LA SPAN y RSPAN son usados para reflejar el tráfico para descubrimiento de intrusión o análisis de protocolo y
prevención. Varias herramientas y tecnologías para asegurar la infraestructura de red de área local han sido exploradas.
IronPort, NAC, y CSA aseguran el Punto-Final de varias amenazas, incluso desbordamientos parachoques, virus, trojans, y
gusanos. Las tecnologías, como guardia de BPDU y raíz guardan el trabajo para prevenir ataques de manipulación STP. El
control tormentoso ayuda a prevenir tormentas de red de área local. La seguridad de puerta asegura que los servidores
apropiados adjuntan para cambiar puertas. La capa las 2 mejores prácticas que cambian previene ataques de VLAN. Pero
la red de área local moderna también incluye dispositivos inalámbricos, dispositivos de telefonía de IP, y área de
almacenaje dispositivos conectados a una red. Estos dispositivos y el tráfico asociado con ellos tienen que ser
asegurados.
6.3.8 Prácticas recomendadas para la Capa 2 (1).
La capa 2 pautas es dependiente de la política de seguridad particular de una organización.
Es importante manejar switches como direccionadors, usando protocolos seguros o métodos del grupo si la política lo
permite. Apague servicios que no son necesarios y puertas que no están siendo usadas. Ponga en práctica varios
servicios de seguridad, como seguridad de puerta y realces STP, si es necesario y como apoyado por el hardware. El
Protocolo de Turn Cisco Discovery (CDP) lejos en puertas que no conectan para conectar a la red dispositivos, a
excepción de puertas que conectan a teléfonos de IP de Cisco.
• Gestionar los interruptores en una manera segura (SSH, fuera de banda de gestión, ACL, etc.)
• Establecer todos los usuarios de los puertos no trunking puertos (a menos que usted está usando VoIP de
Cisco).
• Utilice protección portuaria siempre que sea posible el acceso de los puertos.
• Habilitar STP ataque de mitigación (BPDU guardia, guardia de raíz).
• Utilice Cisco Discovery Protocol sólo cuando sea necesario - con los teléfonos es útil.
• Configurar PortFast en todos los puertos de trunking.
• Configurar raíz STP raíz de guardia en los puertos.
• Configurar BPDU de guardia en todos los puertos de trunking.
6.3.8 Prácticas recomendadas para la Capa 2 (2).
En ausencia, VLAN 1 es la dirección VLAN. También, en ausencia, todas las puertas son miembros de VLAN 1 (VLAN1 es el
usuario por defecto VLAN). Además, VLAN1 es VLAN natal por defecto para todas las puertas de tronco. Por esta razón,
se recomienda fuertemente que VLAN 1 no estén usados para algo. Todas las puertas no usadas deberían ser
adjudicadas a VLAN no usado. Todas las puertas de tronco deberían ser adjudicadas a VLAN falso no usado. La dirección
VLAN debería ser adjudicada a VLAN no usado, que no coincide con ningún usuario VLAN, la dirección VLAN, o VLAN
natal.
• Siempre use un dedicado, no utilizados para el ID VLAN nativa tronco puertos.

• No utilizar la VLAN 1 para nada.
• Desactivar todos los puertos no utilizados y ponerlos en una VLAN no utilizada.
• Configurar manualmente todos los puertos troncales y deshabilitar puertos DTP en el tronco.
• Configurar los puertos no troncales con switchport mode access.
6.4 Radio, VoIP, y Seguridad SAN.
6.4.1 Empresa Consideraciones de Seguridad de Tecnología Anticipadas (1).
La tecnología de red de área local inalámbrica ha sido un driver poderoso para anticipos en la seguridad de red. Con la
mayor facilidad del acceso vía dispositivos inalámbricos viene una mayor necesidad de soluciones de seguridad
inalámbricas completas.
Del mismo modo, el advenimiento de Voz sobre IP (VoIP) y todos los dispositivos acompañantes y tecnologías (telefonía
de IP), ha motivado varios anticipos en la seguridad. ¿Quién querría su llamada telefónica interceptada por un hacker?
Es que vale la pena de describir a los drivers para realizaciones VoIP, los componentes que se requieren en redes de
VoIP, y cuestiones de servicio VoIP. La progresión natural debe explorar las implicaciones de poner en práctica medidas
de seguridad en redes de IP aquella voz de transporte.
Las redes de área de almacenaje (SANs) ofrecen una solución con el coste de aumento del tiempo de indisponibilidad de
servidor y red. Considerando que el objetivo de la seguridad de red es asegurar datos (incluso voz y vídeo), y el hecho
que los datos ahora típicamente residen en un SAN, es esencial que el SAN sea asegurado.
Las redes de empresa modernas típicamente emplean a reguladores inalámbricos, puntos de acceso, y un sistema de
dirección inalámbrico para entregar la protección completa contra ataques inalámbricos. El ambiente inalámbrico es
asegurado con protección de amenaza integrada en la infraestructura, visibilidad anticipada en el ambiente de RF, y
colaboración de seguridad de red conectada.
Un enfoque integrado en la infraestructura a la seguridad inalámbrica completa reduce gastos aerodinamizando

operaciones de seguridad. Tal solución tiene varias ventajas:
• La amenaza preventiva y las capacidades de descubrimiento de intrusión descubren ataques inalámbricos y los
previenen.
• La protección completa salvaguarda datos confidenciales y comunicaciones.
• Una identidad de usuario sola y la política simplifican la gestión de usuarios y protegen contra el acceso no
autorizado.
• La colaboración con sistemas de seguridad conectados habilita un superjuego de funcionalidad de seguridad
inalámbrica y protección.
Los teléfonos de IP, IP Bolsas de Sucursal Privadas (PBXs), pasarelas de voz, sistemas de correo vocal, y los protocolos
necesarios también son comunes en una red de empresa. Estas tecnologías y protocolos realzan la productividad y por
último guardan la organización en gastos de telefonía. Usando un IP PBX, las organizaciones pueden eliminar la herencia
PBX y disfrutar de ventajas de telefonía de IP sobre una red convergida. Un IP PBX proporciona la funcionalidad de
control de la llamada y, cuando usado junto con juegos de teléfono de IP o una aplicación telefónica suave, esto puede
proporcionar la funcionalidad PBX de una moda distribuida y ampliable. Los modelos de despliegue de solución de
telefonía de IP de Cisco se caen en una de estas categorías:
• Despliegue de sitio web solo

• Procesamiento de llamada centralizado con sucursales remotos
• Despliegue de procesamiento de llamada distribuido
• Agruparse sobre el WAN de IP
La selección del modelo de despliegue depende de las exigencias de la organización, como el tamaño de la red, aspectos,
y disponibilidad del ancho de banda de WAN.
Las redes de empresa también utilizan redes de área de almacenaje. Las redes de almacenaje son centrales a la
arquitectura de centro de datos contemporánea, proporcionando una plataforma conectada a una red que le ayuda los
departamentos consiguen gastos generales inferiores de propiedad, elasticidad realzada, y mayor agilidad. Las
soluciones de red de almacenaje proveen:
• La protección de inversión - Primero, segundo, y terceras generaciones puede coexistir todo en chasis de cliente
existente y nuevas configuraciones de conmutador.
• Virtualization - ESTO gerentes puede aprovisionar su infraestructura de almacenaje.
• Seguridad - los Datos son protegidos cuando está en reposo y mientras está siendo transportado y reproducido.
• Consolidación - los profesionales de Almacenaje pueden consolidar recursos aprovechando plataformas SAN muy
ampliables, inteligentes.
• Disponibilidad - el acceso Instantáneo a datos está disponible de gradas múltiples para la recuperación de desastre.
Las redes de área local inalámbricas confían en la radiofrecuencia (RF) la tecnología. La tecnología de RF ha existido
desde finales del siglo diecinueve. La tecnología de VoIP se hizo comercialmente disponible en los años 1990. La
tecnología SAN no escribió formalmente el mercado hasta principios de los años 2000. El enfoque aquí sigue la orden
histórica.
6.4.2 Consideraciones de Seguridad Inalámbricas (1).
A principios de los años 2000, el punto de acceso autónomo (AP) el modelo de despliegue fue rápidamente reemplazado
por el modelo de despliegue de punto de acceso ligero. APs ligeros dependen de reguladores de red de área local
inalámbricos (WLCs) para sus configuraciones. Esto se diferencia de APs autónomos, que requieren la configuración
individual de cada dispositivo. La solución de regulador de AP-radio ligera tiene varias ventajas que no estaban
disponibles antes, como el pícaro descubrimiento de AP y posición.
Los Cisco WLCs son responsables de funciones de red de área local inalámbricas por todo el sistema, como políticas de
seguridad, prevención de intrusión, dirección de RF, calidad de servicio, y movilidad. Estas funciones trabajan junto con
APs y el Sistema de Control Inalámbrico Cisco (WCS) para apoyar aplicaciones inalámbricas. De voz y servicios de datos al
rastreo de posición, Cisco los WLCs proporcionan el control, escalabilidad, seguridad, y fiabilidad para construir seguro,
redes de radio de escala de la empresa de sucursales a recintos universitarios principales.
Los Cisco WLCs suavemente se integran en redes de empresa existentes. Ellos se comunican con APs ligero sobre
cualquier Capa 2 o Capa 3 infraestructura usando el Protocolo de Punto de Acceso Ligero (LWAPP). Estos dispositivos
apoyan la automatización de numerosa configuración WLAN y funciones de dirección a través de todas las posiciones de
empresa.
Como los Cisco WLCs apoyan IEEE 802.11a/b/g y el 802.11n estándares, las organizaciones pueden desplegar la solución
que mejor encuentra sus exigencias individuales. Las organizaciones pueden ofrecer la cobertura robusta con
802.11a/b/g o entregar el mayor rendimiento con cinco veces el rendimiento y la fiabilidad aumentada de 802.11n.
Con el Acceso a Internet inalámbrico penetrante disponible, los hackers ahora han ampliado oportunidades de conectar
encubiertamente a redes remotas. Si un hacker experto o un principiante a la tecnología inalámbrica, las oportunidades
abundan para explotar debilidades en redes inalámbricas.
La forma más popular de cortar inalámbrico es llamada la guerra conducir, donde un hacker intenta ganar el acceso a
redes inalámbricas en su laptop conduciendo alrededor de un área metropolitana o suburbana. Un vecino podría cortar
en la red inalámbrica de otro vecino para conseguir el Acceso a Internet libre o tener acceso a la información
confidencial. Los aeropuertos, los restaurantes de comida rápida, y las cafeterías con frecuencia ofrecen el Acceso a
Internet, que otra vez da a hackers la oportunidad de poner en peligro los datos de otros usuarios. Un hacker podría
tratar hasta de conectar a otro ordenador usando el modo ad hoc en un área pública.
Nunca es seguro para conectar a una red inalámbrica abierta, sobre todo en un área pública, a menos que la conexión
sea seguida de una conexión VPN cifrada con otra red. Con respecto a la red de empresa, recuerde que la mayor parte
de ataques de seguridad vienen del interior. Estos ataques pueden ser intencionadamente lanzados por un empleado
descontento, o ellos podrían ser involuntariamente activados por un ordenador que es infectado por un virus. Muchas
organizaciones, como la parte de sus políticas de seguridad, no permiten que empleados instalen su propio APs en el
worksite.
Los hackers inalámbricos tienen una matriz de herramientas a su disposición, según su nivel de sofisticación y
determinación:
• El software Stumbler de la Red encuentra redes inalámbricas.

• El software de Kismet muestra redes inalámbricas que no transmiten su SSIDs.
• Aspiraciones de software de AirSnort y grietas claves de WEP.
• CoWPAtty raja WPA-PSK (WPA1).
• ASLEAP junta datos de autentificación.
• Wireshark puede escanear datos de Ethernet inalámbricos y 802.11 SSIDs.
Para el hacker más decidido, un espectro el analizador puede ser usado para identificar, clasificar, y encontrar fuentes
de señales de RF Wi-Fi. Los analizadores de espectro modernos pueden identificar los tipos específicos de dispositivos
que causan la interferencia de RF y los rastrean a su posición física.
6.4.3 Soluciones de Seguridad Inalámbricas (1).
Las primeras redes de área local inalámbricas (WLANs) surgieron en 1990. Estos WLANs estaban totalmente abiertos, sin
autentificación o cifrado requerido. La primera opción de seguridad para WLANs era un identificador de juego de
servicio (SSID). Las realizaciones posteriores habilitaron el uso de SSIDs sin el APs transmitir el SSIDs.
El IEEE 802.11b estándar definió la Intimidad Equivalente Conectada (WEP) protocolo de seguridad para cifrar datos
entre la radio Punto-Final. Durante varios años, las realizaciones de WEP eran los únicos medios para asegurar WLANs.
Las debilidades en WEP llevaron al desarrollo de tecnologías más nuevas, basadas en protocolos, como Protocolo de
Integridad Clave Temporal (TKIP) y cifras, como el Estándar de Cifrado Anticipado (AES). Wi-Fi el Acceso Protegido (WPA)
pone en práctica TKIP y es más seguro que WEP. WPA2 pone en práctica AES y es más seguro que WPA. WPA2, una
realización interoperable de 802.11i, es actualmente el de tecnología avanzada en la seguridad inalámbrica.
A lo largo del camino, la autentificación fue añadida como una opción a asegurar WLANs y es ahora un componente
fundamental de la política de radio de empresa. El 802.11i la arquitectura especifica 802.1X para la autentificación,
implicando el uso de EAP y un servidor de autentificación.
6.4.3 Soluciones de Seguridad Inalámbricas (2).
Diseñando y usando redes inalámbricas, es una idea buena para el profesional de seguridad de red de mantener un nivel
apropiado de la paranoia. Las redes inalámbricas son muy atractivas a hackers.
Por suerte, si unas precauciones son tomadas, conectan a la red a administradores puede disminuir el riesgo para
usuarios inalámbricos. El administrador de red debería tener varias consideraciones de seguridad en cuenta:
• Las redes inalámbricas usando WEP o WPA/TKIP no son muy seguras y son vulnerables a cortar ataques.
• Las redes inalámbricas usando WPA2/AES deberían tener una frase de pase de al menos 21 carácteres.
• Si un IPsec VPN está disponible, úselo en cualquier red de área local inalámbrica pública.
• Si el acceso inalámbrico no es necesario, inhiba la radio inalámbrica o NIC inalámbrico.
Como un profesional de seguridad de red, desplegando una solución inalámbrica debería requerir absolutamente
WPA2/AES juntos con la autentificación. La autentificación debería ser manejada por un servidor de autentificación
centralizado.
6.4.4 Consideraciones de Seguridad de VoIP (1).
VoIP es la transmisión del tráfico de voz sobre redes basadas en el IP. El IP fue al principio diseñado para redes de datos,
pero su éxito en redes de datos ha llevado a su adaptación para expresar el tráfico.
VoIP se ha hecho popular en gran parte debido a la economía de costes sobre redes telefónicas tradicionales. En redes
telefónicas tradicionales, la mayor parte de personas pagan unos honorarios mensuales llanos de llamadas telefónicas
locales y un precio por minuto para llamadas de otra ciudad. Las llamadas de VoIP son colocadas usando el Internet, con
la mayor parte de conexiones de Internet cobradas unos honorarios mensuales llanos. La utilización de la conexión de
Internet tanto para tráfico de datos como para llamadas de voz permite que consumidores reduzcan su cuenta
telefónica mensual. Para llamadas internacionales, los ahorros monetarios pueden ser enormes.
Las ventajas comerciales que conducen realizaciones de redes de VoIP han cambiado con el tiempo. Comenzando con la
convergencia de medios simple, estas ventajas han evolucionado para incluir la convergencia de la inteligencia que
cambia la llamada y la experiencia de usuario total. Al principio, el retorno de la inversión (ROI) cálculos se centró en
ahorros de convergir-red y carretera de circunvalación del peaje. Aunque estos ahorros todavía sean relevantes hoy, los
anticipos en tecnologías de voz permiten que organizaciones y proveedores de servicio diferencien sus ofertas de
producto proporcionando aspectos anticipados.
VoIP tiene varias ventajas comerciales:
• Los gastos de llamada de telecom inferiores son significativos. Los proveedores de servicio de VoIP culpan hasta 50
por ciento menos para el servicio de conectividad telefónico.
• Los aumentos de productividad con el servicio de teléfono de VoIP pueden ser sustanciales. Algunos negocios han
relatado aumentos de productividad de hasta tres horas por semana, por empleado. Los aspectos tales que
encuentran mí/seguir mí, oficina remota, clic a la llamada, integración de Perspectiva, unificaron el correo vocal, la
vocación de conferencia, y las herramientas de colaboración habilitan aumentos de productividad.
• Muévase, añada, y los gastos de cambio son mucho más bajos. La flexibilidad de VoIP habilita fácilmente mover un
teléfono entre estaciones de trabajo.
• El servicio en curso y los gastos de mantenimiento pueden ser más bajos.
• Muchos sistemas VoIP requieren poca o ninguna formación de usuarios.
• La disminución de gastos de teléfono móvil como empleados hace llamadas vía su laptop en vez de su teléfono
móvil. Estas llamadas de red son la parte de los gastos de red y sólo cuestan la cantidad de la conexión de Internet
sí mismo.
• Los gastos de teléfono de teletrabajo son disminuidos y no hay ningunos honorarios de instalador principales. La
comunicación de voz ocurre sobre una conexión de banda ancha.
• VoIP habilita la mensajería unificada. Los sistemas de información son integrados.
• El cifrado de llamadas de voz es apoyado.
• Menos personal administrativo son necesarios para contestar a teléfonos.
Una red de voz de paquete, o red que apoya el tráfico de voz, tiene varios componentes:
• Los teléfonos de IP - Proporcionan la voz de IP al escritorio.

• El portero - Proporciona el Control de Admisión de Llamada (CAC), el control de ancho de banda y la dirección, y la
traducción de dirección.
• La pasarela - Proporciona la traducción entre VoIP y redes de non-VoIP, como el PSTN. Las pasarelas también
proporcionan el acceso físico a dispositivos de voz análogos y digitales locales, como teléfonos, faxes, juegos claves,
y PBXs.
• La unidad de control multipunto (MCU) - Proporciona la conectividad de tiempo real a participantes en posiciones
múltiples para asistir a la misma videoconferencia o reunión.
• Llame el agente - Proporciona el control de llamada a teléfonos de IP, CAC, control de ancho de banda y dirección, y
traducción de dirección. Cisco Gerentes de Comunicaciones Unificados y Cisco el Administrador de Comunicaciones
Unificado Business Edition amba función como los agentes de llamada.
• Los servidores de aplicación - Proporcionan servicios, como correo vocal y mensajería unificada, como la Unidad de
Cisco.
• La estación de videoconferencia - Proporciona el acceso a la participación de usuario final en videoconferencing. La
estación de videoconferencia contiene un dispositivo de captura de vídeo para el insumo de vídeo y un micrófono
para el insumo de audio. El usuario puede ver corrientes de vídeo y oír el audio que proviene en una estación de
usuario remota.
Otros componentes, como aplicaciones de voz de software, respuesta de voz interactiva (IVR) sistemas, y softphones,
proporcionan servicios adicionales para encontrar las necesidades de sitios web de empresa.
VoIP depende en un número de protocolos especializados, incluso H.323, Protocolo de Control de Pasarela de Medios
(MGCP), Protocolo de Iniciación de Sesión (SORBO), protocolo de control de llamada flaco (SCCP), y protocolo de tiempo
real RTP.
La comunicación de VoIP ocurre sobre la red de datos tradicional. Esto significa que asegurar la comunicación de voz
está directamente relacionado con asegurar la red de datos. Hay varias amenazas específicas para redes de VoIP.
Acceso no autorizado para expresar recursos
Los hackers pueden manipular sistemas de voz, identidades de usuario, y llamar por teléfono configuraciones, e
interceptar mensajes de correo de voz. Si los hackers ganan el acceso al sistema de correo de voz, ellos pueden cambiar
el saludo de correo de voz, que puede tener un impacto negativo a la imagen y la reputación de la compañía. Un hacker
que gana el acceso al PBX o pasarela de voz puede apagar puertas de voz o cambiar parámetros de encaminamiento de
la voz, afectando el acceso de voz en y por la red.
Comprometimiento de recursos de red
El objetivo de una red segura es asegurar que las aplicaciones, los procesos, y los usuarios pueden interoperar de
fuentes fidedignas y bien la utilización de los recursos de red compartidos. Como la infraestructura de red compartida
lleva voz y datos, la seguridad y el acceso a la infraestructura de red son críticos en asegurar funciones de voz. Como los
sistemas de voz de IP son instalados en una red de datos, ellos son objetivos potenciales para hackers que antes sólo
apuntaron ordenadores personales, servidores, y aplicaciones de datos. A hackers les ayudan en su búsqueda de
vulnerabilidades en sistemas de voz de IP los estándares abiertos y famosos y los protocolos que están usados por redes
de IP.
Escuchar a escondidas
Escuchar a escondidas implica la interceptación no autorizada de paquetes de voz o corrientes de medios RTP. Escuchar
a escondidas expone la información confidencial o patentada que es obtenida interceptando y volviendo a montar
paquetes en una corriente de voz. Los hackers usan una variedad de herramientas para escuchar a escondidas.
Ataques de DoS
Los ataques de DoS son definidos como el ataque malévolo o sobrecargar del equipo que trata la llamada para negar el
acceso a servicios por usuarios legítimos. La Mayor parte de DoS ataca la caída en una de tres categorías:
• La sobrecarga de recurso de red implica sobrecargar un recurso de red que se requiere para el funcionamiento
apropiado de un servicio. El recurso de red el más a menudo es el ancho de banda. El ataque de DoS consume todo
el ancho de banda disponible, haciendo a usuarios autorizados ser incapaces de tener acceso a los servicios
requeridos.
• El hambre de recurso de servidor implica consumir recursos de servidor críticos. Cuando el uso de estos recursos es
maximizado por el ataque de DoS, el servidor ya no puede responder para legalizar peticiones de servicio.
• El ataque de los límites implica usar estructura de paquete ilegal y datos inesperados, que pueden hacer que el
sistema operativo del sistema remoto se estrelle. Un ejemplo de este tipo del ataque usa combinaciones ilegales de
banderas de TCP. La mayor parte de pilas de TCP/IP son desarrolladas para responder para asignar el uso; ellos no
son desarrollados para anomalías. Cuando las pilas reciben datos ilegales, no podrían saber manejarse el paquete,
causando un fallo del sistema de sistema.
El spam de VoIP, o SPIT, es la difusión de mensajes de bulto voluntaria y no deseada sobre VoIP a los usuarios finales de
una red de empresa. Además de ser molesto, las llamadas de bulto de volumen alto pueden afectar considerablemente
la disponibilidad y la productividad del Punto-Final. Como las llamadas de bulto también son difíciles de remontar, ellos
pueden estar usados para fraude, uso no autorizado, y violaciones de intimidad.
Hasta ahora, el spam de VoIP es infrecuente, pero tiene el potencial para hacerse un problema principal. La SPIT podría
ser generada de un modo similar de enviar el spam por correo electrónico con botnets apuntando de millones de
usuarios VoIP de máquinas puestas en peligro.
El spam ha sido un problema durante años. El spam de e-mail comercial y malévolo voluntario ahora arregla la mayoría
de e-mail por todo el mundo. Por ejemplo, en Europa, según los analistas Radicati, 16 mil millones de mensajes de spam
fueron enviados cada día en 2006, representando el 62 por ciento de todos los mensajes de e-mail europeos. Se espera
que esta cifra aumente a los 37 mil millones de e-mails de spames un día hacia 2010. Hay preocupación que VoIP sufra el
mismo destino que el e-mail.
Otra preocupación por la SPIT es que los métodos de antispam de e-mail no trabajarán. La naturaleza de tiempo real de
llamadas de voz hace transacciones con la SPIT mucho más provocativas que el spam de e-mail. Los nuevos métodos
tienen que ser inventados para dirigirse a problemas de SPIT.
La Seguridad de Capa de Transporte Certificada (TLS) para los más ataques de SPIT, porque Punto-Final sólo aceptan
paquetes de dispositivos confiados.
• Si crece SPIT, como el spam, que podría resultar en problemas de denegación de regular los administradores
de red.
• Antispam métodos no bloquean SPIT.
• TLS autenticados para la mayoría debido a ataques SPIT TLS parámetros aceptar sólo los paquetes de
dispositivos de confianza.
Dos tipos comunes del fraude en redes de VoIP son el fraude de peaje y vishing.
Vishing (voz phishing) usa la telefonía para espigar la información, como detalles de cuenta directamente de usuarios.
Uno de los primeros casos relatados de vishing afectó PayPal. Las víctimas primero recibieron un e-mail que pretende
venir de PayPal la petición de ellos para verificar sus detalles de tarjeta de crédito sobre el teléfono. A aquellos que
llamaron el número les pidieron entonces escribir su número de la tarjeta de crédito usando el clavedo numérico.
Después de que el número de la tarjeta de crédito había sido entrado, los autores de este fraude eran capaces de robar
el dinero de la cuenta de sus víctimas.
A causa de más abajo costado de hacer llamadas de VoIP comparando con sistemas telefónicos estándares, los
atacantes pueden llamar a miles de personas para muy poco coste. Los usuarios todavía confían en el teléfono más que
la web, pero estas técnicas spamming puede minar la confianza de usuario en VoIP.
El fraude de peaje es el robo del servicio telefónico de fondo por el acceso no autorizado a un tronco PSTN (una línea
exterior) en el sistema de correo de voz o un PBX. El fraude de peaje es una industria ilegal de miles de millones de
dólares, y todas las organizaciones son vulnerables. El robo también puede ser definido como el uso del sistema de
telefonía tanto por usuarios autorizados como por no autorizados para tener acceso a números no autorizados, como
números de precio superiores.
Este fraude no es nuevo y PBXs siempre han sido vulnerables. La diferencia es que pocas personas podrían cortar en
PBXs, comparado con varias personas que activamente se rompen en sistemas de IP. Para proteger contra tal fraude,
conecte a la red aspectos de uso de administradores que existen en Cisco el Administrador de Comunicaciones Unificado
para controlar llamadas telefónicas, como filtros de plan de disco, particiones, o Códigos de Autorización Forzados
(FACs).
Otro crecimiento cuestión de seguridad de VoIP concierne el SORBO. Se espera que la adopción creciente del SORBO
para VoIP abra un completamente nuevo frente con la guerra de seguridad. El SORBO es un relativamente nuevo
protocolo que ofrece poca seguridad inherente. Algunas de sus características también lo dejan vulnerable a hackers,
como la utilización del texto para codificación y extensiones de SORBO que pueden crear agujeros de seguridad.
Los ejemplos de apaños para el SORBO incluyen el secuestro de registro, que permite que un hacker intercepte llamadas
entrantes y los reencamine; el mensaje manipular, que permite que un hacker modifique paquetes de datos que viajan
entre direcciones de SORBO; y el desmontaje de sesión, que permite que un hacker termine llamadas o realice un
ataque de DoS VoIP-apuntado inundando el sistema de peticiones de cierre.
Fraude toma varias formas:

• Vishing - Una voz de la versión de phishing que se utiliza para comprometer la confidencialidad.
• Robo de peaje y el fraude - El robo de los servicios telefónicos.
Utilizar las funciones de Gerente de Comunicaciones Unificadas de Cisco para proteger contra el fraude.
• Particiones limitar qué partes del plan de marcar algunos teléfonos pueden tener acceso.
• Marque el filtro de los planes de explotación de control de acceso a los números de teléfono.
• FACS impedir llamadas y proporcionar un mecanismo para el seguimiento.
Las vulnerabilidades de SIP.

• Registro de secuestro - Permite que un hacker para interceptar las llamadas entrantes y reroute ellos.
• Mensaje manipulación - Permite que un hacker para modificar los paquetes de datos que viajan entre
direcciones SIP.
• Sesión lacrimógenos hacia abajo - Permite que un hacker para terminar o realizar llamadas VoIP orientada por
los ataques de DoS.
6.4.5 Soluciones de Seguridad de VoIP (1).
Muchas soluciones de seguridad de IP sólo pueden ser puestas en práctica en la Capa 3 dispositivos. A causa de
arquitectura de protocolo, Capa 2 ofertas muy poca o ninguna seguridad inherente. El entendimiento y el
establecimiento de dominios de difusión son uno de los conceptos fundamentales en el diseño de redes de IP seguras.
Muchos simples los ataques aún peligrosos pueden ser lanzados si el dispositivo de ataque reside dentro del mismo
dominio de difusión que el sistema objetivo. Por esta razón, los teléfonos de IP, las pasarelas de VoIP, y las estaciones de
trabajo de dirección de red siempre deberían estar en su propio subred, separado del resto de la red de datos y el uno
del otro.
Para asegurar la intimidad de comunicaciones y la integridad, las corrientes de medios de voz deben ser protegidas de
escuchar a escondidas y manipular. Las tecnologías conectadas a una red por los datos, como el VLANs pueden
segmentar el tráfico de voz del tráfico de datos, previniendo el acceso a la voz VLAN de los datos VLAN. La utilización de
VLANs separado para voz y datos impide a cualquier atacante o ataque de la aplicación fisgonear o capturar otro tráfico
VLAN cuando esto cruza el alambre físico. Asegurándose que cada dispositivo conecta a la red usando una
infraestructura cambiada, las herramientas que huelen el paquete también pueden ser ejecutadas menos eficaces para
capturar el tráfico de usuario.
La asignación del tráfico de voz a VLANs específico segmentar lógicamente la voz y el tráfico de datos es una práctica
recomendada a nivel de toda la industria. Tanto como posible, los dispositivos que son identificados como dispositivos
de voz deberían ser restringidos a la voz dedicada VLANs. Este enfoque asegura que ellos sólo pueden comunicarse con
otros recursos de voz. Lo que es más importante el tráfico de voz es guardado lejos de la red de datos general, donde
podría ser más fácilmente interceptado o manipulado. Tener VLAN específico para la voz hace más fácil aplicar listas de
control de acceso VLAN (VACLs) para proteger el tráfico de voz.
Entendiendo los protocolos que están usados entre dispositivos en la red de VoIP, ACLs eficaz puede ser puesto en
práctica en la voz VLANs. Los teléfonos de IP sólo envian el tráfico de RTP el uno al otro, y ellos nunca tienen una razón
de enviar el TCP o el tráfico ICMP el uno al otro. Los teléfonos de IP realmente envian a unos cuantos TCP y protocolos
UDP para comunicarse con servidores. Muchos de los ataques de teléfono de IP pueden ser parados usando ACLs en la
voz VLANs para prevenir desviaciones de estos principios.
• Crea una emisión de dominio para el tráfico de voz.

• Protege contra la escucha y la manipulación.
• Presta paquetes inhalación herramientas menos eficaces.
• Hace más fácil de aplicar VACLs que son específicos de tráfico de voz.
Los cortafuegos inspeccionan paquetes y los emparejan contra reglas configuradas basadas en las puertas especificadas.
Es difícil especificar de antemano qué puertas estarán usadas en una llamada de voz porque las puertas son
dinámicamente negociadas durante el instalador de llamada.
Cisco ASA las Aplicaciones de Seguridad Adaptables inspeccionan protocolos de voz para asegurar que el SORBO, SCCP,
H.323, y las peticiones de MGCP se conforman para expresar estándares. Cisco Aplicaciones de Seguridad de ASA
Adaptive también puede proporcionar estas capacidades de ayudar a proteger el tráfico de voz:
• Asegure el SORBO, SCCP, H.323, y las peticiones de MGCP se conforman con estándares.
• Impida a métodos de SORBO inadecuados de ser enviado a Cisco el Administrador de Comunicaciones Unificado.
• El límite de precio BEBE A SORBOS peticiones.
• Haga cumplir la política de llamadas (whitelist, lista negra, visitante/abonado de destino, BEBA A SORBOS el
Identificador de Recurso Uniforme).
• Dinámicamente puertos libre para aplicaciones Cisco.
• Habilite sólo "teléfonos registrados" para hacer llamadas.
• Habilite la inspección de llamadas telefónicas cifradas.
Los Cisco IOS cortafuegos también proporcionan muchos de estos aspectos seguros.
VPNs extensamente son usados para proporcionar conexiones seguras con la red corporativa. Las conexiones pueden
provenir de una sucursal, una pequeña oficina/Ministerio de los asuntos interiores (SOHO), un teletrabajador, o un
usuario de conexión móvil internacional. IPsec puede estar usado para servicios de confidencialidad y autentificación.
Para facilitar el rendimiento, se recomienda que los túneles VPN se terminen dentro de un cortafuegos. El cortafuegos
es usado para inspeccionar y proteger los protocolos plaintext.
Desplegando VPNs a través del Internet o una red pública, es importante considerar la ausencia de calidad de servicio.
Donde posible, la calidad de servicio debería ser dirigida con el proveedor por un acuerdo de nivel de servicio (SLA). Un
SLA es un documento que los detalles los parámetros de calidad de servicio esperados para paquetes que pasan por la
red de proveedor.
Las comunicaciones de voz no trabajan bien (o a veces en absoluto) con la latencia. Como VPNs seguros cifran datos,
ellos pueden crear un cuello de botella de rendimiento cuando ellos tratan paquetes por su algoritmo de cifrado. El
problema por lo general empeora como aumentos de seguridad.
VoIP y estándar de cifrado de datos o 3DES los cifrados son totalmente compatibles el uno con el otro mientras el VPN
entrega el rendimiento necesario. Internacionalmente, las corporaciones podrían afrontar otras cuestiones que afectan
comunicaciones de voz. El Ministerio de Comercio estadounidense coloca restricciones de la exportación de la cierta
tecnología de cifrado. Por lo general, el estándar de cifrado de datos es exportable mientras 3DES no es. Sin embargo,
las prescripciones toman numerosas formas, de exclusiones de exportación totales que son aplicadas a ciertos países, al
permiso 3DES exportación a industrias específicas y usuarios. La mayor parte de corporaciones con VPNs que se
extienden fuera de los Estados Unidos deben averiguar si su proveedor VPN tiene productos exportables y como las
prescripciones de exportación afectan redes construidas con aquellos productos.
Recomendado de Prácticas de Seguridad para VoIP

• Utilice IPSec para la autenticación.
• Utilice IPSec para proteger todo el tráfico, no sólo de voz.
• Considere la posibilidad de SLA con el proveedor de servicios.
• Terminar en un concentrador de VPN de enrutador o grandes dentro de cortafuegos para obtener estos
beneficios:
Ejecución.
Reducción de la complejidad de configuración.
Gestionada organización o límites.
Asegurando el tráfico de voz, no olvide de asegurar a los servidores de aplicación de voz. Las versiones más nuevas de
Cisco el Administrador de Comunicaciones Unificado inhibe servicios innecesarios, inhiba nombres de usuario por
defecto, permita que imágenes sólo firmadas sean instaladas, tenga CSA instalado, y apoye protocolos de dirección
seguros.
Combinando la seguridad de transporte que es proporcionada por redes de área local seguras, cortafuegos, y VPNs con
la aplicación y aspectos de seguridad de servidor disponibles con el Cisco Administrador de Comunicaciones Unificado y
teléfonos de IP Cisco, es posible tener un ambiente de telefonía de IP muy seguro.
Asegurar Teléfonos IP
• Utilice firmware firmado.
• Usar los archivos de configuración firmado.
• Desactivar.
o PC o puerto.
o Botón Configuración.
o Altavoz.
o Acceso al Web.
6.4.6 Consideraciones de Seguridad SAN (1).
UN SAN es una red especializada que habilita el acceso rápido, confiable entre servidores y recursos de almacenaje
externos. En un SAN, un dispositivo de almacenaje no es la propiedad exclusiva de cualquier servidor. Mejor dicho, los
dispositivos de almacenaje son compartidos entre todos los servidores conectados a la red como recursos de par. Como
una red de área local puede ser usada para conectar a clientes a servidores, un SAN puede ser usado para conectar a
servidores al almacenaje, servidores el uno al otro, y almacenaje al almacenaje.
UN SAN no tiene que ser una red físicamente separada. Puede ser un subred dedicado que lleva el tráfico de
entrada-salida sólo comercial y crítico entre dispositivos de almacenaje y servidores. Un SAN, por ejemplo, no llevaría el
tráfico de uso general, como el e-mail u otras aplicaciones de usuario final. Sería limitado con el tráfico de
entrada-salida, como la lectura de un archivo de un disco o escritura de un archivo a un disco. Este enfoque de red
ayuda a evitar el compromiso inaceptable y rendimiento reducido que es inherente cuando una red sola está usada para
todas las aplicaciones.
El tiempo de indisponibilidad de servidor y red cuesta a compañías sumas grandes del dinero en pérdidas de
productividad y negocio. Al mismo tiempo, la cantidad de información para ser manejada y almacenada aumenta
dramáticamente cada año.
SANs ofrecen una respuesta al volumen creciente de datos que deben ser almacenados en un ambiente de red de
empresa. Poniendo en práctica un SAN, los usuarios pueden descargar el tráfico de almacenaje de las operaciones de
red diarias y establecer una conexión directa entre medios de almacenaje y servidores.
SANs en infraestructuras de empresa evolucionan rápidamente para encontrar tres exigencias comerciales primarias:
• Reduzca capital y gastos operativos.

• Agilidad de aumento para apoyar prioridades comerciales que cambian, exigencias de aplicación, y crecimiento de
ingresos.
• Mejore la réplica de fondo, la copia de seguridad, y la recuperación para encontrar exigencias reguladoras e
industria las mejores prácticas.
Cisco proporciona un enfoque por toda la empresa al despliegue de SANs ampliable, muy disponible, y más fácilmente
administrado. Las soluciones de Cisco para SANs inteligente son una parte integrante de una arquitectura de centro de
datos de empresa. Cisco soluciones SAN proporcionan un medio preferido de tener acceso, dirección, y protección de
recursos de información a través de una variedad de tecnologías de transporte SAN. Éstos incluyen Canal de Fibra
consolidado, Canal de Fibra sobre el IP (FCIP), Internet Pequeña Interface de Sistemas de Ordenador (iSCSI), Gigabit
Ethernet, o red óptica.
Todas las tecnologías de transporte SAN principales están basadas en el modelo de comunicaciones SCSI. Desde muchos
puntos de vista, un SAN puede ser descrito como la fusión de SCSI y redes. El protocolo de orden de SCSI es el estándar
de facto que está usado extensivamente en aplicaciones de almacenaje de alto rendimiento. La parte de orden de SCSI
puede ser transportada sobre un Canal de Fibra SAN o encapsulado en el IP y llevó a través de redes de IP.
Hay tres tecnologías de transporte SAN principales:
• Canal de Fibra - Esta tecnología es el transporte SAN primario para la conectividad de SERVIDOR SAN.
Tradicionalmente, SANs han requerido que una infraestructura dedicada separada interconecte sistemas de
almacenaje y servidores. El protocolo de transporte primario para esta interconexión ha sido el Canal de Fibra. Las
redes de Canal de fibra proporcionan un transporte consecutivo al protocolo SCSI.
• iSCSI - Mapas SCSI sobre TCP/IP. Esto es otro modelo de conectividad de SERVIDOR SAN que está típicamente usado
en la red de área local. Un iSCSI reforza una inversión en redes de IP existentes para construir y ampliar el SANs.
Esto es llevado a cabo usando el TCP/IP para transportar órdenes de SCSI, datos, y estado entre servidores o
iniciadores y dispositivos de almacenaje u objetivos, como subsistemas de almacenaje y dispositivos de cinta.
• FCIP - modelo de conectividad SAN SAN Popular que a menudo está usado sobre el WAN o HOMBRE (red de área
metropolitana). Los diseñadores SAN pueden usar el protocolo de FCIP abierto y estándar para romper la barrera de
distancia de soluciones de Canal de Fibra corrientes y habilitar la interconexión de islas SAN sobre distancias
ampliadas.
En el almacenaje de ordenador, un número de unidad lógico (LUN) es una dirección de 64 bits para una unidad de discos
individual y, por la extensión, el dispositivo de disco sí mismo. El término está usado en el protocolo SCSI como un modo
de diferenciar unidades de discos individuales dentro de un dispositivo de objetivo de SCSI común, como una matriz de
disco.
El enmascaramiento de LUN es un proceso de autorización que pone un LUN a disposición de algunos servidores y no
disponible a otros servidores. El enmascaramiento de LUN es puesto en práctica principalmente en el adaptador de
ducto de servidor (HBA) nivel. El enmascaramiento de LUN que es puesto en práctica a este nivel es vulnerable a
cualquier ataque que pone en peligro el HBA.
Las ventajas de seguridad del enmascaramiento de LUN son limitadas porque, con muchos HBAs, es posible forjar
direcciones de la fuente. El enmascaramiento de LUN es principalmente un modo de proteger contra servidores
descarriados que corrompen discos que pertenecen a otros servidores.
Por ejemplo, servidores de Windows que son adjuntados a un SAN volúmenes de no Windows a veces corrompidos
intentando escribir etiquetas de volumen de Windows a ellos. Escondiendo el LUNs de los volúmenes de no Windows
del servidor de Windows, esto puede ser prevenido porque el servidor de Windows no realiza hasta que los volúmenes
de no Windows existen.
Hoy, LUNs no son normalmente unidades de discos individuales, pero particiones virtuales (o volúmenes) de una Matriz
Redundante de Discos Independientes (INCURSIÓN) juego.
Por todo el mundo el nombre (WWN) es una dirección de 64 bits que las redes de Canal de Fibra usan para identificar
únicamente cada elemento en una red de Canal de Fibra.
La división por zonas puede utilizar WWNs para adjudicar permisos de seguridad. La división por zonas también puede
usar a servidores de nombre en los switches para permitir o bloquear el acceso a WWNs particular en la tela.
El uso de WWNs con objetivos de seguridad es intrínsecamente inseguro, porque el WWN de un dispositivo es un
parámetro configurable por el usuario. La división por zonas que usa WWNs es susceptible al acceso no autorizado,
porque la zona puede ser evitada si un atacante es capaz a la burla el WWN de un adaptador de ducto de servidor
autorizado (HBA). Un HBA es un adaptador de entrada-salida que se sienta entre el ducto del servidor y la repetición de
Canal de Fibra y maneja la transferencia de información entre los dos canales.
En redes de almacenaje, la división por zonas de Canal de Fibra es la división de una tela de Canal de Fibra en
subconjuntos más pequeños. Si un SAN contiene varios dispositivos de almacenaje, un dispositivo no necesariamente
debería ser permitido relacionarse con todos los otros dispositivos en el SAN.
La división por zonas es a veces confundida con el enmascaramiento de LUN, porque ambos procesos tienen los mismos
objetivos. La diferencia es que la división por zonas es puesta en práctica en switches de tela mientras el
enmascaramiento de LUN es realizado en dispositivos Punto-Final. La división por zonas también es potencialmente más
segura. Los miembros zonales ven a sólo otros miembros de la zona. Los dispositivos pueden ser miembros de más de
una zona.
Hay algunas reglas simples de tener presente para dividir en zonas la operación:
• Los miembros zonales ven a sólo otros miembros de la zona.

• Las zonas pueden ser configuradas dinámicamente basadas en WWN.
• Los dispositivos pueden ser miembros de más de una zona.
• La división por zonas de tela cambiada puede ocurrir en la puerta o nivel de dispositivo, basado en la puerta de
conmutador física, dispositivo WWN, o identificación LUN.
La división por zonas de tela de Canal de fibra tiene la ventaja de asegurar el acceso de dispositivo y permitir la
coexistencia de sistema operativo. La división por zonas sólo se aplica a la topología de tela cambiada; esto no existe en
topologías de Canal de Fibra más simples.
Una red de área de almacenaje virtual (VSAN) es una colección de puertas de un juego de switches de Canal de Fibra
conectados que forman una tela virtual. Las puertas pueden ser paritioned dentro de un conmutador solo en VSANs
múltiple. Además, switches múltiples pueden afiliarse a cualquier número de puertas para formar VSAN solo. En esta
manera, VSANs fuertemente se parecen a VLANs. Como VLANs, el tráfico es etiquetado cuando esto cruza enlaces de
interconmutador con la identificación VSAN.
Los acontecimientos de tela son aislados por VSAN. VSANs utilizan el aislamiento basado en el hardware, significando
que el tráfico es explícitamente etiquetado a través de enlaces de interconmutador con la información de ingreso VSAN.
La estadística también puede ser juntada en un por - VSAN base.
VSANs fueron al principio inventados por Cisco, pero ellos han sido adoptados ahora como estándares ANSI.
6.4.7 unas Soluciones de Seguridad SAN (1).
A fin de asegurar SANs, es necesario asegurar la tela SAN, cualquier servidor que adjunta, y los discos actuales.
Hay seis áreas críticas para considerar asegurando un SAN:
• La dirección SAN - Asegura los servicios de dirección que son usados para administrar el SAN.
• Acceso de tela - acceso Seguro a la tela. La tela SAN se refiere al hardware que conecta a servidores a dispositivos
de almacenaje.
• Acceso objetivo - acceso Seguro a dispositivos de almacenaje (objetivos) y LUNs.
• Los protocolos SAN - Aseguran los protocolos que están usados en la comunicación de conmutador a conmutador.
• El acceso de almacenaje de IP - Asegura FCIP e iSCSI.
• La integridad de datos y el secreto - Cifran datos cuando esto cruza redes así como cuando almacenado en discos.
6.4.7 Soluciones de Seguridad SAN (2).
Hay varios tipos de herramientas de DIRECCIÓN SAN disponibles que puede manejar el rendimiento de nivel del
dispositivo y el rendimiento de nivel de aplicación, así como el reportaje de oferta y supervisar de servicios. Todo lo que
las herramientas de DIRECCIÓN SAN están usadas, asegure que el acceso a las herramientas de dirección es seguro.
Manejando un SAN, hay otras preocupaciones de seguridad para considerar:
• La interrupción del procesamiento de conmutador - un ataque de DoS puede causar la carga excesiva en la unidad
central de proceso, ejecutando la unidad central de proceso incapaz de reaccionar a acontecimientos de tela.
• El compromiso de tela - configuraciones Cambiadas o configuraciones perdidas puede causar cambios en los
servicios configurados o puertas.
• El compromiso de integridad de datos y confidencialidad - Violación de los datos actuales pone en peligro la
integridad y la confidencialidad de la información almacenada.
Para asegurar la integridad de datos de aplicación, la integridad de LUN, y el rendimiento de aplicación, es necesario
asegurar tanto la tela como el acceso objetivo.
Si la tela y el acceso objetivo no son seguros, esto puede causar el acceso no autorizado a datos. El acceso no autorizado
significa que la integridad y la confidencialidad han sido ambos violadas. Los datos también pueden ser corrompidos o
borrados. Si el LUN está puesto en peligro por casualidad o intencionadamente, los datos pueden ser perdidos y la
disponibilidad puede ser amenazada. Finalmente, el rendimiento de aplicación y la disponibilidad pueden ser afectados
por entrada-salida innecesaria o acontecimientos de tela porque el procesador es guardado más ocupado que
requerido.
Para prevenir estos tipos de cuestiones, use VSANs y división por zonas.
VSANs y las zonas son tecnologías complementarias que trabajan bien juntos como un control de seguridad en un SAN.
El primer paso en configurar estos protocolos elogiosos debe asociar las puertas físicas con un VSAN, mucho como
puertas de conmutador que se asocian con VLANs, y luego lógicamente división del VSANs en zonas.
La división por zonas es el mecanismo principal para asegurar el acceso a objetivos SAN (disco y cinta). Hay dos métodos
principales de dividir en zonas, difícil y suave. La división por zonas suave restringe los servicios de nombre de tela,
mostrando un dispositivo sólo un subconjunto permitido de dispositivos. Cuando un servidor mira el contenido de la
tela, sólo ve los dispositivos que se permite ver. Sin embargo, cualquier servidor todavía puede intentar ponerse en
contacto con otros dispositivos en la red basada en sus direcciones.
En contraste, la división por zonas difícil restringe la comunicación a través de una tela. Esta división por zonas está más
comúnmente usada porque es más seguro.
Para asegurar datos durante la transmisión, varias técnicas son empleadas. el iSCSI reforza muchas estrategias que son
comunes a redes de IP. Por ejemplo, el IP ACLs son análogos a zonas de Canal de Fibra, VLANs es similar a VSANs, e IEEE
802.1X la seguridad de puerta se parece a la seguridad de puerta de Canal de Fibra.
Para la seguridad de transmisión de información, vario cifrado y protocolos de autentificación son apoyados:
• Protocolo de Autentificación de Diálogo inicial de Desafío de Diffie-Hellman (DH-CAPÍTULO)

• Protocolo de Autentificación de Canal de Fibra (FCAP).
• Protocolo de Autentificación de Contraseña de Canal de Fibra (FCPAP).
• Encapsulación de Carga útil de Seguridad (ESP).
• Protocolo de Seguridad de Canal de Fibra (FC-SP).
La seguridad de FCIP reforza muchos aspectos de seguridad de IP en direccionadors IOS-basados Cisco:
• IPsec para seguridad sobre empresas de transporte público.

• Servicios de cifrado rápidos en hardware especializado.
• Filtración de cortafuegos.
SANs que asegura completa el proceso de asegurar la red de área local: asegure el Punto-Final, los switches , el
ambiente inalámbrico, la infraestructura VoIP, y el SANs.
En asegurar la red de área local, varias referencias a IPsec han sido hechas. IPsec es un medio de cifrar datos entre
Punto-Final, tal como dentro de un túnel VPN. Para entender como IPsec trabaja, un entendimiento básico de la
cryptografía es necesario.
iSCSI aprovecha muchas de las características de seguridad inherentes a través de Ethernet y IP:
• ACL son como zonas de canal de fibra.
• VLAN son como Fibre Channel VSANs.
• 802.1X protección portuaria es como Fibre Channel de la protección portuaria.
FCIP seguridad IP aprovecha muchos elementos de seguridad en Cisco IOS basadas en los routers:
• IPSec VPN a través de conexiones aéreas.
• Alta velocidad de cifrado de hardware especializado en servicios.
• Se puede ejecutar a través de un firewall.
6.5 Capítulo Resumen.
6.5.1 Capítulo Resumen.
• La seguridad de Punto-Final implica a servidores de estación de trabajo que aseguran, switches , dispositivos
inalámbricos, dispositivos de telefonía de IP, y dispositivos SAN.
• El Cisco IronPort es un proveedor principal de antispam, antivirus, y aplicaciones anti-spyware.
• El Cisco NAC permite que sistema sólo autorizado y dócil tenga acceso a la red y hace cumplir la política de
seguridad de red.
• CSA es un sistema de prevención de intrusión de servidor completo, muy ampliable.
• En la Capa 2, varias vulnerabilidades existen lo que requiere se especializó técnicas de mitigación.

• MAC se dirigen los ataques de spoofing son minimizados con la seguridad de puerta.
• Los ataques de manipulación de STP son manejados por guardia de BPU y guardia de raíz.
• Los ataques de desbordamiento de tabla de dirección de MAC son dirigidos con seguridad de puerta, guardia de
BPU, y guardia de raíz.
• El control tormentoso es usado para mitigar ataques de tormenta de red de área local.
• Los ataques de VLAN son controlados inhibiendo DTP y después de pautas básicas para configurar puertas de
tronco.
• La seguridad de puerta proporciona una solución de seguridad de línea de fondo en la Capa de Acceso.
• La seguridad de puerta es verificada usando las órdenes show de CLI y la orden de notificación mac address-table.
• La guardia de BPU y la guardia de raíz son diseñadas para mitigar aguardientes de palma STP.
• LA SPAN Habilita a puerta mirroting, que permite que trafiic sea supervisado por un conmutador.
• RSPAN amplía la funcionalidad de SPAN a switches múltiples y los troncos que los conectan.
• La Capa Recomendada 2 prácticas, sobre todo para VLAN y configuración de tronco, enormemente mejora la Capa 2
seguridad.
• Las redes de empresa modernas despliegan la radio, VoIP, y los dispositivos SAN que requieren se especializaron
soluciones de seguridad.
• Las tecnologías inalámbricas son las más propensas para conectar a la red ataques. Varios techonologies han
evolucionado para mitigar estos ataques.
• Con la adopción aumentada de VoIP, varias consideraciones de seguridad específicas para la tecnología VoIP han
surgido. Los anticipos recientes en la seguridad VoIP se dirigen a muchas de estas preocupaciones.
• La tecnología SAN habilita faste, acceso más fácil, más confiable a datos. Asegurar datos es supremo, entonces las
tecnologías se han desarrollado expresamente para asegurar SANs y asegurar la integridad de datos y el secreto.

6-Asegurando La Red de Area Local

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

6-Asegurando La Red de Area Local

Cargado por

Copyright:

Formatos disponibles

6. Asegurar la Red de área local.

6.0 Capítulo Introducción.

En este capítulo, usted:

6.1.1 Introducción a la Seguridad del Punto-Final (1).

6.1.1 Introducción a la Seguridad del Punto-Final (3).

Los sistemas operativos proporcionan servicios de seguridad básicos a aplicaciones:

IronPort ofrece aplicaciones de seguridad diferentes:

• • C-serie - Una aplicación de seguridad de e-mail para virus y control de spam.

6.1.2 Seguridad de Punto-Final con IronPort (2).

Los Cisco NAC productos vienen a dos categorías generales:

6.1.3 Seguridad de Punto-Final con Control de Admisión de Red (2).

Cuando desplegado, el Cisco NAC Aplicación proporciona varias ventajas:

El Cisco NAC proceso de Aplicación implica varios pasos:

• • Paso 1. El usuario intenta tener acceso a un recurso de red.

6.1.3 Seguridad de Punto-Final con Control de Admisión de Red (5).

El modelo de arquitectura CSA consiste en dos componentes:

• Un mensaje de error apropiado es pasado atrás a la aplicación.

CSA proporciona la protección por el despliegue de cuatro interceptores:

Interceptando la comunicación entre aplicaciones y el sistema subyacente, CSA combina la funcionalidad de

• Cortafuegos distribuido - El interceptor de red realiza las funciones de un cortafuegos de servidor.

6.1.4 Seguridad de Punto-Final con Agente de Seguridad Cisco (4).

6.2.1 Introducción a la Seguridad en la Capa 2 (1).

6.2.1 Introducción a la Seguridad en la Capa 2 (2).

6.2.2 Ataques Spoofing de Direcciones MAC (2).

6.2.3 Ataques por Desbordamiento de la Tabla de direcciones MAC (2).

6.2.4 Ataques de Manipulación de STP (2).

6.2.5 Ataque de Tormenta en la LAN (1). (2).

6.3.1 Configurar la Seguridad de Puerto (1).

6.3.1 Configurar la Seguridad de Puerto (2).

Paso 1. Configure una interface como una interface de acceso.

Switch(config-if)# switchport mode access

Paso 2. Habilite la seguridad de puerta en la interface usando la seguridad de la puerta switchport.

La sintaxis completa incluye varios parámetros opcionales.

Switch(config-if)# switchport port-security [mac-address mac-address [vlan {vlan-id | {access | voice}}]] |

Switch(config-if)# switchport port-security maximum value

La variedad es 1 a 132. Por defecto es 1.

Switch(config-if)# switchport port-security violation {protect | restrict | shutdown | shutdown vlan}

Paso 2. Escriba una dirección de MAC segura estática para la interface.

Switch(config-if)# switchport port-security mac-address mac-address

Paso 3. Habilite el aprendizaje pegajoso en la interface.

Switch(config-if)# switchport port-security mac-address sticky

6.3.1 Configurar la Seguridad de Puerto (5).

Switch(config-if)#switchport mode access

Switch(config-if)#switchport port-security maximum 2

Switch(config-if)#switchport port-security violation shutdown

Switch(config-if)#switchport port-security mac-address sticky

Switch(config-if)#switchport port-security aging time 120

6.3.2 Verificación de la Seguridad de Puertos (2).

6.3.2 Verificación de la Seguridad de Puertos (3).

Switch(config)# spanning-tree portfast default

Este orden configura Portfast en una interface.

Switch(config-if)# spanning-tree portfast

Este orden verifica que PortFast ha sido configurado en una interface.

Switch# show running-config interface FastEthernet 0/8

6.3.3 Guardia de Raíz y Guardia de BPDU que configura (2).

Switch(config)# spanning-tree portfast bpduguard default

Switch# show spanning-tree summary

Root bridge for: VLAN0001, VLAN0004-VLAN1005

EtherChannel misconfiguration guard is enabled

Extended system ID is enabled

Portfast is enabled by default

PortFast BPDU Guard is enabled