Embed Size (px)
Citation preview
CAPITULO 2 - CONCEPTOS BASICOS DE SWITCHING Y CONFIGURACION Los switches se utilizan para conectar múltiples dispositivos juntos en la misma red. En una red bien diseñada, los switches LAN son responsables de dirigir y controlar el flujo de los datos en la capa de acceso a los recursos en red.
CONFIGURACIÓN BÁSICA DEL SWITCH SECUENCIA DE ARRANQUE DEL SWICTH Después de un Switch Cisco se enciende, pasa por la siguiente secuencia de arranque:
1. El Switch de carga el programa de auto diagnóstico (POST) almacenados en la memoria ROM, que verifica el estado de las demás memorias y los puertos.
2. El Switch carga el software del gestor de arranque. El gestor de arranque está en la ROM y se ejecuta inmediatamente después de la POST finaliza correctamente.
3. El gestor de arranque realiza la inicialización CPU de bajo nivel. Se inicializa los registros de la CPU, que controlan dónde se asigna memoria física, la cantidad de memoria y su velocidad, además inicializa el sistema de archivos flash en la placa base.
4. Finalmente localiza y carga la imagen de software del sistema operativo IOS en la memoria y pasa el control del cambio a la IOS.
El gestor de arranque o boot loader encuentra la imagen de IOS de Cisco en el Switch de la siguiente manera:
- el conmutador intenta iniciarse automáticamente utilizando la información de la variable de entorno de arranque. Si esta variable no está definida, el conmutador intenta cargar y ejecutar el primer archivo ejecutable que puede mediante la realización de una búsqueda recursiva a profundidad, en todo el sistema de archivos flash.
- El sistema operativo iOS inicializa las interfaces que utilizan los comandos de IOS de Cisco que se encuentran en el archivo de configuración de inicio de configuración, que se almacena en la NVRAM.
RECUPERACIÓN DE UN FALLO DEL SISTEMA El boot loader proporciona acceso en el Switch si el sistema operativo no se puede utilizar debido a los archivos del sistema dañados o que faltan, este tiene una línea de comandos que proporciona acceso a los archivos almacenados en la memoria flash, y se obtiene acceso a este mediante una conexión de consola siguiendo estos pasos:
1. Conectar un PC mediante un cable de consola al puerto de consola del Switch. Configure el software de emulación de terminal para conectar al conmutador.
2. Desconecte el cable de alimentación del interruptor. 3. Vuelva a conectar el cable de alimentación al interruptor y, dentro de los 15 segundos,
presione y mantenga presionado el botón Modo mientras el LED del sistema sigue parpadeando verde.
4. Siga pulsando el botón de modo hasta que el LED del sistema se vuelve ámbar brevemente y luego sólido de color verde, luego suelte el botón de modo.
5. Aparecerá el prompt del boot loader en el software de emulación de terminal en la PC. La línea de comandos del boot loader es compatible con los comandos para formatear el sistema de archivos flash, en esta se permite que se vuelva a instalar el software del sistema operativo, o recuperar una contraseña perdida u olvidada.
INDICADORES LED EN UN SWITCH.- los switches tienen varios indicadores led de estado, asi tenemos: PREPARACIÓN PARA LA ADMINISTRACIÓN BÁSICA DEL SWITCH.- Para preparar un Switch para acceso de administración remota, el mismo debe estar configurado con una dirección IP virtual y una máscara de subred, en caso de querer gestionar el cambio de una red remota, el Switch debe estar configurado con un default Gateway, Por defecto, el Switch está configurado para ser controlado a través de la VLAN 1. Todos los puertos son asignados a VLAN 1 por defecto. Por razones de seguridad, se considera una buena práctica utilizar una VLAN que no sea VLAN 1 para la VLAN de administración.
CONFIGURACIÓN BÁSICA DEL SWITCH DE ADMINISTRACIÓN DE ACCESO CON IPV4
1. Configurar la interfaz de administración.- Una dirección IP y la máscara de subred se
configurada en el SVI de manejo del Switch desde la interfaz VLAN. El SVI para la VLAN 99 no aparecerá en estado up hasta que se cree la VLAN 99 y exista un dispositivo conectado a un puerto de Switch asociado a VLAN 99. Para crear una VLAN utilizaremos los siguientes comandos: S1 (config) # vlan vlan_id S1 (config-vlan) # nombre vlan_name S1 (config) # end S1 (config) # interface Interface_Id S1 (config-if) # switchport access vlan vlan_id
2. Configuración del Gateway por defecto.- El Switch debe estar configurado con Gateway predeterminado, si se va a administrar de forma remota desde redes no conectadas directamente. La puerta de enlace predeterminada es el router al que el Switch esté conectado. El router reenviará paquetes IP con direcciones IP de destino fuera de la red local a la puerta de enlace predeterminada.
3. Verificar la configuración.-Se debe determinar el estado de las interfaces físicas y virtuales.
CONFIGURACION DE LOS PUERTOS DE UN SWTICH
COMUNICACIÓN FULL Y HALF DUPLEX.- La comunicación full dúplex mejora el rendimiento de una LAN conmutada. La comunicación full dúplex aumenta el ancho de banda eficaz al permitir que ambos extremos de una conexión para transmitir y recibir datos de forma simultánea. Esto también se conoce como bidireccional. Este método de optimización del rendimiento de la red requiere micro-segmentación, para lo que se crea una LAN de micro-segmentación cuando un puerto de Switch sólo tiene un dispositivo conectado y está funcionando a full-dúplex. Esto se traduce en un dominio de colisión micro tamaño de un único dispositivo, lo que hace que el enlace esté libre de colisione. Por el contrario la comunicación Half-Duplex es unidireccional, es decir l envío y la recepción de datos no se produce al mismo tiempo, lo que crea problemas de rendimiento porque los datos pueden fluir en una sola dirección a la vez, resultando a menudo en las colisiones. DUPLEX Y SPEED.- Los puertos de Switch se pueden configurar de forma manual con dúplex y velocidades específicas o usando auto como configuración predeterminada para los equipos cisco
Los puertos 10/100/1000 funcionan en régimen de media o full-dúplex modo cuando se ponen a 10 o 100 Mb / s, pero cuando se ponen a 1 000 Mb / s (1 Gb / s), que operan sólo en modo full-dúplex, es necesario tener en cuenta que los valores no coincidentes para el modo dúplex y la velocidad de los puertos del Switch pueden causar problemas de conectividad. El fracaso de negociación automática crea ajustes no coinciden. AUTO-MDIX.- También llamado interface automáticamente cruzada independiente del medio, es una función de las interfaces que elimina el problema del uso de cables directos o cruzados, asi al activar este comando, cualquier tipo de cable se puede utilizar para conectarse a otros dispositivos, y la interfaz corrige automáticamente para cualquier cableado incorrecto. VERIFICACION DE LA CONFIGURACION DE PUERTOS DE UN SWITCH.- PROBLEMAS EN LA CAPA DE ACCESO A RED.- Al usar el comando show interface se pueden observar algunos errores, que se presentan a continuación:
SOLUCION DE PROBLEMAS EN LA CAPA DE ACCESO A RED.- Generalmente se encuentran problemas que afectan a una red conmutada durante la implementación original, teóricamente, después de que se instala, una red continúa funcionando sin problemas, sin embargo, se pueden presentar daños, o requerirse un mantenimiento continuo y solución de problemas de la infraestructura de red, asi para solucionar estos problemas cuando no tiene conexión o una mala conexión entre un Switch y otro dispositivo, siga este procedimiento general:
MANEJO E IMPLEMENTACION DE LA SEGURIDAD DEL SWITCH
ACCESO REMOTO SEGURO.- es un protocolo que proporciona una conexión de administración segura o cifrada a un dispositivo remoto, se constituye como el sustituto de Telnet para conexiones de administración, para usar este protocolo se deben tener en cuenta:
1. Verifique soporte SSH: Utilice el comando show ip ssh para verificar que el Switch soporta SSH. Si el interruptor no se está ejecutando un IOS que permita encriptaciones, este comando no es reconocido.
2. Configure el dominio IP: Configurar el nombre de dominio IP de la red utilizando el nombre de dominio comando de modo de configuración global de nombres de dominio IP.
3. Generar pares de claves RSA: permite automáticamente el uso de ssh, para esto se usa el comando crypto key generate rsa en el modo configure terminal, al hacerlo se pide un módulo de longitud, que se recomienda sea de 1024 bits, para eliminar la encriptación se usa el comando crypto key rsa zeroize
4. Configuración de la autenticación de usuario: en este modo se pueden autenticar a los usuarios de forma local o mediante un servidor de autenticación, para lo que se debe crear un usuario con una contraseña.
5. Configurar las líneas vty: Habilitar el protocolo SSH en las líneas vty utilizando el comando de modo de transporte de entrada ssh línea de configuración.
ATAQUES DE SEGURIDAD COMUNES Interruptor de seguridad básico no se detiene los ataques maliciosos. La seguridad es un proceso de capas que es esencialmente nunca es completa. Cuanto más consciente de que el equipo de profesionales de redes dentro de una organización son respecto a los ataques de seguridad y los peligros que plantean, mejor. MAC ADDRESS FLOODING.- La tabla de direcciones MAC en un Switch contiene las direcciones MAC asociado con cada puerto físico y la VLAN asociada para cada puerto. Cuando un Switch de capa 2 recibe una trama, este busca en la tabla CAM la dirección MAC de destino, y se guardaran las direcciones MAC de origen, si la dirección de destino existe en la tabla CAM el Switch reenvía la trama al puerto correcto, y si la dirección no existe en la tabla, se inundara la trama a todos los puertos menos al de origen. El inundamiento de dirección MAC desconocidas en un Switch se puede usar para atacarlo, y generar un desbordamiento en la tabla CAM, estas tablas de direcciones MAC poseen un tamaño limitado, lo que hace de esta limitación una vulnerabilidad para un ataque de este tipo, que busca abrumar al Switch, con una fuente generadora de falsa direcciones MAC hasta que la tabla de direcciones MAC del Switch está llena.
Cuando la tabla de direcciones MAC está lleno de direcciones MAC falsas, el Switch entra en modo a prueba de abrir, en este modo, el Switch transmite todas las tramas de todas las máquinas en la red, es decir actúa como un hub, lo que hace que el atacante puede ver todos los fotogramas. DHCP SPOOFING.- DHCP es el protocolo que asigna automáticamente un host una dirección IP válida de un pool de DHCP, en este existen dos tipos de ataques a los que es susceptible en una red conmutada, y son:
- DHCP starvatión.- en este el atacante inunda el servidor DHCP de las solicitudes DHCP, a lo que el servidor responde con todas las dirección que le es posible emitir, después de que se emiten estas direcciones IP, el servidor no puede emitir ningún más direcciones, y esta situación se produce una denegación de servicio, evitando asi el trafico legitimo de datos.
- DHCP Spoofing.- también llamado suplantación de DHCP, en este un atacante configura un servidor DHCP falso en la red para emitir direcciones DHCP a los clientes.
La razón normal para este ataque es forzar a los clientes a utilizar falso sistema de nombres de dominio (DNS) y hacer que los clientes utilizan el atacante, o una máquina bajo el control del atacante como su puerta de enlace definida. DHCP starvatión se utiliza a menudo antes de un ataque de DHCP Spoofing para negar el servicio DHCP al servidor DHCP legítimo, e introducir un servidor DHCP falso en la red de manera más sencilla.
- LEVERAGING CDP.- es un protocolo propietario de Cisco cuyo uso puede ser
configurado y que viene activado en los puertos de los dispositivos ciscos, mismo que se encarga de descubrir otros dispositivos Cisco conectados directamente y auto configurarlos, aprovechándose de este protocolo, un atacante podrá conocer información de la configuración de los dispositivos.
- ATAQUES TELNET.- Telnet es un protocolo muy inseguro en el que se pueden presentar dos tipos de ataque:
1. Ataques al Password por fuerza bruta: en esta el atacante utiliza una lista de
contraseñas comunes y un programa diseñado para tratar de establecer una sesión Telnet con cada palabra en la lista de diccionarios, si la contraseña no se detecta se utiliza un programa que crea combinaciones de caracteres secuenciales en un intento de adivinar la contraseña, para evitar esto se deben usar Passwords robustos.
2. Denegación de servicio telnet: el atacante explota un fallo en el software de servidor Telnet, e impide que un administrador de acceso remoto a las funciones de administración del Switch
SEGURIDAD DE LOS PUERTOS DEL SWITCH
Un método muy simple de conseguir una mayor seguridad en un Switch, aunque podría resultar un poco lento es desactivar los puertos que no se vayan a usar, es fácil de hacer cambios de configuración en varios puertos en un Switch, si se debe configurar un rango de puertos, utilice el comando interface range.
Switch (config)# interface range type module/first-number – last-number
DHCP SNOOPING.- es una característica Cisco que determina qué puertos del Switch pueden responder a las peticiones DHCP. Los puertos se identifican como confiables y no confiables. Puertos de confianza puede fuente los mensajes DHCP, los puertos no son de confianza sólo puede recibir solicitudes de origen. Puertos de confianza alojar un servidor DHCP o pueden ser un enlace ascendente hacia el servidor DHCP. Si un dispositivo no autorizado en un puerto no es de confianza intenta enviar un paquete de
respuesta de DHCP en la red, el puerto se cierra. Para configurara DHCP Snooping se deberá seguir los siguientes pasos:
1. Habilitar DHCP Snooping
2. Habilitar Snooping DHCP para VLAN específicas
3. Definir los puertos como de confianza a nivel de interfaz mediante la definición de los puertos de confianza mediante el comando ip dhcp Snooping confianza.
4. En forma opcional, limitar la velocidad a la que un atacante puede enviar continuamente peticiones DHCP falsos a través de los puertos que no se confía en el servidor DHCP con el comando ip dhcp Snooping tasa límite de velocidad.
PORT SECURITY.- las interfaces o puertos deben asegurarse antes de hacer trabajar al Switch, y esto se puede lograr usando la función port security que limita el número de direcciones MAC válidas permitidas en un puerto, es decir. Existen varios tipos de direccionamientos MAC seguros y variarán de acuerdo al tipo de configuración que estas tengan, asi tenemos las siguientes:
- Static secure MAC addresses.- estas se configuran manualmente en un puerto, se almacenan en la tabla de direcciones y se añaden a la configuración que se ejecuta en el Switch.
- Static secure MAC addresses.- estas se aprenden y se almacenan sólo en la tabla de direcciones de forma dinámica. Direcciones MAC configurado de esta manera se eliminan cuando se reinicia el Switch.
- Sticky secure MAC addresses - Direcciones MAC que se pueden aprender de forma dinámica o configuradas manualmente, se almacenan en la tabla de direcciones y se agregan a la configuración en ejecución.
Si un puerto está configurado como un puerto seguro y se alcanza el número máximo de direcciones MAC, cualquier intento de conexión adicionales por direcciones MAC desconocidas, se generará una violación de seguridad, asi una violación de seguridad se dará en el caso que:
1. El número máximo de direcciones MAC seguras se han añadido a la tabla de direcciones para esa interfaz, y una estación cuya dirección MAC no está en la tabla de direcciones de los intentos de acceder a la interfaz.
2. Una dirección aprendido o configurado en una interfaz segura se ve en otra interfaz segura en la misma VLAN.
3. Una interfaz se puede configurar para uno de los tres modos de violación, especificando las medidas que deben adoptarse en caso de una violación.
En el caso de cumplirse una de estas tres situaciones una interfaz se puede configurar de tres modos de violación diferentes, especificando las medidas que deben adoptarse en caso de una violación.
- Protect. - Cuando el número de direcciones MAC seguras alcanza el límite permitido
en el puerto, los paquetes con direcciones de origen desconocido se eliminan hasta que un número suficiente de direcciones MAC seguras se eliminan o se incrementa el número de direcciones máximos permitidos, en este modo no se tiene notificaciones.
- Restrict.- Cuando el número de direcciones MAC seguras alcanza el límite permitido en el puerto, los paquetes con direcciones de origen desconocido se eliminan hasta que un número suficiente de direcciones MAC seguras se eliminan o se incrementa el número de direcciones máximos permitidos. En este modo, existe una notificación de que se ha producido una violación de seguridad.
- Shutdown.- es el modo por defecto, en este una violación de la seguridad del puerto hace que la interfaz se apague y se incrementa el contador de violación.
CONFIGURACIONES DE PORT SECURITY
- CONFIGURACION POR DEFECTO.-
- CONFIGURACION SIN ESPECIFICACION DE VIOLACION.-
- CONFIGURACION COMPLETA.-
Luego de realizar estas configuraciones se debe verificar que se hayan hecho correctamente, asi para realizar esta verificación tenemos:
PUERTOS EN ESTADO ERROR DISABLED.- Cuando se da una violación de seguridad, un puerto pueden entrar en estado Error Disabled, es este caso el led indicador esta de color naranja, y al hacer uso del comando show interface se verá que el puerto está en estado Error Disabled, al presentarse este caso el administrador debe determinar la causa de la violación de seguridad antes de volver a habilitar el puerto. Para poder habilitar el puerto se debe apagarlo (Shutdown) y luego encenderlo (no Shutdown), y asi se eliminara el estado Error Disabled.
NETWORK TIME PROTOCOL (NTP)
Es un protocolo que se utiliza para sincronizar los relojes de los sistemas informáticos a través de redes de datos de latencia variable de conmutación de paquetes,. NTP permite que los dispositivos de la red para sincronizar los ajustes de la hora con un servidor NTP. Un dispositivo de red se puede configurar como un servidor NTP o un cliente NTP. Para hacer que el software del reloj se sincronice con la hora de un servidor NTP se tiene los siguientes comandos: Una vez finalizada esta configuración se debe como en casos anteriores realizar una verificación de la correcta programación del protocolo, asi tenemos:
