A continuacion se realizara un informe detallado de algunos conceptos de la
seguridad en capa 2 y ademas el uso de sus comandos para hacer la configuracion correspondiente a la topologa de las redes. 1.- SEGURIDAD EN PUERTOS Seguridad en capa 2 para evitar conexiones no deseadas a los puertos y ejecutar una accin cuando esto ocurra (security violation). La activacin de Port Security la realizamos a nivel de interfaz, vamos a trabajar con la interfaz GigabitEthernet 0/1. Lo primero es acceder al modo de configuracin y despus a la interfaz: Switch01# config terminal Switch01(config)# interface GigabitEthernet 0/1 Switch01(config-if)# Algo importante: para poder configurar Port Security en la interfaz tiene que estar en modo acceso (access mode) o trunk mode, en dynamic desirable no es posible. Nosotros no vamos a hacer tagging de VLAN ni configurar trunks as que modo acceso ser suficiente: Switch01(config-if)# switchport mode access Port Security por defecto est desactivado, as que lo activamos: Switch01(config-if)#switchport port-security Cuantas direcciones MAC vamos a permitir acceder al puerto? Por defecto es 1, para que veais como es indicamos que podrn acceder una sola MAC, no hara falta porque es el valor por defecto: Switch01(config-if)#switchport port-security maximum 1 Indicamos que accin tomar cuando se detecte una violacin de la seguridad del puerto, es decir, que se conecte a la interfaz una MAC distinta a las permitidas: Switch01(config-if)# switchport port-security violation { protect | restrict | shutdown } Como vis, podemos elegir entre protect, restrict y shutdown: o Protect: slo se permite trfico de las MAC permitidas en la configuracin descartando el trfico del resto, no se notifica sobre la intrusin. o Restrict: se enva una notificacin SNMP al administrador y el trfico del puerto se permite nicamente a las MAC especificadas, del resto se descarta. o Shutdown: el puerto se deshabilita. Vamos a elegir shutdown, creo que es el valor por defecto, an as lo especificamos para que lo veis: Switch01(config-if)# switchport port-security violation shutdown Por supuesto en algn momento tendremos que especificar las MAC permitidas, lo hacemos con el siguiente comando: Switch01(config-if)# switchport port-security mac-address 0a04.aaf8.13ad
Llegados a este punto pensaris que sera tedioso configurar Port Security en una red de Switches amplia, o incluso en un nico switch de 48 puertos por ejemplo. Para eso est el siguiente comando, que aprende la MAC conectada a las interfaces y la configura como MAC permitida para el puerto. Para usar esta opcin lgicamente es necesario cerciorarse de que todo est conectado donde tiene que estar. Switch01(config-if)# switchport port-security mac-address sticky En resumen estos seran los pasos que hemos realizado: Switch01> enable Switch01# config terminal Switch01(config)# interface GigabitEthernet 0/1 Switch01(config-if)# switchport mode access Switch01(config-if)#switchport port-security Switch01(config-if)#switchport port-security maximum 1 Switch01(config-if)# switchport port-security violation shutdown Switch01(config-if)# switchport port-security mac-address 0a04.aaf8.13ad Switch01(config-if)# end Si quieremos la auto-deteccin de la MAC usamos el sticky: Todava queda por ah alguna opcin ms, podis revisarlas con la propia ayuda de IOS: Switch01> enable Switch01# config terminal Switch01(config)# interface GigabitEthernet 0/1 Switch01(config-if)# switchport mode access Switch01(config-if)#switchport port-security Switch01(config-if)#switchport port-security maximum 1 Switch01(config-if)# switchport port-security violation shutdown Switch01(config-if)# switchport port-security mac-address sticky Switch01(config-if)# end
Switch01(config-if)#switchport port-security ? aging Port-security aging commands mac-address Secure mac address maximum Max secure addresses violation Security violation mode
Para la monitorizacin del estado de los puertos y si hay alguna restriccin aplicada utilizamos estos dos comandos: Switch01# show port-security interface GigabitEthernet 0/1 Port Security.....................: Enabled Port Status.......................: Secure-up Violation Mode....................: Shutdown Aging Time........................: 0 mins Aging Type........................: Absolute SecureStatic Address Aging........: Disabled Maximum MAC Addresses.............: 1 Total MAC Addresses...............: 1 Configured MAC Addresses..........: 0 Sticky MAC Addresses..............: 0 Last Source Address...............: 0a04.aaf8.13ad Security Violation Count..........: 0 Como vis tenemos un contador que especifica el nmero de veces que se ha producido una violacin de la poltica de seguridad, indicando tambin la ltima MAC de origen conectada al puerto. Adems de eso todos los parmetros especficados en la configuracin. Tambin podemos ver el estado general de Port Security en los puertos del Switch con el siguiente comando:
Switch01# show port-security address Secure Mac Address Table --------------------------------------------------------- Vlan Mac Address Type Ports Remaining Age (mins) ---- ----------- ---- ----- ------------- 1 0a04.aaf8.13ad SecureSticky Gi0/1 - ... ... ... ---------------------------------------------------------- Total Addresses in System (excluding one mac per port) : 0 Max Addresses limit in System (excluding one mac per port) : 1024
2.- BPDU GUARD
BPDU significa Bridge Protocol Data Unit (Unidad de datos de protocolo puente), que es un paquete de datos, enviado en redes de rea local o LAN, que trabaja para detectar bucles en una red. Los bucles pueden hacer que los paquetes de datos duplicados se enven fuera, que puede utilizar el ancho de banda en una red. Las guardas BPDU protegen los equipos de recepcin de paquetes de datos no autorizados que pueden contener virus informticos. La mayora del tiempo, cuando un puerto habilitado para PortFast recibe un BPDU invlido, es porque un dispositivo sin autorizacin se ha conectado a la LAN y est intentando intercambiar datos con una computadora. Cuando la guarda BPDU detecta esto, cambia el estado del puerto de la computadora a deshabilitacin de errores y el interruptor apaga el puerto, evitando as que el malware y hackers accedan a la computadora.
Se utiliza en puertos de acceso y evita que se produzcan loops. Comandos: -BPDU GUARD (STP PORTFAST) DEFAULT sw(config)# spanning-tree portfast bpduguard default -SPANNING-TREE BPDUGUARD ENABLE sw(config)# spanning-tree portfast bpduguard enable -ERRDISABE DETECT CAUSE BPDUGUARD SHUTDOWN VLAN sw(config)#errdisable detect cause bpduguard shutdown vlan
3.- PORT FAST Una interfaz PortFast permite a una computadora conectarse inmediatamente a una red. Los equipos que estn conectados a una misma red del servidor no reciben las BPDU. Esto es debido a que el protocolo llamado el comando de la Guardia BPDU apaga puertos de la computadora que son de habilitados para puerto-rpido si reciben cualquier BPDU. Esto es para prevenir que ocurran bucles de datos en una red de nivel 2, que es una red de rea local, elaborada con interruptores o routers puente. Switch(config-if)#spanning-tree portfast
4. ROOT GUARD La funcin root guard STP evita que un puerto se convierta en puerto raz o puerto bloqueado . Si un puerto configurado para la proteccin de raz recibe una BPDU superior, el puerto pasa inmediatamente a la (bloqueado) Estado- root inconsistent. Permite mantener un root bridge sin afectarlo si se produce cambio. (Protege RB). Por lo general, STP root guard est configurada en los interruptores de races primarias y secundarias. Puede configurar esta por nivel de interfaz como se muestra en el siguiente. Comandos: sw(config)# spanning-tree guard root OBS: se habilita en los puertos que deseamos que no sufran el ataque (P. troncales)
REFERENCIA BIBLIOGRAFICA. http://www.ehowenespanol.com/bpdu-guard-info_295117/ http://mrncciew.com/2013/04/19/configuring-root-guard-loop-guard/ http://redesdedatos3.webnode.es/seguridad-en-capa-2/