VLAN y SEGURIDAD

VLAN
Una VLAN es una agrupacin lgica de estaciones, servicios y dispositivos de red que no se limita a un segmento de LAN fsico.

Inicio Configuracin
Switch>ena Configurar nombre y contraseas Switch#configure terminal (Introduzca los comandos de configuracin, uno por cada lnea. Finalice presionando Ctrl-Z) Switch(config)#hostname (nombre) Switch(config)#line con 0 Switch(config-line)#password cisco Switch(config-line)#login Switch(config-line)#line vty 0 15 Switch(config-line)#password cisco Switch(config-line)#login Switch(config-line)#exit Configurar las contraseas de los modos de comando Switch(config)#enable password cisco Switch(config)#enable secret class Guardar la configuracin Switch#copy running-config startup-config

Configuracin VLAN
Creacin de vlan Sw# vlan database Sw (vlan)# vlan [n de vlan] name [nombre] Ej. VLAN 2 Sw (vlan)# exit (se aplica la vlan) Asignacin de la interface (s) a la vlan Sw (config)# interface fastethernet [n ] Ej.0/9 Sw (config-if)# switchport access vlan [n de vlan] Sw (config-if)# end Sw (config)# exit Eliminacin de una interface de la vlan Sw (config)# interface fastethernet [n] Sw (config-if)# no switchport access vlan [n]

Enlace entre Switcher

Creacin del enlace troncal 821.1Q Sw (config)# interface fastethernet 0/1 Sw (config-if)# switchport mode trunk Sw (config-if)# switchport trunk encapsulation dot1q Sw (config-if)# end Configuracin ip y gateway: Sw (config)# interface vlan 1 Sw (config)# ip address 192.168.1.2 255.255.255.0 Sw (config)# ip default-gateway 192.168.1.1 Sw (config)#interface fastethernet 0/2 Sw (config-if)# duplex full Sw (config-if)# speed 100

Seguridad en LAN: Switchers

Con el objetivo de incrementar la seguridad en una red LAN es posible implementar seguridad de puertos en los switchers de capa de acceso, de manera de permitir que a cada puerto se conecte slo la estacin autorizada. Ej: Cisco nos provee port security Direccin MAC segura esttica Se configura manualmente. Se agrega a la tabla de direcciones MAC. Se guarda en la running-config. Se puede hacer permanente guardando la configuracin. SwA(config-if)# switchport port-security mac-address [direccin MAC] Direccin MAC segura dinmica Se aprende del trfico que atraviesa la interfaz. Se la guarda en la tabla de direcciones MAC. Se pierde cuando se reinicia el equipo. SwA(config-if)# switchport port-security

Direccin MAC segura sticky Se la puede configurar de forma manual o dinmica. Se la guarda en la tabla de direcciones MAC. Se almacena en la running-config. Se puede hacer permanente guardando la configuracin. SwA(config-if)# switchport port-security mac-address sticky [dir.MAC] La principal ventaja de las direcciones sticky en contraposicin con las dinmicas es que stas se agregan a la running-config. As nos evitamos escribir un montn de direcciones MAC de manera esttica pero an podemos guardarlas en el archivo de configuracin de manera que se mantengan inclusive si el switch se reinicia.

Acciones a tomar ante una violacin

Se entiende por violacin uno de los siguientes dos casos: Se alcanz la cantidad mxima de direcciones MAC permitidas. Una direccin MAC que se aprendi en un puerto se aprende por otro puerto diferente. Los modos en los que se puede establecer un puerto para decidir qu hacer: Protect: una vez que se alcanz el mximo de direcciones MAC en un puerto, todo el trfico de orgenes desconocidos (es decir, de direcciones MAC que no sean vlidas para ese puerto) es descartado. No obstante, se contina enviando el trfico legal normalmente. No se notifica al administrador de esta situacin. Restrict: el mismo comportamiento que el caso anterior pero con la diferencia que se enva un aviso al administrador mediante SNMP, se registra el evento en el syslog y se incrementa el contador de violaciones. Shutdown: en este caso el puerto se da de baja dejndolo en estado err-disabled (deshabilitado por error). Adems se enva un aviso al administrador mediante SNMP, se registra el evento en el syslog y se incrementa el contador de violaciones. Shutdown VLAN: la nica diferencia con el caso anterior es que se deshabilita la VLAN en ese puerto en lugar de dar de baja el puerto completo. Es particularmente atractivo para los puertos de trunk.

SwA(config-if)# switchport port-security violation [restrict ,protect ,shutdown]

Configuracin
Para configurar port-security es importante saber que la interfaz debe estar en modo access o en modo trunk. Port-security no puede habilitarse en una interfaz que est en modo dinmico. Habilitar port-security. SwA(config-if)# switchport port-security Indicar que slo se permite una MAC por interfaz. SwA(config-if)# switchport port-security maximum 1 Configurar el modo restrict para cuando ocurra una violacin del puerto. SwA(config-if)# switchport port-security violation restrict (protect,shutdown) Configurar el aprendizaje de direcciones MAC sticky. No se eligir esta, sino se har la de abajo SwA(config-if)# switchport port-security mac-address sticky O bien especificar una MAC de forma esttica. SwA(config-if)# switchport port-security mac-address [dir.MAC] Chequear el estado de port-security. SwA# show port-security

Bibliografa

Fundamentos de Seguridad en Redes -2 Edicin - William Stallings Redes de Computadoras e Internet-5 Edicin Fred Halsall Comunicaciones y Redes de Computadoras-7 Edicin W.Stallings Redes de Comunicacin Alberto Len Garca
@ 2012