GESTION Y SEGURIDAD LAN

www.link-up-peru.com
AGENDA

Panorama de la seguridad LAN
Switches
Seguridad en capa 2
Laboratorio: Seguridad de switch
Redes virtuales VLAN
Laboratorio: Configuracin de VLAN
Routers
InterVLAN
Laboratorio: Configuracin interVLAN
Agotamiento de direcciones DHCP
Laboratorio: DHCP snooping
Ataque servidor DHCP spoofing
Laboratorio: DHCP spoofing


Panorama General de la Seguridad
LAN
Los principales
equipos a nivel de
permetro son: El
ruteador, el firewall
y el switch.
Los Switches permiten a los dispositivos comunicarse entre a travs de
su propio enlace virtual
Switches
Configuracin de Seguridad en
Capa 2: Port Security
Restringe el acceso al puerto por la direccin MAC
LABORATORIO
Configuracin de Switch: port security
Una red virtual (VLAN) es un dominio de broadcast que agrupa a
un conjunto de usuarios en una red conmutada, sin importar su
localizacin fsica.

La membresa a una VLAN puede definirse de varias formas, sin
embargo, cuatro clases de membresa pueden ser consideradas:

Por grupo de puertos
Por direccin MAC
Por protocolo
Por IP multicast
vlan
10
Default
vlan 1
Default
vlan 1
Redes Virtuales (VLAN)
Without
VLANs
10.3.0.0/16
10.2.0.0/16
10.1.0.0/16
One link per VLAN or a single VLAN
Trunk (later)
With
VLANs
10.1.0.0/16
10.2.0.0/16
10.3.0.0/16
Redes Virtuales (VLAN)
Las VLAN permiten a los
administradores poner
sistemas en redes lgicas
Redes Virtuales (VLAN)
LABORATORIO
Configuracin de VLAN
Interconectan redes distintas.
Utilizan protocolos de
enrutamiento para escoger la
mejor ruta de llegada al
destino.
Si un ruteador es
comprometido ocurre lo
siguiente:
Publicacin y
manipulacin de tablas de
enrutamiento.
Control de acceso.
Exposicin de los
sistemas.
Routers
INTERVLAN
LABORATORIO
Configuracin de switch de capa 3: INTER VLAN
Configuracin de router: INTER VLAN
Agotamiento de direcciones en DHCP
1
2
A
rango dinmico
10.0.0.100 10.0.0.199
B
Dame IP para MAC AA
Usa 10.0.0.100
Dame IP para MAC AB
Dame IP para MAC AC
Usa 10.0.0.101
Usa 10.0.0.102
Dame IP para MAC C
.
.
.
.
.
C
Dame IP para MAC DU
Usa 10.0.0.199
Servidor
DHCP Cliente malintencionado
Cliente inocente
A puede falsear las MACs que
utiliza al mandar los DHCP Request
3
Uso de DHCP snooping
1 2
A
Rango dinmico
10.0.0.100 10.0.0.199
B
Dame IP para
MAC A
Vale. Usa
10.0.0.100
sw(config)# ip dhcp snooping
sw(config)# interface 1
sw(config-if)# switchport port-security maximum 1
sw# sh ip dhcp snooping binding
MAC IP Lease(sec) Interface
A 10.0.0.100 3600 1
Servidor
DHCP
Con dhcp snooping se comprueba que la
MAC de Ethernet y de DHCP coincidan
Con port-security maximum 1 no se aceptar
ms de una MAC en la interfaz 1
LABORATORIO
Configuracin de Switch: DHCP SNOOPING
Ataque servidor DHCP furtivo
1
2
3
A
Servidor DHCP furtivo
Asignacin Dinmica
Rango 10.0.0.10 10.0.0.250
DHCP Request (FF)
Dame IP para MAC A
DHCP Reply (A)
Usa 20.0.0.5
DHCP Reply (A)
Usa 10.0.0.10
Vale, soy 10.0.0.10
B
Servidor DHCP legtimo
Asignacin Manual
MAC IP
A 20.0.0.5
Gracias, ya estoy
configurado
Ataque servidor DHCP furtivo
configuracin protegida
1
2
3
A
Servidor DHCP legtimo
Asignacin Manual
MAC IP
A 20.0.0.5
Servidor DHCP furtivo
Asignacin Dinmica
Rango 10.0.0.10 10.0.0.250
DHCP Request (FF)
Dame IP para MAC A
DHCP Reply (A)
Usa 20.0.0.5
DHCP Reply (A)
Usa 10.0.0.10
Vale, soy 20.0.0.5
sw(config)# ip dhcp snooping
sw(config)# interface 2
sw(config-if)# ip dhcp snooping trust
sw# sh ip dhcp snooping binding
MAC IP Lease(sec) Interface
A 20.0.0.5 3600 1
B
DHCP SPOOFING
LABORATORIO
Configuracin de switch: DHCP Spoofing
Virgilio Fredy Tito Chura
Gerente Comercial
Link-up Per SAC
fredy.tito@linkupperu.com
Gtalk: fredytito@gmail.com
CONTACTO
GRACIAS
www.link-up-peru.com