10 Seguridad.

[AFO018569] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[MOD016760] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)

[UDI098608] SEGURIDAD.
Introducción
En este tema veremos seguridad de puertos y funcionamiento de seguridad avanzada y acceso
remoto.
s
.e
i on
ac
m
or
ef
o nd
ti
es
.g
al
et
em
nf
co
confemetal.gestiondeformacion.es
1 / 22
Objetivos
Introducir al alumnado a la seguridad de capa 2.
Segurizar mediante VOIP, VPN.
Distinguir entre las diferentes opciones de seguridad.
s
.e
on
i
ac
m
or
ef
o nd
ti
es
.g
al
et
em
nf
co
2 / 22
Mapa Conceptual
[[[Elemento Multimedia]]]
s
.e
on
i
ac
m
or
ef
o nd
ti
es
.g
al
et
em
nf
co
3 / 22
Sistemas de Prevención de intrusiones (IPS)
Protección de red completa, integrada, adaptable y de colaboración
Las redes empresariales deben enfrentar una creciente cantidad y variedad de ataques maliciosos.
Las soluciones del sistema (IPS) de Cisco® identifican, clasifican y detienen con precisión el tráfico
no permitido o malicioso antes de que afecten la flexibilidad de su empresa. Como un componente
central de la Red de autodefensa de Cisco, las soluciones Cisco IPS proporcionan una protección
s
contra amenazas que lidera el mercado mediante una exclusiva integración, colaboración y
.e
on
adaptación de funciones en toda la red.
i
Integración
ac
m
Las soluciones Cisco IPS evitan las amenazas de múltiples vectores, como puntos terminales de
or
red, servidor y escritorio. Las soluciones son compatibles con múltiples plataformas de Cisco. Las
ef
soluciones Cisco IPS protegen la red contra infracciones a las políticas de seguridad, explotaciones
nd
de vulnerabilidades y toda actividad anómala mediante la inspección detallada del tráfico en las
o
capas 2 a 7, en toda su red.

ti
es
.g
al
et
em
nf
co
4 / 22
Introducción a la seguridad en capa 2 - Cisco Ironport, ASA,

NAC y CSA
¿Por qué asegurar la capa 2?
Antiguamente, la mayoría de los ataques se realizaban desde fuera de la red. Hoy día esto se ha
invertido y sucede justamente al contrario. Pensad que un usuario dentro de nuestra LAN ya ha
pasado multitud de procesos de seguridad al encontrarse físicamente en el propio entorno.
s
.e
Esto provocará que sea mucho más fácil el acceso ilícito a la información, lo que se traduce en que
on
es el propio trabajador de una empresa el que va a intentar recabar todo lo posible. Por ello, es muy
i
ac
importante que validemos a cada usuario, que realicemos un accouting de cada acceso permitido y
m
no permitido y restrinjamos lo necesario a que se tiene acceso de cada momento.
or
Además, al trabajar en una capa más cercana a la física, podemos evitar todo tipo de ataque de
ef
capas superiores. Por ejemplo, si evitamos la incorrecta autenticación de un cliente a nuestra
nd
intranet, le haremos imposible que después intente acceder a una red de almacenamiento o haga
o
ataques de tipo DoS.

ti
es
Tipos de ataque
.g
La mayoría de los ataques a nivel de capa 2 tienen como objetivo invalidar y acceder a la
al
información que manejan los Switches. Según se ha visto en el CCNA, estos equipos llevan una labor
et
muy importante a la hora de conmutar la información entre los hosts y evitan bucles mediante el
em
algoritmo spanning-tree.
nf
Modificar cualquiera de estos comportamientos puede provocar que una red se vuelva inestable o
co
que tengamos acceso a una información que nos es vetada. De nuevo habrá que asegurar el entorno
en la capa enlace de datos para evitar que esto ocurra.
Vamos a ver ahora los ataques más comunes que nos podemos encontrar a este nivel, para después
visualizar las defensas a implantar a través de la IOS de cisco.
Suplantación de MAC
Existe infinidad de herramientas que permiten esto. El mecanismo es muy sencillo:
5 / 22
Existe un ordenador A validado a través de su MAC que obtiene todos los permisos para acceder a
los recursos de nuestra SAN (Storage Area Network). Si nuestra seguridad se basa solo en eso,
autenticación a nivel de capa 2, existe el riesgo de que otro ordenador pueda ejecutar un software
que permita ocultar su MAC y utilizar la del host A. Recordad que la dirección física se guarda en la
ROM de la tarjeta de red y éste se pasa a la RAM una vez se enciende. Mientras no podemos
modificar la información guardada en la memoria de solo lectura, la volátil puede ser modificada en
cualquier momento, incluso por el propio Windows si los drivers así lo permiten.
s
.e
Como no suele ser el caso, herramientas como CAIN o programas tales como wifiway te permite
on
realizar tales propósitos. Fijaros que cuando se intenta romper la seguridad de una red inalámbrica
el router wifi puede tener un filtrado de MAC que permita conectarse a la red solo a ciertos equipos.
i
ac
Si podemos escanear la red y ver los equipos asociados, sabemos que su MAC está validado ante el
m
router. Es por eso que, por ejemplo, tal como veis en pantalla, este tipo de S.O tiene una opción por
or
la que nos podemos hacer pasar por otro equipo mediante el uso de su direccionamiento físico.
ef
o nd
ti
es
.g
al
et
em
nf
co
Cuando un Switch recibe una trama, agrega a su tabla CAM la dirección origen, pues sabe que a
través de esa interfaz está accesible el ordenador. Si nosotros simplemente enviamos una trama
cuya MAC origen sea otra, el Switch de manera predeterminada agregara esta MAC y enviará la
información por ese puerto si alguien lo requiere.
6 / 22
s
.e
i on
ac
Pensad, también, que si quiero realizar un ataque, ante el temor de dejar trazas en la red, puedo
suplantar (spoofing) otra MAC y que parezca que ha sido ese equipo el que ha realizado el ataque.
m
IRONPORT or
ef
nd
CISCO Ironport Email Security es una herramienta que protege la red frente a los ataques
provenientes del correo electrónico. Los ataques de este tipo son sofisticados y utilizan la
o
ti
información personal e ingeniería social para engañar y dirigir a sitios maliciosos con malware, a los
es
usuarios.
.g
El tipo de amenazas basadas en correo electrónico en la actualidad, exigen un gran despliegue de

al
herramientas y recursos humanos para poder hacerlos frente y prever los futuros. CISCO Email
et
Security Appliance (ESA) es capaz de implantar una solución incluso un paso por delante de las
em
amenazas al escanear propias vulnerabilidades.

nf
Estos dispositivos integrales defienden contra el spam, malware, suplantación de identidad y pérdida
co
de datos.
El servicio CISCO Talos, integrado en ESA, nos proporciona una vista gráfica de actividad global del
tráfico. Esto nos permite auditar la red, encontrar y prever amenazas y la tendencia/uso del tráfico.
Con ESA podemos:
Detectar y detener suplantación de identidad y amenazas combinadas.
7 / 22
Cumplir con las exigencias de seguridad para la mensajería segura con cifrados seguros.
Cumplir las normas de prevención de perdida de datos de la organización.
Administrar y aplicar políticas detalladas de correo electrónico.
ASA
Los dispositivos CISCO Adaptative Security Appliance (ASA), protegen la red empresarial
proporcionando a los usuarios un acceso seguro a los datos. Ofrece funciones de Firewll de clase
s
.e
empresarial. Integra otras tecnologías de seguridad para así poder ofrecer soluciones completas de
on
seguridad en constante evolución.
i
ac
Entre las ventajas de utilizar el software ASA, estas son las más destacables:
m
Funciones integradas de IPS, VPN y comunicaciones unificadas.
or
Ayuda a aumentar la capacidad empresarial y a mejorar el rendimiento por la posibilidad de la
ef
formación de clústeres.
nd
Aplicaciones de alta disponibilidad y capacidad de recuperación.

o
Ofrece identificación de contexto de seguridad con CISCO TrustSec y firewall con detección de
ti
es
identidad.
.g
Facilita un enrutamiento dinámico y VPN entre sitios, en función del contexto.

al
et
Se integra con CISCO Cloud Web Security para ofrecer protección de amenazas basadas en la
em
web.
nf
NAC
co
Con la solución de control de admisión de red de CISCO, nos permite autenticar a usuarios y
dispositivos cableados, inalámbricos y VPN en la red. Evalúa y remedia las políticas de acceso a un
dispositivo que quiere acceder a la red. Otra función es diferenciar el acceso basado en roles y luego
auditar e informar quien está en la red.
La solución NAC es fácil de implementar y el cumplimiento de gran alcance con la solución CISCO
TrustSec. Consta con las siguientes Características y beneficios:
8 / 22
Evita el acceso no autorizado a la red para proteger los datos y la información.
Ayuda a mitigar proactivamente las amenazas de la red como virus, gusanos y spyware.
Proporciona autenticación web sin cliente, para usuarios invitados.
Admite el inicio de sesión único sin interrupciones, a través de un agente con autenticación
automática.
Aplica políticas para todos los escenarios operativos, sin requerir productos separados o
módulos adicionales.
s
Aplica servicios de evaluación de postura y corrección a una variedad de dispositivos, sistemas
.e
operativos y métodos de acceso a dispositivos que incluyen LAN, WLAN, WAN y VPN.
on
Aplica políticas de seguridad bloqueando, aislando y reparando máquinas que no cumplen las
i
ac
normas en un área de cuarentena sin necesidad de atención del administrador.
m
Aborda las vulnerabilidades en las máquinas de los usuarios a través de evaluaciones
periódicas y soluciones.
or
ef
Le reporta importantes ahorros, rastreando, repararando y actualizando automáticamente las
nd
máquinas de los clientes.
Reconoce y categoriza a los usuarios y sus dispositivos antes de que un código malicioso pueda
o
ti
causar daños.
es
Evalúa el cumplimiento de la política de seguridad según el tipo de usuario, el tipo de

.g
dispositivo y el sistema operativo.

al
et
CSA
em
Agente de seguridad de CISCO (CSA) es una herramienta ya descatalogada para la prevención de

nf
intrusiones desde 2003 hasta el 2010 cuando CISCO anunció el final de la vida útil de CSA sin
co
ofrecer ningún producto de reemplazo hasta mediados del 2010 cuando recomienda el uso de Deep
Security de Trend Micro, como alternativa a CSA.
CSA fue la primera solución de seguridad de punto final que combina protección contra ataques de
actualización-cero, prevención de pérdida de datos y antivirus basado en firmas, en un solo agente.
Herramienta que protege la red frente a los ataques provenientes del correo
electrónico:
9 / 22
ACL'S
CISCO Ironport Email Security
s
.e
on
i
ac
m
or
ef
ond
ti
es
.g
al
et
em
nf
co
10 / 22
Consideraciones de seguridad en capa 2
Overflow de la tabla CAM
Ya sabemos que cuando un Switch recibe una trama, aprende su MAC agregándola a la tabla CAM
(Memoria de contenido direccionable, Content ADdressable Memory). No solo la información que
pueda recibir de los puertos de acceso, sino por todos los troncales.
s
Nos fijamos en la siguiente topología:
.e
i on
ac
m
or
ef
o nd
ti
es
.g
al
et
em
nf
Si la red conectada al Switch, mil veces más complejas, divididas en multitud de VLANs, el Switch 1
no solo debería conocer todas las MAC de sus clientes directamente conectados, sino, que tiene que
co
almacenar individualmente cada una de las direcciones disponibles a través del enlace troncal. Si el
PC 3 envía una trama con destino PC 2, cuando llega al Switch 0, este aprende la MAC origen y si
conoce el destino, la envía a través del puerto correspondiente hacia el Switch 1. Cuando el equipo
Cisco a través del enlace troncal lee la información, agrega la MAC del PC3 a su tabla CAM. Así la
próxima vez que alguien quiera llegar a ese ordenador, sabe que lo debe reenviar por el enlace que
une los dos Switches.
El tamaño de la tabla CAM varía en función de los equipos, pero de media pueden almacenar hasta
11 / 22
300 mil entradas. Si llega el momento que esa información sobrepasa lo que físicamente puede
almacenar el Switch, se saturará y no aprenderá nuevas entradas. Entonces trabajará como hace un
hub, inundando con cada información que reciba, por todos los puertos excepto el origen. Esto
puede motivar que tengamos acceso a una información que antes no podríamos leer y provocar de
manera muy sencilla un ataque DOS al saturar de trafico todos los puertos y bajando el rendimiento
de la red.
s
.e
i on
ac
m
or
ef
o nd
ti
es
.g
al
et
em
nf
co
12 / 22
Seguridad de puertos
Con el objetivo de incrementar la seguridad en una red LAN es posible implementar seguridad de
puertos en los switches de capa de acceso o capa 2, de manera de permitir que a cada puerto se
conecte sólo la estación autorizada. Para ello, Cisco provee port security, un mecanismo bastante
potente y sencillo que resumiré a continuación.
Dirección MAC segura estática
s
.e
Se configura manualmente.
on
Se agrega a la tabla de direcciones MAC.
i
ac
Se guarda en la running-config.
m
Se puede hacer permanente guardando la configuración.
or
ef
Comando:
nd
SwA(config-if)#switchport port-security mac-address DIRECCIONMAC

o
ti
Dirección MAC segura dinámica

es
.g
Se aprende del tráfico que atraviesa la interfaz.

al
Se la guarda en la tabla de direcciones MAC.

et
Se pierde cuando se reinicia el equipo.

em
Comando:
nf
co
SwA(config-if)#switchport port-security
Dirección MAC segura sticky
Se la puede configurar de forma manual o dinámica.
Se la guarda en la tabla de direcciones MAC.
Se almacena en la running-config.
Se puede hacer permanente guardando la configuración.
13 / 22
Comando:
SwA(config-if)#switchport port-security mac-address sticky DIRECCIONMAC
La principal ventaja de las direcciones sticky en contraposición con las dinámicas es que éstas
últimas se agregan a la running-config. Así nos evitamos escribir un montón de direcciones MAC de
manera estática pero aún podemos guardarlas en el archivo de configuración de manera que se
mantengan inclusive si el switch se reinicia.
s
.e
Dos aspectos importantes a tener en cuenta:
on
Si se habilitan las direcciones MAC sticky y ya había direcciones aprendidas de forma
i
ac
dinámica, éstas pasan a la running-config y todas las nuevas que se aprendan también se
m
agregan allí.
or
Si se deshabilitan las direcciones MAC sticky todas las que hubiera pasan a ser dinámicas y se
ef
borran de la running-config. Además, todas las que se aprendan también serán dinámicas.
o nd
ti
es
.g
al
et
em
nf
co
14 / 22
Funciones de seguridad avanzada
EAP
Permite el envío de paquetes cifrados con nuestro nombre de usuario y contraseña para hacernos
validar como usuarios legales.
EAP es lo que le llaman un empty Shell, una especie de armazón. Por eso veis que hay muchísimos
s
fabricantes con su versión de EAP, pero como tienen todas las mismas estructuras, no suele dar
.e
problemas de compatibilidad.
on
Cuando habilitamos nuestra tarjeta de red para que envíe usuario y contraseña, una que
i
ac
establezcamos o el propio de Windows, a través de la tarjeta de red se propaga este paquete para
m
que el switch o router lo analice y se lo pase a un servidor centralizado.
RADIUS
or
ef
nd
Es un servidor que permite validar y autenticar los usuarios, aparte de poder establecer grupos cada
o
uno con derechos distintos, lo que le hace muy permeable. Es a su vez un protocolo y un programa.
ti
Cuando el switch recibe la información de un cliente que se intenta validar, reenvía la petición
es
mediante Radius a un servidor para que le diga si es correcto o no y que acciones tomar. El switch
.g
en este caso se convierte en un mero intermediario.

al
et
Cisco sacó su propia versión llamado TACACS, pero Radius le ha ido comiendo terreno y al final casi
em
exclusivamente es este el protocolo que se utiliza. Hay multitud de servidores Radius gratuitos en la
red, aunque casi todos para Linux.

nf
co
Posibles defensas
- Filtrar MAC. Podemos establecer como seguras sólo las MAC de nuestros propios equipos. Por el
contrario, cualquier programa permite monitorizar la red y hacer una suplantación de MAC con un
cliente validado.
- Desactivar el servidor de DHCP y poner una dirección de red que no sea muy corriente. Otra vez, si
un atacante ha conseguido entrar en nuestra red, con el wireshark enseguida podrá ver las
direcciones IP establecidas.
15 / 22
Seguridad Wireles, VOIP, ASA, VPN
Lo primero y más común cuando hablamos de seguridad en las redes inalámbricas, es la
autenticación elegida para validarnos frente al router.
Cuando queremos establecer de qué manera se han de autenticar los clientes, tenemos varias
opciones.
s
.e
Acceso Abierto
on
Sin contraseña, cualquier usuario que se quiera asociar a la red puede hacerlo sin pasar por
i
ac
un proceso de validación.
m
Clave WEP
or
ef
Viene por defecto para la mayoría de los router. Su problema es que el cifrado es muy débil y
nd
normalmente son el objetivo precisamente por ello de los primeros ataques que se pueden
o
realizar ante las redes que tengamos disponible.

ti
es
WAP
.g
Supuso una mejora frente a su antecesor. Al mejorar la encriptación, se hace muy difícil para
al
et
el atacante intentar averiguar el código de cifrado, por lo que al final se tiene que recurrir a un
ataque de fuerza bruta con diccionario.

em
nf
co
Esto motiva que se tenga un archivo de texto con multitud de combinaciones entre letras y números
para intentar que coincida justamente con la contraseña puesta. De ahí que siempre se recomiende
que no pongamos palabras comunes sino mezclas de caracteres.
WPA2 añadió originariamente la encriptación AES, que luego se añadió a WPA también, con una
arquitectura más robusta. Las dos claves WPA ofrecen dos versiones distintas, la Enterprise y la
Personal.
Para mejorar el proceso de asociación a una red y autenticación, se añadieron nuevos protocolos
16 / 22
como EAP, 802.1x y servidores Radius.
802.1x es un protocolo de autenticación a nivel de puerto que se puede utilizar tanto en redes
inalámbricas como físicas.
Cuando se habilita tal protocolo, el puerto del dispositivo, un AP o un Switch, por ejemplo,
automáticamente se desactiva, dejando pasar sólo tramas de CDP, SNMP y EAP. Es decir, solamente
un cierto tipo de tráfico de control. Este último, el Protocolo de autenticación Extensible permitirá la
s
comunicación entre el llamado Supplicant y el dispositivo. Cuando nuestro ordenador se enciende,
.e
puede utilizar nuestro propio usuario de Windows para validarnos en la red. 802.1x da multitud de
on
opciones, como vlan de invitados para aquellos dispositivos que no pueden hablar EAP, una vlan con
i
ac
restricciones para aquellos que no han pasado el proceso de autenticación y una serie de políticas
que irán, no en función de la Ip si no según el propio usuario.
m
or
La tarjeta de red de nuestro equipo por defecto no soporta este diálogo a menos de que habilitemos
ef
el servicio correspondiente.
o nd
ti
es
.g
al
et
em
nf
co
17 / 22
Seguridad en Acceso Remoto
Configurando SSH
Ya sea por comando o por interfaz web deberemos deshabilitar Telnet como protocolo de acceso
remoto y delegar esta función al protocolo SSH.
El protocolo SSH (Secure Shell) permite el envío de información a través de un canal no seguro
s
mediante el cifrado de la información. Para ello debemos tener un cliente ssh (por ejemplo, el putty)
.e
y convertir el router en un servidor SSH con el servicio habilitado.
on
Se realizaran los siguientes pasos:
i
ac
m
Establecer un nombre de host distinto al que viene por defecto.
Establecer un nombre de dominio.

or
ef
Habilitar la llave con un tamaño definido.
nd
(Opcional) Deshabilitar Telnet. Recomendado.

o
ti
es
.g
al
et
em
nf
co
Habilitación del servicio SSH versión 1.99. La llave secreta con la conjunción del nombre de dominio
y el nombre del equipo. El comando Transport input ssh limita que solo ese protocolo se puede
utilizar para las sesiones virtuales entrantes.
Si no definimos el nombre de dominio o no se cambia el nombre del router a cualquier otro que no
sea Router, nos saldrá sucesivos mensajes de error cuando intentemos activar la llave, hasta que lo
18 / 22
corrijamos:
s
.e
on
Se recomienda que la key ocupe cuanto más mejor. Por hacer la analogía fácil, es como una clave
i
ac
wep de 40 o 128 bits. Ésta última siempre será más compleja poder desencriptarla (Cisco
m
recomienda al mínimo una longitud de 1024)
or
Mediante el comando Transport Input SSH deshabilito cualquier acceso a las líneas virtuales que
ef
no sea por este protocolo. Si deseo especificar otros servicios habrá que configurarlos.
o nd
ti
es
.g
al
et
em
nf
co
19 / 22
Recuerda
[[[Elemento Multimedia]]]
s
.e
on
i
ac
m
or
ef
o nd
ti
es
.g
al
et
em
nf
co
20 / 22
Autoevaluación
Indica el apartado correcto: Las soluciones Cisco IPS evitan las amenazas de
múltiples vectores, como puntos terminales de red, servidor y escritorio...
No nunca.
s
.e
Si.
on
i
Casi siempre.
ac
m
or
Indica si el siguiente enunciado es verdadero o falso: Las soluciones Cisco IPS
emplean un exclusivo ecosistema de seguridad de parte del sistema que evalúa y
ef
reacciona ante las amenazas, proporcionando una escalabilidad y flexibilidad de
nd
red sin rival.

o
ti
Falso
es
.g
Verdadero
al
et
em
Indica si el siguiente enunciado es verdadero o falso: Al cambiar la posición de

la red de cara a las amenazas, la solución Cisco IPS no evoluciona y no se adapta
nf
para mantenerse a la vanguardia de la seguridad, mitigando amenazas de

co
ataques tanto conocidos como desconocidos.
Falso
Verdadero
Indica el apartado correcto: Con ESA podemos, entre otras posibilidades:
21 / 22
Suplantar y cambiar las normas de prevención de perdida de datos de la organización.
Detectar y detener suplantación de identidad y amenazas combinadas.
Administrar políticas de seguridad poco detalladas para correo electrónico.
s
.e
Indica si el siguiente enunciado es verdadero o falso: Agente de seguridad de
CISCO (CSA) es una herramienta actual para la prevención de intrusiones.
i on
ac
Falso
m
Verdadero or
ef
o nd
ti
es
.g
al
et
em
nf
co
22 / 22

10 Seguridad.

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

10 Seguridad.

Cargado por

Copyright:

Formatos disponibles

[AFO018569] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)

[MOD016760] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)

En este tema veremos seguridad de puertos y funcionamiento de seguridad avanzada y acceso

Introducir al alumnado a la seguridad de capa 2.

Segurizar mediante VOIP, VPN.

Distinguir entre las diferentes opciones de seguridad.

Sistemas de Prevención de intrusiones (IPS)

Protección de red completa, integrada, adaptable y de colaboración

no permitido o malicioso antes de que afecten la flexibilidad de su empresa. Como un componente

capas 2 a 7, en toda su red.

Introducción a la seguridad en capa 2 - Cisco Ironport, ASA,

¿Por qué asegurar la capa 2?

pasado multitud de procesos de seguridad al encontrarse físicamente en el propio entorno.

ataques de tipo DoS.

en la capa enlace de datos para evitar que esto ocurra.

visualizar las defensas a implantar a través de la IOS de cisco.

Existe infinidad de herramientas que permiten esto. El mecanismo es muy sencillo:

información por ese puerto si alguien lo requiere.

El tipo de amenazas basadas en correo electrónico en la actualidad, exigen un gran despliegue de

amenazas al escanear propias vulnerabilidades.

Con ESA podemos:

Detectar y detener suplantación de identidad y amenazas combinadas.

Cumplir las normas de prevención de perdida de datos de la organización.

Administrar y aplicar políticas detalladas de correo electrónico.

Aplicaciones de alta disponibilidad y capacidad de recuperación.

Facilita un enrutamiento dinámico y VPN entre sitios, en función del contexto.

auditar e informar quien está en la red.

TrustSec. Consta con las siguientes Características y beneficios:

Evita el acceso no autorizado a la red para proteger los datos y la información.

Proporciona autenticación web sin cliente, para usuarios invitados.

máquinas de los clientes.

Evalúa el cumplimiento de la política de seguridad según el tipo de usuario, el tipo de

dispositivo y el sistema operativo.

Agente de seguridad de CISCO (CSA) es una herramienta ya descatalogada para la prevención de

Security de Trend Micro, como alternativa a CSA.

actualización-cero, prevención de pérdida de datos y antivirus basado en firmas, en un solo agente.

CISCO Ironport Email Security

Consideraciones de seguridad en capa 2

Overflow de la tabla CAM

(Memoria de contenido direccionable, Content ADdressable Memory). No solo la información que

une los dos Switches.

potente y sencillo que resumiré a continuación.

Dirección MAC segura estática

SwA(config-if)#switchport port-security mac-address DIRECCIONMAC

Dirección MAC segura dinámica

Se aprende del tráfico que atraviesa la interfaz.

Se la guarda en la tabla de direcciones MAC.

Se pierde cuando se reinicia el equipo.

Dirección MAC segura sticky

Se la puede configurar de forma manual o dinámica.

Se la guarda en la tabla de direcciones MAC.

Se puede hacer permanente guardando la configuración.

SwA(config-if)#switchport port-security mac-address sticky DIRECCIONMAC

mantengan inclusive si el switch se reinicia.

Funciones de seguridad avanzada

validar como usuarios legales.

en este caso se convierte en un mero intermediario.

red, aunque casi todos para Linux.

Seguridad Wireles, VOIP, ASA, VPN

Lo primero y más común cuando hablamos de seguridad en las redes inalámbricas, es la

autenticación elegida para validarnos frente al router.

realizar ante las redes que tengamos disponible.

ataque de fuerza bruta con diccionario.