Seguridad de La Informacion

INGENIERIA EN TECNOLOGIAS DE LA INFORMACION Y COMUNICACIN

SEGURIDAD DE LA INFORMACION

GITI5114-F

ADALBERTO MEJIA MONJARAS

Seguridad de la informacin 2015

2

INTRODUCCION

Este documento ofrece breves consejos de configuracin que abarcan varios problemas relacionados con la seguridad de la informacin

El objetivo es proporcionar notas importantes que se pueden aplicar en la mayora de las implementaciones de red para minimizar los problemas que puedan surgir.

Nota: Todas las redes no son iguales, por lo que algunos consejos no se podrn

aplicar en su instalacin. Verifique siempre dichos consejos antes de llevar a cabo cualquier cambio en una red que est en funcionamiento.


3

INDICE INTRODUCCION ............................................................................................................................. 2

Seguridad de puerto en switch cisco .............................................................................................. 3

Como configurarlo: .................................................................................................................... 4

Acciones en caso de violacin: ................................................................................................... 4

ejemplo:..................................................................................................................................... 5

AUTO TRUKING .............................................................................................................................. 6

BPDU Guard ................................................................................................................................... 7

Root Guard .................................................................................................................................... 7

CDP ................................................................................................................................................ 8

Mejores prcticas en configuraciones de switch Cisco .................................................................. 11

Deshabilitacin de servicios no utilizados ................................................................................. 11

Habilitacin de comandos para minimizar impacto de ataque a los equipos ............................. 11

Habilitacin de traps ................................................................................................................ 12

Habilitacin de Root Guard ...................................................................................................... 12

Habilitacin de BPDU Guard ..................................................................................................... 13

Conf. Passwords, nombre y otros ............................................................................................. 13

BIBLIOGRAFIA .............................................................................................................................. 14

Seguridad de puerto en switch cisco

La Seguridad del Puerto es proteger el switch de Ataques de Direcciones MAC

malintencionados, limitando el nmero mximo de direcciones MAC que pueden

ser adquiridas por la direccin MAC dinmicamente / estticamente. Cuando el


4

nmero de direcciones MAC adquiridas alcanza el mximo, el puerto dejar de

adquirir. Por lo tanto lo dispositivos con la direccin MAC no adquirida no pueden

acceder a la red por medio de este puerto.

Como configurarlo:

Switch>enable

Switch#configure terminal

Switch(config)#interface fastEthernet 0/1

Switch(config-if)#switchport mode access

Switch(config-if)#switchport port-security mac-address"aqu la mac"

este comando solo permite la mac que se registre en el comando

Switch(config-if)#switchport port-security mac-address sticky

este comando permite que el primer equipo que se conecta se asegura el

puerto."osea no tiene que registrarse"

Switch(config-if)#switchport port-security maximum "3"

Si hay un switch o un hub, conectado a un puerto del switch que quieres asegurar,

puedes configurar un mximo de direcciones MAC asociadas a ese puerto, por

ejemplo si queremos configurar un mximo de 3 direcciones MAC ese es el

comando.

Acciones en caso de violacin:

Switch(config-if)#switchport port-security violation protect


5

Proteccin: Rechaza los paquetes hasta que el causante de la violacin es

subsanado, el usuario no advierte que se ha producido una violacin de seguridad.

Switch(config-if)#switchport port-security violation restrict

Restriccin: Rechaza los paquetes hasta que el causante de la violacin es

subsanado, el usuario advierte que se ha producido una violacin de seguridad.

De manera especfica se enva un mensaje SNMP, se registra un mensaje de

syslog y se aumenta el contador de violaciones.

Switch(config-if)#switchport port-security violation shutdown

Desactivacin (default): La interfaz se deshabilita de manera inmediata por error y

se apaga el led del puerto. Tambin enva un mensaje SNMP, se registra un

mensaje de syslog y se incrementa el contador de violaciones. Cuando esto

sucede es necesario volver a habilitar el puerto manualmente mediante el

comando "no shutdown"."en pocas palabras el puerto se apaga"

ejemplo:

Switch>enable

Switch#configure terminal

Switch(config-if)#interface fastEthernet 0/2

Switch(config-if)#switchport mode access

Switch(config-if)#switchport port-security mac-address sticky

Switch(config-if)#switchport port-security maximum 3

Switch(config-if)#switchport port-security violation shutdown

Switch(config-if)#do wr


6

Building configuration...

[OK]

AUTO TRUKING

DTP (Dynamic Trunking Protocol) es un protocolo propietario creado por Cisco

Systems que opera entre switches Cisco, el cual automatiza la configuracin de

trunking (etiquetado de tramas de diferentes VLAN's con ISL o 802.1Q) en

enlaces Ethernet.

Dicho protocolo puede establecer los puertos ethernet en cinco modos diferentes

de trabajo: AUTO, ON, OFF, DESIRABLE y NON-NEGOTIATE.

auto Es el modo por defecto, e implica que el puerto aguardar

pasivamente la indicacin del otro extremo del enlace para pasar a modo

troncal. sin embargo si los dos extremos estn en modo auto no se

establecer el enlace como troncal.

DTP se habilita automticamente en un puerto del switch cuando se configura un

modo de trunking adecuado en dicho puerto. Para ello el administrador debe

ejecutar el comando switchport mode adecuado al configurar el puerto: switchport

mode {access | trunk | dynamic auto | dynamic desirable}.

Con el comando switchport nonegotiate se desactiva DTP.

Su funcin es gestionar de forma dinmica la configuracin del enlace troncal al

conectar dos switches, introduciendo los comandos del IOS (sistema operativo de

los switches y routers Cisco) en la configuracin del dispositivo (running-config) de

forma automtica sin que el administrador intervenga.

Esto implica que si estamos configurando un puerto de un switch Cisco para DTP,

el puerto del otro lado del enlace tambin debe tener DTP habilitado para que el

enlace quede configurado correctamente.

La combinacin de los modos asignados a los puertos define cul va a ser el

estado final del enlace asociado a stos:

o bien 'access', es decir, pasarn las tramas de una nica VLAN y no

necesitaremos etiquetarlas.


7

o bien 'trunking', es decir, pasarn las tramas de todas las VLAN permitidas

etiquetndolas adecuadamente (ISL o 802.1Q).

BPDU Guard La funcin de STP BPDU Guard permite a los diseadores de la red mantener predecible a la topologa de red activa. BPDU Guard es utilizada para proteger a la red conmutada de posibles problemas causados por recibid BPDUs en puertos que no deberan recibirlos. La recepcin de BPDUs podra ser accidental o parte de un intento no autorizado de agregar un switch a la red. Si un puerto configurado con PortFast recibe un BPDU, STP puede colocar dicho puerto en modo deshabilitado, utilizando BPDU Guard. BPDU Guard se implementa mejor sobre puertos de usuario, para prevenir las extensiones de red clandestinas de un host atacante. Utilice este comando para habilitar BPDU Guard en todos los puertos que tengan habilitado PortFast. Switch(config)# spanning-tree portfast bpduguard default

Root Guard La funcin Root Guard de los switches Cisco provee un mtodo para asegurar la seleccin de puentes raz en la red. Root Guard limita los puertos del switch a travs de los cuales puede negociarse el puente raz. Si un puerto habilitado con Root Guard recibe BPDUs superiores a aquellos que enva el puente raz actual, dicho puerto pasa a un estado "root-inconsistent", efectivamente similar al estado de escucha (listening) de STP, y no se reenvan ms datos a travs del mismo. Debido a que un administrador puede configurar la prioridad del puente a cero en forma manual, Root Guard puede parecer innecesario. Configurar la prioridad de un switch a cero no garantiza que el mismo ser seleccionado como puente raz, debido a que puede existir otro switch con prioridad cero y una direccin MAC menor, y por lo tanto ser seleccionado como puente raz. Root Guard se implementa mejor en puertos conectados a switches que no deberan ser el puente raz. Con Root Guard, si un host atacante enva BPDUs falsificadas en un intento de convertirse en el puente raz, una vez recibido el BPDU, el mismo es ignorado y el puerto pasa al estado "root-inconsistent". El puerto se recupera tan pronto como dejan de recibirse los BPDUs ofensivos.


8

BPDU Guard y Root Guard son similares, pero tienen diferentes impactos. BPDU Guard deshabilita el puerto al recibir un BPDU, si dicho puerto tiene PortFast habilitado. Esta deshabilitacin niega a estos puertos en forma efectiva la participacin en el proceso STP. El administrador debe volver a habilitarlos en forma manual, o configurar un temporizador automtico. Root Guard permite que el dispositivo participe del proceso STP siempre y cuando no intente convertirse en raz. Si Root Guard bloquea el puerto, la recuperacin subsecuente es automtica. La recuperacin ocurre tan pronto como el dispositivo culpable deja de enviar BPDUs superiores. Este es el comando para configurar Root Guard en una interfaz. Switch(config-if)# spanning-tree guard root

Para verificar el funcionamiento de Root Guard, utilice el comando show spanning-

tree inconsistentports. Debe considerarse que el switch pone al puerto en el

estado "root-inconsistent" si ste recibe BPDUs que no debera recibir. El puerto

se recupera en el momento en que deja de recibir dichos BPDUs.

CDP

CISCO DISCOVERY PROTOCOL (protocolo CDP) se utiliza para obtener

informacin de router y switches que estn conectados localmente. El CDP es un

protocolo propietario de Cisco, destinado al descubrimiento de vecinos y es

independiente de los medios y del protocolo de enrutamiento. Aunque el CDP

solamente mostrar informacin sobre los vecinos conectados de forma directa,

este constituye una herramienta de gran utilidad.

El Protocolo CDP es un protocolo de Capa 2 que conecta los medios fsicos

inferiores con los protocolos de red de las capas superiores,

La lectura del comando show cdp neighbors incluyen la siguiente informacin:

Identificador del dispositivo

Interfaz local

Tiempo de espera

Capacidad

Plataforma


9

Identificador del puerto

Los siguientes datos se agregan en el CDPv2:

Administracin de nombres de dominio VTP

VLAN Nativas

Full o half-duplex

Para obtener los nombres y tipos de plataforma de routers vecinos, nombres y

versin de la imagen Cisco IOS:

Show cdp neighbors

Para obtener datos de routers vecinos en ms detalle:

Show cdp neighbors detail

Para saber el trafico de CDP que ocurre en el router.

Router#show cdp traffic

Hay dos formas de deshabilitar CDP, una es en un interfaz especfico y la otra de

forma general.

Desde una interfaz:

Router#configure terminal

Router(config)#[nmero de interfaz]

Router(config-if)#no cdp enable

De modo total:

Deshabilita CDP en el router:

Router(config)#no cdp run

Habilita CDP en el router:

Router(config)#cdp run

Show cdp interface

Muestra el estado de todos los interfaces que tienen activado CDP.

Restaura los contadores a cero:


10

Router#clear cdp counters

Borra la informacin contenida en la tabla de vecinos:

Router#clear cdp table

Los siguientes comandos pueden utilizarse para mostrar la versin, la informacin

de actualizacin, las tablas y el trfico:

show cdp traffic

show debugging

debug cdp adjacency

debug cdp events

debug cdp ip

debug cdp packets

cdp timer

cdp holdtime

show cdp

Ejemplo de un Show cdp neighbors

Router#show cdp neighbors Capability Codes: R-Router, T-Trans Bridge, B-Sourse Route Bridge, S-Switch, H-Host, I-IGMP, r-Repeater

DeviceID Local Interfce Holdtme Capablyt Plataform Port ID

Router3 Ser0/1 150 R 2600 Ser0/1

Router4 Ser0/0 142 R 4500 Ser1/0

Switch FastEt0/0 120 S 2950 Fast0/5


11

Mejores prcticas en configuraciones de switch Cisco

En esta apartado te voy a dar a conocer, las configuraciones generales que

debiese tener todo switch, para mantener el equipo ms confiable de ataques o

acceso a la red sin autorizacin.

Deshabilitacin de servicios no utilizados

Descripcin: Deshabilitacin de servicios no utilizados por la plataforma.

Comandos a aplicar:

no ip source-route

no service pad

no ip finger

no ip bootp server

no mop enable

Habilitacin de comandos para minimizar impacto de ataque a los

equipos

Descripcin: Los siguientes comandos permiten mejorar las respuestas de

equipo (para su administracin) en caso de un ataque basado en

inundacin de trfico, mientras que los TCP keepalives permiten prevenir

sesiones truncadas en caso de desconexiones repentinas.

Comandos a aplicar :

scheduler allocate

service tcp-keepalives-in

service tcp-keepalives-out


12

Habilitacin de traps

Descripcin: Habilitacin de traps generados por eventos o cambios de

configuracin en los equipos.

loggin traps

logging event link-status default

snmp-server enable traps vtp

snmp-server enable traps vlancreate

snmp-server enable traps vlandelete

snmp-server enable traps envmon

snmp-server enable traps stackwise

snmp-server enable traps config

snmp-server enable traps hsrp

snmp-server enable traps ipmulticast

Habilitacin de Root Guard

Descripcin: Definicin de permetro de seguridad de STP. Estos comandos

sern aplicados en las interfaces de acceso de los equipos.

Comandos a utilizar:

Interface [tipo][numero]

spanning-tree guard root

spanning-tree rootguard


13

Habilitacin de BPDU Guard

Descripcin : Permitir deshabilitar una puerta en caso que se conecte un

switch a una puerta configurada con portfast (De esta forma se evita que la

insercin de un switch en la red sea descontrolada)

Comandos a utilizar:

spanning-tree portfast bpduguard

Conf. Passwords, nombre y otros

#conf t

enable secret xxxxxxxx

line con 0

exec-timeout 5 0

password xxxxxxxxx

line vty 0 4

exec-timeout 5 0

timeout login response 300

password xxxxxxxxxx

login

line vty 5 15

no login

udld enable


14

no ip http server

no setup express

no ip forward-protocol udp netbios-ns

no ip forward-protocol udp netbios-dgm

no ip source-routeno ip domain-lookup

service timestamps debug datetime localtime

service timestamps log datetime localtime

service password-encryption

logging buffered 8000 debugging

spanning-tree mode rapid-pvst

spanning-tree portfast bpduguard default

spanning-tree extend system-id

BIBLIOGRAFIA

http://redesytrucos.blogspot.mx/2012/03/seguridad-de-puerto-en-switch-cisco.html

http://bit.ly/CCNASecurity

http://www.cisco.com/c/en/us/tech/lan-switching/dynamic-trunking-protocol-dtp/index.html

Seguridad de La Informacion

Documents

Transcript of Seguridad de La Informacion