seguridad de la informacion
DESCRIPTION
seguridad de la informacionTRANSCRIPT
-
INGENIERIA EN TECNOLOGIAS DE LA INFORMACION Y COMUNICACIN
SEGURIDAD DE LA INFORMACION
GITI5114-F
ADALBERTO MEJIA MONJARAS
-
Seguridad de la informacin 2015
2
INTRODUCCION
Este documento ofrece breves consejos de configuracin que abarcan varios problemas relacionados con la seguridad de la informacin
El objetivo es proporcionar notas importantes que se pueden aplicar en la mayora de las implementaciones de red para minimizar los problemas que puedan surgir.
Nota: Todas las redes no son iguales, por lo que algunos consejos no se podrn
aplicar en su instalacin. Verifique siempre dichos consejos antes de llevar a cabo cualquier cambio en una red que est en funcionamiento.
-
Seguridad de la informacin 2015
3
INDICE INTRODUCCION ............................................................................................................................. 2
Seguridad de puerto en switch cisco .............................................................................................. 3
Como configurarlo: .................................................................................................................... 4
Acciones en caso de violacin: ................................................................................................... 4
ejemplo:..................................................................................................................................... 5
AUTO TRUKING .............................................................................................................................. 6
BPDU Guard ................................................................................................................................... 7
Root Guard .................................................................................................................................... 7
CDP ................................................................................................................................................ 8
Mejores prcticas en configuraciones de switch Cisco .................................................................. 11
Deshabilitacin de servicios no utilizados ................................................................................. 11
Habilitacin de comandos para minimizar impacto de ataque a los equipos ............................. 11
Habilitacin de traps ................................................................................................................ 12
Habilitacin de Root Guard ...................................................................................................... 12
Habilitacin de BPDU Guard ..................................................................................................... 13
Conf. Passwords, nombre y otros ............................................................................................. 13
BIBLIOGRAFIA .............................................................................................................................. 14
Seguridad de puerto en switch cisco
La Seguridad del Puerto es proteger el switch de Ataques de Direcciones MAC
malintencionados, limitando el nmero mximo de direcciones MAC que pueden
ser adquiridas por la direccin MAC dinmicamente / estticamente. Cuando el
-
Seguridad de la informacin 2015
4
nmero de direcciones MAC adquiridas alcanza el mximo, el puerto dejar de
adquirir. Por lo tanto lo dispositivos con la direccin MAC no adquirida no pueden
acceder a la red por medio de este puerto.
Como configurarlo:
Switch>enable
Switch#configure terminal
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security mac-address"aqu la mac"
este comando solo permite la mac que se registre en el comando
Switch(config-if)#switchport port-security mac-address sticky
este comando permite que el primer equipo que se conecta se asegura el
puerto."osea no tiene que registrarse"
Switch(config-if)#switchport port-security maximum "3"
Si hay un switch o un hub, conectado a un puerto del switch que quieres asegurar,
puedes configurar un mximo de direcciones MAC asociadas a ese puerto, por
ejemplo si queremos configurar un mximo de 3 direcciones MAC ese es el
comando.
Acciones en caso de violacin:
Switch(config-if)#switchport port-security violation protect
-
Seguridad de la informacin 2015
5
Proteccin: Rechaza los paquetes hasta que el causante de la violacin es
subsanado, el usuario no advierte que se ha producido una violacin de seguridad.
Switch(config-if)#switchport port-security violation restrict
Restriccin: Rechaza los paquetes hasta que el causante de la violacin es
subsanado, el usuario advierte que se ha producido una violacin de seguridad.
De manera especfica se enva un mensaje SNMP, se registra un mensaje de
syslog y se aumenta el contador de violaciones.
Switch(config-if)#switchport port-security violation shutdown
Desactivacin (default): La interfaz se deshabilita de manera inmediata por error y
se apaga el led del puerto. Tambin enva un mensaje SNMP, se registra un
mensaje de syslog y se incrementa el contador de violaciones. Cuando esto
sucede es necesario volver a habilitar el puerto manualmente mediante el
comando "no shutdown"."en pocas palabras el puerto se apaga"
ejemplo:
Switch>enable
Switch#configure terminal
Switch(config-if)#interface fastEthernet 0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security mac-address sticky
Switch(config-if)#switchport port-security maximum 3
Switch(config-if)#switchport port-security violation shutdown
Switch(config-if)#do wr
-
Seguridad de la informacin 2015
6
Building configuration...
[OK]
AUTO TRUKING
DTP (Dynamic Trunking Protocol) es un protocolo propietario creado por Cisco
Systems que opera entre switches Cisco, el cual automatiza la configuracin de
trunking (etiquetado de tramas de diferentes VLAN's con ISL o 802.1Q) en
enlaces Ethernet.
Dicho protocolo puede establecer los puertos ethernet en cinco modos diferentes
de trabajo: AUTO, ON, OFF, DESIRABLE y NON-NEGOTIATE.
auto Es el modo por defecto, e implica que el puerto aguardar
pasivamente la indicacin del otro extremo del enlace para pasar a modo
troncal. sin embargo si los dos extremos estn en modo auto no se
establecer el enlace como troncal.
DTP se habilita automticamente en un puerto del switch cuando se configura un
modo de trunking adecuado en dicho puerto. Para ello el administrador debe
ejecutar el comando switchport mode adecuado al configurar el puerto: switchport
mode {access | trunk | dynamic auto | dynamic desirable}.
Con el comando switchport nonegotiate se desactiva DTP.
Su funcin es gestionar de forma dinmica la configuracin del enlace troncal al
conectar dos switches, introduciendo los comandos del IOS (sistema operativo de
los switches y routers Cisco) en la configuracin del dispositivo (running-config) de
forma automtica sin que el administrador intervenga.
Esto implica que si estamos configurando un puerto de un switch Cisco para DTP,
el puerto del otro lado del enlace tambin debe tener DTP habilitado para que el
enlace quede configurado correctamente.
La combinacin de los modos asignados a los puertos define cul va a ser el
estado final del enlace asociado a stos:
o bien 'access', es decir, pasarn las tramas de una nica VLAN y no
necesitaremos etiquetarlas.
-
Seguridad de la informacin 2015
7
o bien 'trunking', es decir, pasarn las tramas de todas las VLAN permitidas
etiquetndolas adecuadamente (ISL o 802.1Q).
BPDU Guard La funcin de STP BPDU Guard permite a los diseadores de la red mantener predecible a la topologa de red activa. BPDU Guard es utilizada para proteger a la red conmutada de posibles problemas causados por recibid BPDUs en puertos que no deberan recibirlos. La recepcin de BPDUs podra ser accidental o parte de un intento no autorizado de agregar un switch a la red. Si un puerto configurado con PortFast recibe un BPDU, STP puede colocar dicho puerto en modo deshabilitado, utilizando BPDU Guard. BPDU Guard se implementa mejor sobre puertos de usuario, para prevenir las extensiones de red clandestinas de un host atacante. Utilice este comando para habilitar BPDU Guard en todos los puertos que tengan habilitado PortFast. Switch(config)# spanning-tree portfast bpduguard default
Root Guard La funcin Root Guard de los switches Cisco provee un mtodo para asegurar la seleccin de puentes raz en la red. Root Guard limita los puertos del switch a travs de los cuales puede negociarse el puente raz. Si un puerto habilitado con Root Guard recibe BPDUs superiores a aquellos que enva el puente raz actual, dicho puerto pasa a un estado "root-inconsistent", efectivamente similar al estado de escucha (listening) de STP, y no se reenvan ms datos a travs del mismo. Debido a que un administrador puede configurar la prioridad del puente a cero en forma manual, Root Guard puede parecer innecesario. Configurar la prioridad de un switch a cero no garantiza que el mismo ser seleccionado como puente raz, debido a que puede existir otro switch con prioridad cero y una direccin MAC menor, y por lo tanto ser seleccionado como puente raz. Root Guard se implementa mejor en puertos conectados a switches que no deberan ser el puente raz. Con Root Guard, si un host atacante enva BPDUs falsificadas en un intento de convertirse en el puente raz, una vez recibido el BPDU, el mismo es ignorado y el puerto pasa al estado "root-inconsistent". El puerto se recupera tan pronto como dejan de recibirse los BPDUs ofensivos.
-
Seguridad de la informacin 2015
8
BPDU Guard y Root Guard son similares, pero tienen diferentes impactos. BPDU Guard deshabilita el puerto al recibir un BPDU, si dicho puerto tiene PortFast habilitado. Esta deshabilitacin niega a estos puertos en forma efectiva la participacin en el proceso STP. El administrador debe volver a habilitarlos en forma manual, o configurar un temporizador automtico. Root Guard permite que el dispositivo participe del proceso STP siempre y cuando no intente convertirse en raz. Si Root Guard bloquea el puerto, la recuperacin subsecuente es automtica. La recuperacin ocurre tan pronto como el dispositivo culpable deja de enviar BPDUs superiores. Este es el comando para configurar Root Guard en una interfaz. Switch(config-if)# spanning-tree guard root
Para verificar el funcionamiento de Root Guard, utilice el comando show spanning-
tree inconsistentports. Debe considerarse que el switch pone al puerto en el
estado "root-inconsistent" si ste recibe BPDUs que no debera recibir. El puerto
se recupera en el momento en que deja de recibir dichos BPDUs.
CDP
CISCO DISCOVERY PROTOCOL (protocolo CDP) se utiliza para obtener
informacin de router y switches que estn conectados localmente. El CDP es un
protocolo propietario de Cisco, destinado al descubrimiento de vecinos y es
independiente de los medios y del protocolo de enrutamiento. Aunque el CDP
solamente mostrar informacin sobre los vecinos conectados de forma directa,
este constituye una herramienta de gran utilidad.
El Protocolo CDP es un protocolo de Capa 2 que conecta los medios fsicos
inferiores con los protocolos de red de las capas superiores,
La lectura del comando show cdp neighbors incluyen la siguiente informacin:
Identificador del dispositivo
Interfaz local
Tiempo de espera
Capacidad
Plataforma
-
Seguridad de la informacin 2015
9
Identificador del puerto
Los siguientes datos se agregan en el CDPv2:
Administracin de nombres de dominio VTP
VLAN Nativas
Full o half-duplex
Para obtener los nombres y tipos de plataforma de routers vecinos, nombres y
versin de la imagen Cisco IOS:
Show cdp neighbors
Para obtener datos de routers vecinos en ms detalle:
Show cdp neighbors detail
Para saber el trafico de CDP que ocurre en el router.
Router#show cdp traffic
Hay dos formas de deshabilitar CDP, una es en un interfaz especfico y la otra de
forma general.
Desde una interfaz:
Router#configure terminal
Router(config)#[nmero de interfaz]
Router(config-if)#no cdp enable
De modo total:
Deshabilita CDP en el router:
Router(config)#no cdp run
Habilita CDP en el router:
Router(config)#cdp run
Show cdp interface
Muestra el estado de todos los interfaces que tienen activado CDP.
Restaura los contadores a cero:
-
Seguridad de la informacin 2015
10
Router#clear cdp counters
Borra la informacin contenida en la tabla de vecinos:
Router#clear cdp table
Los siguientes comandos pueden utilizarse para mostrar la versin, la informacin
de actualizacin, las tablas y el trfico:
show cdp traffic
show debugging
debug cdp adjacency
debug cdp events
debug cdp ip
debug cdp packets
cdp timer
cdp holdtime
show cdp
Ejemplo de un Show cdp neighbors
Router#show cdp neighbors Capability Codes: R-Router, T-Trans Bridge, B-Sourse Route Bridge, S-Switch, H-Host, I-IGMP, r-Repeater
DeviceID Local Interfce Holdtme Capablyt Plataform Port ID
Router3 Ser0/1 150 R 2600 Ser0/1
Router4 Ser0/0 142 R 4500 Ser1/0
Switch FastEt0/0 120 S 2950 Fast0/5
-
Seguridad de la informacin 2015
11
Mejores prcticas en configuraciones de switch Cisco
En esta apartado te voy a dar a conocer, las configuraciones generales que
debiese tener todo switch, para mantener el equipo ms confiable de ataques o
acceso a la red sin autorizacin.
Deshabilitacin de servicios no utilizados
Descripcin: Deshabilitacin de servicios no utilizados por la plataforma.
Comandos a aplicar:
no ip source-route
no service pad
no ip finger
no ip bootp server
no mop enable
Habilitacin de comandos para minimizar impacto de ataque a los
equipos
Descripcin: Los siguientes comandos permiten mejorar las respuestas de
equipo (para su administracin) en caso de un ataque basado en
inundacin de trfico, mientras que los TCP keepalives permiten prevenir
sesiones truncadas en caso de desconexiones repentinas.
Comandos a aplicar :
scheduler allocate
service tcp-keepalives-in
service tcp-keepalives-out
-
Seguridad de la informacin 2015
12
Habilitacin de traps
Descripcin: Habilitacin de traps generados por eventos o cambios de
configuracin en los equipos.
loggin traps
logging event link-status default
snmp-server enable traps vtp
snmp-server enable traps vlancreate
snmp-server enable traps vlandelete
snmp-server enable traps envmon
snmp-server enable traps stackwise
snmp-server enable traps config
snmp-server enable traps hsrp
snmp-server enable traps ipmulticast
Habilitacin de Root Guard
Descripcin: Definicin de permetro de seguridad de STP. Estos comandos
sern aplicados en las interfaces de acceso de los equipos.
Comandos a utilizar:
Interface [tipo][numero]
spanning-tree guard root
spanning-tree rootguard
-
Seguridad de la informacin 2015
13
Habilitacin de BPDU Guard
Descripcin : Permitir deshabilitar una puerta en caso que se conecte un
switch a una puerta configurada con portfast (De esta forma se evita que la
insercin de un switch en la red sea descontrolada)
Comandos a utilizar:
spanning-tree portfast bpduguard
Conf. Passwords, nombre y otros
#conf t
enable secret xxxxxxxx
line con 0
exec-timeout 5 0
password xxxxxxxxx
line vty 0 4
exec-timeout 5 0
timeout login response 300
password xxxxxxxxxx
login
line vty 5 15
no login
udld enable
-
Seguridad de la informacin 2015
14
no ip http server
no setup express
no ip forward-protocol udp netbios-ns
no ip forward-protocol udp netbios-dgm
no ip source-routeno ip domain-lookup
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
logging buffered 8000 debugging
spanning-tree mode rapid-pvst
spanning-tree portfast bpduguard default
spanning-tree extend system-id
BIBLIOGRAFIA
http://redesytrucos.blogspot.mx/2012/03/seguridad-de-puerto-en-switch-cisco.html
http://bit.ly/CCNASecurity
http://www.cisco.com/c/en/us/tech/lan-switching/dynamic-trunking-protocol-dtp/index.html