INSTITUTO TECNOLOGICO DE SALINA CRUZ

ALUMNA:
BENITA VILLALOBOS PREZ
DOCENTE:
M.C. SUSANA MNICA ROMN NJERA

MATERIA:
REDES EMERGENTES

ACTIVIDAD:
SEGURIDAD EN VLAN

TEMA 2 REDES VLAN

CARRERA: INGENIERIA EN TECNOLOGAS DE LA INFORMACIN Y DE

LAS COMUNICACIONES

GRADO: 7 SEMESTRE

SALINA CRUZ, OAXACA

GRUPO: E

A 12 DE SEPTIEMBRE DEL 2016.

NDICE
PGINA

INTRODUCCIN .................................................................................................................................... I
SEGURIDAD EN VLAN ........................................................................................................................ 1
Utilidad: ............................................................................................................................................... 1
VLAN basadas en el puerto de conexin ...................................................................................... 2
Autentificacin en el puerto MAC y 802.1x ................................................................................... 4
Seguridad en puertos de switches cisco ....................................................................................... 5
Seguridad de puertos para DHCP .................................................................................................. 6
Permetros de PVLAN ...................................................................................................................... 7
CONCLUSIN ....................................................................................................................................... 8
OTRAS FUENTES CONSULTADAS ................................................................................................. 9
ANEXOS ............................................................................................................................................... 10
CUADRO SINPTICO DE SEGURIDAD DE VLAN .................................................................. 10

INTRODUCCIN
Una VLAN es su definicin es red de rea local virtual, es un mtodo que nos permite
crear redes lgicas e independientes dentro de una misma red, los cuales podemos
tener varias VLANS en un nico conmutador fsico o en una red fsica.
En el mbito laborales, las redes son muy importantes, ya que son importantes
porque pueden ofrecer seguridad y monitoreo de distintos servicios que se brindan, a
travs de las redes se pueden dar accesos a ciertos cosas, y restringir otras, por lo
que la organizacin pueda dar ms privilegios a un departamento que a otro dentro
de su empresa, para este tipo de redes es muy recomendable crear restricciones
para una mayor seguridad mediante VLANS.
Esperando que este reporte sobre la seguridad en VLANS sea claro y
entendible para el lector, as como tambin para el docente, cumpliendo con todo los
requisitos del mismo.

SEGURIDAD EN VLAN
Definicin 1:
Es una red de rea local virtual, es una red que agrupa un conjunto de equipos de
manera lgica y no fsica. Los grupos de puertos que hacemos en un switch
gestionable para aislar un conjunto de mquinas forman una VLAN. Se la llama
virtual porque parece que est en una LAN propia y que la red es de ellos solos.
Utilizar una VLAN hace que la seguridad y el rendimiento sean mejores.
Definicin 2:
Es un mtodo para crear redes lgicas independientes dentro de una misma red
fsica. Varias VLAN pueden coexistir en un nico conmutador fsico o en una nica
red fsica. Son tiles para reducir el tamao del dominio de difusin y ayudan en la
administracin de la red, separando segmentos lgicos de una red de rea local (los
departamentos de una empresa, por ejemplo) que no deberan intercambiar datos
usando la red local (aunque podran hacerlo a travs de un enrutador o un
conmutador de capa 3 y 4).
Definicin 3:
Una VLAN consiste en dos o ms redes de computadoras que se comportan como si
estuviesen conectados al mismo PCI, aunque se encuentren fsicamente conectados
a diferentes segmentos de una red de rea local (LAN). Los administradores de red
configuran las VLAN mediante software en lugar de hardware, lo que las hace
extremadamente fuertes.
Utilidad:
La utilidad de las VLAN radica en la posibilidad de separar aquellos segmentos
lgicos que componen una LAN y que no tienen la necesidad de intercambiar
informacin entre s a travs de la red de rea local. Esta particularidad contribuye a
una administracin ms eficiente de la red fsica.

Existen diversos modos de establecer una VLAN. Las VLAN de Nivel 1 son
aquellas que se desarrollan a partir del uso de puertos. Las VLAN de Nivel 2, en
cambio, se crean a travs de la asignacin de direcciones MAC o por clase de
protocolo. Tambin existen las VLAN de Nivel 3, que implican la creacin de
subredes virtuales, y las VLAN de niveles superiores (una VLAN por aplicacin).
Seguridad:
Si configura una red de rea local virtual (VLAN), las VLAN comparten el ancho de
banda de la red y requieren medidas de seguridad adicionales.
Al usar VLAN, separa los clusters sensibles de sistemas del resto de la red.
De esta manera, se reduce la probabilidad de que los usuarios tengan acceso a la
informacin almacenada en esos clientes y servidores.

Asigne un nmero de VLAN nativo nico a los puertos de enlace troncal.

Limite las VLAN que se pueden transportar mediante un enlace troncal a las que
son estrictamente necesarias.

Desactivar el protocolo de enlace troncal (VTP) de VLAN, si es posible. De lo

contrario, configurar la siguiente para el VTP: dominio de gestin, contrasea y
eliminacin. A continuacin, se define VTP en modo transparente.

Utilice configuraciones de VLAN estticas, cuando sea posible.

Desactive los puertos de conmutador no utilizados y asgneles un nmero de

VLAN que no est en uso.

VLAN basadas en el puerto de conexin:

Con las VLAN de nivel 1 (basadas en puertos), el puerto asignado a la VLAN es
independiente del usuario o dispositivo conectado en el puerto. Esto significa que
todos los usuarios que se conectan al puerto sern miembros de la misma VLAN.
Habitualmente es el administrador de la red el que realiza las asignaciones a
la VLAN. Despus de que un puerto ha sido asignado a una VLAN, a travs de ese
puerto no se puede enviar ni recibir datos desde dispositivos incluidos en otra VLAN
sin la intervencin de algn dispositivo de capa 3.
2

Los puertos de un switch pueden ser de dos tipos, en lo que respecta a las
caractersticas VLAN: puertos de acceso y puertos trunk. Un puerto de acceso
(switchport mode access) pertenece nicamente a una VLAN asignada de forma
esttica (VLAN nativa). La configuracin predeterminada suele ser que todos los
puertos sean de acceso de la VLAN1. En cambio, un puerto trunk (switchport mode
trunk) puede ser miembro de mltiples VLAN. Por defecto es miembro de todas, pero
la lista de las VLAN permitidas es configurable.
El dispositivo que se conecta a un puerto, posiblemente no tenga
conocimiento de la existencia de la VLAN a la que pertenece dicho puerto. El
dispositivo simplemente sabe que es miembro de una subred y que puede ser capaz
de hablar con otros miembros de la subred simplemente enviando informacin al
segmento cableado.
El switch es responsable de identificar que la informacin viene de una VLAN
determinada y de asegurarse de que esa informacin llega a todos los dems
miembros de la VLAN. El switch tambin se asegura de que el resto de puertos que
no estn en dicha VLAN no reciben dicha informacin.
Este planteamiento es sencillo, rpido y fcil de administrar, dado que no hay
complejas tablas en las que mirar para configurar la segmentacin de la VLAN. Si la
asociacin de puerto a VLAN se hace con un ASIC (acrnimo en ingls de
Application-Specific Integrated Circuit o Circuito integrado para una aplicacin
especfica), el rendimiento es muy bueno. Un ASIC permite que el mapeo de puerto a
VLAN sea hecho a nivel hardware.
La tecnologa de red LAN con nodos permite organizar los sistemas de una
red local en redes VLAN. Para poder dividir una red de rea local en redes VLAN,
debe tener nodos compatibles con la tecnologa VLAN. Puede configurar todos los
puertos de un nodo para que transfieran datos para una nica VLAN o para varias
VLAN, segn el diseo de configuracin VLAN. Cada fabricante de conmutadores
utiliza procedimientos diferentes para configurar los puertos de un conmutador.

Autentificacin en el puerto MAC y 802.1x:

Se realiza la autentificacin en el puerto, y de esta manera el switch solo podr
conectar aquel cuya MAC este dentro de una lista definitiva en el propio switch o el
que se autentificado mediante RADIUS en el estndar 802.1x.
Por lo tanto, se dice que 802.1x es un mecanismo de seguridad de acceso al
medio. La direccin MAC es asignada por el fabricante de la tarjeta de red por lo que
no puede haber dos tarjetas de red con la misma direccin MAC.
RADIUS es un protocolo de autentificacin y autorizacin para aplicaciones
de acceso a la red o movilidad IP.
Asegurando VLAN Trunks:
Cuando un puerto est configurado con Dynamic Trunking Protocol (DTP) (por
defecto en Cisco una interface est as configurada) y la interface est en auto puede
negociar la interface para convertirse en un Trunk, por eso un atacante que conecte
un host (PC, server, etc.) a una interface DTP en auto podra "negociar" con el switch
para establecer un Trunk entre el host y el switch lo que se llama Switch Spoofing.
Por ello es conveniente que cada interface que no se use ponerla en shutdown
y configurar las interfaces donde se conecten usuarios finales en modo acceso y con
la VLAN correspondiente con los comandos:

El exploit llamado VLAN Hopping consiste en que un atacante marca

doblemente el trfico para poder alcanzar una VLAN que de por si no debera
alcanzar. Primero marca con la VLAN que NO puede alcanzar y por encima vuelve a
encapsular con la VLAN en la que se encuentra (que ser la VLAN nativa), por
ejemplo: [VLAN-30][VLAN 50][trama].
Para que este exploit funcione se deben cumplir estas condiciones:
4

El atacante est conectado a una interface en modo acceso.

El mismo switch tiene configurado trunk 802.1Q.

El Trunk debe tener configurada como VLAN nativa la misma en la que el

atacante est.

Para evitar este tipo de ataque es conveniente seguir estos pasos:

Deshabilitar DTP en todos los puertos que no se usen con el comando "switchport
nonegotiate".

Definir las interfaces de acceso (switchport mode access) y trunk (switchport

mode trunk) explcitamente.

Poner en shutdown todos los puertos que no se usen y asignarles una VLAN que
no se use.

Configurar la VLAN nativa de los Trunk con una VLAN sin usar o falsa.

Eliminar esa vlan de ambos extremos del Trunk.

Definir explcitamente en los puertos trunks las VLANs que tiene que pasar en vez
de dejar pasar todas.
Tambin podemos configurar que la VLAN nativa vaya marcada siempre con

el comando:

Seguridad en puertos de switches cisco:

La seguridad en los switches comienza por el acceso al propio sistema, a travs de
la consola o a travs de las lneas virtuales (vty), ya sea por Telnet o SSH, o tambin
por Http. Se puede establecer una contrasea para el acceso en modo privilegiado y
adems, la autenticacin se puede llevar de modo local, por medio de usuarios
configurados en el propio sistema, con sus diferentes niveles de privilegios, o bien
por medio de un servidor externo (como un servidor RADIUS por ejemplo).

Asignacin esttica de direcciones: Consiste en asignar manualmente una

direccin MAC a un puerto especfico. Se puede comprobar que no se puede
conectar ese equipo en otro puerto.

Puertos seguros: Se conoce como puerto seguro a aqul que se configura de

manera que puede establecer una direccin MAC como segura, e impedir que el
resto de equipos puedan conectarse a ese mismo puerto.

Seguridad de puertos para DHCP:

Una defensa importante que podemos aplicar en los puertos es frente a los ataques
al servicio DHCP.
El protocolo DHCP trabaja a base de difusiones, sin autenticacin, por lo que
es susceptible al ataque por parte de servidores DHCP piratas que otorguen
configuraciones falsas a clientes legtimos. stos, normalmente, no obtendrn la
configuracin necesaria para acceder a recursos externos.
El snooping consiste en la identificacin de puertos confiables, a los que se les
permitir tanto enviar como recibir mensajes DHCP.
Con la opcin trust, el puerto se convierte en confiable, permitiendo el paso de
ofertas de servidores DHCP hacia los clientes.
Los no confiables solo pueden enviar solicitudes, con lo que podrn tener
conectados clientes DHCP, pero no servidores.
DHCP tambin es muy susceptible a los ataques de DoS (Denegacin de
Servicio) a base de lanzar mltiples solicitudes de configuracin IP con direcciones
MAC inventadas, con el objetivo de agotar todas las IP disponibles en el servidor.
Ataque de suplantacin de identidad de switch:
Existen diferentes tipos de ataques a VLAN en las redes conmutadas modernas. El
salto de VLAN es uno de ellos. La configuracin predeterminada del puerto de switch
es dinamyc auto.

Al configurar un host para que funcione como switch y formar un enlace

troncal, un atacante podra acceder a cualquier VLAN en la red.
Debido a que el atacante ahora puede acceder a otras VLAN, esto se
denomina ataque con salto de VLAN.
Para evitar un ataque de suplantacin de identidad de switch bsico, desactive
el enlace troncal en todos los puertos, excepto en lo que requieren el enlace troncal
especficamente.
Ataque de etiquetado doble:
El ataque de etiquetado doble aprovecha la forma en que el hardware desencapsula
las etiquetas 802.1Q en la mayora de los switches.
Muchos switches realizan solamente un nivel de desencapsulacin 802.1Q, lo
que permite que un atacante incorpore un segundo encabezado de ataque no
autorizado en la trama.
Despus de quitar el primer encabezado 802.1Q legtimo, el switch reenva la
trama a la VLAN especificada en el encabezado 802.1Q no autorizado.
El mejor mtodo para mitigar los ataques de etiquetado doble es asegurar que
la VLAN nativa de los puertos de enlace troncal sea distinta de la VLAN de cualquier
puerto de usuario.
Permetros de PVLAN:
La caracterstica de permetro VLAN privada, tambin conocida como puertos
protegidos, asegura que no se intercambie trfico de unidifusin, difusin o
multidifusin entre los puertos protegidos del switch.

Solo tiene importancia local.

Un puerto protegido intercambia trfico solamente con los puertos no protegidos.

Un puerto protegido no intercambia trfico con otro puerto protegido.

Los puertos protegidos se deben configurar manualmente

7

CONCLUSIN
Como se vio una vlan sirve para tener un buen control de nuestras redes, de esta
manera se consigue una mayor seguridad, ya que a partir de sus configuraciones
que se le d, puede otorgar privilegios unos de otros, independientemente de la
necesidad que se tenga en ese momento, as como tambin permiten reducir los
tamaos de dominio, separando cada segmento lgico en una red de rea local.
Otra funcin de VLAN es que puede agrupar puertos distintos como Ethernet,
Access Point inalmbricos y usuarios en otras redes virtuales, adems de separar el
trfico de la red por razones de desempeo y diseo, independiente de tipo de
usuario que maneje

(colaboradores, administradores, invitados) por razones de

seguridad. Ya que estn configuradas dinmicamente.

Un ejemplo muy claro en la seguridad puede ser cuando un usuario conecte
su equipo a la red, lo que har la VLAN es que ya estar designada para ese usuario
y este solo podr acceder solo a esa red que ya est configurada por el
administrador, tambin se hace una recomendacin de configurar mediante las
direcciones MAC o mediante la autenticacin 802.1X este garantiza la proteccin de
envi y acceso hasta la red que otorgue esa credencial de acceso, as como tambin
asigna los usuarios VLAN de forma dinmica.

OTRAS FUENTES CONSULTADAS

Definicin de VLAN. Internet. En lnea. Pgina consultada el da 11 de septiembre de
2016. Disponible en: https://es.wikipedia.org/wiki/VLAN.
Definicin de VLAN. Internet. En lnea. Pgina consultada el da 11 de septiembre de
2016. Disponible en: http://definicion.de/vlan/.
Seguridad en switches cisco. Internet. En lnea. Pgina consultada el da 11 de
septiembre de 2016. Disponible en: http://www.hackplayers.com/2011/05/seguridaden-switches-cisco.html.
Seguridad en switches cisco. Internet. En lnea. Pgina consultada el da 11 de
septiembre de 2016. Disponible en: http://aplicacionesysistemas.com/seguridadpuerto-switch-cisco/.
Seguridad de VLAN. Internet. Fuera de lnea. Pgina consultada el da 11 de
septiembre

de

2016.

Disponible

en:

http://www.dte.us.es/personal/mcromero/docs/ip/tema-seguridad-IP.pdf.
Seguridad de VLAN. Internet. En lnea. Pgina consultada el da 11 de septiembre de
2016.

Disponible

en:

http://seguridaddigitalvenezuela.blogspot.mx/2008/08/seguridad-en-redes-vlan.html.
Seguridad de VLAN. Internet. En lnea. Pgina consultada el da 11 de septiembre de
2016.

Disponible

en:

http://www.imd.guru/redes/certificaciones/ccnp_route-

switch/switch/ccnp-switch-17-seguridad-con-vlans.html.
Seguridad de VLAN. Internet. Fuera de lnea. Pgina consultada el da 11 de
septiembre de 2016. Disponible en: https://es.scribd.com/doc/316377809/Unidad-IcImplementacion-de-Seguridad-deVLANhttp://www.itpn.mx/recursositics/7semestre/redesemergentes/Unidad%20II.pdf.

Separa los sistema del resto de a red, as los

Seguridad

usuarios tengan un acceso a cierta informacin

ANEXOS

Es el administrador de la red el que realiza las

CUADRO SINPTICO DE SEGURIDAD DE VLAN

VLAN basadas en el

asignaciones a la VLAN. Despus de que un puerto ha sido

asignado a una VLAN, a travs de ese puerto no se puede

puerto de conexin

enviar ni recibir datos desde dispositivos incluidos en otra

VLAN sin la intervencin de algn dispositivo de capa 3.

Se realiza la autentificacin en el puerto, y de esta manera

Autentificacin MAC

el switch solo podr conectar aquel cuya MAC este dentro

de una lista definitiva en el propio switch o el que se
autentificado mediante RADIUS en el estndar 802.1x.

SEGURIDAD DE

VLAN

VLAN es un mtodo para crear

redes

lgicas

independientes

dentro de una misma red fsica.

Se puede establecer una contrasea para el acceso en

modo privilegiado y adems, la autenticacin se puede

Seguridad
puertos

en

switches

cisco

llevar

de

modo

local,

por

medio

de

usuarios

configurados en el propio sistema, con sus diferentes

niveles de privilegios, o bien por medio de un servidor
externo (como un servidor RADIUS por ejemplo).

DHCP tambin es muy susceptible a los ataques

Seguridad de puertos
DHCP

de DoS (Denegacin de Servicio) a base de lanzar

mltiples solicitudes de configuracin IP con
direcciones MAC inventadas, con el objetivo de
agotar todas las IP disponibles en el servidor.

Conocida como puertos protegidos, asegura que no se

Permetros de PVLAN

intercambie trfico de unidifusin, difusin 10

o multidifusin
entre los puertos protegidos del switch.