Universidad Politcnica de Durango

Ingeniera en Telemtica Switcheo

5to. Cuatrimestre Facilitador: I.E. Eliud Bueno Moreno

Integrantes de Equipo:
Emmanuel Arritola Uriarte Luis R. Villamil Santacruz

Lab 1.2 Switch Port Security

Introduccin
La siguiente prctica tiene como objetivo implementar no solo las configuraciones recomendadas en los dispositivos de la red como lo es el nombre del dispositivo, nombre de usuario y las contraseas para los accesos remotos, sabemos bien que los puntos anteriores son bsicos para la configuracin pues permiten identificar al dispositivo en la red, as como brindar seguridad cuando deseamos acceder ya sea mediante el cable de consola o mediante TELNET, sin embargo, al proteger los accesos remotos con alguna contrasea no aseguramos que la red este protegida, aqu veremos otra de las tcnicas con las cuales podemos brindar seguridad a la red. Otra forma de seguridad consiste en la seguridad del puerto donde al implementarla se podr observar el nmero de violaciones a nuestra poltica de seguridad de puerto lo que permitir tener un control del acceso a la red, ya sea por la cantidad de direcciones MAC identificadas por el puerto, las acciones que los puertos realizarn pueden ser baja del puerto, envo de mensajes, acciones nulas, etc. dependiendo del tipo de seguridad que se implemente de lo cual se hablar posteriormente. De igual manera se trabajar con tabla de direcciones MAC del direcciones MAC. Switch agregando

El enfoque principal de la prctica consiste en ver las configuraciones que se pueden llevar a cabo en los puertos ya sea de manera general o por puerto, puede ser la configuracin de la seguridad en los puertos del Switch, velocidad del puerto, bloqueo etc... Se estar manejando cada uno de los tipos de seguridad pero dejando el conocimiento de la funcionalidad de cada uno para ser capaces de elegir el tipo de seguridad que mejor se adapte a nuestras propias exigencias.

Marco Terico
Seguridad en Puertos
Con la finalidad de incrementar la seguridad en una red LAN es posible implementar seguridad de puertos en los Switches de capa de acceso, para permitir que a cada puerto se conecte slo un dispositivo que se encuentre autorizado. Los pasos que se pueden realizar para alcanzar el objetivo anterior se pueden resumir de la siguiente manera:

Direccin MAC segura esttica

Se configura manualmente. Se agrega a la tabla de direcciones MAC. Se guarda en la running-config. Se puede hacer permanente guardando la configuracin. SW(config-if)# switchport port-security mac-address DIRECCION-MAC

Direccin MAC segura dinmica

Se aprende del trfico que atraviesa la interfaz. Se la guarda en la tabla de direcciones MAC. Se pierde cuando se reinicia el equipo. SW(config-if)# switchport port-security

Direccin MAC segura sticky

Se la puede configurar de forma manual o dinmica. Se la guarda en la tabla de direcciones MAC. Se almacena en la running-config. Se puede hacer permanente guardando la configuracin.

SW(config-if)# switchport port-security mac-address sticky [DIRECCION-MAC] Para la seguridad en puertos se pueden activar las siguientes acciones:

Protect
Una vez que se alcanz el mximo de direcciones MAC en un puerto, todo el trfico de orgenes desconocidos (es decir, de direcciones MAC que no sean vlidas para ese puerto) es descartado. No obstante, se contina enviando el trfico legal normalmente. No se notifica al administrador de esta situacin.

Restrict
El mismo comportamiento que el caso anterior pero con la diferencia que se enva un aviso al administrador mediante SNMP, se registra el evento en el syslog y se incrementa el contador de violaciones.

Shutdown
En este caso el puerto se da de baja dejndolo en estado err-disabled (deshabilitado por error). Adems se enva un aviso al administrador mediante SNMP, se registra el evento en el syslog y se incrementa el contador de violaciones.

Shutdown VLAN
La nica diferencia con el caso anterior es que se deshabilita la VLAN en ese puerto en lugar de dar de baja el puerto completo. Es particularmente atractivo para los puertos de trunk.

Desarrollo
Topologa

Tabla de Direccionamiento

Configuracin
Antes de realizar alguna configuracin en los dispositivos a usar para nuestra red tenemos que asegurarnos de que estos no tengan ya una configuracin debido a que esto podra afectar a la configuracin que nosotros realicemos para esto usamos los comandos show running-config al ingresar este comando observaremos algo como lo siguiente:

Podemos observar que aparecen las contraseas, el nombre del dispositivo as mismo muestra si cuenta con interfaces VLAN, direcciones IP, servicios activos entre otros. Los resultados que logramos ver fue la cantidad de interfaces Fast Ethernet con la que cuenta el dispositivo en este caso cuenta con 24 y con dos Giga Ethernet

Otro de los comandos que podemos ingresar para conocer ms de la configuracin es el show vlan lo cual nos desplegara los detalles de todas las interfaces VLAN con las que cuenta.

La VLAN1 es la VLAN por defecto es por ello que todos los puertos se encuentran asignados a dicha interfaz. Otra de las cosas que debemos conocer es la informacin de nuestro dispositivo como lo es modelo, Versin de IOS, familia, nmero de serie, etc., para conocer estos puntos ingresamos el comando Show versin.

Antes de dar paso al tema de seguridad en puertos vamos a configurarle al dispositivo el nombre de Host, su usuario y contrasea y los accesos remotos para pegarle desde cualquier punto de la red. Para esto usamos los comandos hostname, username , privilege, line vty 0 4 y line console 0. La figura que a continuacin se muestra contiene los comandos que se ingresaron desde el modo privilegiado.

Ahora que se realiz la configuracin anterior vamos a crear una VLAN y una interfaz VLAN con los comandos de VLAN, interface VLAN , ip address y no shutdown para levantar la interfaz. Los pasos para esta parte se muestran a continuacin en la imagen.

Ingresaremos uno de los comandos para conocer ms detalles acerca de la VLAN recin creada show interface VLAN 99.

Observamos que la interfaz se encuentra arriba pero el protocolo se encuentra abajo esto es porque an no cuenta con ningn dispositivo configurado para pertenecer a esta VLAN, la direccin IP de esta VLAN tambin se puede observar, muestra tambin los paquetes enviados y recibidos entre otras cosas. Para esta prctica vamos a trabajar con la VLAN 99 y se mencion hace unos prrafos que la interfaz por defecto es la VLAN 1 y que por ende todos los puertos estaban asignados a esa VLAN, para cambiar esto es necesario asignarle los puertos a la VLAN 99 usando los comandos interface range, switchport access vlan 99. Dicha parte de configuracin es posible apreciarla a continuacin.

Para comprobar esta parte volveremos a introducir el comando show vlan y veremos que ahora los puertos se encuentran asignados a la VLAN recin creada.

Velocidad de Puerto
Para cambiar la velocidad del puerto se usa el comando Speed 10-100, sin embargo esta configuracin no es recomendable pues se sugiere que la velocidad se deje en automtico (dplex auto o speed auto) para asegurarnos de que pueda intercambiar los paquetes con facilidad con cualquier dispositivo. Vamos a configurar el puerto 18 a una velocidad de 100 mbps y en modo dplex, para ello los comandos son los que a continuacin se muestran: SWITCH# conf t SWITCH (config) # int Fa0/18 SWITCH(config-if-range) # ip address 172.17.99.18 SWITCH (config-if) # speed 100 SWITCH (config-if) # duplex

SWITCH (config-if-range) # exit

Tabla de Direcciones MAC

En esta tabla ser posible apreciar las direcciones que el Switch ha aprendido debido al intercambio de paquetes, para apreciarlas se ingresa el comando show macaddress-table aqu veremos que hay dos tipos direcciones MAC: Las que aprende y las que se le dan a conocer. En la siguiente figura ser posible observar uno de los resultados que se obtienen al ingresar el comando anterior.

Esta tabla no tiene porque permanecer siempre igual podemos realizar diversas acciones como lo es limpiar la tabla (nica quedar con las direcciones aprendidas de manera dinmica), o bien podemos agregarle direcciones estticas, los comandos para estas acciones se muestran a continuacin: Limpiar tabla de direcciones SWITCH # clear mac-address-table dynamic Agregar direccin MAC Esttica SWITCH(config)# mac-address-table static 00e0.2917.1884 int FastEthernet 0/18 VLAN 99 Eliminar direccin MAC asignada de manera esttica SWITCH(config)# no mac-address-table static 00e0.2917.1884 int FastEthernet 0/18 VLAN 99.

Ya se trabaj con la configuracin de los puertos y la tabla de direcciones MAC esta ultima de gran utilidad cuando queremos tener un control de red en base a las direcciones MAC, lo que permitira que solo las direcciones MAC que se encuentran dadas de alta puedan acceder a la red, si bien realizarlo va comando para cada uno de los dispositivos pudiera

ser demasiado tardado y tedioso ya existen Software y Aplicaciones que permiten realizarlo de una manera ms visual.

Seguridad en Puertos
Al inicio del documento y a lo largo de este se ha hablado de la seguridad en puertos y los tipos de acciones que se pueden implementar de acuerdo a los especificados en el marco terico de dicho documento, si bien se especifican las acciones que se llevan a cabo al detectar una violacin en la poltica no se muestra a detalle los comandos a usar, se explican de manera general, a continuacin se ver la forma exacta de esta configuracin: SWITCH(config-if)# switchport mode access SWITCH(config-if)# switchport port-security SWITCH(config-if)# switchport port-security maximum 2 SWITCH(config-if)# switchport port-security mac-address sticky SWITCH(config-if)# switchport port-security violation protect Al ingresar los comandos anteriores se configura el puerto (en este caso estamos en la configuracin del puerto fa0/18) para que solo permita dos dispositivos distintos, es decir al momento en que se detecten ya dos direcciones MAC asociadas a este puerto y una ms desee la asociacin esta ser rechazada y todo el trfico que el 3er dispositivo genero ser simplemente descartado pero no se enviara ningn log de violacin y seguir funcionando de manera normal con los otros dos dispositivos. Ahora vamos a cambiar la configuracin para que solo nos permita una nica direccin MAC, si est poltica se ve afectada el puerto cambiar a SHUTDOWN y enviar un LOG al administrador notificando dicha accin. SWITCH(config-if)#switchport port-security maximum 1 SWITCH(config-if)#switchport port-security violation shutdown Es posible ver si nuestro dispositivo cuenta con algn tipo de seguridad en sus puertos haciendo uso del comando show running-config.

En la figura anterior se pueden observar los detalles de la seguridad implementada en la interfaz fa0/18 y la MAC asociada.

Conclusin
Arritola Uriarte Emmanuel
Si bien la creacin de VLAN nos permite administrar el flujo de datos de manera personalizada o controlada, pues podemos dividir el trfico por departamentos y/o reas ofreciendo as seguridad en los datos pues no se puede tener acceso entre las VLAN si no se configura esto no garantiza que la red sea segura, en redes empresariales de gran auge y tamao se necesita ms que esta simple medida de seguridad es por eso que brincamos hasta otro punto como lo es la configuracin de seguridad en los puertos a pesar de que sea una medida drstica tener el control de las direcciones MAC que accedan a la red brinda un nivel ms alto en cuanto a confiabilidad pues se realizan acciones desde lo que es no identificar al dispositivo y por ende no integrarlo a la red hasta lo que es la baja del puerto que ya ha superado el nmero de violaciones estos puntos facilitan la administracin En esta prctica se usaron los comandos de Switch(config-if)#switchport port-security violation SHUTDOWN-RESTRICT-PROTECT , siendo las ltimas tres palabras las posibles acciones a realizar, pocas veces se enfoca en la direccin MAC pues es ms conocida la direccin IP pero como ser un dispositivo capaz de trabajar con la direccin MAC existe un comando que permite ver las direcciones asociadas y los detalles de cmo es que conoce esa direccin este comando es: show mac address table donde tambin podremos asignarle una direccin MAC que deseamos conozca para futuras acciones.

Villamil Santacruz Luis R.

La funcin de seguridad de puertos es una pieza importante del rompecabezas del interruptor de seguridad de red, ofrece la posibilidad de limitar cual de las direcciones se le ser permitido enviar trfico en puertos individuales dentro de la red. Una vez que una organizacin decide utilizar la funcin de seguridad de puertos en sus redes, es importante planificar cuidadosamente antes de hacer cualquier configuracin. La funcin de seguridad de puertos es muy til si se utiliza correctamente, puede ser fcilmente mal configurado, una mala configuracin puede provocar la interrupcin del servicio constantes para una organizacin. La planificacin de la configuracin incluye la determinacin del modo de violacin y el modo de operacin para utilizar sobre la base de los objetivos de la organizacin, as como la determinacin de qu puertos debe ser habilitado con la funcin.