2018

SEGURIDAD EN LAS
TELECOMUNICACIONES -
MGSI
TRABAJO DE FIN DE CURSO
ERICK JOSÉ DELGADILLO LOÁISIGA
Erick José Delgadillo Loáisiga
SEGURIDAD EN LAS TELECOMUNICACIONES -MGSI

Introducción

En la actualidad las organizaciones son cada vez más dependientes de

sus redes informáticas y un problema que las afecte por mínimo que sea 22
puede llegar a comprometer la continuidad de sus operaciones. La falta
de medidas de seguridad en las redes es un problema que está en
crecimiento. Cada vez, es mayor el número de atacantes, por lo que van
adquiriendo día a día habilidades más especializadas que les permiten
obtener mayores beneficios. Tampoco deben subestimarse las fallas de
seguridad provenientes del interior de las instituciones.

La seguridad de la información, es un aspecto vital en la sociedad de la

información, donde dicha información ya alcanza un rol protagónico
entre los activos con que cuentan las organizaciones para el normal
desempeño de su gestión. De modo que proteger la información como
un activo de tan elevada importancia, se convierte cada vez más un
proceso con grandes retos y exigencias por parte de los especialistas. En
este sentido, es cada vez más importante, adoptar estrategias y métodos,
que permitan implantar políticas que permitan elevar los niveles de
seguridad en las redes informáticas ya que por ellas circula la mayor
parte de la información de las organizaciones, y su pérdida o alteración
pueden acarrear consecuencias funestas.

Por lo anterior, la definición y el objetivo de la seguridad de la

información es mantener la integridad, disponibilidad, privacidad,
control y autenticidad de la información manejada a través de sistemas
informáticos, a través de procedimientos basados en políticas de
seguridad que nos permitan el disminuir los riegos ante las amenazas de
ataques.
Erick José Delgadillo Loáisiga
SEGURIDAD EN LAS TELECOMUNICACIONES -MGSI

Objetivo

Implementar mecanismos de seguridad en las redes, basados en las

técnicas de mitigación de ataques de equipos CISCO.
22
Configurar e implementar técnicas de hacking ético que permitan medir
la efectividad de las políticas de seguridad necesarias para establecer una
red segura.

Planteamiento del problema

Creamos en el eve el siguiente diagrama con todos los puntos de interconexion de los puertos.

Dado el siguiente esquema de RED implementado en él EVE, realice los siguientes ítems:

1. Optimizar
2. Asegurar los Switch
3. Asegurar ROUTER
4. INTER VLAN ROUTER_ON_STICK
5. Listas de acceso (ACL) para los siguientes elementos:
a. Denegación de FTP
b. Aceptación de PING (ECHO_REQUEST)
6. Realización de ataque DHCP Spoofing
7. Aplicación de Remediación a los SWITCHS
Erick José Delgadillo Loáisiga
SEGURIDAD EN LAS TELECOMUNICACIONES -MGSI

1. Optimizar
Para la implementación de este ítem usaremos el protocolo SPANNING-TREE para los 3 Switch que se
encuentran en el EVE, primeramente, validaremos el orden de los Switch y luego estableceremos en
base a las necesidades el ROOT BRIDGE en el spanning-tree.

Para el Switch01
22
Switch>enable
Switch#conf ter
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#hostname switch01
switch01(config)#exit
switch01#
*Feb 3 20:55:21.690: %SYS-5-CONFIG_I: Configured from console by console
switch01#show span
switch01#show spanning-tree
 
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 32769
Address aabb.cc00.2000
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
 
Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)
Address aabb.cc00.2000
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300 sec
 
Interface Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Et0/0 Desg FWD 100 128.1 Shr
Et0/1 Desg FWD 100 128.2 Shr
Et0/2 Desg FWD 100 128.3 Shr
Et0/3 Desg FWD 100 128.4 Shr
 
Para el Switch02

Switch>enable
Switch#conf ter
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#hostname switch02
switch02(config)#exit
switch02#show
*Feb 3 20:56:03.849: %SYS-5-CONFIG_I: Configured from console by console
switch02#show spa
 
VLAN0001
Erick José Delgadillo Loáisiga
SEGURIDAD EN LAS TELECOMUNICACIONES -MGSI

Spanning tree enabled protocol ieee

Root ID Priority 32769
Address aabb.cc00.2000
Cost 100
Port 1 (Ethernet0/0)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
  22
Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)
Address aabb.cc00.3000
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300 sec
 
Interface Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Et0/0 Root FWD 100 128.1 Shr
Et0/1 Desg FWD 100 128.2 Shr
Et0/2 Desg FWD 100 128.3 Shr
Et0/3 Desg FWD 100 128.4 Shr
 
Para el Switch03

Switch(config)#hostname switch03
switch03(config)#exit
switch03#s
*Feb 3 20:54:28.488: %SYS-5-CONFIG_I: Configured from console by console
switch03#show spa
switch03#show spanning-tree
 
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 32769
Address aabb.cc00.2000
Cost 100
Port 3 (Ethernet0/2)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
 
Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)
Address aabb.cc00.4000
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 15 sec
 
Interface Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Et0/0 Desg FWD 100 128.1 Shr
Et0/1 Altn BLK 100 128.2 Shr
Et0/2 Root LRN 100 128.3 Shr
Et0/3 Desg FWD 100 128.4 Shr
Erick José Delgadillo Loáisiga
SEGURIDAD EN LAS TELECOMUNICACIONES -MGSI

Procederemos a establecer el Switch que será el root bridge.

switch03#conf ter
switch03#conf terminal
Enter configuration commands, one per line. End with CNTL/Z.
switch03(config)#span
switch03(config)#spanning-tree vlan 1 root pr
22
switch03(config)#spanning-tree vlan 1 root primary
switch03(config)#exit
switch03#s
*Feb 3 21:28:24.967: %SYS-5-CONFIG_I: Configured from console by console
switch03#show spa
switch03#show spanning-tree
 
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 24577
Address aabb.cc00.4000
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
 
Bridge ID Priority 24577 (priority 24576 sys-id-ext 1)
Address aabb.cc00.4000
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 15 sec
 
Interface Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Et0/0 Desg FWD 100 128.1 Shr
Et0/1 Desg LIS 100 128.2 Shr
Et0/2 Desg FWD 100 128.3 Shr
Et0/3 Desg FWD 100 128.4 Shr
 
 
switch03#wr
Building configuration...
Compressed configuration from 1184 bytes to 790 bytes[OK]
switch03#
Erick José Delgadillo Loáisiga
SEGURIDAD EN LAS TELECOMUNICACIONES -MGSI

2. Asegurar los Switch

En este procedimiento, implementaremos los controles de seguridad necesarios para el acceso a los
dispositivos Switch01, Switch02, Switch03, en este caso estableceremos el acceso por contraseña.

Para el Switch01

switch01>enable
22
switch01#conf ter
Enter configuration commands, one per line. End with CNTL/Z.
switch01(config)#
switch01(config)#enable secret class
switch01(config)#
switch01(config)#line vty 0 4
switch01(config-line)#
switch01(config-line)#password cisco
switch01(config-line)#
switch01(config-line)#login
switch01(config-line)#
switch01(config-line)# exit

Para el Switch02

switch02>enable
switch02#conf ter
Enter configuration commands, one per line. End with CNTL/Z.
switch02(config)#
switch02(config)#enable secret class
switch02(config)#
switch02(config)#line vty 0 4
switch02(config-line)#
switch02(config-line)#password cisco
switch02(config-line)#
switch02(config-line)#login
switch02(config-line)#
switch02(config-line)# exit

Para el Switch03

switch03#conf ter
Enter configuration commands, one per line. End with CNTL/Z.
switch03(config)#
switch03(config)#enable secret class
switch03(config)#
switch03(config)#line vty 0 4
switch03(config-line)#
switch03(config-line)#password cisco
switch03(config-line)#
Erick José Delgadillo Loáisiga
SEGURIDAD EN LAS TELECOMUNICACIONES -MGSI

switch03(config-line)#login
switch03(config-line)#exit
switch03(config)#
switch03(config)#exit
switch03#

22
3. Asegurar ROUTER

En este procedimiento, implementaremos los controles de seguridad necesarios para el acceso a el

Router1, en este caso estableceremos el acceso por contraseña.

Para el Router1

Router(config)#
Router(config)#Hostname Router1
Router1(config)#
Router1(config)#enable secret class
Router1(config)#

4. INTER VLAN ROUTER_ON_STICK

En este ítem procederemos a la creación de las vlans en los switch01, Switch02 y Switch03, asi mismo
crearemos los DHCP scopes para las vlans en el Router usando subinterfaces

Tabla de asignación de elementos

Segmento Switch Vlan id Vlan PoolName  Equipos

asignado Name
192.168.20.0 01,02,03 20 vlanA vlanAPool KALI, PC02
192.168.30.0 01,02,03 30 vlanB vlanBPool PC01, PC03

Creación de vlan y configuración de puertos en modo acceso y modo trunk, asignación de puertos a las
vlan

Para el Switch01

Creacion de vlan

switch01#conf ter
Enter configuration commands, one per line. End with CNTL/Z.
switch01(config)#vlan 30
switch01(config-vlan)#name vlanB
switch01(config)#vlan 20
switch01(config-vlan)#name
switch01(config-vlan)#name vlanA
Erick José Delgadillo Loáisiga
SEGURIDAD EN LAS TELECOMUNICACIONES -MGSI

switch01(config-vlan)#exit

Asignación de puertos en modo trunk

switch01(config)#
switch01(config)#interface range ethernet 0/0 - 1
switch01(config-if-range)# 22
switch01(config-if-range)#switchport mode access
switch01(config-if-range)#
switch01(config-if-range)#switchport trunk encapsulation dot1q
switch01(config-if-range)#switchport mode trunk
*Feb 3 22:02:07.106: %SPANTREE-7-RECV_1Q_NON_TRUNK: Received 802.1Q BPDU on non trunk
Ethernet0/1 VLAN1.
*Feb 3 22:02:07.106: %SPANTREE-7-BLOCK_PORT_TYPE: Blocking Ethernet0/1 on VLAN0001.
Inconsistent port type.
switch01(config-if-range)#switchport mode trunk
*Feb 3 22:02:08.013: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan30, changed state to up
switch01(config-if-range)#switchport mode trunk
*Feb 3 22:02:09.045: %LINK-3-UPDOWN: Interface Vlan30, changed state to up
switch01(config-if-range)#switchport mode trunk
switch01(config-if-range)#
*Feb 3 22:02:18.813: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/0, changed state
to down
switch01(config-if-range)#
*Feb 3 22:02:21.820: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/0, changed state
to up
switch01(config-if-range)#exit

Asignación de interfaces en modo acceso

switch01(config)#int et0/2
switch01(config-if)#shutdown
switch01(config-if)#
*Feb 8 05:21:27.355: %LINK-5-CHANGED: Interface Ethernet0/2, changed state to administratively
down
switch01(config-if)#switchport mode access
switch01(config-if)#switchport access vlan 30
switch01(config-if)#Switchport port-security maximum 4
switch01(config-if)#Switchport port-security mac-address sticky
switch01(config-if)#no shutdown
switch01(config-if)#
*Feb 8 05:22:32.310: %LINK-3-UPDOWN: Interface Ethernet0/2, changed state to up
*Feb 8 05:22:33.311: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/2, changed state
to up
switch01(config-if)#exit
switch01(config)#interface et0/3
switch01(config-if)#switchport mode access
Erick José Delgadillo Loáisiga
SEGURIDAD EN LAS TELECOMUNICACIONES -MGSI

switch01(config-if)#switchport access vlan 20

Listado de vlan asignadas a las interfaces

22

Para el Switch02

Creación de vlan

switch02#conf ter
Enter configuration commands, one per line. End with CNTL/Z.
switch02(config)#vlan 30
switch02(config-vlan)#name vlanB
switch02(config)#vlan 20
switch02(config-vlan)#name
switch02(config-vlan)#name vlanA
switch02(config-vlan)#exit

Asignación de puertos en modo trunk

switch02(config)#
switch02(config)#interface range ethernet 0/0 - 1
switch02(config-if-range)#
switch02(config-if-range)#switchport mode access
switch02(config-if-range)#
switch02(config-if-range)#switchport trunk encapsulation dot1q
switch02(config-if-range)#
switch02(config-if-range)#switchport mode trunk
switch02(config-if-range)#
switch02(config-if-range)#
*Feb 3 21:26:24.568: %SPANTREE-7-RECV_1Q_NON_TRUNK: Received 802.1Q BPDU on non trunk
Ethernet0/0 VLAN1.
*Feb 3 21:26:24.568: %SPANTREE-7-BLOCK_PORT_TYPE: Blocking Ethernet0/0 on VLAN0001.
Inconsistent port type.
switch02(config-if-range)#
*Feb 3 21:26:25.471: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to up
*Feb 3 21:26:25.549: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/0, changed state
to down
Erick José Delgadillo Loáisiga
SEGURIDAD EN LAS TELECOMUNICACIONES -MGSI

*Feb 3 21:26:25.550: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/1, changed state

to down
switch02(config-if-range)#
*Feb 3 21:26:26.502: %LINK-3-UPDOWN: Interface Vlan1, changed state to up
switch02(config-if-range)#
*Feb 3 21:26:27.571: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/0, changed state
to up 22
*Feb 3 21:26:28.590: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/1, changed state
to up
switch02(config-if-range)#exit

Asignación de interfaces en modo acceso y seguridad usando switchport port-security

switch02#conf ter
Enter configuration commands, one per line. End with CNTL/Z.
switch02(config)#interface et0/2
switch02(config-if)#switchport port-security maximum 4
switch02(config-if)#switchport mode access
switch02(config-if)#switchport access vlan 20
switch02(config-if)#shut
switch02(config-if)#shutdown
*Feb 8 06:02:34.466: %LINK-5-CHANGED: Interface Ethernet0/2, changed state to administratively
down
*Feb 8 06:02:35.466: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/2, changed state
to down
switch02(config-if)#no shutdown
switch02(config-if)#exit

Listado de vlan asignadas a las interfaces

Erick José Delgadillo Loáisiga
SEGURIDAD EN LAS TELECOMUNICACIONES -MGSI

22

Para el Switch03

Creación de vlan

switch03#conf ter
Enter configuration commands, one per line. End with CNTL/Z.
switch03(config)#vlan 30
switch03(config-vlan)#name vlanB
switch03(config)#vlan 20
switch03(config-vlan)#name
switch03(config-vlan)#name vlanA
switch03(config-vlan)#exit

Asignación de puertos en modo trunk

switch03(config-if)#ip address 192.168.20.3 255.255.255.0

switch03(config-if)#
switch03(config-if)#no shutdown
switch03(config-if)#
switch03(config-if)#exit
switch03(config)#
switch03(config)#interface range ethernet 0/1 - 3
switch03(config-if-range)#switchport mode access
switch03(config-if-range)#switchport trunk encapsulation dot1q
switch03(config-if-range)#switchport mode trunk
switch03(config-if-range)#exit
Erick José Delgadillo Loáisiga
SEGURIDAD EN LAS TELECOMUNICACIONES -MGSI

Asignación de interfaces en modo acceso y seguridad usando switchport port-security

switch03#conf ter
Enter configuration commands, one per line. End with CNTL/Z.
switch03(config)#interface et0/0
switch03(config-if)#switchport mode access
switch03(config-if)#switchport access vlan 30
22
switch03(config-if)#switchport port-security maximum 4
switch03(config-if)#no shutdown
switch03(config-if)#exit
switch03(config)#exit

Listado de vlan asignadas a las interfaces

Erick José Delgadillo Loáisiga
SEGURIDAD EN LAS TELECOMUNICACIONES -MGSI

A continuación, se presenta la configuración realizada en el router para la implementación de los DHCP

POOL vlanAPool y vlanBPool que serán asignados a las vlan

Router1(config)#ip dhcp pool vlanApool

(le damos un nombre al Pool de direccionamiento)
Router1(DHCP-config)#network 192.168.20.0 255.255.255.0
(le decimos el Pool de direcciones IP) 22
Router(DHCP-config)#default-router 192.168.20.1
(Señalamos la IP que será la puerta de enlace)
Router(DHCP-config)#dns-server 192.168.20.3
(Indicamos la IP del servidor DNS que utilizaran los hosts)
Erick José Delgadillo Loáisiga
SEGURIDAD EN LAS TELECOMUNICACIONES -MGSI

Luego procedemos a la creación de las subinterfaces para las vlan

vlanB

Router1(config-subif)#exit
Router1(config)#interface et0/0.1
Router1(config-subif)#encapsulation dot1
Router1(config-subif)#encapsulation dot1Q 30 22

Router1(config-subif)#ip address 192.168.30.1 255.255.255.0

Router1(config-subif)#exit
Router1(config)#exit

vlanA

Router1>enable
Password:
Router1#conf ter
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#interface et0/0.2
Router1(config-subif)#en
Router1(config-subif)#encapsulation do
Router1(config-subif)#encapsulation dot1Q 20
Router1(config-subif)#ip ad
Router1(config-subif)#ip addr
Router1(config-subif)#ip address 192.168.20.1 255.255.255.0
Router1(config-subif)#exit
Router1(config)#exit
Erick José Delgadillo Loáisiga
SEGURIDAD EN LAS TELECOMUNICACIONES -MGSI

Puesta en marcha de las pruebas de implementación de DHCP en los clientes PC01, PC02, PC03 y KALI

Equipos PC01, PC02 y PC03

Validación de asignación de los números ip recibidos del router en base a la vlan a la que pertenecen

PC01
22

PC02

PC03
Erick José Delgadillo Loáisiga
SEGURIDAD EN LAS TELECOMUNICACIONES -MGSI

Para el equipo KALI usamos el nodo tipo Cloud3, este nos permitirá asignarle a la vmnet2 de vmware el
IP asignado al nodo KAL, el cual se encuentra en la interfaz ethernet 3 del Switch01.

22

Configuración de la maquina virtual

Erick José Delgadillo Loáisiga
SEGURIDAD EN LAS TELECOMUNICACIONES -MGSI

Se cambia la configuración del puerto eth0 de Kali a DHCP, esto debido a que el recibirá el IP a través del
router1, para la realización de este proceso se accede y se edita el archivo que se encuentra en
/etc/network/interfaces

22

Se procede a reiniciar el servicio

Luego se valida la asignación del numero IP asociado a la vlan a la que pertenece.

Erick José Delgadillo Loáisiga
SEGURIDAD EN LAS TELECOMUNICACIONES -MGSI

5. Listas de acceso (ACL)

Las ACL permiten controlar el flujo del tráfico en equipos de redes, su principal objetivo es filtrar tráfico,
permitiendo o denegando el tráfico de red de acuerdo a las condiciones establecidas en los parámetros
deseados.

A continuación, creamos las listas con los parámetros necesarios para los siguientes procesos:
22
a. Denegación de FTP

Router1#conf ter
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#interface et0/0
Router1(config-if)#access-list 101 deny tcp any any eq ftp
Router1(config)#interface et0/0
Router1(config-if)#access-list 101 deny tcp any any eq ftp-data
Router1(config)#interface et0/0
Router1(config-if)#access-list 101 permit ip any any
Router1(config)#exit

b. Aceptación de PING (ECHO_REQUEST)

Router1#conf ter
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#acc
Router1(config)#access-list 102 per
Router1(config)#access-list 102 permit icmp any any ec
Router1(config)#access-list 102 permit icmp any any echo-re
Router1(config)#access-list 102 permit icmp any any echo-reply
Router1(config)#interfa
Router1(config)#interface et0/0
Router1(config-if)#ip acce
Router1(config-if)#ip access-group 102 in
Router1(config-if)#exit
Router1(config)#exit

Listado de access list configuradas en el ROUTER

Erick José Delgadillo Loáisiga
SEGURIDAD EN LAS TELECOMUNICACIONES -MGSI

6. Realización de ataque DHCP Spoofing

La técnica de ataque de engaño DHCP consiste básicamente en la asignación de parámetros de
configuración de DHCP “desde un servidor DHCP” no autorizado en la red

El funcionamiento normal del protocolo DHCP indica que:

 Inicialmente un host cliente debe enviar al Broadcast de la red un paquete “DISCOVERY” para
22
solicitar se le asignen y envíen los parámetros de configuración
 Cada servidor DHCP de la red, recibe el mensaje y responde con un paquete “OFFER” en el que
incluye información relativa a la configuración asignada.
 El cliente puede seleccionar total o parcialmente los parámetros recibidos y responder con un
mensaje “REQUEST” solicitando se le asignen dichos parámetros.
 Finalmente, el servidor valida la asignación de estos parámetros y responde con un mensaje “DHCP
ACK” indicando al cliente que la configuración ha sido reservada.

El escenario más Simple toma lugar cuando un atacante inicia una instancia de servidor DHCP en la LAN
ofreciendo configuraciones IP a los host que lo soliciten. En este punto, el atacante entra en condición
de carrera con el DHCP legítimo de la red.

Es posible que unas veces un host tome la configuración del Atacante y otras las del DHCP legítimo.

El atacante debe conocer la configuración de la red y podrá simular una asignación correcta al host, de
este modo el Atacante se convierte en la puerta de enlace predeterminada del host y gana una posición
de intermediario.

Para la implementación de este ataque usaremos yersinia que se encuentra dentro del KALI, para lo cual
iniciamos el yersinia, validamos que el IP obtenido sea desde el ROUTER1 y procedemos a lanzar el
ataque.
Erick José Delgadillo Loáisiga
SEGURIDAD EN LAS TELECOMUNICACIONES -MGSI

Validamos los IP que se van asignado desde el ROUTER usando el comando show ip dhcp binding

22

Iniciamos el Wireshark dentro del KALI y validamos el envío de paquetes

Erick José Delgadillo Loáisiga
SEGURIDAD EN LAS TELECOMUNICACIONES -MGSI

Validamos constante la tabla de asignación de IP hasta su saturación

22
Erick José Delgadillo Loáisiga
SEGURIDAD EN LAS TELECOMUNICACIONES -MGSI

7. Aplicación de Remediación a los SWITCHS

Una forma sería utilizar ACLs para bloquear UDP 68, que es el puerto destino que utiliza un servidor
DHCP para hablar con el cliente (RFC 1531). Así que se puede crear una lista de acceso y aplicarla en las
interfaces para no envíe paquetes offer o acks.
22
Ejemplo de implementación:

ip access-list 100 deny udp any any eq 68

ip access-list 100 permit ip any any
int [interface facing the would-be rogue]
ip access-group 100 in

La otra forma es utilizar DHCP Snooping, básicamente, se basa en definir en los switchs los puertos sobre
los que el tráfico del DHCP server confiable puede transitar, los que nosotros consideramos que
definimos como “trust.

Para el Switch01
Erick José Delgadillo Loáisiga
SEGURIDAD EN LAS TELECOMUNICACIONES -MGSI

Para el Switch02

22

Para el Switch03
Erick José Delgadillo Loáisiga
SEGURIDAD EN LAS TELECOMUNICACIONES -MGSI

22