Universidad Politécnica de Durango

Ingeniería en Telemática

Switcheo

5to. Cuatrimestre

Facilitador: I.E. Eliud Bueno Moreno

Integrantes de Equipo:

Emmanuel Arritola Uriarte Luis R. Villamil Santacruz

Lab 1.2 Switch Port Security

Introducción

La siguiente práctica tiene como objetivo implementar no solo las configuraciones recomendadas en los dispositivos de la red como lo es el nombre del dispositivo, nombre de usuario y las contraseñas para los accesos remotos, sabemos bien que los puntos anteriores son básicos para la configuración pues permiten identificar al dispositivo en la red, así como brindar seguridad cuando deseamos acceder ya sea mediante el cable de consola o mediante TELNET, sin embargo, al proteger los accesos remotos con alguna contraseña no aseguramos que la red este protegida, aquí veremos otra de las técnicas con las cuales podemos brindar seguridad a la red.

Otra forma de seguridad consiste en la seguridad del puerto donde al implementarla se podrá observar el número de violaciones a nuestra política de seguridad de puerto lo que permitirá tener un control del acceso a la red, ya sea por la cantidad de direcciones MAC identificadas por el puerto, las acciones que los puertos realizarán pueden ser baja del puerto, envío de mensajes, acciones nulas, etc. dependiendo del tipo de seguridad que se implemente de lo cual se hablará posteriormente.

De igual manera se trabajará con tabla de direcciones MAC del Switch agregando direcciones MAC.

El enfoque principal de la práctica consiste en ver las configuraciones que se pueden llevar a cabo en los puertos ya sea de manera general o por puerto, puede ser la configuración de la seguridad en los puertos del Switch, velocidad del puerto, bloqueo etc... Se estará manejando cada uno de los tipos de seguridad pero dejando el conocimiento de la funcionalidad de cada uno para ser capaces de elegir el tipo de seguridad que mejor se adapte a nuestras propias exigencias.

Marco Teórico

Seguridad en PuertosCon la finalidad de incrementar la seguridad en una red LAN es posible implementar seguridad de puertos en los Switches de capa de acceso, para permitir que a cada puerto se conecte sólo un dispositivo que se encuentre autorizado.

Los pasos que se pueden realizar para alcanzar el objetivo anterior se pueden resumir de la siguiente manera:

Dirección MAC segura estáticaSe configura manualmente.

Se agrega a la tabla de direcciones MAC. Se guarda en la running-config. Se puede hacer permanente guardando la configuración.

SW(config-if)# switchport port-security mac-address DIRECCION-MAC

Dirección MAC segura dinámica Se aprende del tráfico que atraviesa la interfaz. Se la guarda en la tabla de direcciones MAC. Se pierde cuando se reinicia el equipo.

SW(config-if)# switchport port-security

Dirección MAC segura sticky Se la puede configurar de forma manual o dinámica. Se la guarda en la tabla de direcciones MAC. Se almacena en la running-config. Se puede hacer permanente guardando la configuración.

SW(config-if)# switchport port-security mac-address sticky [DIRECCION-MAC]

Para la seguridad en puertos se pueden activar las siguientes acciones:

ProtectUna vez que se alcanzó el máximo de direcciones MAC en un puerto, todo el tráfico de orígenes desconocidos (es decir, de direcciones MAC que no sean válidas para ese puerto) es descartado. No obstante, se continúa enviando el tráfico legal normalmente. No se notifica al administrador de esta situación.

RestrictEl mismo comportamiento que el caso anterior pero con la diferencia que se envía un aviso al administrador mediante SNMP, se registra el evento en el syslog y se incrementa el contador de violaciones.

ShutdownEn este caso el puerto se da de baja dejándolo en estado err-disabled (deshabilitado por error). Además se envía un aviso al administrador mediante SNMP, se registra el evento en el syslog y se incrementa el contador de violaciones.

Shutdown VLANLa única diferencia con el caso anterior es que se deshabilita la VLAN en ese puerto en lugar de dar de baja el puerto completo. Es particularmente atractivo para los puertos de trunk.

Desarrollo

Topología

Tabla de Direccionamiento

ConfiguraciónAntes de realizar alguna configuración en los dispositivos a usar para nuestra red tenemos que asegurarnos de que estos no tengan ya una configuración debido a que esto podría afectar a la configuración que nosotros realicemos para esto usamos los comandos show running-config al ingresar este comando observaremos algo como lo siguiente:

Podemos observar que aparecen las contraseñas, el nombre del dispositivo así mismo muestra si cuenta con interfaces VLAN, direcciones IP, servicios activos entre otros.

Los resultados que logramos ver fue la cantidad de interfaces Fast Ethernet con la que cuenta el dispositivo en este caso cuenta con 24 y con dos Giga Ethernet

Otro de los comandos que podemos ingresar para conocer más de la configuración es el show vlan lo cual nos desplegara los detalles de todas las interfaces VLAN con las que cuenta.

La VLAN1 es la VLAN por defecto es por ello que todos los puertos se encuentran asignados a dicha interfaz.

Otra de las cosas que debemos conocer es la información de nuestro dispositivo como lo es modelo, Versión de IOS, familia, número de serie, etc., para conocer estos puntos ingresamos el comando Show versión.

Antes de dar paso al tema de seguridad en puertos vamos a configurarle al dispositivo el nombre de Host, su usuario y contraseña y los accesos remotos para “pegarle” desde cualquier punto de la red. Para esto usamos los comandos hostname, username , privilege, line vty 0 4 y line console 0.

La figura que a continuación se muestra contiene los comandos que se ingresaron desde el modo privilegiado.

Ahora que se realizó la configuración anterior vamos a crear una VLAN y una interfaz VLAN con los comandos de VLAN, interface VLAN , ip address y no shutdown para levantar la interfaz. Los pasos para esta parte se muestran a continuación en la imagen.

Ingresaremos uno de los comandos para conocer más detalles acerca de la VLAN recién creada show interface VLAN 99.

Observamos que la interfaz se encuentra arriba pero el protocolo se encuentra abajo esto es porque aún no cuenta con ningún dispositivo configurado para pertenecer a esta VLAN, la dirección IP de esta VLAN también se puede observar, muestra también los paquetes enviados y recibidos entre otras cosas.

Para esta práctica vamos a trabajar con la VLAN 99 y se mencionó hace unos párrafos que la interfaz por defecto es la VLAN 1 y que por ende todos los puertos estaban asignados a esa VLAN, para cambiar esto es necesario asignarle los puertos a la VLAN 99 usando los comandos interface range, switchport access vlan 99. Dicha parte de configuración es posible apreciarla a continuación.

Para comprobar esta parte volveremos a introducir el comando show vlan y veremos que ahora los puertos se encuentran asignados a la VLAN recién creada.

Velocidad de PuertoPara cambiar la velocidad del puerto se usa el comando Speed 10-100, sin embargo esta configuración no es recomendable pues se sugiere que la velocidad se deje en automático (dúplex auto o speed auto) para asegurarnos de que pueda intercambiar los paquetes con facilidad con cualquier dispositivo.

Vamos a configurar el puerto 18 a una velocidad de 100 mbps y en modo dúplex, para ello los comandos son los que a continuación se muestran:

SWITCH# conf tSWITCH (config) # int Fa0/18

SWITCH(config-if-range) # ip address 172.17.99.18SWITCH (config-if) # speed 100SWITCH (config-if) # duplex

SWITCH (config-if-range) # exit

Tabla de Direcciones MACEn esta tabla será posible apreciar las direcciones que el Switch ha aprendido debido al intercambio de paquetes, para apreciarlas se ingresa el comando show mac-address-table aquí veremos que hay dos tipos direcciones MAC: Las que aprende y las que se le dan a conocer. En la siguiente figura será posible observar uno de los resultados que se obtienen al ingresar el comando anterior.

Esta tabla no tiene porque permanecer siempre igual podemos realizar diversas acciones como lo es limpiar la tabla (única quedará con las direcciones aprendidas de manera dinámica), o bien podemos agregarle direcciones estáticas, los comandos para estas acciones se muestran a continuación:

Limpiar tabla de direcciones

SWITCH # clear mac-address-table dynamic

Agregar dirección MAC Estática

SWITCH(config)# mac-address-table static 00e0.2917.1884 int FastEthernet 0/18 VLAN 99

Eliminar dirección MAC asignada de manera estática SWITCH(config)# no mac-address-table static 00e0.2917.1884 int FastEthernet 0/18 VLAN 99.

Ya se trabajó con la configuración de los puertos y la tabla de direcciones MAC esta ultima de gran utilidad cuando queremos tener un control de red en base a las direcciones MAC, lo que permitiría que solo las direcciones MAC que se encuentran dadas de alta puedan acceder a la red, si bien realizarlo vía comando para cada uno de los dispositivos pudiera

ser demasiado tardado y tedioso ya existen Software y Aplicaciones que permiten realizarlo de una manera más visual.

Seguridad en PuertosAl inicio del documento y a lo largo de este se ha hablado de la seguridad en puertos y los tipos de acciones que se pueden implementar de acuerdo a los especificados en el marco teórico de dicho documento, si bien se especifican las acciones que se llevan a cabo al detectar una violación en la política no se muestra a detalle los comandos a usar, se explican de manera general, a continuación se verá la forma exacta de esta configuración:

SWITCH(config-if)# switchport mode accessSWITCH(config-if)# switchport port-security

SWITCH(config-if)# switchport port-security maximum 2SWITCH(config-if)# switchport port-security mac-address

stickySWITCH(config-if)# switchport port-security violation protect

Al ingresar los comandos anteriores se configura el puerto (en este caso estamos en la configuración del puerto fa0/18) para que solo permita dos dispositivos distintos, es decir al momento en que se detecten ya dos direcciones MAC asociadas a este puerto y una más desee la asociación esta será rechazada y todo el tráfico que el 3er dispositivo genero será simplemente descartado pero no se enviara ningún log de violación y seguirá funcionando de manera normal con los otros dos dispositivos.

Ahora vamos a cambiar la configuración para que solo nos permita una única dirección MAC, si está política se ve afectada el puerto cambiará a SHUTDOWN y enviará un LOG al administrador notificando dicha acción.

SWITCH(config-if)#switchport port-security maximum 1SWITCH(config-if)#switchport port-security violation shutdown

Es posible ver si nuestro dispositivo cuenta con algún tipo de seguridad en sus puertos haciendo uso del comando show running-config.

En la figura anterior se pueden observar los detalles de la seguridad implementada en la interfaz fa0/18 y la MAC asociada.

Conclusión

Arritola Uriarte EmmanuelSi bien la creación de VLAN nos permite administrar el flujo de datos de manera personalizada o controlada, pues podemos dividir el tráfico por departamentos y/o áreas ofreciendo así seguridad en los datos pues no se puede tener acceso entre las VLAN si no se configura esto no garantiza que la red sea segura, en redes empresariales de gran auge y tamaño se necesita más que esta simple medida de seguridad es por eso que brincamos hasta otro punto como lo es la configuración de seguridad en los puertos a pesar de que sea una medida drástica tener el control de las direcciones MAC que accedan a la red brinda un nivel más alto en cuanto a confiabilidad pues se realizan acciones desde lo que es no identificar al dispositivo y por ende no integrarlo a la red hasta lo que es la baja del puerto que ya ha superado el número de violaciones estos puntos facilitan la administración

En esta práctica se usaron los comandos de Switch(config-if)#switchport port-security violation SHUTDOWN-RESTRICT-PROTECT , siendo las últimas tres palabras las posibles acciones a realizar, pocas veces se enfoca en la dirección MAC pues es más conocida la dirección IP pero como ser un dispositivo capaz de trabajar con la dirección MAC existe un comando que permite ver las direcciones asociadas y los detalles de cómo es que conoce esa dirección este comando es: show mac address table donde también podremos asignarle una dirección MAC que deseamos conozca para futuras acciones.

Villamil Santacruz Luis R.La función de seguridad de puertos es una pieza importante del rompecabezas del interruptor de seguridad de red, ofrece la posibilidad de limitar cual de las direcciones se le será permitido enviar tráfico en puertos individuales dentro de la red.

Una vez que una organización decide utilizar la función de seguridad de puertos en sus redes, es importante planificar cuidadosamente antes de hacer cualquier configuración. La función de seguridad de puertos es muy útil si se utiliza correctamente, puede ser fácilmente mal configurado, una mala configuración puede provocar la interrupción del servicio constantes para una organización. La planificación de la configuración incluye la determinación del modo de violación y el modo de operación para utilizar sobre la base de los objetivos de la organización, así como la determinación de qué puertos debe ser habilitado con la función.