INTRODUCCIN.

A continuacion se realizara un informe detallado de algunos conceptos de la

seguridad en capa 2 y ademas el uso de sus comandos para hacer la
configuracion correspondiente a la topologa de las redes.
1.- SEGURIDAD EN PUERTOS
Seguridad en capa 2 para evitar conexiones no deseadas a los puertos y
ejecutar una accin cuando esto ocurra (security violation). La activacin
de Port Security la realizamos a nivel de interfaz, vamos a trabajar con la
interfaz GigabitEthernet 0/1. Lo primero es acceder al modo de configuracin
y despus a la interfaz:
Switch01# config terminal
Switch01(config)# interface GigabitEthernet 0/1
Switch01(config-if)#
Algo importante: para poder configurar Port Security en la interfaz tiene que
estar en modo acceso (access mode) o trunk mode, en dynamic desirable no
es posible. Nosotros no vamos a hacer tagging de VLAN ni configurar trunks
as que modo acceso ser suficiente:
Switch01(config-if)# switchport mode access
Port Security por defecto est desactivado, as que lo activamos:
Switch01(config-if)#switchport port-security
Cuantas direcciones MAC vamos a permitir acceder al puerto? Por defecto
es 1, para que veais como es indicamos que podrn acceder una sola MAC,
no hara falta porque es el valor por defecto:
Switch01(config-if)#switchport port-security maximum 1
Indicamos que accin tomar cuando se detecte una violacin de la seguridad
del puerto, es decir, que se conecte a la interfaz una MAC distinta a las
permitidas:
Switch01(config-if)# switchport port-security violation { protect | restrict |
shutdown }
Como vis, podemos elegir entre protect, restrict y shutdown:
o Protect: slo se permite trfico de las MAC permitidas en la
configuracin descartando el trfico del resto, no se notifica sobre la
intrusin.
o Restrict: se enva una notificacin SNMP al administrador y el trfico
del puerto se permite nicamente a las MAC especificadas, del resto se
descarta.
o Shutdown: el puerto se deshabilita.
Vamos a elegir shutdown, creo que es el valor por defecto, an as lo
especificamos para que lo veis:
Switch01(config-if)# switchport port-security violation shutdown
Por supuesto en algn momento tendremos que especificar las MAC
permitidas, lo hacemos con el siguiente comando:
Switch01(config-if)# switchport port-security mac-address 0a04.aaf8.13ad

Llegados a este punto pensaris que sera tedioso configurar Port Security en
una red de Switches amplia, o incluso en un nico switch de 48 puertos por
ejemplo. Para eso est el siguiente comando, que aprende la MAC conectada
a las interfaces y la configura como MAC permitida para el puerto. Para usar
esta opcin lgicamente es necesario cerciorarse de que todo est conectado
donde tiene que estar.
Switch01(config-if)# switchport port-security mac-address sticky
En resumen estos seran los pasos que hemos realizado:
Switch01> enable
Switch01# config terminal
Switch01(config)# interface GigabitEthernet 0/1
Switch01(config-if)# switchport mode access
Switch01(config-if)#switchport port-security
Switch01(config-if)#switchport port-security maximum 1
Switch01(config-if)# switchport port-security violation shutdown
Switch01(config-if)# switchport port-security mac-address 0a04.aaf8.13ad
Switch01(config-if)# end
Si quieremos la auto-deteccin de la MAC usamos el sticky:
Todava queda por ah alguna opcin ms, podis revisarlas con la propia
ayuda de IOS:
Switch01> enable
Switch01# config terminal
Switch01(config)# interface GigabitEthernet 0/1
Switch01(config-if)# switchport mode access
Switch01(config-if)#switchport port-security
Switch01(config-if)#switchport port-security maximum 1
Switch01(config-if)# switchport port-security violation shutdown
Switch01(config-if)# switchport port-security mac-address sticky
Switch01(config-if)# end

Switch01(config-if)#switchport port-security ?
aging Port-security aging commands
mac-address Secure mac address
maximum Max secure addresses
violation Security violation mode


Para la monitorizacin del estado de los puertos y si hay alguna restriccin
aplicada utilizamos estos dos comandos:
Switch01# show port-security interface GigabitEthernet 0/1
Port Security.....................: Enabled
Port Status.......................: Secure-up
Violation Mode....................: Shutdown
Aging Time........................: 0 mins
Aging Type........................: Absolute
SecureStatic Address Aging........: Disabled
Maximum MAC Addresses.............: 1
Total MAC Addresses...............: 1
Configured MAC Addresses..........: 0
Sticky MAC Addresses..............: 0
Last Source Address...............: 0a04.aaf8.13ad
Security Violation Count..........: 0
Como vis tenemos un contador que especifica el nmero de veces que se ha
producido una violacin de la poltica de seguridad, indicando tambin la
ltima MAC de origen conectada al puerto. Adems de eso todos los
parmetros especficados en la configuracin. Tambin podemos ver el
estado general de Port Security en los puertos del Switch con el siguiente
comando:

Switch01# show port-security address
Secure Mac Address Table
---------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
1 0a04.aaf8.13ad SecureSticky Gi0/1 -
...
...
...
----------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 1024

2.- BPDU GUARD

BPDU significa Bridge Protocol Data Unit (Unidad de datos de protocolo
puente), que es un paquete de datos, enviado en redes de rea local o LAN,
que trabaja para detectar bucles en una red. Los bucles pueden hacer que los
paquetes de datos duplicados se enven fuera, que puede utilizar el ancho de
banda en una red. Las guardas BPDU protegen los equipos de recepcin de
paquetes de datos no autorizados que pueden contener virus informticos.
La mayora del tiempo, cuando un puerto habilitado para PortFast recibe un
BPDU invlido, es porque un dispositivo sin autorizacin se ha conectado a la
LAN y est intentando intercambiar datos con una computadora. Cuando la
guarda BPDU detecta esto, cambia el estado del puerto de la computadora a
deshabilitacin de errores y el interruptor apaga el puerto, evitando as que
el malware y hackers accedan a la computadora.

Se utiliza en puertos de acceso y evita que se produzcan loops.
Comandos:
-BPDU GUARD (STP PORTFAST) DEFAULT
sw(config)# spanning-tree portfast bpduguard default
-SPANNING-TREE BPDUGUARD ENABLE
sw(config)# spanning-tree portfast bpduguard enable
-ERRDISABE DETECT CAUSE BPDUGUARD SHUTDOWN VLAN
sw(config)#errdisable detect cause bpduguard shutdown vlan

3.- PORT FAST
Una interfaz PortFast permite a una computadora conectarse
inmediatamente a una red. Los equipos que estn conectados a una misma
red del servidor no reciben las BPDU. Esto es debido a que el protocolo
llamado el comando de la Guardia BPDU apaga puertos de la computadora
que son de habilitados para puerto-rpido si reciben cualquier BPDU. Esto es
para prevenir que ocurran bucles de datos en una red de nivel 2, que es una
red de rea local, elaborada con interruptores o routers puente.
Switch(config-if)#spanning-tree portfast

4. ROOT GUARD
La funcin root guard STP evita que un puerto se convierta en puerto raz o
puerto bloqueado . Si un puerto configurado para la proteccin de raz recibe
una BPDU superior, el puerto pasa inmediatamente a la (bloqueado) Estado-
root inconsistent. Permite mantener un root bridge sin afectarlo si se
produce cambio. (Protege RB).
Por lo general, STP root guard est configurada en los interruptores de races
primarias y secundarias. Puede configurar esta por nivel de interfaz como se
muestra en el siguiente.
Comandos:
sw(config)# spanning-tree guard root
OBS: se habilita en los puertos que deseamos que no sufran el ataque (P.
troncales)


REFERENCIA BIBLIOGRAFICA.
http://www.ehowenespanol.com/bpdu-guard-info_295117/
http://mrncciew.com/2013/04/19/configuring-root-guard-loop-guard/
http://redesdedatos3.webnode.es/seguridad-en-capa-2/