TAR Tema1

TECNOLOGAS DE ACCESO A RED
Pilar Martnez Ortigosa
TAR Tema 1: Introduccin Imgenes y transparencias cedidas por Cisco Systems y McGraw-Hill. 0
Bloque I: Introduccin a tecnologas de
acceso a red.
Tema 1: Introduccin.
Bibliografa:
NetAcad CISCO R&S2: Captulos: 1 y 2.
R&S2: Captulo 1: Introduccin a las redes
conmutadas.
R&S2: Captulo 2: Configuracin y conceptos
bsicos del switching. (lab)
Objetivos de aprendizaje:
1. Describir la convergencia de datos, voz y video.
2. Explicar el proceso de reenvo de tramas en una red conmutada.
3. Comparar un dominio de colisiones con un dominio de difusin.
4. Explicar las ventajas y desventajas del routing esttico.
5. Configurar los parmetros iniciales en un switch Cisco.
6. Configurar los puertos de un switch para cumplir con los requisitos de
red.
7. Configurar la interfaz virtual de administracin de un switch.
8. Describir los ataques de seguridad bsicos en un entorno conmutado.
9. Configurar la caracterstica de seguridad de puertos para restringir el
acceso a la red.
Contenidos de aprendizaje:
1.Diseo de la LAN
1.1 Redes convergentes
1.2 Redes conmutadas
2 El entorno conmutado
2.1 Reenvo de tramas
2.2 Dominios de switching
3. Configuracin bsica de un switch
3.1 Configuracin de parmetros inicales de un switch
3.2 Configuracin de puertos de un switch
4. Seguridad de un switch: administracin e implementacin
4.1 Acceso remoto seguro
4.2 Cuestiones de seguridad en redes LAN
4.3 Prcticas recomendadas de seguridad
4.4 Seguridad de puertos de switch
1.Diseo de la LAN.
Complejidad creciente de las redes
El mundo digital est
cambiando. La capacidad de
acceder a Internet y a la red
corporativa ya no se limita a
oficinas fsicas, ubicaciones
geogrficas o zonas horarias.
Se debe acceder a la
informacin desde cualquier
lugar del mundo.
Las redes deben ser seguras,
confiables y de alta
disponibilidad.
1.Diseo de la LAN.
Elementos de una red convergente
La colaboracin es un requisito.
Para admitir la colaboracin, las
redes emplean soluciones
convergentes.
Servicios de datos, como los
sistemas de voz, los telfonos IP, los
gateways de voz, la compatibilidad
con video y las videoconferencias.
El control de llamadas, la mensajera
de voz, la movilidad y el contestador
automtico tambin son funciones
comunes.
1.Diseo de la LAN.
Las ventajas de las redes
convergentes incluyen lo siguiente:
Varios tipos de trfico y una sola red para
administrar
Ahorros sustanciales en instalacin, y la
administracin de redes de voz, video y
datos independientes
Integra la administracin de TI para que
cada movimiento, adicin y modificacin
se complete con una interfaz de
administracin intuitiva.
Para permitir la administracin de este
entorno complejo, se requiere un diseo
estructurado.
1.Diseo de la LAN.
Algunos de los servicios de colaboracin en accin se

pueden ver en el siguiente vdeo:
https://www.youtube.com/watch?feature=player_embedded&v=DTHHzSKdcaA
1.Diseo de la LAN.
Redes conmutadas sin fronteras
Con las crecientes demandas de las redes
convergentes, la red se debe desarrollar con un enfoque
arquitectnico que integre inteligencia, simplifique las
operaciones y sea escalable para satisfacer demandas
futuras.
Cisco Borderless Network es una arquitectura de red
que permite que las organizaciones se conecten con
cualquier persona, en cualquier lugar, en cualquier
momento y en cualquier dispositivo de forma segura,
confiable y sin inconvenientes.
Est diseada para enfrentar los desafos comerciales y
de TI, como la admisin de redes convergentes y el
cambio de los patrones de trabajo.
1.Diseo de la LAN. PSTN: Public Switched
Telephone Network Red
Telefnica Conmutada
1.Diseo de la LAN.
https://www.youtube.com/watch?feature=player_embedded&v=lCg2HctgvJE
1.Diseo de la LAN.
Jerarqua en las redes conmutadas sin fronteras
Las pautas de diseo de las redes conmutadas sin fronteras
se basan en los siguientes principios:
Jerrquico: facilita la comprensin de la funcin de cada
dispositivo en cada nivel, simplifica la implementacin, el
funcionamiento y la administracin, y reducen los dominios de
error en cada nivel.
Modularidad: permite la expansin de la red y la habilitacin
de servicios integrados sin inconvenientes y a peticin.
Resistencia: satisface las expectativas del usuario al mantener
la red siempre activa.
Flexibilidad: permite compartir la carga de trfico de forma
inteligente mediante el uso de todos los recursos de red.
1.Diseo de la LAN.
Ncleo, distribucin y acceso
El diseo jerrquico de una red conmutada sin fronteras sienta una base que
permite que los diseadores de red superpongan las caractersticas de
seguridad, movilidad y comunicacin unificada.
Las tres capas fundamentales

dentro de estos diseos con
niveles son las capas de
acceso, de distribucin y de
ncleo. Cada capa se puede
considerar como un mdulo
estructurado bien definido, con
funciones y roles especficos en
la red de campus.
1.Diseo de la LAN.
Capa de acceso
Representa el permetro de
la red, por donde entra o sale
el trfico de la red de
campus.
La funcin principal de los
switches de capa de acceso
es proporcionar acceso de
red al usuario.
Los switches de capa de
acceso se conectan a los
switches de capa de
distribucin, que
implementan tecnologas de
base de red como el routing,
la calidad de servicio y la
seguridad.
1.Diseo de la LAN.
Capa de distribucin
La capa de distribucin interacta entre la capa de acceso y la capa de ncleo
para proporcionar muchas funciones importantes, incluidas las siguientes:
Agregar redes de armario de cableado a gran escala.
Agregar dominios de difusin de capa 2 y lmites de routing de capa 3.
Proporcionar funciones inteligentes de switching, de routing y de poltica de
acceso a la red para acceder al resto de la red.
Proporcionar una alta disponibilidad al usuario final mediante los switches de
capa de distribucin redundantes, y rutas de igual costo al ncleo.
Proporcionar servicios diferenciados a distintas clases de aplicaciones de
servicio en el permetro de la red.
Capa ncleo
La capa de ncleo es el backbone de una red. sta conecta varias capas de la
red de campus.
La capa de ncleo funciona como agregador para el resto de los bloques de
campus y une el campus con el resto de la red.
El propsito principal de la capa de ncleo es proporcionar el aislamiento de
fallos y la conectividad de backbone de alta velocidad.
1.Diseo de la LAN.
En algunos casos, debido a la falta de restricciones fsicas o de escalabilidad de la
red, no es necesario mantener las capas de distribucin y de ncleo separadas.
Se llama diseo de red de ncleo contrado o colapsado
1.Diseo de la LAN.
CNNA R&S2: Actividades 1.1.1.6
1.Diseo de la LAN.
Funcin de las redes conmutadas
La funcin de las redes conmutadas ha evolucionado.
Antes las redes de datos planas de capa 2 usaban los
repetidores hub para propagar el trfico LAN a travs de
una organizacin.
Ahora se introducen switches en lugar de hubs.
Las LAN conmutadas brindan ms flexibilidad y
administracin de trfico.
Tambin admite caractersticas como calidad de
servicio, seguridad adicional, compatibilidad con la
tecnologa inalmbrica, compatibilidad con la telefona IP
y servicios de movilidad.
1.Diseo de la LAN.
Consideraciones al comprar un switch:
Costo: Depende de la cantidad y la velocidad de las interfaces, de las
funciones admitidas y de la capacidad de expansin.
Densidad de puertos: Nmero de puertos para conectar dispositivos en la
red.
Alimentacin: Es comn alimentar puntos de acceso, telfonos IP e
incluso switches compactos mediante la alimentacin por Ethernet.
Adems algunos switches basados en bastidor tambin admiten fuentes de
alimentacin redundantes.
Confiabilidad: el switch debe proporcionar acceso continuo a la red.
Velocidad del puerto: la velocidad de la conexin de red.
Buffers para tramas: la capacidad que tiene el switch de almacenar
tramas es importante en las redes donde puede haber puertos
congestionados conectados a servidores o a otras reas de la red.
Escalabilidad: en general, la cantidad de usuarios en una red aumenta
con el tiempo; por lo tanto, el switch debe proporcionar la posibilidad de
crecimiento. 18
TAR Tema 1: Introduccin Imgenes y transparencias cedidas por Cisco Systems y McGraw-Hill.
1.Diseo de la LAN.
Factor de forma
Cuando se selecciona el tipo de switch, el diseador de
red debe elegir entre una configuracin fija o una
modular, y entre un dispositivo apilable o no apilable.
Estas opciones se denominan factores de forma del
switch.
Switch de configuracin
Fija
1.Diseo de la LAN.
Factor de forma
Switches de configuracin modular
Estos switches vienen con

bastidores de diferentes
tamaos que permiten la
instalacin de diferentes
nmeros de tarjetas de lneas
modulares.
Las tarjetas de lnea son las
que contienen los puertos.
Cuanto ms grande es el
chasis, ms mdulos puede
admitir. Es posible elegir entre
muchos tamaos de bastidores
diferentes.
1.Diseo de la LAN.
Factor de forma
Switches de configuracin apilable: Se pueden interconectar
mediante un cable especial (en forma de cadena margarita) que
proporciona un rendimiento de ancho de banda alto entre los switches
Operan con efectividad como un switch nico ms grande.
Son convenientes cuando la
tolerancia a fallos y la disponibilidad
de ancho de banda son crticas y
resulta costoso implementar un switch
modular.
Los switches apilables usan un puerto
especial para las interconexiones.
Muchos switches apilables Cisco
tambin admiten la tecnologa
StackPower, que permite compartir la
alimentacin entre los miembros de la
pila.
2.El entorno conmutado.
Factor de forma
Actividad 1.1.2.3
1.Diseo de la LAN
Switching como concepto general
Un switch toma una decisin sobre la base del puerto de

entrada y de destino.
Los switches LAN mantienen una tabla que usan para
determinar cmo reenviar el trfico a travs del switch.
Los switches LAN Cisco reenvan tramas de Ethernet
segn la direccin MAC de destino de las tramas.
Switching como concepto general
Completado dinmico de la tabla de direcciones MAC de un switch
Para transmitir una trama, el switch primero debe descubrir qu
dispositivos existen en cada puerto.
Crea una tabla denominada tabla de direcciones MAC o tabla de
memoria de contenido direccionable (CAM) mediante el registro de la
direccin MAC de cada dispositivo conectado a cada uno de los puertos
El dispositivo que enva por un puerto -> dicho puerto de asignacin se
almacena en la tabla CAM o se restablece el temporizador de
vencimiento de dicho puerto.
Cuando el switch recibe una trama entrante con una direccin MAC que
no figura en la tabla CAM, satura todos los puertos con la trama,
excepto el puerto por el que se la recibi.
CAM es un tipo de memoria especial que se usa en las aplicaciones de
bsqueda de alta velocidad.
La informacin en la tabla de direcciones MAC se utiliza para enviar
tramas.
Mtodos de reenvo de un switch
Switching por almacenamiento y envo
El switching por almacenamiento y envo permite que el

switch haga lo siguiente:
Verificar si hay errores
(mediante la verificacin de FCS)
Realizar el almacenamiento en
bfer automtico
Proporciona la
flexibilidad para admitir
cualquier combinacin
de velocidades de Ethernet.
Mtodos de reenvo de un switch
Switching por mtodo de corte
El mtodo de corte permite que el switch comience a reenviar en 10
microsegundos aproximadamente.
No es necesaria la
verificacin de FCS.
No se produce el
almacenamiento en
bfer automtico.
Libre de fragmentos
Es un switching por
mtodo de corte en el
switch espera a que pase
la ventana de colisin
(64 bytes) antes de reenviar la trama.
til en las aplicaciones muy exigentes de tecnologa informtica de
alto rendimiento (HPC)
Actividad 1.2.1.6
Actividad 1.2.1.7
Dominios de colisiones
El dominio de colisiones es el segmento donde los

dispositivos deben competir para comunicarse.
Todos los puertos de un hub pertenecen al mismo
dominio de colisiones.
Cada puerto de switch es un dominio de colisiones en
s mismo.
El switch divide el segmento en dominios de colisiones
ms pequeos, lo que facilita la competencia del
dispositivo.
Dominios de difusin o broadcast
El dominio de difusin es la distancia de la red a la que

se puede escuchar una trama de difusin.
Los switches reenvan tramas de difusin a todos los
puertos. Por lo tanto, los switches no dividen los
dominios de difusin.
Todos los puertos de un switch (con su configuracin
predeterminada) pertenecen al mismo dominio de
difusin.
Si hay dos o ms switches conectados, las difusiones se
reenvan a todos los puertos de todos los switches
(excepto al puerto que recibi originalmente la difusin).
Qu ocurre aqu?
Pero el hub slo

es un dispositivo
de nivel 1, por lo
que inunda todos
sus puertos de
salida.
Cuntos
dominios de
colisin
existen?
Qu ocurre aqu?
El switch es un
Dominio de dispositivo de
Broadcast Capa 2 por lo que
la trama de
broadcast se
enva a todos los
puertos.
Los hubs son
dispositivos de la
capa 1 y tambin
reenvan la
trama.
Dominios de colisiones
Dominios de colisiones. Actividad 1.2.2.4
2. El entorno conmutado.
Alivio de la congestin en la red
Los switches ayudan a aliviar la congestin en la red de la

siguiente manera:
Facilitan la segmentacin de una LAN en dominios de
colisiones independientes.
Brindan una comunicacin full-duplex entre los dispositivos.
Aprovechan su alta densidad de puertos.
Almacenan en bfer tramas grandes.
Emplean puertos de alta velocidad.
Aprovechan su proceso interno rpido de switching.
Tienen un bajo costo por puerto.
1.Diseo de la LAN
3.1 Configuracin bsica de un switch
Secuencia de arranque de un switch
1. El switch carga un programa de autodiagnstico al encender (POST)
almacenado en la memoria ROM. El POST verifica el subsistema de
la CPU. Este comprueba la CPU, la memoria DRAM y la parte del
dispositivo flash que integra el sistema de archivos flash.
2. Se ejecuta el software del cargador de arranque que est almacenado
en la memoria ROM.
3. El cargador de arranque lleva a cabo la inicializacin de la CPU de
bajo nivel.
4. El cargador de arranque inicia el sistema de archivos flash en la placa
del sistema.
5. El cargador de arranque ubica y carga en la memoria una imagen del
software del sistema operativo IOS predeterminado y le cede el
control del switch al IOS.
Secuencia de arranque de un switch
Para encontrar una imagen del IOS adecuada, el switch
realiza los siguientes pasos:
1. Intenta arrancar automticamente con la informacin de la
variable de entorno BOOT.
2. Si esta variable no est establecida, el switch realiza una
bsqueda integral en todo el sistema de archivos flash. Si
puede, el switch carga y ejecuta el primer archivo
ejecutable.
3. A continuacin, el sistema operativo IOS inicia las
interfaces mediante los comandos de IOS de Cisco que se
encuentran en el archivo de configuracin, la configuracin
de inicio, almacenado en la memoria NVRAM.
Nota: el comando boot system se puede utilizar para
establecer
TAR Tema 1: Introduccin la variable de entorno BOOT.
Imgenes y transparencias cedidas por Cisco Systems y McGraw-Hill. 42
Preparacin para la administracin bsica de un switch
Recuperacin tras un bloqueo del sistema
El cargador de arranque tambin se puede utilizar para administrar el
switch si el IOS no se puede cargar. Mediante una conexin de consola
con los siguientes pasos:
Paso 1. Conecte una computadora al puerto de consola del switch con un
cable de consola. Configure el software de emulacin de terminal para
conectarse al switch.
Paso 2. Desconecte el cable de alimentacin del switch.
Paso 3. Vuelva a conectar el cable de alimentacin al switch, espere
15 segundos y, a continuacin, presione y mantenga presionado el botn
Mode (Modo) mientras el LED del sistema sigue parpadeando con luz
verde.
Paso 4. Contine oprimiendo el botn Modo hasta que el LED del
sistema se torne mbar por un breve instante y luego verde, despus
suelte el botn Modo.
Paso 5. Aparece la peticin de entrada switch: del cargador de arranque
en el software de emulacin de terminal en la computadora.
Indicadores LED de los switches
Cada puerto en los switches Cisco Catalyst tiene
indicadores luminosos LED de estado.
Estos LED reflejan la actividad del puerto de manera
predeterminada, pero tambin pueden proporcionar otra
informacin sobre el switch mediante el botn Mode.
Los siguientes modos estn disponibles en los switches
Cisco Catalyst 2960. (Ver descripcin en R&S2. Captulo 2)
LED del sistema
LED del sistema de alimentacin redundante (RPS)
LED de estado del puerto
LED de modo dplex del puerto
LED de velocidad del puerto
LED de modo de alimentacin por Ethernet
Indicadores LED de los switches
Modos de los switches Cisco Catalyst 2960
Para administrar un switch Cisco de forma remota, se debe
configurar para que acceda a la red.
Se debe configurar una direccin IP y una mscara de subred.
Si el switch se administra desde una red remota, tambin se
debe configurar un gateway predeterminado.
La informacin de IP (direccin, mscara de subred, gateway) se
debe asignar a una SVI (interfaz virtual de switch) de switch.
Si bien esta configuracin de IP permite la administracin remota
y el acceso remoto al switch, no permite que el switch enrute
paquetes de capa 3.
De manera predeterminada, el switch est configurado para
que el control de la administracin del switch se realice
mediante la VLAN 1. (se ver ms adelante).
Paso 1. Configurar la
interfaz de administracin
Paso 2. Configuracin
del gateway
predeterminado
Paso 3. Verificar la
configuracin
Comunicacin dplex
Configuracin de puertos de switch en la capa fsica
Configuracin de puertos de switch en la capa fsica
Caracterstica automtica de MDIX
Antes se requeran determinados tipos de cable
(cruzado o directo) para conectar dispositivos.
La caracterstica automtica de conexin cruzada de
interfaz dependiente del medio (auto-MDIX) elimina
este problema.
Al habilitar la caracterstica auto-MDIX, la interfaz
detecta y configura automticamente las conexiones
conforme a esto.
Cuando se usa auto-MDIX en una interfaz, la velocidad
y el modo dplex de la interfaz se deben establecer en
auto.
Verificacin de la configuracin de puertos de un
switch
switch
switch
switch
Estado de Estado de Estado de enlace

interfaz protocolo de lnea
Up (activo) Up (activo) Operativo
Down (inactivo) Down (inactivo) Problema de interfaz o cable desconectado
Up (activo) Down (inactivo) incompatibilidad en el tipo de
encapsulacin, o la interfaz en el otro
extremo puede estar inhabilitada por
errores o puede haber un problema de
hardware.
Administratively se emiti el comando shutdown
Down
Problemas de la capa de acceso a la red
1.Diseo de la LAN
4. Seguridad de switches: administracin e implementacin
Funcionamiento de SSH
Shell seguro (SSH) es un protocolo que proporciona una
conexin segura (cifrada) a un dispositivo remoto basada en la
lnea de comandos.
Por lo general, SSH se utiliza en sistemas basados en UNIX.
IOS de Cisco tambin admite SSH.
Para habilitar SSH en los switches Catalyst 2960, se requiere
una versin del software IOS que incluya caractersticas y
capacidades criptogrficas (cifradas).
SSH reemplaza a Telnet para las conexiones de administracin,
debido a sus slidas caractersticas de cifrado.
SSH utiliza el puerto TCP 22 de manera predeterminada. Telnet
utiliza el puerto TCP 23.
Configuracin de SSH
Configuracin de SSH
Verificacin de SSH
Saturacin de direcciones MAC
Los switches completan automticamente las tablas
CAM mediante la observacin del trfico que ingresa
por los puertos.
Los switches reenvan el trfico por todos los puertos si
este no puede encontrar el destino MAC en la tabla
CAM.
En ese caso, el switch acta como hub. Todos los
dispositivos conectados al switch pueden ver el trfico
de unidifusin.
Un atacante podra aprovechar este comportamiento
para acceder al trfico que normalmente controla el
switch mediante una computadora para ejecutar una
herramienta de saturacin de direcciones MAC.
Esta herramienta es un programa creado para generar y
enviar tramas con direcciones MAC de origen falsas al
puerto del switch.
A medida que las tramas llegan al switch, este agrega la
direccin MAC falsa a la tabla CAM y registra el puerto por
el que llegan las tramas.
Por ltimo, la tabla CAM se completa con direcciones MAC
falsas.
La tabla CAM ya no tiene lugar para los dispositivos
legtimos presentes en la red, y, por lo tanto, estos nunca
encontrarn sus direcciones MAC en dicha tabla.
Ahora todas las tramas se reenvan a todos los puertos, lo
que permite que el atacante tenga acceso al trfico a otros
hosts.
Ahora el switch funciona como un hub.
Suplantacin de identidad de DHCP
DHCP es un protocolo de red que se utiliza para asignar la
informacin IP automticamente.
Los dos tipos de ataques de DHCP que existen son los siguientes:
Agotamiento de direcciones DHCP
El agotamiento de direcciones DHCP se utiliza generalmente
antes del ataque de suplantacin de identidad de DHCP para
denegar el servicio (DoS) al servidor de DHCP legtimo.
En los ataques de suplantacin de identidad de DHCP, se coloca
un servidor de DHCP falso en la red para emitir direcciones de
DHCP falsas para los clientes. As hacen que los clientes usen al
atacante, o una mquina controlada por el atacante, como
gateway predeterminado.
Ataque de suplantacin de identidad de DHCP
Aprovechamiento de CDP
CDP es un protocolo exclusivo de Cisco de capa 2 que se utiliza
para detectar otros dispositivos de Cisco conectados
directamente.
Est diseado para permitir que los dispositivos configuren las
conexiones automticamente.
Si un atacante escuchara los mensajes CDP, podra obtener
informacin importante, como el modelo del dispositivo o la
versin del software en ejecucin.
En ese caso el atacante puede ver si existen vulnerabilidades de
seguridad especficas para esa versin de IOS. Adems, debido
a que CDP no se autentica, los atacantes pueden crear paquetes
CDP falsos y enviarlos a un dispositivo de Cisco conectado
directamente.
Cisco recomienda deshabilitar CDP cuando no se utiliza.
(Comando no cdp run )
Aprovechamiento de CDP
Aprovechamiento de Telnet
Como se mencion anteriormente, el protocolo Telnet
no es seguro, y se debe reemplazar por SSH.
Sin embargo, un atacante pueda utilizar Telnet como
parte de otros ataques.
Dos de estos ataques son los ataques de contrasea
de fuerza bruta y el ataque DoS por Telnet.
Cuando no se pueden capturar las contraseas, los
atacantes prueban con tantas combinaciones de
caracteres como sea posible. Este intento de adivinar
la contrasea se conoce como ataque de contrasea
de fuerza bruta.
Telnet se puede utilizar para probar la contrasea
adivinada en el sistema.
Aprovechamiento de Telnet
En un ataque DoS por Telnet, el atacante explota un defecto
del software del servidor Telnet que se ejecuta en el switch,
el cual hace que el servicio de Telnet no est disponible.
Este tipo de ataque impide que un administrador acceda en
forma remota a las funciones de administracin del switch.
Esto se puede combinar con otros ataques directos a la red
como parte de un esfuerzo coordinado para impedir que el
administrador de red acceda a dispositivos clave durante la
infraccin.
En general, las vulnerabilidades en el servicio de Telnet que
permiten que ocurran los ataques de DoS se enfrentan
mediante parches de seguridad incluidos en las revisiones
ms recientes de IOS de Cisco.
Actividad 2.2.2.4
10 prcticas recomendadas
Desarrolle una poltica de seguridad escrita para la
organizacin.
Desactive los servicios y puertos que no se utilicen.
Utilice contraseas seguras y cmbielas con frecuencia.
Controle el acceso fsico a los dispositivos.
Utilice HTTPS en lugar de HTTP.
Realice copias de seguridad regularmente.
Capacite a los empleados sobre los ataques de ingeniera
social.
Cifre y proteja con contraseas los datos confidenciales.
Implemente firewalls.
Mantenga el software actualizado.
Herramientas de seguridad de red: opciones
Las herramientas de seguridad de red son muy
importantes para los administradores de red.
Estas herramientas permiten que el administrador
pruebe la resistencia de las medidas de seguridad
implementadas.
Un administrador puede iniciar un ataque contra la red
y analizar los resultados.
Estas herramientas tambin sirven para determinar
cmo ajustar las polticas de seguridad, a fin de mitigar
esos tipos de ataques.
Las auditoras de seguridad y las pruebas de
penetracin son dos funciones bsicas de las
herramientas de seguridad de red.
Herramientas de seguridad de red: auditoras
Las herramientas de seguridad de red se pueden

utilizar para auditar la red.
Al controlar la red, el administrador puede evaluar qu
tipo de informacin puede reunir un atacante.
Por ejemplo, si se ataca y satura la tabla CAM de un
switch, el administrador puede descubrir qu puertos
del switch son vulnerables a la saturacin de
direcciones MAC y corregir el problema.
Las herramientas de seguridad de red tambin se
pueden utilizar como herramientas de prueba de
penetracin.
Herramientas de seguridad de red: auditoras
La prueba de penetracin es un ataque simulado.
Ayuda a determinar qu tan vulnerable sera la red en
un ataque real.
Se pueden identificar las debilidades en la
configuracin de los dispositivos de red segn los
resultados de esta prueba.
Se pueden realizar cambios para que los dispositivos
sean ms resistentes a los ataques.
Dichas pruebas pueden daar la red, y se deben
realizar en condiciones muy controladas.
Lo ideal es una red sin conexin que imite la red de
produccin real y funcione como banco de pruebas.
Seguridad de puertos sin utilizar
La accin de deshabilitar puertos sin utilizar es una pauta de
seguridad simple pero eficaz.
S1(config)# interface F0/1

S1(config-inf)# shutdown
S1(config-inf)# exit
S1(config)# interface range F0/1-0/5

S1(config-inf)# shutdown
S1(config-inf)# exit
Deteccin de DHCP
La deteccin de DHCP permite determinar cules son los puertos
de switch que pueden responder a solicitudes de DHCP.
Tabla de puertos
no confiables
Limita la velocidad a la que

un atacante puede enviar
solicitudes de DHCP falsas
de manera continua
Seguridad de puertos: funcionamiento
La seguridad de puertos limita la cantidad de direcciones
MAC vlidas permitidas en un puerto.
Se permite el acceso a las direcciones MAC de los
dispositivos legtimos, mientras que otras direcciones MAC
se rechazan.
Cualquier intento adicional de conexin por parte de
direcciones MAC desconocidas generar una violacin de
seguridad.
Las direcciones MAC seguras se pueden configurar de
varias maneras:
Direcciones MAC seguras estticas
Direcciones MAC seguras dinmicas
Direcciones MAC seguras persistentes
Direcciones MAC seguras estticas: son direcciones MAC que se
configuran manualmente en un puerto mediante el comando
switchport port-security mac-address direccin-mac
del modo de configuracin de interfaz. Las direcciones MAC
configuradas de esta forma se almacenan en la tabla de direcciones y
se agregan a la configuracin en ejecucin del switch (running-config).
Direcciones MAC seguras dinmicas: son direcciones MAC
detectadas dinmicamente y se almacenan solamente en la tabla de
direcciones. Las direcciones MAC configuradas de esta manera se
eliminan cuando el switch se reinicia.
Direcciones MAC seguras persistentes: son direcciones MAC que
pueden detectarse de forma dinmica o configurarse de forma manual,
y que despus se almacenan en la tabla de direcciones y se agregan a
la configuracin en ejecucin (running-config). switchport port-
security mac-address sticky, switchport port-
security mac-address sticky direccin-mac
Seguridad de puertos: modos de violacin de seguridad
IOS considera que se produce una violacin de seguridad
cuando se da cualquiera de estas situaciones:
Se agreg la cantidad mxima de direcciones MAC
seguras a la tabla CAM para esa interfaz, y una
estacin cuya direccin MAC no figura en la tabla de
direcciones intenta acceder a la interfaz.
Una direccin aprendida o configurada en una interfaz
segura puede verse en otra interfaz segura de la misma
VLAN.
Cuando se detecta una violacin, hay tres acciones posibles
que se pueden realizar:
Protect
Restrict
Shutdown
Seguridad de puertos: modos de violacin de seguridad
S1(config-if)# switchport port-security

violation {protect | restrict | shutdown}
Seguridad de puertos: configuracin
Configuracin predeterminada de la seguridad de
puertos dinmicos
Configuracin de la seguridad de puertos dinmicos
Configuracin de la seguridad de puertos persistentes
Seguridad de puertos: verificacin
Verificacin de la seguridad de puertos persistentes
Verificacin de la seguridad de puertos persistentes:
configuracin en ejecucin
Verificacin de la seguridad de puertos: direcciones
MAC seguras
Puertos en estado de inhabilitacin por errores
Una violacin de seguridad de puertos puede dejar al
switch en estado de inhabilitacin por errores.
Un puerto en estado de inhabilitacin por errores queda
desactivado completamente.
El switch comunicar estos eventos por medio de
mensajes de consola.
El comando show interface tambin indica si hay un
puerto de switch en estado de inhabilitacin por errores.
Se debe emitir un comando de interfaz shutdown/no
shutdown para volver a habilitar el puerto.
Protocolo de tiempo de red (NTP)
NTP es un protocolo que se utiliza para sincronizar los
relojes de las redes de datos de los sistemas de
computacin.
NTP puede obtener la hora correcta de un origen de hora
interno o externo
Los orgenes de hora pueden ser los siguientes:
Reloj maestro local
Reloj maestro en Internet
GPS o reloj atmico
Los dispositivos de red se pueden configurar como servidor
NTP o cliente NTP.
Consulte las notas de la diapositiva para obtener ms
informacin sobre NTP.
Configuracin de NTP
Verificacin de NTP
Resumen
En este tema, se ha mostrado que la tendencia en redes es

la convergencia mediante un nico conjunto de cables y de
dispositivos para administrar la transmisin de voz, de video
y de datos.
Adems, hay un cambio notable en el modo en el que las
empresas realizan sus actividades.
No hay restricciones de oficinas fsicas o de limitaciones
geogrficas. Los recursos ahora deben estar disponibles sin
inconvenientes en cualquier momento y lugar.
La arquitectura Cisco Borderless Network permite que
distintos elementos, desde switches de acceso hasta puntos
de acceso inalmbrico, funcionen conjuntamente y permitan
a los usuarios acceder a los recursos en cualquier momento
y desde cualquier lugar.
Resumen
El modelo tradicional de diseo jerrquico de tres capas

divide a la red en las capas de ncleo, de distribucin y de
acceso, y permite que cada parte de la red est optimizada
para una funcionalidad especfica.
Proporciona modularidad, resistencia y flexibilidad, lo cual
sienta una base que permite que los diseadores de red
superpongan funciones de seguridad, movilidad y
comunicacin unificada.
Los switches usan switching por almacenamiento y envo o
por mtodo de corte.
Cada puerto de un switch constituye un dominio de
colisiones independiente que permite la comunicacin full-
duplex a velocidades extremadamente altas.
Resumen
Los puertos del switch no bloquean las difusiones, y la
conexin de switches entre s puede ampliar el tamao del
dominio de difusin, lo que generalmente provoca un
deterioro del rendimiento de la red.
Con respecto a los switches se ha visto:
Secuencia de arranque de los switches LAN Cisco
Tipos de LED de los switches LAN Cisco
Cmo acceder a un switch LAN Cisco y administrarlo de
forma remota a travs de una conexin segura
Modos dplex de los puertos de switch LAN Cisco
Seguridad de puertos de switch LAN Cisco, modos de
violacin y acciones
Prcticas recomendadas para las redes conmutadas

TAR Tema1

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

TAR Tema1

Transféré par

Droits d'auteur :

Formats disponibles

TECNOLOGAS DE ACCESO A RED

Pilar Martnez Ortigosa

Algunos de los servicios de colaboracin en accin se

Las tres capas fundamentales

Estos switches vienen con

Un switch toma una decisin sobre la base del puerto de

El switching por almacenamiento y envo permite que el

El dominio de colisiones es el segmento donde los

El dominio de difusin es la distancia de la red a la que

Pero el hub slo

Los switches ayudan a aliviar la congestin en la red de la

Estado de Estado de Estado de enlace

Las herramientas de seguridad de red se pueden

S1(config)# interface F0/1

S1(config)# interface range F0/1-0/5

Limita la velocidad a la que

S1(config-if)# switchport port-security

En este tema, se ha mostrado que la tendencia en redes es

El modelo tradicional de diseo jerrquico de tres capas

Vous aimerez peut-être aussi