Redes
Páginas: 11 (2624 palabras)
Publicado: 8 de julio de 2012
Seguridad de puerto en los Switch’s Cisco
Posted on 8 diciembre, 2009 by dejotaplayerz | Deja un comentario
1 Votes
Con el objetivo de incrementar la seguridad en una red LAN es posible implementar seguridad de puertos en los switches de capa de acceso, de manera de permitir que a cada puerto se conecte sólo la estación autorizada. Para ello, Cisco provee port security, unmecanismo bastante potente y sencillo que resumiré a continuación.
DIRECCIÓN MAC SEGURA ESTÁTICA
* Se configura manualmente.
* Se agrega a la tabla de direcciones MAC.
* Se guarda en la running-config.
* Se puede hacer permanente guardando la configuración.
SwA(config-if)# switchport port-security mac-address DIRECCION-MAC
DIRECCIÓN MAC SEGURA DINÁMICA
* Se aprende deltráfico que atraviesa la interfaz.
* Se la guarda en la tabla de direcciones MAC.
* Se pierde cuando se reinicia el equipo.
SwA(config-if)# switchport port-security
DIRECCIÓN MAC SEGURA STICKY
* Se la puede configurar de forma manual o dinámica.
* Se la guarda en la tabla de direcciones MAC.
* Se almacena en la running-config.
* Se puede hacer permanente guardando laconfiguración.
SwA(config-if)# switchport port-security mac-address sticky [DIRECCION-MAC]
La principal ventaja de las direcciones sticky en contraposición con las dinámicas es que éstas últimas se agregan a la running-config. Así nos evitamos escribir un montón de direcciones MAC de manera estática pero aún podemos guardarlas en el archivo de configuración de manera que se mantengan inclusive si elswitch se reinicia.
Dos aspectos importantes a tener en cuenta:
* Si se habilitan las direcciones MAC sticky y ya había direcciones aprendidas de forma dinámica, éstas pasan a la running-config y todas las nuevas que se aprendan también se agregan allí.
* Si se deshabilitan las direcciones MAC sticky todas las que hubiera pasan a ser dinámicas y se borran de la running-config. Además,todas las que se aprendan también serán dinámicas.
ACCIONES A TOMAR SI SE PRODUCE UNA VIOLACIÓN
Es importante tener en cuenta que por violación se entiende uno de los siguientes dos casos:
* Se alcanzó la cantidad máxima de direcciones MAC permitidas.
* Una dirección MAC que se aprendió en un puerto se aprende por otro puerto diferente.
Los modos en los que se puede establecer un puertopara decidir qué acción tomar en el caso de una violación son, entonces:
* Protect: una vez que se alcanzó el máximo de direcciones MAC en un puerto, todo el tráfico de orígenes desconocidos (es decir, de direcciones MAC que no sean válidas para ese puerto) es descartado. No obstante, se continúa enviando el tráfico legal normalmente. No se notifica al administrador de esta situación.
*Restrict: el mismo comportamiento que el caso anterior pero con la diferencia que se envía un aviso al administrador mediante SNMP, se registra el evento en el syslog y se incrementa el contador de violaciones.
* Shutdown: en este caso el puerto se da de baja dejándolo en estado err-disabled (deshabilitado por error). Además se envía un aviso al administrador mediante SNMP, se registra elevento en el syslog y se incrementa el contador de violaciones.
* Shutdown VLAN: la única diferencia con el caso anterior es que se deshabilita la VLAN en ese puerto en lugar de dar de baja el puerto completo. Es particularmente atractivo para los puertos de trunk.
VLANS
Una VLAN (acrónimo de Virtual LAN) es una subred IP separada de manera lógica, las VLAN permiten que redes IP y subredes múltiples existan en la misma red conmutada, son útiles para reducir el tamaño del broadcast y ayudan en la administración de la red separando segmentos lógicos de
una red de área local (como departamentos para una empresa, oficina, universidades, etc.) que no deberían intercambiar datos usando la red local.
Cada computadora de una VLAN debe tener una dirección IP y una máscara de subred...
Posted on 8 diciembre, 2009 by dejotaplayerz | Deja un comentario
1 Votes
Con el objetivo de incrementar la seguridad en una red LAN es posible implementar seguridad de puertos en los switches de capa de acceso, de manera de permitir que a cada puerto se conecte sólo la estación autorizada. Para ello, Cisco provee port security, unmecanismo bastante potente y sencillo que resumiré a continuación.
DIRECCIÓN MAC SEGURA ESTÁTICA
* Se configura manualmente.
* Se agrega a la tabla de direcciones MAC.
* Se guarda en la running-config.
* Se puede hacer permanente guardando la configuración.
SwA(config-if)# switchport port-security mac-address DIRECCION-MAC
DIRECCIÓN MAC SEGURA DINÁMICA
* Se aprende deltráfico que atraviesa la interfaz.
* Se la guarda en la tabla de direcciones MAC.
* Se pierde cuando se reinicia el equipo.
SwA(config-if)# switchport port-security
DIRECCIÓN MAC SEGURA STICKY
* Se la puede configurar de forma manual o dinámica.
* Se la guarda en la tabla de direcciones MAC.
* Se almacena en la running-config.
* Se puede hacer permanente guardando laconfiguración.
SwA(config-if)# switchport port-security mac-address sticky [DIRECCION-MAC]
La principal ventaja de las direcciones sticky en contraposición con las dinámicas es que éstas últimas se agregan a la running-config. Así nos evitamos escribir un montón de direcciones MAC de manera estática pero aún podemos guardarlas en el archivo de configuración de manera que se mantengan inclusive si elswitch se reinicia.
Dos aspectos importantes a tener en cuenta:
* Si se habilitan las direcciones MAC sticky y ya había direcciones aprendidas de forma dinámica, éstas pasan a la running-config y todas las nuevas que se aprendan también se agregan allí.
* Si se deshabilitan las direcciones MAC sticky todas las que hubiera pasan a ser dinámicas y se borran de la running-config. Además,todas las que se aprendan también serán dinámicas.
ACCIONES A TOMAR SI SE PRODUCE UNA VIOLACIÓN
Es importante tener en cuenta que por violación se entiende uno de los siguientes dos casos:
* Se alcanzó la cantidad máxima de direcciones MAC permitidas.
* Una dirección MAC que se aprendió en un puerto se aprende por otro puerto diferente.
Los modos en los que se puede establecer un puertopara decidir qué acción tomar en el caso de una violación son, entonces:
* Protect: una vez que se alcanzó el máximo de direcciones MAC en un puerto, todo el tráfico de orígenes desconocidos (es decir, de direcciones MAC que no sean válidas para ese puerto) es descartado. No obstante, se continúa enviando el tráfico legal normalmente. No se notifica al administrador de esta situación.
*Restrict: el mismo comportamiento que el caso anterior pero con la diferencia que se envía un aviso al administrador mediante SNMP, se registra el evento en el syslog y se incrementa el contador de violaciones.
* Shutdown: en este caso el puerto se da de baja dejándolo en estado err-disabled (deshabilitado por error). Además se envía un aviso al administrador mediante SNMP, se registra elevento en el syslog y se incrementa el contador de violaciones.
* Shutdown VLAN: la única diferencia con el caso anterior es que se deshabilita la VLAN en ese puerto en lugar de dar de baja el puerto completo. Es particularmente atractivo para los puertos de trunk.
VLANS
Una VLAN (acrónimo de Virtual LAN) es una subred IP separada de manera lógica, las VLAN permiten que redes IP y subredes múltiples existan en la misma red conmutada, son útiles para reducir el tamaño del broadcast y ayudan en la administración de la red separando segmentos lógicos de
una red de área local (como departamentos para una empresa, oficina, universidades, etc.) que no deberían intercambiar datos usando la red local.
Cada computadora de una VLAN debe tener una dirección IP y una máscara de subred...
Leer documento completo
Regístrate para leer el documento completo.