Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Introducción
remoto.
s
.e
i on
ac
m
or
ef
o nd
ti
es
.g
al
et
em
nf
co
confemetal.gestiondeformacion.es
1 / 22
[AFO018569] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[MOD016760] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[UDI098608] SEGURIDAD.
Objetivos
s
.e
on
i
ac
m
or
ef
o nd
ti
es
.g
al
et
em
nf
co
confemetal.gestiondeformacion.es
2 / 22
[AFO018569] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[MOD016760] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[UDI098608] SEGURIDAD.
Mapa Conceptual
[[[Elemento Multimedia]]]
s
.e
on
i
ac
m
or
ef
o nd
ti
es
.g
al
et
em
nf
co
confemetal.gestiondeformacion.es
3 / 22
[AFO018569] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[MOD016760] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[UDI098608] SEGURIDAD.
Las redes empresariales deben enfrentar una creciente cantidad y variedad de ataques maliciosos.
Las soluciones del sistema (IPS) de Cisco® identifican, clasifican y detienen con precisión el tráfico
central de la Red de autodefensa de Cisco, las soluciones Cisco IPS proporcionan una protección
s
contra amenazas que lidera el mercado mediante una exclusiva integración, colaboración y
.e
on
adaptación de funciones en toda la red.
i
Integración
ac
m
Las soluciones Cisco IPS evitan las amenazas de múltiples vectores, como puntos terminales de
or
red, servidor y escritorio. Las soluciones son compatibles con múltiples plataformas de Cisco. Las
ef
soluciones Cisco IPS protegen la red contra infracciones a las políticas de seguridad, explotaciones
nd
de vulnerabilidades y toda actividad anómala mediante la inspección detallada del tráfico en las
o
confemetal.gestiondeformacion.es
4 / 22
[AFO018569] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[MOD016760] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[UDI098608] SEGURIDAD.
Antiguamente, la mayoría de los ataques se realizaban desde fuera de la red. Hoy día esto se ha
invertido y sucede justamente al contrario. Pensad que un usuario dentro de nuestra LAN ya ha
s
.e
Esto provocará que sea mucho más fácil el acceso ilícito a la información, lo que se traduce en que
on
es el propio trabajador de una empresa el que va a intentar recabar todo lo posible. Por ello, es muy
i
ac
importante que validemos a cada usuario, que realicemos un accouting de cada acceso permitido y
m
no permitido y restrinjamos lo necesario a que se tiene acceso de cada momento.
or
Además, al trabajar en una capa más cercana a la física, podemos evitar todo tipo de ataque de
ef
capas superiores. Por ejemplo, si evitamos la incorrecta autenticación de un cliente a nuestra
nd
intranet, le haremos imposible que después intente acceder a una red de almacenamiento o haga
o
Tipos de ataque
.g
La mayoría de los ataques a nivel de capa 2 tienen como objetivo invalidar y acceder a la
al
información que manejan los Switches. Según se ha visto en el CCNA, estos equipos llevan una labor
et
muy importante a la hora de conmutar la información entre los hosts y evitan bucles mediante el
em
algoritmo spanning-tree.
nf
Modificar cualquiera de estos comportamientos puede provocar que una red se vuelva inestable o
co
que tengamos acceso a una información que nos es vetada. De nuevo habrá que asegurar el entorno
Vamos a ver ahora los ataques más comunes que nos podemos encontrar a este nivel, para después
Suplantación de MAC
confemetal.gestiondeformacion.es
5 / 22
[AFO018569] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[MOD016760] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[UDI098608] SEGURIDAD.
Existe un ordenador A validado a través de su MAC que obtiene todos los permisos para acceder a
los recursos de nuestra SAN (Storage Area Network). Si nuestra seguridad se basa solo en eso,
autenticación a nivel de capa 2, existe el riesgo de que otro ordenador pueda ejecutar un software
que permita ocultar su MAC y utilizar la del host A. Recordad que la dirección física se guarda en la
ROM de la tarjeta de red y éste se pasa a la RAM una vez se enciende. Mientras no podemos
modificar la información guardada en la memoria de solo lectura, la volátil puede ser modificada en
cualquier momento, incluso por el propio Windows si los drivers así lo permiten.
s
.e
Como no suele ser el caso, herramientas como CAIN o programas tales como wifiway te permite
on
realizar tales propósitos. Fijaros que cuando se intenta romper la seguridad de una red inalámbrica
el router wifi puede tener un filtrado de MAC que permita conectarse a la red solo a ciertos equipos.
i
ac
Si podemos escanear la red y ver los equipos asociados, sabemos que su MAC está validado ante el
m
router. Es por eso que, por ejemplo, tal como veis en pantalla, este tipo de S.O tiene una opción por
or
la que nos podemos hacer pasar por otro equipo mediante el uso de su direccionamiento físico.
ef
o nd
ti
es
.g
al
et
em
nf
co
Cuando un Switch recibe una trama, agrega a su tabla CAM la dirección origen, pues sabe que a
través de esa interfaz está accesible el ordenador. Si nosotros simplemente enviamos una trama
cuya MAC origen sea otra, el Switch de manera predeterminada agregara esta MAC y enviará la
confemetal.gestiondeformacion.es
6 / 22
[AFO018569] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[MOD016760] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[UDI098608] SEGURIDAD.
s
.e
i on
ac
Pensad, también, que si quiero realizar un ataque, ante el temor de dejar trazas en la red, puedo
suplantar (spoofing) otra MAC y que parezca que ha sido ese equipo el que ha realizado el ataque.
m
IRONPORT or
ef
nd
CISCO Ironport Email Security es una herramienta que protege la red frente a los ataques
provenientes del correo electrónico. Los ataques de este tipo son sofisticados y utilizan la
o
ti
información personal e ingeniería social para engañar y dirigir a sitios maliciosos con malware, a los
es
usuarios.
.g
herramientas y recursos humanos para poder hacerlos frente y prever los futuros. CISCO Email
et
Security Appliance (ESA) es capaz de implantar una solución incluso un paso por delante de las
em
Estos dispositivos integrales defienden contra el spam, malware, suplantación de identidad y pérdida
co
de datos.
El servicio CISCO Talos, integrado en ESA, nos proporciona una vista gráfica de actividad global del
tráfico. Esto nos permite auditar la red, encontrar y prever amenazas y la tendencia/uso del tráfico.
confemetal.gestiondeformacion.es
7 / 22
[AFO018569] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[MOD016760] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[UDI098608] SEGURIDAD.
Cumplir con las exigencias de seguridad para la mensajería segura con cifrados seguros.
ASA
Los dispositivos CISCO Adaptative Security Appliance (ASA), protegen la red empresarial
proporcionando a los usuarios un acceso seguro a los datos. Ofrece funciones de Firewll de clase
s
.e
empresarial. Integra otras tecnologías de seguridad para así poder ofrecer soluciones completas de
on
seguridad en constante evolución.
i
ac
Entre las ventajas de utilizar el software ASA, estas son las más destacables:
m
Funciones integradas de IPS, VPN y comunicaciones unificadas.
or
Ayuda a aumentar la capacidad empresarial y a mejorar el rendimiento por la posibilidad de la
ef
formación de clústeres.
nd
Ofrece identificación de contexto de seguridad con CISCO TrustSec y firewall con detección de
ti
es
identidad.
.g
Se integra con CISCO Cloud Web Security para ofrecer protección de amenazas basadas en la
em
web.
nf
NAC
co
Con la solución de control de admisión de red de CISCO, nos permite autenticar a usuarios y
dispositivos cableados, inalámbricos y VPN en la red. Evalúa y remedia las políticas de acceso a un
dispositivo que quiere acceder a la red. Otra función es diferenciar el acceso basado en roles y luego
La solución NAC es fácil de implementar y el cumplimiento de gran alcance con la solución CISCO
confemetal.gestiondeformacion.es
8 / 22
[AFO018569] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[MOD016760] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[UDI098608] SEGURIDAD.
Ayuda a mitigar proactivamente las amenazas de la red como virus, gusanos y spyware.
Admite el inicio de sesión único sin interrupciones, a través de un agente con autenticación
automática.
Aplica políticas para todos los escenarios operativos, sin requerir productos separados o
módulos adicionales.
s
Aplica servicios de evaluación de postura y corrección a una variedad de dispositivos, sistemas
.e
operativos y métodos de acceso a dispositivos que incluyen LAN, WLAN, WAN y VPN.
on
Aplica políticas de seguridad bloqueando, aislando y reparando máquinas que no cumplen las
i
ac
normas en un área de cuarentena sin necesidad de atención del administrador.
m
Aborda las vulnerabilidades en las máquinas de los usuarios a través de evaluaciones
periódicas y soluciones.
or
ef
Le reporta importantes ahorros, rastreando, repararando y actualizando automáticamente las
nd
Reconoce y categoriza a los usuarios y sus dispositivos antes de que un código malicioso pueda
o
ti
causar daños.
es
CSA
em
intrusiones desde 2003 hasta el 2010 cuando CISCO anunció el final de la vida útil de CSA sin
co
ofrecer ningún producto de reemplazo hasta mediados del 2010 cuando recomienda el uso de Deep
CSA fue la primera solución de seguridad de punto final que combina protección contra ataques de
Herramienta que protege la red frente a los ataques provenientes del correo
electrónico:
confemetal.gestiondeformacion.es
9 / 22
[AFO018569] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[MOD016760] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[UDI098608] SEGURIDAD.
ACL'S
s
.e
on
i
ac
m
or
ef
ond
ti
es
.g
al
et
em
nf
co
confemetal.gestiondeformacion.es
10 / 22
[AFO018569] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[MOD016760] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[UDI098608] SEGURIDAD.
Ya sabemos que cuando un Switch recibe una trama, aprende su MAC agregándola a la tabla CAM
pueda recibir de los puertos de acceso, sino por todos los troncales.
s
Nos fijamos en la siguiente topología:
.e
i on
ac
m
or
ef
o nd
ti
es
.g
al
et
em
nf
Si la red conectada al Switch, mil veces más complejas, divididas en multitud de VLANs, el Switch 1
no solo debería conocer todas las MAC de sus clientes directamente conectados, sino, que tiene que
co
almacenar individualmente cada una de las direcciones disponibles a través del enlace troncal. Si el
PC 3 envía una trama con destino PC 2, cuando llega al Switch 0, este aprende la MAC origen y si
conoce el destino, la envía a través del puerto correspondiente hacia el Switch 1. Cuando el equipo
Cisco a través del enlace troncal lee la información, agrega la MAC del PC3 a su tabla CAM. Así la
próxima vez que alguien quiera llegar a ese ordenador, sabe que lo debe reenviar por el enlace que
El tamaño de la tabla CAM varía en función de los equipos, pero de media pueden almacenar hasta
confemetal.gestiondeformacion.es
11 / 22
[AFO018569] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[MOD016760] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[UDI098608] SEGURIDAD.
300 mil entradas. Si llega el momento que esa información sobrepasa lo que físicamente puede
almacenar el Switch, se saturará y no aprenderá nuevas entradas. Entonces trabajará como hace un
hub, inundando con cada información que reciba, por todos los puertos excepto el origen. Esto
puede motivar que tengamos acceso a una información que antes no podríamos leer y provocar de
manera muy sencilla un ataque DOS al saturar de trafico todos los puertos y bajando el rendimiento
de la red.
s
.e
i on
ac
m
or
ef
o nd
ti
es
.g
al
et
em
nf
co
confemetal.gestiondeformacion.es
12 / 22
[AFO018569] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[MOD016760] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[UDI098608] SEGURIDAD.
Seguridad de puertos
Con el objetivo de incrementar la seguridad en una red LAN es posible implementar seguridad de
puertos en los switches de capa de acceso o capa 2, de manera de permitir que a cada puerto se
conecte sólo la estación autorizada. Para ello, Cisco provee port security, un mecanismo bastante
s
.e
Se configura manualmente.
on
Se agrega a la tabla de direcciones MAC.
i
ac
Se guarda en la running-config.
m
Se puede hacer permanente guardando la configuración.
or
ef
Comando:
nd
Comando:
nf
co
SwA(config-if)#switchport port-security
Se almacena en la running-config.
confemetal.gestiondeformacion.es
13 / 22
[AFO018569] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[MOD016760] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[UDI098608] SEGURIDAD.
Comando:
La principal ventaja de las direcciones sticky en contraposición con las dinámicas es que éstas
últimas se agregan a la running-config. Así nos evitamos escribir un montón de direcciones MAC de
manera estática pero aún podemos guardarlas en el archivo de configuración de manera que se
s
.e
Dos aspectos importantes a tener en cuenta:
on
Si se habilitan las direcciones MAC sticky y ya había direcciones aprendidas de forma
i
ac
dinámica, éstas pasan a la running-config y todas las nuevas que se aprendan también se
m
agregan allí.
or
Si se deshabilitan las direcciones MAC sticky todas las que hubiera pasan a ser dinámicas y se
ef
borran de la running-config. Además, todas las que se aprendan también serán dinámicas.
o nd
ti
es
.g
al
et
em
nf
co
confemetal.gestiondeformacion.es
14 / 22
[AFO018569] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[MOD016760] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[UDI098608] SEGURIDAD.
EAP
Permite el envío de paquetes cifrados con nuestro nombre de usuario y contraseña para hacernos
EAP es lo que le llaman un empty Shell, una especie de armazón. Por eso veis que hay muchísimos
s
fabricantes con su versión de EAP, pero como tienen todas las mismas estructuras, no suele dar
.e
problemas de compatibilidad.
on
Cuando habilitamos nuestra tarjeta de red para que envíe usuario y contraseña, una que
i
ac
establezcamos o el propio de Windows, a través de la tarjeta de red se propaga este paquete para
m
que el switch o router lo analice y se lo pase a un servidor centralizado.
RADIUS
or
ef
nd
Es un servidor que permite validar y autenticar los usuarios, aparte de poder establecer grupos cada
o
uno con derechos distintos, lo que le hace muy permeable. Es a su vez un protocolo y un programa.
ti
Cuando el switch recibe la información de un cliente que se intenta validar, reenvía la petición
es
mediante Radius a un servidor para que le diga si es correcto o no y que acciones tomar. El switch
.g
Cisco sacó su propia versión llamado TACACS, pero Radius le ha ido comiendo terreno y al final casi
em
exclusivamente es este el protocolo que se utiliza. Hay multitud de servidores Radius gratuitos en la
Posibles defensas
- Filtrar MAC. Podemos establecer como seguras sólo las MAC de nuestros propios equipos. Por el
contrario, cualquier programa permite monitorizar la red y hacer una suplantación de MAC con un
cliente validado.
- Desactivar el servidor de DHCP y poner una dirección de red que no sea muy corriente. Otra vez, si
un atacante ha conseguido entrar en nuestra red, con el wireshark enseguida podrá ver las
direcciones IP establecidas.
confemetal.gestiondeformacion.es
15 / 22
[AFO018569] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[MOD016760] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[UDI098608] SEGURIDAD.
Cuando queremos establecer de qué manera se han de autenticar los clientes, tenemos varias
opciones.
s
.e
Acceso Abierto
on
Sin contraseña, cualquier usuario que se quiera asociar a la red puede hacerlo sin pasar por
i
ac
un proceso de validación.
m
Clave WEP
or
ef
Viene por defecto para la mayoría de los router. Su problema es que el cifrado es muy débil y
nd
normalmente son el objetivo precisamente por ello de los primeros ataques que se pueden
o
WAP
.g
Supuso una mejora frente a su antecesor. Al mejorar la encriptación, se hace muy difícil para
al
et
el atacante intentar averiguar el código de cifrado, por lo que al final se tiene que recurrir a un
Esto motiva que se tenga un archivo de texto con multitud de combinaciones entre letras y números
para intentar que coincida justamente con la contraseña puesta. De ahí que siempre se recomiende
WPA2 añadió originariamente la encriptación AES, que luego se añadió a WPA también, con una
arquitectura más robusta. Las dos claves WPA ofrecen dos versiones distintas, la Enterprise y la
Personal.
Para mejorar el proceso de asociación a una red y autenticación, se añadieron nuevos protocolos
confemetal.gestiondeformacion.es
16 / 22
[AFO018569] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[MOD016760] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[UDI098608] SEGURIDAD.
802.1x es un protocolo de autenticación a nivel de puerto que se puede utilizar tanto en redes
Cuando se habilita tal protocolo, el puerto del dispositivo, un AP o un Switch, por ejemplo,
automáticamente se desactiva, dejando pasar sólo tramas de CDP, SNMP y EAP. Es decir, solamente
un cierto tipo de tráfico de control. Este último, el Protocolo de autenticación Extensible permitirá la
s
comunicación entre el llamado Supplicant y el dispositivo. Cuando nuestro ordenador se enciende,
.e
puede utilizar nuestro propio usuario de Windows para validarnos en la red. 802.1x da multitud de
on
opciones, como vlan de invitados para aquellos dispositivos que no pueden hablar EAP, una vlan con
i
ac
restricciones para aquellos que no han pasado el proceso de autenticación y una serie de políticas
m
or
La tarjeta de red de nuestro equipo por defecto no soporta este diálogo a menos de que habilitemos
ef
el servicio correspondiente.
o nd
ti
es
.g
al
et
em
nf
co
confemetal.gestiondeformacion.es
17 / 22
[AFO018569] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[MOD016760] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[UDI098608] SEGURIDAD.
Configurando SSH
Ya sea por comando o por interfaz web deberemos deshabilitar Telnet como protocolo de acceso
El protocolo SSH (Secure Shell) permite el envío de información a través de un canal no seguro
s
mediante el cifrado de la información. Para ello debemos tener un cliente ssh (por ejemplo, el putty)
.e
y convertir el router en un servidor SSH con el servicio habilitado.
on
Se realizaran los siguientes pasos:
i
ac
m
Establecer un nombre de host distinto al que viene por defecto.
Habilitación del servicio SSH versión 1.99. La llave secreta con la conjunción del nombre de dominio
y el nombre del equipo. El comando Transport input ssh limita que solo ese protocolo se puede
Si no definimos el nombre de dominio o no se cambia el nombre del router a cualquier otro que no
sea Router, nos saldrá sucesivos mensajes de error cuando intentemos activar la llave, hasta que lo
confemetal.gestiondeformacion.es
18 / 22
[AFO018569] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[MOD016760] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[UDI098608] SEGURIDAD.
corrijamos:
s
.e
on
Se recomienda que la key ocupe cuanto más mejor. Por hacer la analogía fácil, es como una clave
i
ac
wep de 40 o 128 bits. Ésta última siempre será más compleja poder desencriptarla (Cisco
m
recomienda al mínimo una longitud de 1024)
or
Mediante el comando Transport Input SSH deshabilito cualquier acceso a las líneas virtuales que
ef
no sea por este protocolo. Si deseo especificar otros servicios habrá que configurarlos.
o nd
ti
es
.g
al
et
em
nf
co
confemetal.gestiondeformacion.es
19 / 22
[AFO018569] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[MOD016760] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[UDI098608] SEGURIDAD.
Recuerda
[[[Elemento Multimedia]]]
s
.e
on
i
ac
m
or
ef
o nd
ti
es
.g
al
et
em
nf
co
confemetal.gestiondeformacion.es
20 / 22
[AFO018569] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[MOD016760] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[UDI098608] SEGURIDAD.
Autoevaluación
Indica el apartado correcto: Las soluciones Cisco IPS evitan las amenazas de
múltiples vectores, como puntos terminales de red, servidor y escritorio...
No nunca.
s
.e
Si.
on
i
Casi siempre.
ac
m
or
Indica si el siguiente enunciado es verdadero o falso: Las soluciones Cisco IPS
emplean un exclusivo ecosistema de seguridad de parte del sistema que evalúa y
ef
reacciona ante las amenazas, proporcionando una escalabilidad y flexibilidad de
nd
Falso
es
.g
Verdadero
al
et
em
Falso
Verdadero
confemetal.gestiondeformacion.es
21 / 22
[AFO018569] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[MOD016760] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[UDI098608] SEGURIDAD.
s
.e
Indica si el siguiente enunciado es verdadero o falso: Agente de seguridad de
CISCO (CSA) es una herramienta actual para la prevención de intrusiones.
i on
ac
Falso
m
Verdadero or
ef
o nd
ti
es
.g
al
et
em
nf
co
confemetal.gestiondeformacion.es
22 / 22