ES RS instructorPPT Chapter2

Capítulo 2:
Introducción a las
redes conmutadas
Routing And Switching
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 1
Capítulo 2
2.0 Introducción
2.1 Configuración Básica del Switch
2.2 Seguridad en el Switch : Administración e
Implementación
Capítulo 2: Objetivos
 Explicar las ventajas y desventajas de enrutamiento
estático
 Configurar los parámetros básicos de un switch Cisco
 Configurar puertos del switch
 Configure la interfaz virtual del switch
 Describir los ataques básicos a la seguridad en un
entorno conmutado
 Describir las mejores prácticas de seguridad en un
entorno conmutado
 Configurar la función de seguridad del puerto para
restringir el acceso de red
Basic Switch Configuration
Secuencia de inicio del switch
1. POST
2. El switch carga las instrucciones (cargador de
arranque) de inicio de la NVRAM
3. Realiza la inicialización de la CPU a bajo nivel
4. Inicializa el sistema de archivos flash
5. Ubica y carga una imagen del software del sistema
operativo en la memoria RAM y arranca el switch.
Secuencia de inicio del switch
Con el fin de encontrar una imagen IOS adecuado, el
switch sigue los siguientes pasos:
 Intenta iniciarse automáticamente utilizando la información de
la variable de entorno de arranque
 Si esta variable no está definida, el switch realiza una
búsqueda de arriba hacia abajo a través del sistema de archivos
flash. Carga y ejecuta el primer archivo ejecutable, si puede.
 El sistema operativo IOS inicializa las interfaces usando los
comandos de IOS de Cisco que se encuentran en el archivo de
configuración de inicio que se almacena en la NVRAM.
Nota: los comandos boot system se puede utilizar para
establecer la variable de entorno de arranque.
.
Recovering From a System Crash
 El cargador de arranque también se puede utilizar para
administrar el switch si el IOS no puede ser cargado.
 El cargador de arranque puede ser accesado a través
de una conexión de consola:
1. Conectar un PC mediante un cable de consola al puerto de
consola del switch. Desconecte el cable de alimentación del
switch,
2. Vuelva a conectar el cable de alimentación al switch y
presione y mantenga presionado el botón Mode.
3. El LED Sistema de encendido cambia brevemente de ámbar
a verde. Suelte el botón Mode.
 El cargador de arranque muestra “switch:prompt” en el
software de emulación de terminal en el PC.
LED Indicadores del switch
 Cada puerto de los switches Cisco Catalyst tiene LED
que indica el estado del puerto.
 Por defecto estos LED reflejan la actividad del puerto,
pero también pueden proporcionar otra información sobre
el switch a través del botón MODE.
 Los siguientes modos están disponibles en Cisco
Catalyst 2960 switches:
LED de sistema
LED de Sistema de alimentación redundante (RPS)
LED de estado del puerto
LED de puerto Duplex
LED de velocidad de puerto
LED de modo de Alimentación a través de Ethernet (PoE)
LED Indicadores del switch
 Cisco Catalyst 2960 switch modes
Preparación para la administración básica
del switch
 Con el fin de administrar de forma remota un switch Cisco,
este tiene que ser configurado para acceder a la red.
 Una dirección IP y una máscara de subred deben ser
configuradas.
 Si la administración se hará desde una red remota, se debe
configurar una puerta de enlace predeterminada.
 La información de IP (dirección IP, máscara de subred,
puerta de enlace) se va a asignar a una SVI del switch
(interfaz virtual del switch)
 Aunque esta configuración IP permiten la gestión remota y
acceso remoto al switch, que no permiten que el switch
enrute paquetes (capa 3).
Preparación para la administración básica
del switch
Configure Switch Ports
Duplex Communication
Configure Switch Ports at the Physical Layer
Función auto-MDIX
 Se requieren ciertos tipos de cable (directo o cruzado)
para conectar dispositivos.
 Las características de la interfaz crossover auto-MDIX
elimina este problema.
 Cuando auto-MDIX se habilita, la interfaz detecta y
configura automáticamente la conexión adecuada.
 Al usar auto-MDIX en una interfaz, la velocidad de la
interfaz y el dúplex se deben establecer en auto.
MDIX Auto Feature
MDIX Auto Feature
Verificando la configuración de los puertos
de switch
Características de la capa de acceso
 Troubleshooting Switch Media (connection) issues
 Troubleshooting Interface-related issues
Secure Remote Access
Operación de SSH
 Secure Shell (SSH) es un protocolo que proporciona una conexión
segura (cifrada) basada en línea de comandos hacia un
dispositivo remoto.
 SSH se utiliza comúnmente en los sistemas basados en UNIX.
 Cisco IOS también es compatible con SSH.
 Es necesaria una versión del software IOS que incluya
características y capacidades de cifrado (cifrado) con el fin de
habilitar SSH en los switch Catalyst 2960.
 Debido a sus fuertes características de encriptación, SSH debería
sustituir Telnet para conexiones de administración.
 SSH utiliza el puerto TCP 22 por defecto. Telnet utiliza el puerto
TCP 23
Operación de SSH
Configurando SSH
Verificando SSH
Security Concerns in LANs
Inundación de direcciones MAC
 Los switch automáticamente llenan su tabla CAM
observando el tráfico que entra en sus puertos.
 Los switch enviarán tráfico hacia todos los puertos si
no puede encontrar la MAC destino en su tabla CAM.
 Bajo tales circunstancias, el switch actúa como un hub.
Tráfico unicast puede ser visto por todos los
dispositivos conectados al switch.
 Un atacante podría aprovechar este comportamiento
para obtener acceso al tráfico normalmente controlado
por el switch mediante el uso de un PC para ejecutar
una herramienta de inundaciones MAC.
 Esta herramienta es un programa creado para generar y enviar
tramas con direcciones MAC de origen falsas al puerto del switch.
 A medida que estas tramas alcanzan el switch, se agrega la
dirección MAC falsa a su tabla CAM, tomando nota del puerto por el
que entraron las tramas.
 Finalmente, la tabla CAM se llena con las direcciones MAC falsas.
 La tabla CAM ya no tiene espacio para los dispositivos legítimos
presentes en la red y por lo tanto nunca encontrará sus direcciones
MAC en la tabla CAM.
 Todos las tramas serán enviadas a todos los puertos, lo que permite
al atacante acceder al tráfico destinado a otros hosts.
 Attacker flooding the CAM table with bogus entries
 The switch now behaves as a hub
DHCP Spoofing
 DHCP es un protocolo de red que se utiliza para
asignar información IP automáticamente.
 Existen dos tipos de ataques de DHCP:
DHCP Spoofing (suplantación)
DHCP Starvation (hambre)
 En los ataques de DHCP Spoofing, un servidor DHCP
falso se coloca en la red para emitir direcciones DHCP
a los clientes.
 DHCP Starvation se utiliza a menudo antes de un
ataque de suplantación para negar el servicio DHCP al
servidor DHCP legítimo.
DHCP Spoofing
 DHCP Spoof Attack
Aprovechando CDP
 CDP es un protocolo propietario de Cisco de capa 2
utilizado para descubrir otros dispositivos Cisco
conectados directamente.
 Está diseñado para permitir a los dispositivos auto-
configurar sus conexiones.
 Si un atacante está escuchando mensajes CDP, pueda
aprender información importante, como el modelo de
dispositivo y la versión del software que se ejecuta
 Cisco recomienda deshabilitar CDP cuando no está en
uso.
Aprovechando Telnet
 Como se ha mencionado el protocolo Telnet es
inseguro y debe ser reemplazado por SSH.
 A pesar de que un atacante puede utilizar Telnet como
parte de otros ataques.
 Dos de estos ataques son Brute Force Attack hacia las
contraseñas y el ataque DoS por telnet.
 Cuando las contraseñas no pueden ser capturados, los
atacantes intentarán tantas combinaciones de
caracteres como sea posible. Este intento de adivinar
la contraseña se conoce como ataque de fuerza bruta.
 Telnet se puede utilizar para probar las contraseña a
través de la red.
Aprovechando Telnet
 En un ataque DoS de Telnet, el atacante explota una falla en el
software del servidor Telnet del switch que hace que el servicio
Telnet no este disponible.
 Este tipo de ataque impide a un administrador el acceso remoto a
las funciones de administración del switch.
 Esto se puede combinar con otros ataques directos a la red como
parte de un esfuerzo coordinado para evitar que el administrador
de la red tengan acceso a los dispositivos centrales durante la
violación.
 Vulnerabilidades en el servicio Telnet que permiten que los
ataques DoS ocurran ya tiene los parches de seguridad en las
revisiones más recientes del IOS de Cisco.
Security Best Practices
10 Mejores prácticas
 Desarrollar una política de seguridad por escrito para la
organización.
 Desactivar los servicios y los puertos no utilizados.
 Utilizar contraseñas seguras y cambiarlas a menudo.
 Controlar el acceso físico a los dispositivos.
 Utilizar HTTPS en lugar de HTTP.
 Realizar copias de seguridad de las operaciones regularmente.
 Educar a los empleados sobre los ataques de ingeniería social.
 Encriptar y proteger con contraseña los datos sensibles.
 Implementar firewalls.
 Mantener actualizado el software.
Network Security Tools: Options
 Las herramientas de seguridad de la red son muy importantes
para los administradores de red.
 Estas herramientas permiten a los administradores para
comprobar la fortaleza de las medidas de seguridad
implementadas.
 Un administrador puede lanzar un ataque contra la red y analizar
los resultados.
 Esto es también para determinar cómo ajustar las políticas de
seguridad para mitigar esos tipos de ataques.
 La auditoría de seguridad y pruebas de penetración son dos
funciones básicas que las herramientas de seguridad de red
realizan.
Network Security Tools: Audits
 Las herramientas de seguridad de red se puede utilizar para
auditar la red
 Mediante el control de la red, el administrador puede evaluar qué
tipo de información un atacante sería capaz de obtener.
 Por ejemplo, al atacar e inundando la tabla CAM de un switch, un
administrador podría aprender qué puertos de switch son
vulnerables a las inundaciones MAC y corregir el problema.
 Herramientas de seguridad de la red también pueden ser
utilizados como herramientas de pruebas de penetración
Network Security Tools: Audits
 Las pruebas de penetración es un ataque simulado.
 Ayuda a determinar la vulnerabilidad de la red cuando está bajo
un ataque real.
 Debilidades en la configuración de dispositivos de red se pueden
identificar sobre la base de los resultados de estas pruebas.
 Se pueden hacer cambios para hacer a los dispositivos más
resistentes a los ataques
 Tales pruebas pueden dañar la red y deben ser llevados a cabo
bajo condiciones muy controladas.
Switch Port Security
Asegurar los puertos no utilizados
 Disable Unused Ports is a simple yet efficient security
guideline
DHCP Snooping
 DHCP Snooping determina que puertos de switch
pueden responder a las solicitudes DHCP
Port Security: Operation
 Port security limita el número de direcciones MAC válidas
permitidas para un puerto.
 Una dirección MAC legítima será permitida, mientras que otra será
denegada.
 Cualquier intento adicional de conexión de una dirección MAC
desconodida generará una violación a la seguridad.
 Las direcciones MAC seguras pueden ser indicadas de la
siguiente forma:
• Static secure MAC addresses
• Dynamic secure MAC addresses
• Sticky secure MAC addresses
Port Security: Violation Modes
 IOS considera una violación de seguridad ante cualquiera de
estas situaciones:
• Un número máximo de direcciones MAC seguras, por
interface, han sido agregadas a la CAM, y una dirección
MAC que no está en la tabla intenta el acceso a la interface.
• Una dirección aprendida o configurada en una interfaz
segura se ve en otra interfaz segura en la misma VLAN.
 Hay tres posibles acciones a tomar cuando se detecta una
violación:
• Protect (proteger)
• Restrict (restringir)
• Shutdown (apagar)
Port Security: Configuring
 Dynamic Port Security Defaults
 Configuring Dynamic Port Security
 Configuring Port Security Sticky
Port Security: Verifying
 Verifying Port Security Sticky
 Verifying Port Security Sticky – Running Config
 Verifying Port Security Secure MAC Addresses
Puertos en estado: Error Disabled
 Una violación a la seguridad de puerto puede dejar al puerto en un
estado de “error disabled” (deshabilitado por error)
 Un puerto en error disabled está shutdown
 El switch comunicará estos hechos a través de mensajes de la consola
 El interruptor se comunicará estos hechos a través de mensajes de la
consola
Ports In Error Disabled State
 The show interface command also reveals a switch port
on error disabled state
Ports In Error Disabled State
 A shutdown/no shutdown interface command must be
issued to re-enable the port
Network Time Protocol (NTP)
 NTP es un protocolo utilizado para sincronizar los relojes de los
dispositivos de red.
 NTP puede obtener la hora correcta desde un origen de hora
externo o interno
 Las fuentes de tiempo pueden ser:
Reloj maestro local
Reloj maestro en Internet
GPS o reloj atómico
 Un dispositivo de red se puede configurar como un servidor NTP o
un cliente NTP
 Configuring NTP
 Verifying NTP
Capítulo 2: Resumen
Este capítulo cubre:
La secuencia de arranque de un switch Cisco
Los modos de los LED de los Switch Cisco
Cómo acceder y administrar de forma remota un Switch
Cisco a través de una conexión segura
Cómo cambiar de modo dúplex el puerto de switch
Seguridad de puerto de switch, modos y acciones ante
una violación.
Las mejores prácticas para redes conmutadas

ES RS instructorPPT Chapter2

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

ES RS instructorPPT Chapter2

Cargado por

Copyright:

Formatos disponibles

Capítulo 2:

Routing And Switching

También podría gustarte