  30 MINUTOS INSTRUCTOR

LIMBERG MERCADO MONTEMURRO

Unidad 2.- Securing the

Campus Infrastructure
Asegurar la infraestructura del campus es tan importante como diseñar una red de alta disponibilidad. Si la
seguridad se ve comprometida, puede producirse un impacto grave en los negocios. Este capítulo define las
vulnerabilidades potenciales relacionadas con las VLAN que pueden ocurrir dentro de una red. Después de
identificar las vulnerabilidades, se discuten las soluciones para cada vulnerabilidad.
Este capítulo también trata la seguridad del puerto para la negación de la suplantación de MAC y la
inundación de MAC, y el uso de VLAN privadas (PVLAN) y listas de control de acceso de VLAN (VACL) para
controlar el tráfico de VLAN. Salto de VLAN, suplantación de protocolo de control de host dinámico (DHCP),
suplantación de protocolo de resolución de dirección (ARP) y ataques de protocolo de árbol de expansión
(STP)
También se explican. Este capítulo también analiza los posibles problemas, las soluciones resultantes y el
método para asegurar el acceso del conmutador con el uso de listas de control de acceso vty (ACL) y la
implementación del Protocolo Secure Shell (SSH) para un acceso Telnet seguro.

Cambiar los fundamentos de seguridad

Mucha atención de la industria rodea los ataques de seguridad desde fuera de los muros de una organización
y en las capas superiores de interconexión de sistemas abiertos (OSI). La seguridad de la red a menudo se
centra en los dispositivos de enrutamiento perimetral y el filtrado de paquetes basados en encabezados de
capa 3 y capa 4, puertos, inspección de paquetes con estado, etc. Esto incluye todos los problemas
relacionados con la capa 3 y superiores, ya que el tráfico llega a la red del campus desde Internet. Los
dispositivos de acceso al campus y la comunicación de capa 2 se dejan en gran medida sin consideración en la
mayoría de las discusiones de seguridad, y hay una falta de seguridad en esta capa.

El estado predeterminado del equipo de red resalta este enfoque en la protección externa y la comunicación
interna abierta. Los cortafuegos, ubicados en los límites de la organización, llegan a un modo operativo
seguro y no permiten la comunicación hasta que se configuran para hacerlo. Los enrutadores y
conmutadores que son internos de una organización y están diseñados para acomodar la comunicación,
entregando el tráfico necesario del campus, tienen un modo operativo predeterminado
que reenvía todo el tráfico a menos que esté configurado de otra manera. Su función como dispositivos que
facilitan la comunicación a menudo da como resultado una configuración de seguridad mínima y los
convierte en objetivos para ataques maliciosos. Si se inicia un ataque en la capa 2 en un dispositivo interno
del campus, el resto de la red puede verse comprometida rápidamente, a menudo sin detección.
Además, las intenciones de los usuarios no maliciosos también pueden provocar la interrupción de la red.
Aunque las actividades como que un usuario conecte un conmutador o un concentrador a un puerto de datos
o configure su computadora portátil como un servidor DHCP no están destinadas a ser maliciosas, sin
embargo, aún pueden provocar interrupciones en la red.

Muchas funciones de seguridad están disponibles para conmutadores y enrutadores, pero deben habilitarse
para que sean efectivas. Al igual que con la Capa 3, donde la seguridad tuvo que ser reforzada en los
dispositivos dentro del campus a medida que aumentaba la actividad maliciosa que comprometía esta capa;
ahora se deben tomar medidas de seguridad para protegerse contra la actividad maliciosa en la Capa 2. Un
nuevo enfoque de seguridad se
centra en los ataques lanzados mediante el aprovechamiento malicioso de las operaciones normales del
conmutador de Capa 2. Existen características de seguridad para proteger los conmutadores y las
operaciones de capa 2. Sin embargo, al igual que con las listas de control de acceso (ACL) para la seguridad de
la capa superior, se debe establecer una política y configurar las funciones apropiadas para proteger contra
posibles actos maliciosos mientras se mantienen las operaciones diarias de la red.

Servicios de infraestructura de seguridad

La seguridad es un servicio de infraestructura que aumenta la integridad de la red al proteger los recursos y
usuarios de la red de amenazas internas y externas. Sin una comprensión completa de las amenazas
involucradas, las implementaciones de seguridad de red tienden a estar configuradas incorrectamente,
demasiado enfocadas en dispositivos de seguridad o carecen de las opciones apropiadas de respuesta a
amenazas.
Puede evaluar y aplicar la seguridad módulo por módulo dentro de Cisco Enterprise Architecture, como se
muestra en la Figura 2-1.

2-1 Modularizando la seguridad interna

Las siguientes son algunas consideraciones de seguridad recomendadas para cada módulo:

La capa central del campus en el módulo de infraestructura del campus cambia los paquetes lo más rápido
posible. No debe realizar ninguna función de seguridad porque esto ralentizaría la conmutación de
paquetes.
La capa de distribución del edificio realiza el filtrado de paquetes para mantener el tráfico innecesario
desde la capa central del campus. El filtrado de paquetes en la capa de distribución del edificio es una
función de seguridad porque evita el acceso no deseado a otros módulos. Dado que los conmutadores de
esta capa suelen ser conmutadores multicapa con reconocimiento de capa 3, la capa de distribución del
edificio suele ser la primera ubicación que puede filtrar según la
información de la capa de red .
En la capa de acceso del edificio, el acceso puede controlarse a nivel de puerto con respecto a la
información de la capa de enlace de datos (por ejemplo, direcciones MAC).
El módulo de granja de servidores proporciona servicios de aplicaciones a usuarios finales y dispositivos.
Dado el alto grado de acceso que la mayoría de los empleados tienen a estos servidores a menudo se
 Dado el alto grado de acceso que la mayoría de los empleados tienen a estos servidores, a menudo se
convierten en el objetivo principal de los ataques originados internamente. Utilice sistemas de
prevención de intrusiones (IPS) basados en host y red, VLAN privadas y control de acceso para
proporcionar una respuesta más integral a los ataques. Los IDS integrados en los conmutadores
multicapa pueden inspeccionar los flujos de tráfico en el módulo de la granja de servidores.
El módulo de granja de servidores generalmente incluye un sistema de administración de red que
administra de forma segura todos los dispositivos y hosts dentro de la arquitectura empresarial. Syslog
proporciona información importante sobre violaciones de seguridad y cambios de configuración
mediante el registro de eventos relacionados con la seguridad (autenticación, etc.). Otros servidores,
incluido un servidor de seguridad de autenticación, autorización y contabilidad (AAA), pueden funcionar
en
combinación con el servidor de contraseña única (OTP) para proporcionar un alto nivel de seguridad a
todos los usuarios locales y remotos. La autenticación AAA y OTP reduce la probabilidad de un ataque de
contraseña exitoso.

Acceso no autorizado por dispositivos no autorizados

El acceso no autorizado viene en varias formas, como se muestra en la Figura 2-2. Por ejemplo, dado que los
puntos de acceso no autorizados no son caros y están fácilmente disponibles, los empleados a veces los
conectan a redes LAN existentes y construyen redes inalámbricas ad hoc sin el conocimiento o el
consentimiento del departamento de TI. Estos puntos de acceso deshonestos pueden ser una violación grave
de la seguridad de la red porque pueden conectarse a un puerto de red detrás del firewall corporativo.
Debido a que los empleados generalmente no habilitan ninguna configuración de seguridad en el punto de
acceso no autorizado, es fácil que usuarios no autorizados utilicen el punto de acceso para interceptar el
tráfico de red y secuestrar sesiones de clientes.

Los puntos de acceso maliciosos maliciosos, aunque son mucho menos comunes que los puntos de acceso
maliciosos instalados por los empleados, también son un problema de seguridad. Estos puntos de acceso no
autorizados crean una conexión LAN inalámbrica no segura que pone en riesgo toda la red cableada. Los
delincuentes maliciosos presentan un riesgo y un desafío aún mayores porque se ocultan intencionalmente
de la vista física y de la red al no transmitir el SSID.

Para mitigar la manipulación del Protocolo de árbol de expansión (STP), use los comandos de mejora de
protección raíz y BPDU para forzar la colocación del puente raíz en la red y para hacer cumplir los límites del
dominio STP. La función de protección raíz está diseñada para proporcionar una manera de imponer la
colocación del puente raíz en la red. El puente STP
La protección de la unidad de datos de protocolo (BPDU) está diseñada para permitir que los diseñadores de
redes mantengan la topología de red activa predecible. Aunque la protección BPDU puede parecer
innecesaria, dado que el administrador puede establecer la prioridad del puente en cero, todavía no hay
garantía de que se elija como el puente raíz porque podría haber un puente con prioridad cero y una ID de
puente inferior. Una protección de BPDU se implementa mejor hacia puertos orientados al usuario para
evitar que un atacante conecte conmutadores no autorizados a la red

 
 Figura 2-2 Acceso no autorizado por dispositivos no autorizados

Categorías de ataque de capa 2

Los ataques maliciosos de capa 2 generalmente son iniciados por dispositivos directamente conectados a la
infraestructura de red del campus. Los ataques pueden originarse en un dispositivo físico malintencionado
colocado en la red con fines maliciosos. El ataque también puede provenir de una intrusión externa que toma
el control y lanza ataques desde un dispositivo confiable. En cualquier caso,
la red ve todo el tráfico como originario de un dispositivo conectado legítimo.

Los ataques lanzados contra los interruptores y en la capa 2 se pueden agrupar de la siguiente manera:

Ataques de capa MAC

Ataques VLAN
Ataques de suplantación de identidad
Ataques a dispositivos de conmutación

Comprensión y protección contra el ataque de capa MAC

Un ataque común de Capa 2 o switch es la inundación de MAC, lo que resulta en el desbordamiento de la
tabla CAM de un switch, lo que provoca la inundación de tramas de datos regulares en todos los puertos del
switch. Este ataque puede iniciarse con el propósito malicioso de recopilar una amplia muestra de tráfico o
como un ataque de denegación de servicio (DoS).

Las tablas CAM de un conmutador tienen un tamaño limitado y, por lo tanto, solo pueden contener un
número limitado de entradas a la vez. Un intruso de red puede inundar maliciosamente un conmutador con
una gran cantidad de tramas de un rango de direcciones MAC de origen no válidas. Si se realizan suficientes
entradas nuevas antes de que expiren las antiguas, no se aceptarán nuevas entradas válidas. Luego, cuando
el tráfico llega al conmutador para un dispositivo legítimo ubicado en uno de los puertos del conmutador que
no pudo crear una entrada de la tabla CAM, el conmutador debe inundar tramas a esa dirección en todos los
puertos. Esto tiene dos efectos adversos:

El reenvío de tráfico del conmutador es ineficiente y voluminoso y podría ralentizar la red para todos los
usuarios.
Se puede conectar un dispositivo intruso a cualquier puerto del conmutador y capturar el tráfico que
normalmente no se ve en ese puerto.

Si el ataque se inicia antes del comienzo del día, la tabla de direcciones MAC (también denominada tabla de
memoria direccionable por contenido [CAM]) estaría llena cuando la mayoría de los dispositivos estén
encendidos. Luego, los marcos de esos dispositivos legítimos no pueden crear entradas en la tabla de
direcciones MAC mientras se encienden. Si esto representa una gran cantidad de dispositivos de red, la
cantidad de direcciones MAC inundadas con tráfico será alta, y cualquier puerto de conmutación llevará
tramas inundadas de una gran cantidad de dispositivos.

Si la inundación inicial de entradas de la tabla de direcciones MAC no válidas es un evento de una sola vez, el
conmutador finalmente elimina las entradas de la tabla de direcciones MAC no válidas más antiguas, lo que
permite que los dispositivos nuevos y legítimos creen entradas. Las inundaciones de tráfico cesan y es
posible que nunca se detecten, a pesar de que el intruso pudo haber capturado una cantidad significativa de
datos de la red.
Como muestra la Figura 2-3, la inundación de MAC ocurre en esta progresión; A continuación se describe la
progresión del ataque de inundación MAC.
p g q

Figura 2-3 Ataque de inundación de dirección MAC

Paso 1. Cambie el tráfico hacia adelante según las entradas válidas de la tabla de direcciones MAC.
Paso 2. El atacante (dirección MAC C) envía múltiples paquetes con varias direcciones MAC de origen.
Paso 3. Durante un corto período de tiempo, la tabla CAM en el conmutador se llena hasta que no puede
aceptar nuevas entradas. Mientras se ejecuta el ataque, la tabla de direcciones MAC del conmutador
permanece llena.
Paso 4. El conmutador comienza a inundar todos los paquetes que recibe de cada puerto para que las tramas
enviadas desde el host A al host B también se inunden desde el puerto 3 en el conmutador.

Mitigación sugerida para los ataques de inundación MAC

Para evitar la inundación de la dirección MAC, se puede utilizar la seguridad del puerto. Configure la
seguridad del puerto para definir el número de direcciones MAC permitidas en un puerto determinado. La
seguridad del puerto también puede especificar qué dirección MAC está permitida en un puerto
determinado. La seguridad del puerto se describe en la siguiente sección.

Seguridad portuaria

La seguridad de puerto es una característica compatible con los switches Cisco Catalyst que restringe un
puerto de switch a un conjunto o número específico de direcciones MAC. Esas direcciones pueden
aprenderse dinámicamente o configurarse estáticamente. El puerto proporciona acceso a tramas solo desde
esas direcciones. Sin embargo, si el número de direcciones se limita a cuatro pero no
se configuran direcciones MAC específicas , el puerto permite que se aprendan dinámicamente cuatro
direcciones MAC y el acceso al puerto se limita a esas cuatro direcciones aprendidas dinámicamente.
Una característica de seguridad de puerto llamada aprendizaje permanente, disponible en algunas
plataformas de conmutadores, combina las características de direcciones dinámicamente aprendidas y
configuradas estáticamente. Cuando esta función se configura en una interfaz, la interfaz convierte las
direcciones aprendidas dinámicamente en direcciones seguras fijas. Esto los agrega a la configuración en
ejecución como si estuvieran configurados usando el comando de interfaz de puerto de seguridad switchport
port-security.

Escenario de seguridad portuaria 1

Imagine cinco personas cuyas computadoras portátiles pueden conectarse a un puerto de conmutador
específico cuando visitan un área del edificio. Desea restringir el acceso del puerto del conmutador a las
direcciones MAC de esas cinco computadoras portátiles y permitir que no se aprendan dinámicamente
direcciones en ese puerto.

La Tabla 6-2 describe el proceso que puede lograr los resultados deseados para este escenario.

 
 Tabla 2-1 Implementación de seguridad portuaria

Escenario de seguridad portuaria 2

En este escenario, un atacante habilita una herramienta de piratería que conduce al dispositivo no
autorizado del atacante para inundar las mesas CAM con MAC falsos, que llenan la tabla de direcciones
MAC, como se muestra en la Figura 2-4. Cuando la tabla de direcciones MAC está llena, convierte la VLAN
en un concentrador e inunda todas las tramas de unidifusión. Para evitar este ataque, la Figura 2-5 muestra
que la seguridad del puerto está configurada en los puertos de usuario no confiables. La habilitación de la
seguridad del puerto limita los ataques de inundación de MAC y bloquea el puerto. La seguridad portuaria
también establece una trampa SNMP para alertar sobre cualquier violación. La seguridad del puerto permite
que las tramas de una dirección MAC ya segura estén por debajo del número máximo de direcciones MAC
habilitadas en ese puerto, y cualquier trama con una nueva dirección MAC por encima del límite se descarta.

Figura 2-4 Ataque de inundación MAC en un puerto de conmutador

 
 Figura 2-5 La seguridad del puerto previene el ataque de inundación MAC

Bloqueo de inundaciones de unidifusión en puertos deseados

De manera predeterminada, cambia los paquetes de inundación con direcciones MAC de destino
desconocidas a todos los puertos en la misma VLAN que la VLAN del puerto recibido. Algunos puertos no
requieren inundaciones. Por ejemplo, un puerto que solo ha asignado direcciones MAC manualmente y que
no tiene un dispositivo de red conectado a ese puerto que no sea la dirección MAC configurada no necesita
recibir paquetes inundados. Además, un puerto habilitado para seguridad de puerto con una dirección MAC
o puerto seguro configurado no necesita recibir una inundación de unidifusión desconocida si el puerto ya ha
aprendido la cantidad máxima de direcciones MAC. Si la red presenta un enrutamiento asimétrico, puede
producirse una inundación de unidifusión excesiva y puede causar que todos los dispositivos en esa VLAN
sufran al recibir el tráfico innecesario. Con enrutamiento asimétrico,

Comprensión y protección contra ataques de VLAN

En las redes que usan protocolos de enlace troncal, existe la posibilidad de que el tráfico "salteado" de una
VLAN a otra, creando vulnerabilidades de seguridad.

Salto de VLAN

El salto de VLAN es un ataque de red mediante el cual un sistema final envía paquetes a, o recoge paquetes
de, una VLAN que no debe ser accesible para ese sistema final. Esto se logra al etiquetar el tráfico invasivo
con una ID de VLAN específica (VID) o al negociar un enlace troncal para enviar o recibir tráfico en las VLAN
penetradas. El salto de VLAN se puede lograr mediante la suplantación de conmutadores o el doble
etiquetado.

Los ataques de salto de VLAN se refieren a un dispositivo malicioso que intenta acceder a las VLAN para las
que no está configurado. Hay dos formas de ataques de salto de VLAN.

La primera forma se debe a la configuración predeterminada del puerto del conmutador Catalyst. Los
switches Cisco Catalyst habilitan el enlace troncal en modo automático de manera predeterminada. Como
resultado, la interfaz se convierte en una troncal al recibir una trama DTP. Un atacante puede usar este
comportamiento predeterminado para acceder a las VLAN configuradas en el conmutador a través de uno
de los siguientes métodos:

Un atacante puede enviar una trama DTP maliciosa. Al recibir la trama, el conmutador formaría un puerto
troncal, que luego le daría al atacante acceso a todas las VLAN en la troncal. En la Figura 2-6, el puerto del
atacante se convierte en un puerto troncal, y el atacante puede atacar a una víctima en cualquier VLAN
transportada en el tronco.

 
 Figura 2-6 Salto de VLAN

En un ataque de suplantación de identidad, el atacante de red configura un sistema para suplantarse

como un conmutador. Por lo general, esto se logra conectando un conmutador Cisco no autorizado al
puerto del conmutador. El conmutador autorizado puede enviar tramas DTP y formar una troncal. El
atacante nuevamente tiene acceso a todas las VLAN a través de la troncal. En la Figura 2-7, un
conmutador no autorizado puede formar una troncal con el conmutador Cisco. El dispositivo atacante se
conecta al conmutador no autorizado y puede atacar a una víctima en otra VLAN.

Figura 2-7 VLAN Hopping a través de Switch Spoofing

La siguiente lista describe la secuencia de eventos de suplantación de conmutador:

1.  El atacante obtiene acceso a un puerto de conmutador y envía tramas de negociación de DTP hacia un
conmutador con DTP en ejecución y la negociación automática activada (a menudo, la configuración
predeterminada).
2. El atacante y el conmutador negocian el enlace troncal sobre el puerto.
3. El conmutador permite que todas las VLAN (predeterminadas) atraviesen el enlace troncal.
4. El atacante envía datos a, o los recopila, de todas las VLAN transportadas en ese enlace troncal.
Salto de VLAN con doble etiquetado

La segunda forma de ataque de salto VLAN es posible incluso si la función de enlace está desactivada en el
puerto del conmutador. El ataque implica el envío de tramas con una etiqueta doble 802.1Q, como se
muestra en la Figura 2-8. Este ataque requiere que el cliente esté en un conmutador que no sea el atacante.
Otro requisito es que estos dos conmutadores deben estar conectados en la misma VLAN que el puerto del
conmutador atacante o VLAN nativa de la troncal entre el conmutador y la VLAN atacada.

En este método de salto de VLAN, cualquier estación de trabajo puede generar tramas con dos encabezados
802.1Q para hacer que el conmutador reenvíe las tramas a una VLAN que sería inaccesible para el atacante
por medios legítimos.

El primer conmutador que encuentra el marco de doble etiqueta quita la primera etiqueta del marco, porque
la primera etiqueta (VLAN 10) coincide con la VLAN nativa del puerto troncal y luego reenvía el marco.
El resultado es que el marco se reenvía, con la etiqueta interna 802.1Q, a todos los puertos del conmutador
ya que el conmutador no tiene la dirección MAC en la tabla porque el conmutador no reconoce que hay una
segunda etiqueta, incluidos los puertos troncales. configurado con la VLAN nativa del atacante de red. El
segundo conmutador reenvía el paquete al destino en función de la ID de VLAN en el segundo encabezado
802.1Q. Si la troncal no coincide con la VLAN nativa del atacante, la trama no se etiquetará y se inundará
solo en la VLAN original.

Figura 2-8 Salto de VLAN con doble etiquetado

Los siguientes pasos describen el método de doble etiquetado del salto de VLAN:

Paso 1. El atacante (VLAN nativa 10) envía una trama con dos encabezados 802.1Q al Switch 1.
Paso 2. El Switch 1 quita la etiqueta externa y reenvía la trama a todos los puertos dentro de la misma VLAN
nativa.
Paso 3. El conmutador 2 interpreta la trama de acuerdo con la información en la etiqueta interna marcada
con la ID de VLAN 20.
Paso 4. El conmutador 2 reenvía la trama a todos los puertos asociados con la VLAN 20, incluidos los puertos
troncales.

Mitigando el salto de VLAN

Las medidas para defender la red del salto de VLAN son una serie de mejores prácticas para todos los
puertos y parámetros del conmutador a seguir cuando se establece un puerto troncal:

Configure todos los puertos no utilizados como puertos de acceso para que el enlace no se pueda
negociar a través de esos enlaces.
Coloque todos los puertos no utilizados en el estado de apagado y asócielos con una VLAN diseñada solo
para puertos no utilizados, sin tráfico de datos del usuario.
Al establecer un enlace troncal, configure a propósito los argumentos para lograr los siguientes
resultados:
La VLAN nativa es diferente de cualquier VLAN de datos.
El enlace troncal se configura como Activado o No negociar en lugar de negociarse.
El rango de VLAN específico se lleva a la troncal. Esto asegura que la LAN nativa se podará junto con
cualquier otra VLAN que no esté explícitamente permitida en la troncal.

Listas de control de acceso a VLAN

Las listas de control de acceso (ACL) son útiles para controlar el acceso en una red conmutada multicapa.
Este tema describe las VACL y su propósito como parte de la seguridad de VLAN.

 
 Figura 2-9 Tipos de ACL compatibles con los switches Catalyst

Listas de control de acceso al enrutador (RACL): compatible con el hardware TCAM en los conmutadores
multicapa de Cisco. En los switches Catalyst, RACL se puede aplicar a cualquier interfaz enrutada, como
una interfaz virtual de switch (SVI) o un puerto enrutado de capa 3.
Lista de control de acceso a puertos (PACL): filtra el tráfico a nivel de puerto. Las PACL se pueden aplicar
en un puerto de conmutador de capa 2, puerto troncal o puerto EtherChannel. Las PACL actúan en el
nivel de puerto de Capa 2 pero pueden filtrar según la información de Capa 3 / Capa 4.
VACL: también conocidos como mapas de acceso VLAN, se aplican a todo el tráfico en una VLAN. Las
VACL admiten el filtrado basado en Ethertype y direcciones MAC. Las VACL son sensibles a la
sensibilidad, similares a los mapas de ruta basados en Cisco IOS. Las VACL pueden controlar el tráfico que
fluye dentro de la VLAN o controlar el tráfico conmutado, mientras que las RACL controlan solo el tráfico
enrutado.

Los switches Catalyst admiten cuatro búsquedas de ACL por paquete: ACL de seguridad de entrada y salida
y ACL de calidad de servicio (QoS) de entrada y salida. El proceso de combinar las ACE de las ACL de
funciones múltiples se conoce como la fusión de ACL. Los switches Catalyst usan dos métodos para realizar
una fusión: orden independiente y orden dependiente. Con la fusión independiente del orden, las ACL se
transforman de una serie de acciones dependientes del orden a un conjunto de máscaras y patrones
independientes del orden.

La entrada de control de acceso (ACE) resultante puede ser grande. La fusión es intensiva en procesador y
memoria.

La fusión dependiente del orden es una mejora reciente en algunos conmutadores Catalyst en los que las
ACL conservan su aspecto dependiente del orden. El cálculo es mucho más rápido y requiere menos
procesador.

Configurando VACL

Las VACL (también llamadas mapas de acceso VLAN en el software Cisco IOS) se aplican a todo el tráfico en
la VLAN. Puede configurar VACL para el tráfico de capa IP y MAC.

Las VACL siguen las convenciones del mapa de ruta, en las que las secuencias del mapa se verifican en orden.

Cuando se encuentra un permiso ACE coincidente, el conmutador toma la acción. Cuando se encuentra una
ACE de rechazo coincidente, el conmutador verifica la siguiente ACL en la secuencia o verifica la siguiente
secuencia.

Se permiten tres acciones VACL:

 Permiso (con captura, solo Catalyst 6500)
Redirigir (solo Catalyst 6500)
Denegar (con registro, solo Catalyst 6500)

Comprensión y protección contra los ataques de suplantación de identidad

Los ataques de suplantación de identidad pueden ocurrir porque varios protocolos permiten una respuesta
de un host incluso si no se recibió una solicitud. Al suplantar o pretender ser otra máquina, el atacante puede
redirigir parte o todo el tráfico que proviene o va a un objetivo predefinido. Después del ataque, todo el
tráfico del dispositivo bajo ataque fluye a través de la computadora del atacante y luego al enrutador,
conmutador o host. Un ataque de suplantación de identidad puede afectar a los hosts, conmutadores y
enrutadores conectados a su red de Capa 2 al enviar información falsa a los dispositivos conectados a la
subred. Los ataques de suplantación de identidad también pueden interceptar el tráfico destinado a otros
hosts en la subred. Esta sección describe cómo mitigar estos ataques y cómo configurar los conmutadores
para protegerse contra las amenazas del Protocolo de control dinámico de host (DHCP), MAC y Protocolo de
resolución de direcciones (ARP).

Funciones de seguridad integradas

Las capacidades de seguridad integrada brindan seguridad del campus en los switches Cisco Catalyst
utilizando herramientas integradas, como se muestra en la Figura 2-10.

Figura 2-10 Características de seguridad integradas de Cisco

La seguridad del puerto evita los ataques de inundación MAC.

La inspección DHCP evita ataques de clientes en el servidor DHCP y el conmutador.
La inspección del Protocolo de resolución dinámica de direcciones (ARP) agrega seguridad a ARP
utilizando la tabla de indagación DHCP para minimizar el impacto de los ataques de envenenamiento y
suplantación de identidad de ARP.
IP Source Guard (IPSG) evita las direcciones de suplantación de IP utilizando la tabla de indagación
DHCP.

Port Security está cubierto en la sección de ataque basado en MAC de este capítulo. La indagación DHCP,
DAI y la protección de la fuente IP se pueden usar para prevenir ataques de suplantación y se tratan en
profundidad en esta sección.

Ataque de suplantación de DHCP

DHCP es un protocolo utilizado para asignar dinámicamente una dirección IP y una puerta de enlace
predeterminada, entre otras configuraciones, a un cliente en una red. DHCP se logra a través de un
intercambio de paquetes de protocolo entre el cliente y el servidor DHCP, como se muestra en la Figura 2-
11.
 Figura 2-11 DCHP

DCHP usa cuatro mensajes para proporcionar una dirección IP a un cliente:

DHCP descubre difusión desde el cliente
Oferta de DHCP transmitida al cliente
Solicitud de unidifusión DHCP del cliente
DHCP unicast reconoce al cliente

Una de las formas en que un atacante puede obtener acceso al tráfico de red es falsificando las respuestas
que enviaría un servidor DHCP válido. El dispositivo de suplantación de DHCP responde a las solicitudes de
DHCP del cliente. El servidor legítimo también puede responder, pero si el dispositivo de suplantación de
identidad está en el mismo segmento que el cliente, su respuesta al cliente podría llegar primero. La
respuesta DHCP del intruso ofrece una dirección IP e información de respaldo que designa al intruso como
la puerta de enlace predeterminada o el servidor del Sistema de nombres de dominio (DNS). Para una puerta
de enlace, los clientes reenvían los paquetes al dispositivo atacante, que a su vez los envía al destino
deseado. Esto se conoce como un ataque de hombre en el medio, y puede pasar completamente
desapercibido cuando el intruso intercepta el flujo de datos a través de la red.

A continuación se describe la secuencia de ataque de parodia de DHCP:

1. El atacante aloja un servidor DHCP no autorizado en un puerto del conmutador.

2. El cliente difunde una solicitud de información de configuración de DHCP.
3. El servidor DHCP falso responde antes que el servidor DHCP legítimo, asignando información de
configuración IP definida por el atacante.
4. Los paquetes de host se redirigen a la dirección del atacante, ya que emula una puerta de enlace
predeterminada para la dirección DHCP errónea proporcionada al cliente.
Pueden ocurrir un par de escenarios en una red habilitada para DHCP. El atacante puede causar un ataque
DoS enviando miles de solicitudes DHCP, como se muestra en la Figura 2-12. El servidor DHCP no tiene la
capacidad de determinar si la solicitud es genuina y, por lo tanto, podría terminar agotando todas las
direcciones IP disponibles. Esto da como resultado que un cliente legítimo no obtenga una dirección IP a
través de DHCP.
 Figura 2-12 Ataques de suplantación de identidad de DHCP

Puede ocurrir un segundo escenario cuando el atacante conecta un servidor DCHP a la red y le hace asumir
el rol del servidor DHCP para ese segmento. Esto permite al intruso dar información falsa de DHCP para la
puerta de enlace predeterminada y los servidores de nombres de dominio, lo que señala a los clientes a la
máquina del hacker. Esta mala dirección permite al pirata informático convertirse en un intermediario y
obtener acceso a información confidencial, como pares de nombre de usuario y contraseña, mientras que el
usuario final desconoce el ataque.

A continuación se describe la secuencia de ataque de parodia de DHCP, como se muestra en la Figura 2-12

1. El atacante aloja un servidor DHCP no autorizado en un puerto del conmutador.

2. El cliente difunde una solicitud de información de configuración de DHCP.
3. El servidor DHCP falso responde antes que el servidor DHCP legítimo, asignando información de
configuración IP definida por el atacante.
4. Los paquetes de host se redirigen a la dirección del atacante, ya que emula una puerta de enlace
predeterminada para la dirección DHCP errónea proporcionada al cliente.
La inspección DHCP puede prevenir estos dos tipos de ataques. La inspección DHCP es un mecanismo de
seguridad por puerto utilizado para diferenciar un puerto de conmutador no confiable conectado a un
usuario final de un puerto de conmutador confiable conectado a un servidor DHCP u otro conmutador. Se
puede habilitar por VLAN. La inspección DHCP permite que solo los servidores DHCP autorizados
respondan a las solicitudes DHCP y distribuyan información de red a los clientes.

DHCP Snooping

La inspección DHCP es una característica de Cisco Catalyst que determina qué puertos del conmutador
pueden responder a las solicitudes DHCP. Los puertos se identifican como confiables y no confiables. Los
puertos de confianza pueden generar todos los mensajes DHCP, mientras que los puertos no confiables solo
pueden generar solicitudes. Los puertos de confianza alojan un servidor DHCP o pueden ser un enlace
ascendente hacia el servidor DHCP, como se muestra en la
Figura 6-14. Si un dispositivo no autorizado en un puerto no confiable intenta enviar un paquete de
respuesta DHCP a la red, el puerto se cierra. Esta característica se puede combinar con la Opción 82 de
DHCP, en la cual la información del conmutador, como la ID del puerto de la solicitud de DHCP, se puede
insertar en el paquete de solicitud de DHCP.

Los puertos no confiables son aquellos que no están configurados explícitamente como confiables. Se crea
una tabla de enlace DHCP para puertos no confiables. Cada entrada contiene la dirección MAC del cliente, la
dirección IP, el tiempo de arrendamiento, el tipo de enlace, el número de VLAN y la identificación del puerto
registrada a medida que los clientes realizan solicitudes DHCP. La tabla se utiliza para filtrar el tráfico DHCP
posterior. Desde una perspectiva de inspección DHCP, los puertos de acceso no confiables no deben enviar
ninguna respuesta del servidor DHCP, como DHCPOFFER, DHCPACK o DHCPNAK.

ARP Spoofing Attack

En una operación ARP normal, un host envía una transmisión para determinar la dirección MAC de un host
con una dirección IP particular. El dispositivo en esa dirección IP responde con su dirección MAC. El host de
origen almacena en caché la respuesta ARP, usándola para completar el encabezado de paquetes de capa 2
de destino enviados a esa dirección IP.
Al suplantar una respuesta ARP de un dispositivo legítimo con un ARP gratuito, un dispositivo atacante
parece ser el host de destino buscado por los remitentes. La respuesta ARP del atacante hace que el
remitente almacene la dirección MAC del sistema atacante en su caché ARP. Todos los paquetes destinados a
esas direcciones IP se reenvían a través del
sistema atacante.
Un ataque de suplantación de ARP sigue la secuencia que se muestra en la Tabla 2-4, como se ilustra en la
Figura 2-13.
 

Figura 2-13 Envenenamiento por ARP

Tabla 2-2 Ataque de suplantación de ARP

Prevención de suplantación de ARP mediante la inspección dinámica de ARP

ARP no tiene ninguna autenticación. Es bastante simple para un usuario malintencionado falsificar
direcciones utilizando herramientas como ettercap, dsniff y arpspoof para envenenar las tablas ARP de otros
hosts en la misma VLAN. En un ataque típico, un usuario malintencionado puede enviar respuestas ARP no
solicitadas (paquetes ARP gratuitos) a otros hosts en la subred con la dirección MAC del atacante y la
dirección IP de la puerta de enlace predeterminada. Los marcos destinados a puertas de enlace
predeterminadas
enviadas desde hosts con tablas ARP envenenadas se envían a la máquina del pirata informático
(permitiendo que los paquetes sean rastreados) o un host inalcanzable como un ataque DoS. El
envenenamiento por ARP conduce a varios ataques de hombre en el medio, lo que representa una amenaza
de seguridad en la red.
La inspección dinámica de ARP ayuda a prevenir los ataques de hombre en el medio al no transmitir
respuestas ARP inválidas o gratuitas a otros puertos en la misma VLAN, como se muestra en la Figura 2-15.
La inspección dinámica de ARP intercepta todas las solicitudes de ARP y todas las respuestas en los puertos
no confiables. Cada paquete interceptado se verifica para los enlaces válidos de IP a MAC que se recopilan a
través de la inspección DHCP. El conmutador descarta o registra los paquetes ARP denegados para
auditarlos, por lo que se detienen los ataques de envenenamiento ARP. Los paquetes ARP entrantes en los
puertos de confianza no se inspeccionan. La inspección dinámica de ARP también puede limitar las
solicitudes de ARP de los puertos del cliente para minimizar los mecanismos de escaneo de puertos.
 Figura 2-15 Inspección dinámica de ARP

Para evitar la falsificación o “envenenamiento” de ARP, un interruptor debe garantizar que solo se transmitan
las solicitudes y respuestas válidas de ARP. DAI previene estos ataques interceptando y validando todas las
solicitudes y respuestas ARP. Cada respuesta ARP interceptada se verifica para los enlaces válidos de
dirección MAC a dirección IP antes de reenviarse a una PC para actualizar el
caché ARP . Las respuestas ARP provenientes de dispositivos no válidos se descartan. DAI determina la
validez de un paquete ARP basado en una base de datos de enlaces de direcciones MAC a direcciones IP
válida creada por la inspección DHCP. Además, para manejar hosts que usan
direcciones IP configuradas estáticamente, DAI también puede validar paquetes ARP contra ACL ARP
configuradas por el usuario.

Para garantizar que solo se transmitan las solicitudes y respuestas ARP válidas, DAI realiza estas acciones:

Reenvía los paquetes ARP recibidos en una interfaz confiable sin ninguna verificación
Intercepta todos los paquetes ARP en puertos no confiables
Verifica que cada paquete interceptado tenga un enlace válido de dirección IP a MAC antes de reenviar
paquetes que puedan actualizar el caché ARP local
Descarta y registra paquetes ARP con enlaces de direcciones IP a MAC no válidos

Configure todos los puertos del conmutador de acceso como no confiables y todos los puertos del
conmutador conectados a otros conmutadores como confiables. En este caso, todos los paquetes ARP que
ingresan a la red serían de una distribución ascendente o un conmutador central, sin pasar por el control de
seguridad y sin requerir más validación.
DAI también se puede utilizar para limitar la velocidad de los paquetes ARP y, a continuación, eliminar la
interfaz si se supera la velocidad. La Figura 2-16 muestra la configuración recomendada por DAI.

Para ilustrar la operación DAI en una red conmutada multicapa, considere la red que se muestra en la Figura
6-19 con dos interruptores, los interruptores A y B. El host 1 está conectado al interruptor A y el host 2 está
conectado al interruptor B. El servidor DHCP está conectado al Interruptor A. La inspección DHCP está
habilitada tanto en el Interruptor A como en el Interruptor B como requisito previo para DAI. Los enlaces
entre conmutadores se configuran como puertos de confianza DAI, y los puertos de usuario se dejan en el
estado predeterminado no confiable.

 
 Figura 2-16 Interruptores de catalizador habilitados para DAI

IP Spoofing y IP Source Guard

La suplantación de IP puede ocurrir cuando el ataque se hace pasar por un host legítimo en la red, como se
muestra en la Figura 2-17. La suplantación de IP puede resultar en acceso no autorizado o ataques DoS
iniciados por el atacante.

Figura 2-17 Ataque de suplantación de IP

IP Source Guard evita que un host malintencionado ataque la red secuestrando la dirección IP de su vecino.
IP Source Guard proporciona filtrado de tráfico IP por puerto de las direcciones IP de origen asignadas a
velocidad de cable. Mantiene dinámicamente las ACL de VLAN por puerto basadas en enlaces de puerto de
IP a MAC a conmutador. La tabla de enlace se completa
mediante la función de indagación DHCP o mediante la configuración estática de las entradas. IP Source
Guard generalmente se implementa para puertos de conmutadores no confiables en la capa de acceso.
IP Source Guard trabaja en estrecha colaboración con la inspección DHCP. Esta característica se puede
habilitar en un puerto DHCP de detección de capa 2 no confiable para evitar la suplantación de direcciones
IP, como se muestra en la Figura 2-18. Para comenzar, todo el tráfico IP en el puerto está bloqueado, excepto
los paquetes DHCP capturados por el proceso de inspección DHCP.
Cuando un cliente recibe una dirección IP válida del servidor DHCP, o cuando el usuario configura un enlace
de fuente IP estática, se instala una lista de control de acceso VLAN (PVACL) por puerto y en el puerto.
 Figura 2-18 Protección de fuente IP

Este proceso restringe el tráfico IP del cliente a las direcciones IP de origen configuradas en el enlace;
cualquier tráfico IP con una dirección IP de origen que no sea la del enlace de origen de IP se filtra. Este
filtrado limita la capacidad de un host para atacar la red al reclamar la dirección IP de un host vecino.
IP Source Guard solo admite el puerto de capa 2, incluidos el acceso y el enlace troncal. Para cada puerto de
Capa 2 no confiable, existen dos niveles de filtrado de seguridad de tráfico IP:

Filtro de dirección IP de origen: el tráfico IP se filtra en función de su dirección IP de origen. Solo se

permite el tráfico IP con una dirección IP de origen que coincida con la entrada de enlace de origen IP. Un
filtro de dirección de origen de IP se cambia cuando se crea o elimina un nuevo enlace de entrada de
origen de IP en el puerto. El PVACL se recalculará y volverá a aplicar en el hardware para reflejar el
cambio de enlace de origen de IP. De manera predeterminada, si el filtro de IP está habilitado sin ningún
enlace de fuente de IP en el puerto, se instala una PVACL predeterminada que niega todo el tráfico de IP
en el puerto. De manera similar, cuando el filtro IP está deshabilitado, cualquier filtro de origen IP PVACL
se elimina de la interfaz.
Fuente de IP y filtro de dirección MAC: el tráfico IP se filtra en función de su dirección IP de origen
además de su dirección MAC; solo se permite el tráfico IP con direcciones IP y MAC de origen que
coincidan con la entrada de enlace de origen IP.

Asegurar los conmutadores de red

Cada conmutador en la red proporciona una variedad de servicios que van más allá de la conmutación de
trama. Estos servicios van desde la interfaz web de administración, el descubrimiento de vecinos del
Protocolo de descubrimiento de Cisco (CDP), hasta Telnet y puertos preconfigurados. Varios de estos
servicios pueden habilitarse de manera predeterminada para facilitar la integración inicial del conmutador
en la infraestructura de red. Es posible que algunos servicios deban permanecer habilitados, mientras que
otros deberían deshabilitarse cuando se complete la integración y si no son necesarios. Esta sección describe
cómo asegurar los dispositivos de Capa 2 protegiendo los puertos físicos y virtuales, deshabilitando los
servicios innecesarios, forzando el cifrado de las sesiones y habilitando el registro a nivel del dispositivo.

Protocolos de descubrimiento de vecinos

Los protocolos de descubrimiento de vecinos (NDP) proporcionan un resumen de los conmutadores,

enrutadores y otros dispositivos Cisco conectados directamente, como se muestra en la Figura 2-19. CDP es
el protocolo NDP Layer 2 más comúnmente implementado habilitado por defecto. El Link Layer Discovery
Protocol (LLDP) es un protocolo de capa 2 neutral para el proveedor equivalente al Cisco Discovery Protocol
(CDP) que permite que un dispositivo de red anuncie su identidad y capacidades en la red local. El protocolo
ha sido ratificado formalmente como estándar IEEE 802.1AB en 2005 y también es compatible con
dispositivos Cisco.
 Figura 2-19 Protocolo de descubrimiento de vecinos

Protocolo de descubrimiento de Cisco

Cisco Discovery Protocol (CDP) es un protocolo basado en hola, y todos los dispositivos Cisco que ejecutan
CDP anuncian periódicamente sus atributos a sus vecinos mediante el uso de una dirección de multidifusión.
Los paquetes CDP anuncian un valor de Tiempo de vida (TTL) en segundos, lo que indica el período de
tiempo para retener el paquete antes de descartarlo. Los dispositivos Cisco envían paquetes CDP
con un valor TTL que no es 0 después de habilitar una interfaz. Se envía un valor TTL de 0 inmediatamente
antes de que una interfaz esté inactiva. El envío de un paquete CDP con un valor TTL de 0 permite que un
dispositivo de red descubra rápidamente un vecino perdido.
De manera predeterminada, todos los dispositivos Cisco reciben paquetes CDP y almacenan en caché la
información del paquete. La información almacenada en caché está disponible para un NMS mediante SNMP.
Si alguna información cambia desde el último paquete recibido, el dispositivo almacena en caché la nueva
información y descarta la información anterior incluso si su valor TTL aún no ha expirado.
Por razones de seguridad, debe bloquear el acceso SNMP a los datos CDP (o cualquier otro dato) desde fuera
de su red y desde subredes que no sean la subred de su estación de administración.

Vulnerabilidades de CDP

Los atacantes con conocimiento de cómo funciona CDP podrían encontrar formas de aprovechar los
paquetes de texto claro de CDP para obtener conocimiento de la red, como se muestra en la Figura 2-20. El
CDP se ejecuta en la capa 2 y permite que los dispositivos Cisco se identifiquen con otros dispositivos Cisco.
Sin embargo, la información enviada a través de CDP se transmite en texto claro y
no está autenticada. Utilizando un analizador de paquetes, los atacantes podrían obtener información sobre
el dispositivo de red de los anuncios de CDP.

CDP es necesario para aplicaciones de administración como Cisco Works-LAN Management Suite (LMS) y
no se puede deshabilitar sin afectar algunas aplicaciones de administración de red. Sin embargo, CDP puede
deshabilitarse selectivamente en interfaces donde no se realiza la administración.

Figura 2-20 Vulnerabilidades de CDP

La Tabla 2-3 describe cómo CDP se puede usar maliciosamente

 
 Tabla 2-3 Uso de CDP maliciosamente

Asegurar el acceso al interruptor

Los administradores de red suelen usar telnet para acceder a los conmutadores. Pero hoy en día, SSH se está
convirtiendo en estándar en las empresas debido a los requisitos más estrictos de seguridad. Del mismo
modo, el acceso a dispositivos a través de HTTP se está reemplazando por HTTPS seguro.

Vulnerabilidades Telnet

Telnet no es un protocolo seguro y tiene las siguientes vulnerabilidades:

todos los nombres de usuario, contraseñas y datos enviados a través de la red pública en texto claro son
vulnerables.
El usuario con una cuenta en el sistema podría obtener privilegios elevados.
Un atacante remoto podría bloquear el servicio Telnet, evitando el uso legítimo de ese servicio al realizar
un ataque DoS, como abrir demasiadas sesiones falsas de Telnet.
Un atacante remoto podría encontrar una cuenta de invitado habilitada que podría estar presente en
cualquier lugar dentro de los dominios de confianza del servidor.

Telnet está siendo reemplazado por SSH, que es más seguro, y ACL debe configurarse para restringir el
acceso solo a usuarios autorizados que acceden al dispositivo a través de la línea VTY ACL. Ambos temas se
explican en las siguientes secciones.

Cubierta segura

SSH es un protocolo de cliente y servidor utilizado para iniciar sesión en otra computadora a través de una
red para ejecutar comandos en una máquina remota y mover archivos de una máquina a otra. Proporciona
autenticación fuerte y comunicaciones seguras a través de canales inseguros. Es un reemplazo para rlogin,
rsh, rcp y rdist además de Telnet. Cuando se utiliza el inicio de sesión SSH (en lugar de Telnet), toda la sesión
de inicio de sesión, incluida la transmisión de la contraseña, se cifra, como se muestra en la Figura 2-21; por
lo tanto, es casi imposible para un extraño recopilar contraseñas.

Figura 2-21 SSH

Aunque SSH es seguro, las implementaciones de los proveedores de SSH pueden contener vulnerabilidades
que podrían permitir a un atacante remoto ejecutar código arbitrario con los privilegios del proceso SSH o
causar un DoS.

Servidor seguro HTTP

Hay una interfaz web disponible para configurar la mayoría de los conmutadores. La principal debilidad de la
interfaz web es que no está encriptada y parte de ella no ofrece ningún filtrado. Por defecto, puede ser visto
por cualquier usuario que ingrese la dirección IP del interruptor en una barra de direcciones del navegador
web.
Para proteger el servicio web, puede seguir varios pasos:

Utilice HTTPS en lugar de HTTP sin protección mediante el comando ip http secureserver en lugar del
comando ip http server.
Para usar HTTPS, el servidor web que reside en el conmutador debe enviar un certificado. Este
certificado se puede descargar al conmutador si la red utiliza una Infraestructura de clave pública (PKI),
una infraestructura de administración de claves, o si se genera localmente en el conmutador con el
comando crypto key generate rsa. Se debe definir un nombre de dominio para generar un certificado.
El acceso al servicio web debe filtrarse para que solo la máquina o subred del administrador pueda
acceder a la interfaz web. Esto se hace creando una lista de acceso. En este ejemplo, las máquinas en la
subred 10.1.9.0/24 tienen derecho a acceder a cualquier dirección IP del conmutador de capa 3. El filtro
de la lista de acceso se aplica al servicio web
con el comando http access-class.
Los usuarios que acceden al servicio web pueden usarlo para configurar el conmutador. Estos usuarios
deben estar autenticados. El comando local de autenticación http decide que el conmutador contiene una
lista local de credenciales de usuario. El nombre de usuario xyz contraseña abc123 crea un usuario local.

Autenticación Autorización Contabilidad (AAA)

Los servicios de seguridad de red AAA proporcionan el marco primario a través del cual configura el control
de acceso en un conmutador Cisco IOS, como se muestra en la Figura 2-22. AAA es un marco arquitectónico
para configurar un conjunto de tres funciones de seguridad independientes de manera consistente.

Figura 2-22 Contabilidad de autorización de autenticación

AAA proporciona una forma modular de realizar los siguientes servicios:

Autenticación
Autorización
 Contabilidad

Autenticación

La autenticación proporciona un método para manejar lo siguiente:

Identificación de usuario
Diálogo de inicio de sesión y contraseña
Desafío y respuesta
Mensajería
Cifrado

La autenticación identifica a los usuarios antes de acceder a la red y a los servicios de red. AAA configura la
autenticación definiendo una lista con nombre de métodos de autenticación y luego aplicando esa lista a
varias interfaces. La lista de métodos define los tipos de autenticación realizados y su secuencia. Estos
métodos son aplicables por interfaz. Sin embargo, todas las interfaces en los enrutadores y conmutadores de
Cisco se adhieren a una lista de métodos predeterminada denominada Predeterminado cuando no se
definen otros métodos de autenticación. Una lista de métodos definida siempre anula la lista de métodos
predeterminada.
Todos los métodos de autenticación, excepto el local, la contraseña de línea y la autenticación, requieren el
uso de AAA

Autorización

La autorización proporciona el método para el control de acceso remoto. Este control de acceso remoto
incluye una autorización única o autorización para cada servicio en una lista de cuentas por usuario o grupo
de usuarios.

El proceso de autorización AAA en conmutadores o enrutadores funciona contactando una base de datos
común y centralizada de un conjunto de atributos que describen los servicios autorizados del usuario de la
red, como el acceso a diferentes partes de la red. El servidor centralizado devuelve un resultado de los
servicios permitidos al conmutador o enrutador en cuestión para ejecutar las capacidades y restricciones
reales del usuario. Esta base de datos es generalmente un servidor ubicado centralmente, como un servidor
de seguridad RADIUS o TACACS +. Sin embargo, es posible usar una base de datos local. Los servidores de
seguridad remotos, como RADIUS y TACACS +, autorizan a los usuarios a obtener derechos específicos al
asociar sus pares de atributo-valor (AVP). TACACS + y RADIUS usan estos AVP para configuraciones que se
aplican a usuarios o un grupo de usuarios. Cada AVP consiste
de un identificador de tipo asociado con uno o más valores asignables. Los AVP especificados en los perfiles
de usuarios y grupos definen las características de autenticación y autorización para sus respectivos
usuarios y grupos.

Por ejemplo, con la autorización TACACS +, un AVP de Outacl = 10 aplica la salida ACL 10 a un usuario; el
AVP de Idletime = 30 establece un valor de tiempo de inactividad para un usuario en 30 minutos

Los AVP generalmente tienen la forma a = b o a * b, en la que a es el atributo yb es el valor. El separador =

indica que el AVP es obligatorio. El separador * indica que el par AV es opcional. La Tabla 2-4 y la Tabla 2-5
ilustran ejemplos de AVP RADIUS y AVP TACACS +, respectivamente.

Tabla 2-4 Ejemplos de AVP RADIUS

 
 Tabla 2-5 Ejemplos de TACACS + AVP

Contabilidad

La contabilidad proporciona el método para recopilar y enviar información del servidor de seguridad
utilizada para facturación, auditoría e informes. Este tipo de información incluye identidades de usuario,
tiempos de inicio y detención de acceso a la red, comandos ejecutados (como PPP), número de paquetes y
número de bytes. Esta información es útil para auditar y mejorar la seguridad, ya que cada conmutador o
enrutador monitorea a cada usuario.

En muchas circunstancias, AAA utiliza protocolos como RADIUS, TACACS + o 802.1X para administrar sus
funciones de seguridad. Si su conmutador actúa como un servidor de acceso a la red, AAA es el medio a
través del cual un conmutador establece la comunicación entre su servidor de acceso a la red y su servidor
de seguridad RADIUS, TACACS + o 802.1X.

AAA es dinámico porque permite la configuración de autenticación y autorización por línea (por usuario) o
por servicio (por ejemplo, IP, IPX o red privada virtual de acceso telefónico [VPDN]). Crear listas de métodos
y luego aplicar esas listas de métodos a servicios o interfaces específicos logra la aplicación por línea o por
usuario.

Seguridad mediante la autenticación basada en puertos IEEE 802.1X

El estándar IEEE 802.1X define un protocolo de autenticación y control de acceso basado en puertos que
restringe la conexión de estaciones de trabajo no autorizadas a una LAN a través de puertos de conmutador
de acceso público, como se muestra en la Figura 2-23. El servidor de autenticación autentica cada estación
de trabajo que está conectada a un puerto del conmutador antes de poner a disposición cualquier servicio
ofrecido por el conmutador o la LAN.

Figura 2-23 Autenticación de puerto basada en 802.1X

Hasta que la estación de trabajo se autentique, el control de acceso 802.1X solo permite el tráfico del
Protocolo de autenticación extensible a través de LAN (EAPOL) a través del puerto al que está conectada la
estación de trabajo. Una vez que la autenticación se realiza correctamente, el tráfico normal puede pasar por
el puerto. Con la autenticación basada en el puerto 802.1X, los dispositivos en la red tienen roles específicos,
de la siguiente manera:

Cliente: El dispositivo (estación de trabajo) que solicita acceso a LAN y servicios de conmutador y luego
responde a las solicitudes del conmutador. La estación de trabajo debe ejecutar un software de cliente
compatible con 802.1X, como el que se ofrece en el sistema operativo Microsoft Windows XP. (El puerto
al que está conectado el cliente es el solicitante [cliente] en la especificación IEEE 802.1X).
Servidor de autenticación: realiza la autenticación real del cliente. El servidor de autenticación valida la
identidad del cliente y notifica al conmutador si el cliente está autorizado para acceder a la LAN y a los
servicios del conmutador Debido a que el conmutador actúa como proxy el servicio de autenticación es
 servicios del conmutador. Debido a que el conmutador actúa como proxy, el servicio de autenticación es
transparente para el cliente. El sistema de seguridad RADIUS con extensiones de Protocolo de
autenticación extensible (EAP) es el único servidor de autenticación compatible.
Switch (también llamado autenticador): controla el acceso físico a la red según el estado de autenticación
del cliente. El conmutador actúa como intermediario (proxy) entre el cliente (solicitante) y el servidor de
autenticación, solicitando información de identificación del cliente, verificando esa información con el
servidor de autenticación y transmitiendo una respuesta al cliente. El conmutador utiliza un agente de
software RADIUS,
que es responsable de encapsular y desencapsular las tramas EAP e interactuar con el servidor de
autenticación.

El estado del puerto del conmutador determina si el cliente tiene acceso a la red. Cuando se configura para la
autenticación basada en el puerto 802.1X, el puerto comienza en el estado no autorizado. Mientras está en
este estado, el puerto no permite todo el tráfico de entrada y salida, excepto los paquetes de protocolo
802.1X. Cuando un cliente se autentica correctamente, el puerto pasa
al estado autorizado, permitiendo que todo el tráfico del cliente fluya normalmente.

Si el conmutador solicita la identidad del cliente (iniciación del autenticador) y el cliente no es compatible
con 802.1X, el puerto permanece en el estado no autorizado y el cliente no tiene acceso a la red.

Por el contrario, cuando un cliente habilitado para 802.1X se conecta a un puerto y el cliente inicia el proceso
de autenticación (iniciación suplicante) enviando el marco de inicio EAPOL a un conmutador que no ejecuta
el protocolo 802.1X, no se recibe respuesta, y el cliente comienza a enviar tramas como si el puerto estuviera
en el estado autorizado.

La siguiente es una explicación de las palabras clave:

forzado autorizado: deshabilita la autenticación basada en el puerto 802.1X y hace que el puerto pase al
estado autorizado sin que se requiera ningún intercambio de autenticación. El puerto transmite y recibe
tráfico normal sin autenticación del cliente basada en 802.1X. Esta es la configuración predeterminada.
Este modo de configuración es compatible con cualquier cliente no dot1xenabled.
forzado no autorizado: hace que el puerto permanezca en el estado no autorizado, ignorando todos los
intentos de autenticación del cliente. El conmutador no puede proporcionar servicios de autenticación al
cliente a través de la interfaz. Este modo de configuración se puede habilitar para evitar conexiones de
cualquier usuario desde puertos no autorizados.
auto: habilita la autenticación basada en el puerto 802.1X y hace que el puerto comience en el estado no
autorizado, permitiendo que solo se envíen y reciban tramas EAPOL a través del puerto. El proceso de
autenticación comienza cuando el estado del enlace del puerto pasa de abajo hacia arriba (inicio del
autenticador) o cuando se recibe una trama de inicio EAPOL (inicio del solicitante). El conmutador solicita
la identidad del cliente y comienza a transmitir mensajes de autenticación entre el cliente y el servidor de
autenticación. El conmutador identifica de forma exclusiva a cada cliente que intenta acceder a la red
utilizando la dirección MAC del cliente. Este modo de configuración se puede usar en puertos que se
conectan a un cliente 802.1X.

Si el cliente se autentica correctamente (recibe una trama "aceptar" del servidor de autenticación), el estado
del puerto cambia a autorizado y todas las tramas del cliente autenticado se habilitan a través del puerto. Si
la autenticación falla, el puerto permanece en el estado no autorizado, pero la autenticación se puede volver
a intentar. Si no se puede acceder al servidor de autenticación, el conmutador puede retransmitir la solicitud.
Si no se recibe respuesta del servidor después del número especificado de intentos, la autenticación falla y
no se otorga acceso a la red. Cuando un cliente cierra sesión, envía un mensaje de cierre de sesión de EAPOL,
lo que hace que el puerto del conmutador pase al estado no autorizado.

DISCUSIÓN

PREGUNTAR