Scribd Logo
Importer

Bienvenue sur Scribd !

  • Terminologías para La Seguridad de Un Switch

    Transféré par

    Alvaro Perez Hdez
    11 vues5 pages

    Titre original

    Terminologías Para La Seguridad de Un Switch

    Copyright

    © © All Rights Reserved

    Formats disponibles

    DOCX, PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme DOCX, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    11 vues5 pages

    Terminologías para La Seguridad de Un Switch

    Transféré par

    Alvaro Perez Hdez

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme DOCX, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 5

    Terminologas para la seguridad de un switch

    ATM (Asynchronous Transfer Mode o Modo de Transferencia Asncrona): es


    una tecnologa de conmutacin de paquetes.

    CRC (cyclic redundancy code o cdigo de redundancia cclica): tecnologa
    para detectar errores en la transmisin de datos.

    CSMA/CD (Carrier Sense Multiple Access with Collision Detection o CSMA o
    Acceso mltiple con escucha de portadora y deteccin de colisiones: con la
    deteccin de choques), protocolo utilizado en redes ethernet.
    CSMA/CD
    Acceso mltiple con escucha de portadora y deteccin de colisiones
    Es un protocolo de acceso al medio compartido. Con este protocolo, los equipos
    escuchan el medio antes de transmitir, es decir, verifican que el canal y los
    recursos estn libres antes de transmitir. Si estn ocupados, esperan a que la
    estacin activa termine. Adems, cada estacin, mientras transmite, est
    continuamente vigilando el medio fsico por si se produce alguna colisin, en cuyo
    caso se para y se retransmite luego

    Con el objetivo de incrementar la seguridad en una red LAN es posible implementar seguridad
    de puertos en los switches de capa de acceso, de manera de permitir que a cada puerto se
    conecte slo la estacin autorizada. Para ello, Cisco provee port security, un mecanismo
    bastante potente y sencillo que resumir a continuacin.
    Direccin MAC segura esttica
    Se configura manualmente.
    Se agrega a la tabla de direcciones MAC.
    Se guarda en la running-config.
    Se puede hacer permanente guardando la configuracin.
    SwA(config-if)# switchport port-security mac-address DIRECCION-MAC
    Direccin MAC segura dinmica
    Se aprende del trfico que atraviesa la interfaz.
    Se la guarda en la tabla de direcciones MAC.
    Se pierde cuando se reinicia el equipo.
    SwA(config-if)# switchport port-security
    Direccin MAC segura sticky
    Se la puede configurar de forma manual o dinmica.
    Se la guarda en la tabla de direcciones MAC.
    Se almacena en la running-config.
    Se puede hacer permanente guardando la configuracin.
    SwA(config-if)# switchport port-security mac-address sticky [DIRECCION-
    MAC]
    La principal ventaja de las direcciones sticky en contraposicin con las dinmicas es que stas
    ltimas se agregan a la running-config. As nos evitamos escribir un montn de direcciones
    MAC de manera esttica pero an podemos guardarlas en el archivo de configuracin de
    manera que se mantengan inclusive si el switch se reinicia.
    Dos aspectos importantes a tener en cuenta:
    Si se habilitan las direcciones MAC sticky y ya haba direcciones aprendidas de forma
    dinmica, stas pasan a la running-config y todas las nuevas que se aprendan tambin se
    agregan all.
    Si se deshabilitan las direcciones MAC sticky todas las que hubiera pasan a ser dinmicas
    y se borran de la running-config. Adems, todas las que se aprendan tambin sern
    dinmicas.
    Acciones a tomar si se produce una violacin
    Es importante tener en cuenta que por violacin se entiende uno de los siguientes dos casos:
    Se alcanz la cantidad mxima de direcciones MAC permitidas.
    Una direccin MAC que se aprendi en un puerto se aprende por otro puerto diferente.
    Los modos en los que se puede establecer un puerto para decidir qu accin tomar en el caso de
    una violacin son, entonces:
    Protect: una vez que se alcanz el mximo de direcciones MAC en un puerto, todo el
    trfico de orgenes desconocidos (es decir, de direcciones MAC que no sean vlidas para
    ese puerto) es descartado. No obstante, se contina enviando el trfico legal normalmente.
    No se notifica al administrador de esta situacin.
    Restrict: el mismo comportamiento que el caso anterior pero con la diferencia que se
    enva un aviso al administrador mediante SNMP, se registra el evento en el syslog y se
    incrementa el contador de violaciones.
    Shutdown: en este caso el puerto se da de baja dejndolo en estado err-
    disabled (deshabilitado por error). Adems se enva un aviso al administrador mediante
    SNMP, se registra el evento en el syslog y se incrementa el contador de violaciones.
    Shutdown VLAN: la nica diferencia con el caso anterior es que se deshabilita la VLAN
    en ese puerto en lugar de dar de baja el puerto completo. Es particularmente atractivo para
    los puertos de trunk.
    Configuracin
    Para configurar port-security es importante saber que la interfaz debe estar en modo access o en
    modo trunk. Port-security no puede habilitarse en una interfaz que est en modo dinmico.
    Habilitar port-security.
    SwA(config-if)# switchport port-security
    Indicar que slo se permite una MAC por interfaz.
    SwA(config-if)# switchport port-security maximum 1
    Configurar el modo restrict para cuando ocurra una violacin del puerto.
    SwA(config-if)# switchport port-security violation restrict
    Configurar el aprendizaje de direcciones MAC sticky.
    SwA(config-if)# switchport port-security mac-address sticky
    O bien especificar una MAC de forma esttica.
    SwA(config-if)# switchport port-security mac-address 5400.0000.0001
    Chequear el estado de port-security.
    SwA# show port-security

    Vous aimerez peut-être aussi