REDES Y TRANSMISIÓN

DE DATOS

Introducción a las redes

conmutadas
Routing And Switching

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 1
Objetivos
▪ Explicar las ventajas y desventajas de enrutamiento estático
▪ Configurar los parámetros básicos de un switch Cisco
▪ Configurar puertos del switch
▪ Configure la interfaz virtual del switch
▪ Describir los ataques básicos a la seguridad en un entorno conmutado
▪ Describir las mejores prácticas de seguridad en un entorno conmutado
▪ Configurar la función de seguridad del puerto para restringir el acceso de red
Secuencia de inicio del switch
1. POST
2. El switch carga las instrucciones (cargador de arranque) de inicio de la NVRAM
3. Realiza la inicialización de la CPU a bajo nivel
4. Inicializa el sistema de archivos flash
5. Ubica y carga una imagen del software del sistema operativo en la memoria RAM y arranca el
switch.
Secuencia de inicio del switch
▪ Con el fin de encontrar una imagen IOS adecuado, el switch sigue los
siguientes pasos:
▪ Intenta iniciarse automáticamente utilizando la información de la variable de entorno
de arranque
▪ Si esta variable no está definida, el switch realiza una búsqueda de arriba hacia
abajo a través del sistema de archivos flash. Carga y ejecuta el primer archivo
ejecutable, si puede.
▪ El sistema operativo IOS inicializa las interfaces usando los comandos de IOS de
Cisco que se encuentran en el archivo de configuración de inicio que se almacena
en la NVRAM.

Nota: los comandos boot system se puede utilizar para establecer la variable de
entorno de arranque.
Recovering From a System Crash
▪ El cargador de arranque también se puede utilizar para administrar el switch si
el IOS no puede ser cargado.
▪ El cargador de arranque puede ser accesado a través de una conexión de
consola:
1. Conectar un PC mediante un cable de consola al puerto de consola del switch. Desconecte el
cable de alimentación del switch,
2. Vuelva a conectar el cable de alimentación al switch y presione y mantenga presionado el
botón Mode.
3. El LED Sistema de encendido cambia brevemente de ámbar a verde. Suelte el botón Mode.
▪ El cargador de arranque muestra “switch:prompt” en el software de emulación
de terminal en el PC.
LED Indicadores del switch
▪ Cada puerto de los switches Cisco Catalyst tiene LED que indica el estado del
puerto.
▪ Por defecto estos LED reflejan la actividad del puerto, pero también pueden
proporcionar otra información sobre el switch a través del botón MODE.
▪ Los siguientes modos están disponibles en Cisco Catalyst 2960 switches:
▪ LED de sistema
▪ LED de Sistema de alimentación redundante (RPS)
▪ LED de estado del puerto
▪ LED de puerto Duplex
▪ LED de velocidad de puerto
▪ LED de modo de Alimentación a través de Ethernet (PoE)
LED Indicadores del switch
▪ Cisco Catalyst 2960
switch modes
Preparación para la administración básica del switch
▪ Con el fin de administrar de forma remota un switch Cisco, este tiene que ser
configurado para acceder a la red.
▪ Una dirección IP y una máscara de subred deben ser configuradas.
▪ Si la administración se hará desde una red remota, se debe configurar una
puerta de enlace predeterminada.
▪ La información de IP (dirección IP, máscara de subred, puerta de enlace) se va
a asignar a una SVI del switch (interfaz virtual del switch)
▪ Aunque esta configuración IP permiten la gestión remota y acceso remoto al
switch, que no permiten que el switch enrute paquetes (capa 3).
Preparación para la administración básica del
switch
Duplex Communication
Configure Switch Ports at the Physical Layer
Función auto-MDIX
▪ Se requieren ciertos tipos de cable (directo o cruzado) para conectar
dispositivos.
▪ Las características de la interfaz crossover auto-MDIX elimina este problema.
▪ Cuando auto-MDIX se habilita, la interfaz detecta y configura automáticamente
la conexión adecuada.
▪ Al usar auto-MDIX en una interfaz, la velocidad de la interfaz y el dúplex se
deben establecer en auto.
MDIX Auto Feature
MDIX Auto Feature
Verificando la configuración de los puertos de switch
Características de la capa de acceso
Características de la capa de acceso
Características de la capa de acceso
▪ Troubleshooting Switch Media (connection) issues
Características de la capa de acceso
▪ Troubleshooting Interface-related issues
Operación de SSH
▪ Secure Shell (SSH) es un protocolo que proporciona una conexión segura
(cifrada) basada en línea de comandos hacia un dispositivo remoto.
▪ SSH se utiliza comúnmente en los sistemas basados ​en UNIX.
▪ Cisco IOS también es compatible con SSH.
▪ Es necesaria una versión del software IOS que incluya características y
capacidades de cifrado (cifrado) con el fin de habilitar SSH en los switch
Catalyst 2960.
▪ Debido a sus fuertes características de encriptación, SSH debería sustituir
Telnet para conexiones de administración.
▪ SSH utiliza el puerto TCP 22 por defecto. Telnet utiliza el puerto TCP 23
Operación, configuracion y verificacion de SSH
Inundación de direcciones MAC
▪ Los switch automáticamente llenan su tabla CAM observando el tráfico que
entra en sus puertos.
▪ Los switch enviarán tráfico hacia todos los puertos si no puede encontrar la
MAC destino en su tabla CAM.
▪ Bajo tales circunstancias, el switch actúa como un hub. Tráfico unicast
puede ser visto por todos los dispositivos conectados al switch.
▪ Un atacante podría aprovechar este comportamiento para obtener acceso al
tráfico normalmente controlado por el switch mediante el uso de un PC para
ejecutar una herramienta de inundaciones MAC.
Inundación de direcciones MAC
▪ Esta herramienta es un programa creado para generar y enviar
tramas con direcciones MAC de origen falsas al puerto del switch.
▪ A medida que estas tramas alcanzan el switch, se agrega la
dirección MAC falsa a su tabla CAM, tomando nota del puerto por el
que entraron las tramas.
▪ Finalmente, la tabla CAM se llena con las direcciones MAC falsas.
▪ La tabla CAM ya no tiene espacio para los dispositivos legítimos
presentes en la red y por lo tanto nunca encontrará sus direcciones
MAC en la tabla CAM.
▪ Todos las tramas serán enviadas a todos los puertos, lo que permite
al atacante acceder al tráfico destinado a otros hosts.
Inundación de direcciones MAC
▪ Atacante inundando con
entradas MAC falsas
Inundación de direcciones MAC
▪ El switch ahora se
comporta como un hub
DHCP Spoofing
▪ DHCP es un protocolo de red que se utiliza para asignar
información IP automáticamente.
▪ Existen dos tipos de ataques de DHCP:
DHCP Spoofing (suplantación)
DHCP Starvation (hambre)
▪ En los ataques de DHCP Spoofing, un servidor DHCP falso se
coloca en la red para emitir direcciones DHCP a los clientes.
▪ DHCP Starvation se utiliza a menudo antes de un ataque de
suplantación para negar el servicio DHCP al servidor DHCP
legítimo.
DHCP Spoofing
▪ DHCP Spoof Attack
Aprovechando CDP
▪ CDP es un protocolo propietario de Cisco de capa 2 utilizado para
descubrir otros dispositivos Cisco conectados directamente.
▪ Está diseñado para permitir a los dispositivos auto-configurar sus
conexiones.
▪ Si un atacante está escuchando mensajes CDP, pueda aprender
información importante, como el modelo de dispositivo y la versión
del software que se ejecuta
▪ Cisco recomienda deshabilitar CDP cuando no está en uso.
Aprovechando Telnet
▪ Como se ha mencionado el protocolo Telnet es inseguro y debe ser
reemplazado por SSH.
▪ A pesar de que un atacante puede utilizar Telnet como parte de
otros ataques.
▪ Dos de estos ataques son Brute Force Attack hacia las
contraseñas y el ataque DoS por telnet.
▪ Cuando las contraseñas no pueden ser capturados, los atacantes
intentarán tantas combinaciones de caracteres como sea posible.
Este intento de adivinar la contraseña se conoce como ataque de
fuerza bruta.
▪ Telnet se puede utilizar para probar las contraseña a través de la
red.
Aprovechando Telnet
▪ En un ataque DoS de Telnet, el atacante explota una falla en el
software del servidor Telnet del switch que hace que el servicio
Telnet no este disponible.
▪ Este tipo de ataque impide a un administrador el acceso remoto a
las funciones de administración del switch.
▪ Esto se puede combinar con otros ataques directos a la red como
parte de un esfuerzo coordinado para evitar que el administrador
de la red tengan acceso a los dispositivos centrales durante la
violación.
▪ Vulnerabilidades en el servicio Telnet que permiten que los ataques
DoS ocurran ya tiene los parches de seguridad en las revisiones
más recientes del IOS de Cisco.
10 Mejores prácticas
1. Desarrollar una política de seguridad por escrito para la organización.
2. Desactivar los servicios y los puertos no utilizados.
3. Utilizar contraseñas seguras y cambiarlas a menudo.
4. Controlar el acceso físico a los dispositivos.
5. Utilizar HTTPS en lugar de HTTP.
6. Realizar copias de seguridad de las operaciones regularmente.
7. Educar a los empleados sobre los ataques de ingeniería social.
8. Encriptar y proteger con contraseña los datos sensibles.
9. Implementar firewalls.
10. Mantener actualizado el software.
Herramientas de seguridad de Red: Opciones
▪ Las herramientas de seguridad de la red son muy importantes para
los administradores de red.
▪ Estas herramientas permiten a los administradores para comprobar
la fortaleza de las medidas de seguridad implementadas.
▪ Un administrador puede lanzar un ataque contra la red y analizar
los resultados.
▪ Esto es también para determinar cómo ajustar las políticas de
seguridad para mitigar esos tipos de ataques.
▪ La auditoría de seguridad y pruebas de penetración son dos
funciones básicas que las herramientas de seguridad de red
realizan.
Herramientas de seguridad de Red: Auditoria
▪ Las herramientas de seguridad de red se puede utilizar para
auditar la red
▪ Mediante el control de la red, el administrador puede evaluar qué
tipo de información un atacante sería capaz de obtener.
▪ Por ejemplo, al atacar e inundando la tabla CAM de un switch, un
administrador podría aprender qué puertos de switch son
vulnerables a las inundaciones MAC y corregir el problema.
▪ Herramientas de seguridad de la red también pueden ser utilizados
como herramientas de pruebas de penetración
Herramientas de seguridad de Red: Auditoria
▪ Las pruebas de penetración es un ataque simulado.
▪ Ayuda a determinar la vulnerabilidad de la red cuando está bajo un
ataque real.
▪ Debilidades en la configuración de dispositivos de red se pueden
identificar sobre la base de los resultados de estas pruebas.
▪ Se pueden hacer cambios para hacer a los dispositivos más
resistentes a los ataques
▪ Tales pruebas pueden dañar la red y deben ser llevados a cabo
bajo condiciones muy controladas.
Asegurar los puertos no utilizados
▪ Deshabilitar los puertos no
utilizados es una directiva
de seguridad simple pero
eficiente.
DHCP Snooping
▪ DHCP Snooping determina que
puertos de switch pueden
responder a las solicitudes DHCP
Seguridad de puerto: Operacion
▪ Port security limita el número de direcciones MAC válidas
permitidas para un puerto.
▪ Una dirección MAC legítima será permitida, mientras que otra será
denegada.
▪ Cualquier intento adicional de conexión de una dirección MAC
desconodida generará una violación a la seguridad.
▪ Las direcciones MAC seguras pueden ser indicadas de la siguiente
forma:
▪ Static secure MAC addresses
▪ Dynamic secure MAC addresses
▪ Sticky secure MAC addresses
Seguridad de puerto : Modos de Violacion
▪ IOS considera una violación de seguridad ante cualquiera de estas
situaciones:
▪ Un número máximo de direcciones MAC seguras, por interface, han
sido agregadas a la CAM, y una dirección MAC que no está en la tabla
intenta el acceso a la interface.
▪ Una dirección aprendida o configurada en una interfaz segura se ve en
otra interfaz segura en la misma VLAN.
▪ Hay tres posibles acciones a tomar cuando se detecta una
violación:
▪ Protect (proteger)
▪ Restrict (restringir)
▪ Shutdown (apagar)
 Seguridad de puerto : Configuracion
▪ Valores predeterminados ▪ Configuracion dinamica
 Seguridad de Puerto: Configuracion
▪ Configurcion de la seguridad de Puerto ▪ Verificacion de la seguridad de Puerto
adherido adherido
 Port Security: Verifying
▪ Verifying Port Security Sticky – ▪ Verifying Port Security Secure MAC
Addresses
Running Config
Puertos en estado: Error Disabled
▪ Una violación a la seguridad de puerto puede dejar al puerto en un estado de
“error disabled” (deshabilitado por error)
▪ Un puerto en error disabled está shutdown
▪ El switch comunicará estos hechos a través de mensajes de la consola
▪ El interruptor se comunicará estos hechos a través de mensajes de la consola
Puertos en estado desactivado
▪ El commando show interface revela un Puerto del switch en estado
desactivado
Puertos en estado desactivado
▪ Se debe unsar el commando shutdown/no shutdown para activar o
desactivar el puerto
Network Time Protocol (NTP) – Protocolo de tiempo de Red
▪ NTP es un protocolo utilizado para sincronizar los relojes de los
dispositivos de red.
▪ NTP puede obtener la hora correcta desde un origen de hora
externo o interno
▪ Las fuentes de tiempo pueden ser:
Reloj maestro local
Reloj maestro en Internet
GPS o reloj atómico
▪ Un dispositivo de red se puede configurar como un servidor NTP o
un cliente NTP
Network Time Protocol (NTP)
▪ Configuring NTP
Network Time Protocol (NTP)
▪ Verificando NTP
Resumen
▪ Este capítulo cubre:
▪ La secuencia de arranque de un switch Cisco
▪ Los modos de los LED de los Switch Cisco
▪ Cómo acceder y administrar de forma remota un Switch Cisco a través de una
conexión segura
▪ Cómo cambiar de modo dúplex el puerto de switch
▪ Seguridad de puerto de switch, modos y acciones ante una violación.
▪ Las mejores prácticas para redes conmutadas