Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Agenda
INTRODUCCIN ASPECTOS BSICOS CONFIGURACIN DE PORT SECURITY CONFIGURACIN DE AGING MONITOREO DE PORT SECURITY
Introduccin
Es de suma importancia respecto a la seguridad de las redes LAN el control de quines pueden (y quines no) acceder a la red interna de la empresa.
Situacin a resolver -> Posibilidad de conectarse a la red utilizando cualquier ordenador instalado en el edificio. Surge una interrogante Puede alguien sencillamente ingresar en el edificio, conectar una laptop a una boca disponible, y acceder a la red de la empresa? Recurso importante -> Deshabilitar aquellas bocas que no poseen en el momento una terminal de trabajo conectada. Surge otro problema -> Puede ocurrir que alguien desconecte una terminal de escritorio y conecte a esa boca su propia laptop o un hub (!No es poco frecuente).
Introduccin
Esto se puede evitar implementando portsecurity en los switches de acceso.
Aspectos Bsicos
Port-security es un feature de los switches Cisco que les permite retener las direcciones MAC conectadas a cada puerto del dispositivo y permitir solamente a esas direcciones MAC comunicarse a travs de esa boca del switch
Si un dispositivo con otra direccin MAC intenta comunicarse a travs de esa boca, port-security deshabilitar el puerto. Se puede implementar SNMP para recibir en el momento en el sistema de monitoreo la notificacin correspondiente al bloqueo del puerto.
TAREA N1
QU ES SNMP?.
Aspectos Bsicos
Port-security es un feature de los switches Cisco que les permite retener las direcciones MAC conectadas a cada puerto del dispositivo y permitir solamente a esas direcciones MAC comunicarse a travs de esa boca del switch
Si un dispositivo con otra direccin MAC intenta comunicarse a travs de esa boca, port-security deshabilitar el puerto. Se puede implementar SNMP para recibir en el momento en el sistema de monitoreo la notificacin correspondiente al bloqueo del puerto.
Aspectos Bsicos
Desventaja -> Necesario que el administrador de red desbloquee el puerto. Pero se considera un inconveniente menor si se compara con los riesgos potenciales.
Configuracin de Port-Security
El proceso de configuracin requiere ingresar a la configuracin de interfaz en cuestin e ingresar el comando port-security.
Ejemplo: Switch#configure terminal Switch(config)#interface fastethernet 0/1 Switch(config-if)#switchport port-security ? aging Port-security aging comands mac-address Secure mac address maximun Max secure addresses violation Security violation mode Switch(config-if)#switchport port-security
Configuracin de Port-Security
Si se ingresa solamente el comando bsico, se asumen los valores por defecto: slo se permite una direccin MAC en el puerto, que ser la primera que se conecte al mismo, en caso de que otra direccin MAC intente conectarse utilizando esa misma boca, el puerto ser deshabilitado
Configuracin de Port-Security
Switchport port-security maximun [cantidad MAC permitidas]
Permite definir el nmero de direcciones MAC que est permitido que se conecten a travs de la interfaz del switch . El nmero mximo de direcciones permitidas por puerto es 132. Este comando limita la posibilidad de ataque por inundacin de la tabla CAM del Switch.
TAREA N2
A qu se refiere con ataque por inundacin de la tabla CAM?
Qu es la tabla CAM?
Configuracin de Port-Security
Switchport port-security violation [shutdown restrict protect]
Establece la accin que tomar el switch en caso de que se supere el nmero de direcciones MAC que se establece en el comando anterior. Las opciones son desahbilitar el puerto, alertar al administrador o permitir exclusivamente el trfico de la MAC que se registr inicialmente. Restrict: Una violacin de seguridad de puerto restringe el dato y causa que el contador de violacin de seguridad se incremente y enve una notificacin SNMP trap
Configuracin de Port-Security
Switchport port-security violation [shutdown restrict protect]
Shutdown: La interfaz entra en el estado error-deshabilitado cuando ocurre la violacin de puerto. Cuando un puerto seguro est en el estado error-deshabilitado, se puede sacar de ese estado el comando de configuracin global errdisable recovery cause psecure-violation o manualmente rehabilitando la interfaz ingresando el comando shutdown y luego el comando no shutdown en la interfaz respectiva.
Configuracin de Port-Security
Switchport port-security mac-address [MAC address]
Permite definir manualmente la direccin MAC que se permite Conectar a travs de ese puerto, o dejar que la aprenda dinmicamente.
Configuracin de Port-Security
Switchport port-security limit rate invalidsource-mac
Coloca la tasa lmite para paquetes incorrectos.
Static: Habilita el envejecimiento para direcciones seguras configuradas estticamente en ese puerto o interfaz.
Time tiempo_envejecimiento: Especifica el tiempo de envejecimiento para este puerto. Rangos vlidos para el tiempo de envejecimiento es de 0 a 1440 minutos. Si el tiempo es igual a 0, el envejecimiento est deshabilitado para ese puerto.
Monitoreo de Port-Security
Hay comandos especficos que permiten monitorear el estado de los puertos que tienen implementado port-security:
Monitoreo de Port-Security
Switch#show port-security address Secure Mac Address Table _________________________ Vlan Mac Address Type Ports Remaining Age (mins) __ _______ ___ ____ _______
1 0004.00d5.285d SecureDynamic Fa 0/18 -
Total Address in System (excluding one mac per port) : 0 Max Addresses limit in System (excluding one mac per port): 1024
Monitoreo de Port-Security
Switch#show port-security interface fa0/18
Port Security Port Status Violation Mode Aging Time Aging Type SecureStatic Address Aging Maximun MAC Addresses Total MAC Addresses Configured MAC Addresses Sticky MAC Addresses Last Source Address Security Violation Count : Enabled : Secure-up : Shutdown : 0 mins : Absolute : Disabled :1 :1 :0 :0 : 0004.00d5.285d :0