Captulo 3: Implementando Seguridad VLAN Routing y Switching Presentation_ID 2 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Captulo 3 3.1 Segmentacin VLAN 3.2 Implementacin de VLAN 3.3 Seguridad y Diseo de VLAN 3.4 Resumen
Presentation_ID 3 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Captulo 3: Objetivos Explicar el propsito de las VLAN en las redes conmutadas Analizar cmo un switch reenva tramas basado en configuracin de VLAN en ambientes multi-conmutados Configurar un puerto de switch para ser asignado a una VLAN basado en requerimientos Configurar un puerto troncal en un switch LAN Configurar Dynamic Trunk Protocol (DTP) Solucionar problemas de configuracin de VLAN y troncales en una red conmutada Configurar caractersticas de seguridad para mitigar ataques en un entorno segmentado por VLAN Explicar las mejores prcticas de seguridad en un entorno segmentado por VLAN Presentation_ID 4 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Descripcin de VLANs Definiciones de VLAN VLAN (LAN virtual) es una particin lgica de una red de capa 2 Mltiples particiones pueden ser creadas, permitiendo que mltiples VLANs co-existan Cada VLAN es un dominio de broadcast, usualmente con su propia IP de red Las VLANS estn mutuamente aisladas y los paquetes solamente pueden pasar entre ellas a travs de un router Las particiones de red de capa 2, se lleva dentro de un dispositivo de capa 2, usualmente un switch. Los hosts agrupados dentro de una VLAN no son consientes de la existencia de la VLAN
Presentation_ID 5 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Descripcin de VLANs Definiciones de VLAN Presentation_ID 6 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Descripcin de VLANs Beneficios de las VLANs Seguridad Reduccin de costos Mejor rendimiento Reduce el tamao de los dominios de broadcast Mejora la eficiencia del personal de TI Proteccin y administracin de aplicaciones ms simple Presentation_ID 7 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Descripcin de VLANs Tipos de VLANs VLAN de datos VLAN por defecto VLAN Nativa VLAN de Administracin Presentation_ID 8 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Descripcin de VLANs Tipos de VLANs Presentation_ID 9 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Descripcin de VLANs VLANs de Voz El trfico de VoIP es sensible al tiempo y requiere: Ancho de banda asegurado para asegurar calidad de servicio Prioridad de transmisin sobre otros tipos de trfico de red Habilidad de ser ruteado alrededor de reas congestionadas en la red Retardo de menos de 150 ms a travs de la red La caracterstica de VLAN de voz permite a los puertos de acceso llevar trfico voz IP desde un telfono IP El switch se puede conectar a un telfono IP Cisco 7960 y llevar trfico de voz IP Debido a que la calidad del sonido de una llamada por telfono IP se puede deteriorar si los datos se envan de forma desigual, el switch debe soportar calidad de servicio (QoS) Presentation_ID 10 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Descripcin de VLANs VLANs Voz Los telfonos IP Cisco 7960 IP contienen tres puertos de switch integrados de 10/100: Port 1 conecta al switch Port 2 es una interfaz interna de 10/100 que lleva el trfico Port 3 (puertos acceso) conecta a un PC u otro dispositivo.
Presentation_ID 11 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential VLANs en un entorno multi-conmutado VLAN Trunks Un troncal VLAN lleva ms de una VLAN Usualmente establecido entre switch para que dispositivos de la misma VLAN se puedan comunicar, an si estn conectados a diferentes switchs Un troncal VLAN no se asocia a ninguna VLAN. Tampoco se usa el puerto troncal para establecer el enlace troncal Cisco IOS soporta IEEE802.1q, un popular protocolo de VLAN trunk
Presentation_ID 12 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential VLANs en un entorno multi-conmutado VLAN Trunks Presentation_ID 13 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential VLANs en un entorno multi-conmutado Controlando dominios de Broadcast con VLANs Las VLANs pueden ser usadas para limitar el alcance de las tramas de broadcast Una VLAN es un dominio de broadcast por si misma Por lo tanto, una trama broadcast enviada por un dispositivo en una VLAN especfica es reenviada solamente dentro de esa VLAN Esto ayuda a controlar el alcance de las tramas de broadcast y su impacto en la red Tramas unicast y multicast son reenviadas tambin dentro de la VLAN originaria Presentation_ID 14 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential VLANs en un entorno multi-conmutado Etiquetado de tramas Ethernet para la identificacin de VLAN El etiquetado de tramas es usado para transmitir apropiadamente tramas de mltiples VLAN a travs de un enlace troncal Los Switches etiquetarn las tramas la VLAN a la cual ellas pertenecen. Existen diferentes protocolos, siendo el IEEE 802.1q uno muy popular Los protocolos definen la estructura del etiquetado agregado al encabezado de la trama Los switches agregarn etiquetas de VLAN a las tramas antes de ponerlas en el enlace troncal y quita la etiqueta antes de reenviar la trama a travs de puertos no troncales Una vez etiquetada correctamente, las tramas pueden atravesar varios switches va enlaces troncales y todava ser reenviada dentro de la VLAN correcta al destino Presentation_ID 15 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential VLANs en un entorno multi-conmutado Etiquetado de tramas Ethernet para la identificacin de VLAN Presentation_ID 16 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential VLANs en un entorno multi-conmutado VLANs Nativas y etiquetado 802.1q Una trama que pertenece a la VLAN nativa no ser etiquetada Una trama que es recibida sin etiqueta permanecer sin etiqueta y ser puesta en la VLAN nativa cuando se reenve Si no hay puertos asociados a la VLAN nativa y no hay otros puertos troncales, una trama no etiquetada ser descartada En switchs Cisco, La VLAN nativa es la VLAN 1 por defecto
Presentation_ID 17 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential VLANs en un entorno multi-conmutado Etiquetado de VLAN de Voz Presentation_ID 18 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Asignacin de VLAN Rangos de VLAN en Switchs Catalyst Los Switch Catalyst serie 2960 y 3560 soportan sobre 4,000 VLANs Estas VLANs estn divididas en 2 categoras: Rango de VLANs normales Nmeros de VLAN desde 1 a 1005 Configuraciones almacenadas en el archivo vlan.dat (en la flash) VTP pueden aprender y almacenar solamente rango de VLANs normales Rango de VLANs extendidas Nmeros de VLAN desde 1006 a 4096 Configuraciones almacenadas en el running-config (en la NVRAM) VTP no aprende VLANs extendidas
Presentation_ID 19 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Asignacin de VLAN Creando una VLAN Presentation_ID 20 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Asignacin de VLAN Asignando Puertos a VLANs Presentation_ID 21 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Asignacin de VLAN Asignando Puertos a VLANs Presentation_ID 22 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Asignacin de VLAN Cambiando pertenencia de puerto a VLAN Presentation_ID 23 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Asignacin de VLAN Cambiando pertenencia de puerto a VLAN Presentation_ID 24 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Asignacin de VLAN Borrando VLANs Presentation_ID 25 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Asignacin de VLAN Verificando Informacin de VLAN Presentation_ID 26 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Asignacin de VLAN Verificando Informacin de VLAN Presentation_ID 27 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Asignacin de VLAN Configurando enlace troncal IEEE 802.1q Presentation_ID 28 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Asignacin de VLAN Reseteando el troncal al estado por defecto Presentation_ID 29 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Asignacin de VLAN Reseteando el troncal al estado por defecto Presentation_ID 30 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Asignacin de VLAN Verificando la Configuracin Troncal Presentation_ID 31 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Dynamic Trunking Protocol Introduccin a DTP Los puertos de switch pueden ser manualmente configurados para formar troncales Los puertos de switch tambin pueden ser configurados para negociar y establecer un enlace troncal con un par conectado Dynamic Trunking Protocol (DTP) es un protocolo para administrar la negociacin troncal DTP es un protocolo propietario Cisco y est habilitado por defecto en los switch Cisco Catalyst 2960 y 3560 Si el puerto en el switch vecino est configurado en un modo troncal que soporta DTP, l administra la negociacin La configuracin por defecto de DTP para los switch Cisco Catalyst 2960 y 3560 es dynamic auto Presentation_ID 32 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Dynamic Trunking Protocol Modos de Negociacin de Interfaz Cisco Catalyst 2960 y 3560 soportan los siguientes modos troncales: switchport mode dynamic auto switchport mode dynamic desirable switchport mode trunk switchport nonegotiate Presentation_ID 33 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Resolucin de Problemas de VLANs y Trunks Abordando problemas con VLAN Es una prctica muy comn asociar una VLAN con una red IP Ya que diferentes rede IP slo se pueden comunicar a travs de un router, todos los dispositivos dentro de una VLAN deben ser parte de la misma red IP para comunicarse En la imagen de abajo, el PC1 no puede comunicarse al servidor debido a que tiene una direccin IP errnea configurada Presentation_ID 34 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Resolucin de Problemas de VLANs y Trunks Missing VLANs Si todas las direcciones IP errneas han sido resueltas pero los dispositivos an no se pueden conectar, revisa si la VLAN existe en el switch. Presentation_ID 35 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Resolucin de Problemas de VLANs y Trunks Introduccin a Troubleshooting de troncales Presentation_ID 36 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Resolucin de Problemas de VLANs y Trunks Problemas Comunes con Troncales Los problemas de troncales son usualmente asociados con configuraciones incorrectas. Los tipos ms comunes de errores de configuracin troncales son: 1. Desajuste (mismatches) de VLAN Nativa 2. Desajuste (mismatches) de modo Troncal 3. VLANs permitidas (Allowed) en los troncales Si un problema es detectado, Las pautas de mejores prcticas recomendadas, se muestran en orden arriba. Presentation_ID 37 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Resolucin de Problemas de VLANs y Trunks Modos Mismatches (errneos) de Troncales Si un puerto en un enlace troncal es configurado con un modo troncal que es incompatible con el puerto troncal del vecino, un enlace troncal falla de formarse entre los dos switchs Verifica el estado de los puertos troncales en los switchs usando el comando show interfaces trunk Para solucionar el problema, configura las interfaces con los modos troncales apropiados.
Presentation_ID 38 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Resolucin de Problemas de VLANs y Trunks Lista Incorrecta de VLAN Las VLANs deben ser permitidas en el troncal antes de que sus tramas puedan ser transmitidas a travs del enlace Usa el comando switchport trunk allowed vlan para especificar cuales VLANs son permitidas en un enlace troncal Para asegurarse de que las VLANs correctas son permitidas en un troncal, usa el comando show interfaces trunk
Presentation_ID 39 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Ataques en VLANs Ataques de spoofing a Switch Hay una cantidad de diferentes tipos de ataques de VLAN en redes conmutadas modernas. VLAN hopping es una de ellas. La configuracin por defecto de los puertos del switch es dynamic auto Configurando un host para actuar como un switch y formar un troncal, un atacante podra ganar acceso a cualquier VLAN en la red. Debido a que el atacante est ahora habilitado para acceder a otras VLANs, esto es llamado un ataque de VLAN hopping Para prevenir un ataque de spoofing bsico a switchs, deshabilita trunking en todos los puertos, excepto los nicos que especficamente requieren ser troncales
Presentation_ID 40 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Ataques en VLANs Ataque de Doble-Etiquetado El ataque de doble-etiquetado toma ventajas de la forma en que el hardware en muchos switches desencapsula las etiquetas 802.1Q Muchos switches ejecutan slo un nivel de desencapsulado 802.1Q, permitiendo a un atacante incrustar un segundo encabezado no autorizado en la trama Despus quitando el primero y legtimo encabezado 802.1Q, el switch reenva la trama a la VLAN especificada en el encabezado 802.1Q no autorizado La mejor propuesta para mitigar ataques de doble etiquetado es asegurar que la VLAN nativa de los puertos troncales es diferente de la VLAN de cualquier puerto de usuario
Presentation_ID 41 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Ataques en VLANs Ataque de Doble-Etiquetado Presentation_ID 42 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Ataques en VLANs PVLAN Edge La caracterstica Edge de Private VLAN (PVLAN), tambin conocida como puertos protegidos, asegura que no hay intercambio de trfico unicast, broadcast, o multicast entre puertos protegidos en el switch Slo de relevancia local Un puerto protegido slo intercambia trfico con puertos no protegidos Un puerto protegido no intercambiar trfico con otro puerto protegido Presentation_ID 43 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Mejores prcticas de Diseo para VLANs Pauta de Diseo VLAN Mueve todos los puertos de la VLAN1 y asgnalos a una VLAN no usada Shutdown todos los puertos del switch no usados Separa el trfico de administracin del de datos Cambia la VLAN de administracin a otra VLAN que no sea la VLAN1. Lo mismo para la VLAN nativa Asegrate que slo dispositivos en la VLAN de administracin puedan conectarse a los switchs El switch debera aceptar slo conexiones SSH Deshabilita la autonegociacin de puertos troncales No uses modos auto o desirable en puertos de switch
Presentation_ID 44 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential Captulo 3: Resumen Este captulo introdujo VANS y sus tipos. Tambin cubri las conexiones entre VLANs y dominios de broadcast El captulo tambin cubre etiquetado de tramas IEEE 802.1Q y cmo permite la diferenciacin entre tramas Ethernet asociadas con distintas VLANs a medida que atraviesan los enlaces troncales. Este captulo tambin examin la configuracin, verificacin y resolucin de problemas de VLANs y troncales usando la CLI de IOS CL y explor la seguridad bsica y consideraciones de diseo en el contexto de VLANs.
Presentation_ID 45 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential