CAPITULO 2 - CONCEPTOS BASICOS DE SWITCHING Y CONFIGURACION Los switches se utilizan para conectar mltiples dispositivos juntos en la misma red.

En una red bien diseada, los switches LAN son responsables de dirigir y controlar el flujo de los datos en la capa de acceso a los recursos en red. CONFIGURACIN BSICA DEL SWITCH SECUENCIA DE ARRANQUE DEL SWICTH Despus de un Switch Cisco se enciende, pasa por la siguiente secuencia de arranque: 1. El Switch de carga el programa de auto diagnstico (POST) almacenados en la memoria ROM, que verifica el estado de las dems memorias y los puertos. 2. El Switch carga el software del gestor de arranque. El gestor de arranque est en la ROM y se ejecuta inmediatamente despus de la POST finaliza correctamente. 3. El gestor de arranque realiza la inicializacin CPU de bajo nivel. Se inicializa los registros de la CPU, que controlan dnde se asigna memoria fsica, la cantidad de memoria y su velocidad, adems inicializa el sistema de archivos flash en la placa base. 4. Finalmente localiza y carga la imagen de software del sistema operativo IOS en la memoria y pasa el control del cambio a la IOS. El gestor de arranque o boot loader encuentra la imagen de IOS de Cisco en el Switch de la siguiente manera: el conmutador intenta iniciarse automticamente utilizando la informacin de la variable de entorno de arranque. Si esta variable no est definida, el conmutador intenta cargar y ejecutar el primer archivo ejecutable que puede mediante la realizacin de una bsqueda recursiva a profundidad, en todo el sistema de archivos flash. El sistema operativo iOS inicializa las interfaces que utilizan los comandos de IOS de Cisco que se encuentran en el archivo de configuracin de inicio de configuracin, que se almacena en la NVRAM.

RECUPERACIN DE UN FALLO DEL SISTEMA El boot loader proporciona acceso en el Switch si el sistema operativo no se puede utilizar debido a los archivos del sistema daados o que faltan, este tiene una lnea de comandos que proporciona acceso a los archivos almacenados en la memoria flash, y se obtiene acceso a este mediante una conexin de consola siguiendo estos pasos: 1. Conectar un PC mediante un cable de consola al puerto de consola del Switch. Configure el software de emulacin de terminal para conectar al conmutador. 2. Desconecte el cable de alimentacin del interruptor. 3. Vuelva a conectar el cable de alimentacin al interruptor y, dentro de los 15 segundos, presione y mantenga presionado el botn Modo mientras el LED del sistema sigue parpadeando verde. 4. Siga pulsando el botn de modo hasta que el LED del sistema se vuelve mbar brevemente y luego slido de color verde, luego suelte el botn de modo. 5. Aparecer el prompt del boot loader en el software de emulacin de terminal en la PC. La lnea de comandos del boot loader es compatible con los comandos para formatear el sistema de archivos flash, en esta se permite que se vuelva a instalar el software del sistema operativo, o recuperar una contrasea perdida u olvidada.

INDICADORES LED EN UN SWITCH.- los switches tienen varios indicadores led de estado, asi tenemos:

PREPARACIN PARA LA ADMINISTRACIN BSICA DEL SWITCH.- Para preparar un Switch para acceso de administracin remota, el mismo debe estar configurado con una direccin IP virtual y una mscara de subred, en caso de querer gestionar el cambio de una red remota, el Switch debe estar configurado con un default Gateway, Por defecto, el Switch est configurado para ser controlado a travs de la VLAN 1. Todos los puertos son asignados a VLAN 1 por defecto. Por razones de seguridad, se considera una buena prctica utilizar una VLAN que no sea VLAN 1 para la VLAN de administracin. CONFIGURACIN BSICA DEL SWITCH DE ADMINISTRACIN DE ACCESO CON IPV4 1. Configurar la interfaz de administracin.- Una direccin IP y la mscara de subred se configurada en el SVI de manejo del Switch desde la interfaz VLAN.

El SVI para la VLAN 99 no aparecer en estado up hasta que se cree la VLAN 99 y exista un dispositivo conectado a un puerto de Switch asociado a VLAN 99. Para crear una VLAN utilizaremos los siguientes comandos: S1 (config) # vlan vlan_id S1 (config-vlan) # nombre vlan_name S1 (config) # end S1 (config) # interface Interface_Id S1 (config-if) # switchport access vlan vlan_id

2. Configuracin del Gateway por defecto.- El Switch debe estar configurado con Gateway predeterminado, si se va a administrar de forma remota desde redes no conectadas directamente. La puerta de enlace predeterminada es el router al que el Switch est conectado. El router reenviar paquetes IP con direcciones IP de destino fuera de la red local a la puerta de enlace predeterminada.

3.

Verificar la configuracin.-Se debe determinar el estado de las interfaces fsicas y virtuales.

CONFIGURACION DE LOS PUERTOS DE UN SWTICH COMUNICACIN FULL Y HALF DUPLEX.- La comunicacin full dplex mejora el rendimiento de una LAN conmutada. La comunicacin full dplex aumenta el ancho de banda eficaz al permitir que ambos extremos de una conexin para transmitir y recibir datos de forma simultnea. Esto tambin se conoce como bidireccional. Este mtodo de optimizacin del rendimiento de la red requiere micro-segmentacin, para lo que se crea una LAN de micro-segmentacin cuando un puerto de Switch slo tiene un dispositivo conectado y est funcionando a full-dplex. Esto se traduce en un dominio de colisin micro tamao de un nico dispositivo, lo que hace que el enlace est libre de colisione. Por el contrario la comunicacin Half-Duplex es unidireccional, es decir l envo y la recepcin de datos no se produce al mismo tiempo, lo que crea problemas de rendimiento porque los datos pueden fluir en una sola direccin a la vez, resultando a menudo en las colisiones. DUPLEX Y SPEED.- Los puertos de Switch se pueden configurar de forma manual con dplex y velocidades especficas o usando auto como configuracin predeterminada para los equipos cisco

Los puertos 10/100/1000 funcionan en rgimen de media o full-dplex modo cuando se ponen a 10 o 100 Mb / s, pero cuando se ponen a 1 000 Mb / s (1 Gb / s), que operan slo en modo full-dplex, es necesario tener en cuenta que los valores no coincidentes para el modo dplex y la velocidad de los puertos del Switch pueden causar problemas de conectividad. El fracaso de negociacin automtica crea ajustes no coinciden. AUTO-MDIX.- Tambin llamado interface automticamente cruzada independiente del medio, es una funcin de las interfaces que elimina el problema del uso de cables directos o cruzados, asi al activar este comando, cualquier tipo de cable se puede utilizar para conectarse a otros dispositivos, y la interfaz corrige automticamente para cualquier cableado incorrecto.

VERIFICACION DE LA CONFIGURACION DE PUERTOS DE UN SWITCH.-

PROBLEMAS EN LA CAPA DE ACCESO A RED.- Al usar el comando show interface se pueden observar algunos errores, que se presentan a continuacin:

SOLUCION DE PROBLEMAS EN LA CAPA DE ACCESO A RED.- Generalmente se encuentran problemas que afectan a una red conmutada durante la implementacin original, tericamente, despus de que se instala, una red contina funcionando sin problemas, sin embargo, se pueden presentar daos, o requerirse un mantenimiento continuo y solucin de problemas de la infraestructura de red, asi para solucionar estos problemas cuando no tiene conexin o una mala conexin entre un Switch y otro dispositivo, siga este procedimiento general:

MANEJO E IMPLEMENTACION DE LA SEGURIDAD DEL SWITCH ACCESO REMOTO SEGURO.- es un protocolo que proporciona una conexin de administracin segura o cifrada a un dispositivo remoto, se constituye como el sustituto de Telnet para conexiones de administracin, para usar este protocolo se deben tener en cuenta: 1. Verifique soporte SSH: Utilice el comando show ip ssh para verificar que el Switch soporta SSH. Si el interruptor no se est ejecutando un IOS que permita encriptaciones, este comando no es reconocido. 2. Configure el dominio IP: Configurar el nombre de dominio IP de la red utilizando el nombre de dominio comando de modo de configuracin global de nombres de dominio IP. 3. Generar pares de claves RSA: permite automticamente el uso de ssh, para esto se usa el comando crypto key generate rsa en el modo configure terminal, al hacerlo se pide un mdulo de longitud, que se recomienda sea de 1024 bits, para eliminar la encriptacin se usa el comando crypto key rsa zeroize 4. Configuracin de la autenticacin de usuario: en este modo se pueden autenticar a los usuarios de forma local o mediante un servidor de autenticacin, para lo que se debe crear un usuario con una contrasea. 5. Configurar las lneas vty: Habilitar el protocolo SSH en las lneas vty utilizando el comando de modo de transporte de entrada ssh lnea de configuracin.

ATAQUES DE SEGURIDAD COMUNES Interruptor de seguridad bsico no se detiene los ataques maliciosos. La seguridad es un proceso de capas que es esencialmente nunca es completa. Cuanto ms consciente de que el equipo de profesionales de redes dentro de una organizacin son respecto a los ataques de seguridad y los peligros que plantean, mejor. MAC ADDRESS FLOODING.- La tabla de direcciones MAC en un Switch contiene las direcciones MAC asociado con cada puerto fsico y la VLAN asociada para cada puerto. Cuando un Switch de capa 2 recibe una trama, este busca en la tabla CAM la direccin MAC de destino, y se guardaran las direcciones MAC de origen, si la direccin de destino existe en la tabla CAM el Switch reenva la trama al puerto correcto, y si la direccin no existe en la tabla, se inundara la trama a todos los puertos menos al de origen. El inundamiento de direccin MAC desconocidas en un Switch se puede usar para atacarlo, y generar un desbordamiento en la tabla CAM, estas tablas de direcciones MAC poseen un tamao limitado, lo que hace de esta limitacin una vulnerabilidad para un ataque de este tipo, que busca abrumar al Switch, con una fuente generadora de falsa direcciones MAC hasta que la tabla de direcciones MAC del Switch est llena.

Cuando la tabla de direcciones MAC est lleno de direcciones MAC falsas, el Switch entra en modo a prueba de abrir, en este modo, el Switch transmite todas las tramas de todas las mquinas en la red, es decir acta como un hub, lo que hace que el atacante puede ver todos los fotogramas. DHCP SPOOFING.- DHCP es el protocolo que asigna automticamente un host una direccin IP vlida de un pool de DHCP, en este existen dos tipos de ataques a los que es susceptible en una red conmutada, y son: DHCP starvatin.- en este el atacante inunda el servidor DHCP de las solicitudes DHCP, a lo que el servidor responde con todas las direccin que le es posible emitir, despus de que se emiten estas direcciones IP, el servidor no puede emitir ningn ms direcciones, y esta situacin se produce una denegacin de servicio, evitando asi el trafico legitimo de datos. DHCP Spoofing.- tambin llamado suplantacin de DHCP, en este un atacante configura un servidor DHCP falso en la red para emitir direcciones DHCP a los clientes.

La razn normal para este ataque es forzar a los clientes a utilizar falso sistema de nombres de dominio (DNS) y hacer que los clientes utilizan el atacante, o una mquina bajo el control del atacante como su puerta de enlace definida. DHCP starvatin se utiliza a menudo antes de un ataque de DHCP Spoofing para negar el servicio DHCP al servidor DHCP legtimo, e introducir un servidor DHCP falso en la red de manera ms sencilla.

LEVERAGING CDP.- es un protocolo propietario de Cisco cuyo uso puede ser configurado y que viene activado en los puertos de los dispositivos ciscos, mismo que se encarga de descubrir otros dispositivos Cisco conectados directamente y auto configurarlos, aprovechndose de este protocolo, un atacante podr conocer informacin de la configuracin de los dispositivos. ATAQUES TELNET.- Telnet es un protocolo muy inseguro en el que se pueden presentar dos tipos de ataque: 1. Ataques al Password por fuerza bruta: en esta el atacante utiliza una lista de contraseas comunes y un programa diseado para tratar de establecer una sesin Telnet con cada palabra en la lista de diccionarios, si la contrasea no se detecta se utiliza un programa que crea combinaciones de caracteres secuenciales en un intento de adivinar la contrasea, para evitar esto se deben usar Passwords robustos. 2. Denegacin de servicio telnet: el atacante explota un fallo en el software de servidor Telnet, e impide que un administrador de acceso remoto a las funciones de administracin del Switch SEGURIDAD DE LOS PUERTOS DEL SWITCH

Un mtodo muy simple de conseguir una mayor seguridad en un Switch, aunque podra resultar un poco lento es desactivar los puertos que no se vayan a usar, es fcil de hacer cambios de configuracin en varios puertos en un Switch, si se debe configurar un rango de puertos, utilice el comando interface range. Switch (config)# interface range type module/first-number last-number DHCP SNOOPING.- es una caracterstica Cisco que determina qu puertos del Switch pueden responder a las peticiones DHCP. Los puertos se identifican como confiables y no confiables. Puertos de confianza puede fuente los mensajes DHCP, los puertos no son de confianza slo puede recibir solicitudes de origen. Puertos de confianza alojar un servidor DHCP o pueden ser un enlace ascendente hacia el servidor DHCP. Si un dispositivo no autorizado en un puerto no es de confianza intenta enviar un paquete de respuesta de DHCP en la red, el puerto se cierra. Para configurara DHCP Snooping se

deber seguir los siguientes pasos:

1. Habilitar DHCP Snooping 2. Habilitar Snooping DHCP para VLAN especficas 3. Definir los puertos como de confianza a nivel de interfaz mediante la definicin de los
puertos de confianza mediante el comando ip dhcp Snooping confianza. 4. En forma opcional, limitar la velocidad a la que un atacante puede enviar continuamente peticiones DHCP falsos a travs de los puertos que no se confa en el servidor DHCP con el comando ip dhcp Snooping tasa lmite de velocidad.

PORT SECURITY.- las interfaces o puertos deben asegurarse antes de hacer trabajar al Switch, y esto se puede lograr usando la funcin port security que limita el nmero de direcciones MAC vlidas permitidas en un puerto, es decir. Existen varios tipos de direccionamientos MAC seguros y variarn de acuerdo al tipo de configuracin que estas tengan, asi tenemos las siguientes: Static secure MAC addresses.- estas se configuran manualmente en un puerto, se almacenan en la tabla de direcciones y se aaden a la configuracin que se ejecuta en el Switch. Static secure MAC addresses.- estas se aprenden y se almacenan slo en la tabla de direcciones de forma dinmica. Direcciones MAC configurado de esta manera se eliminan cuando se reinicia el Switch. Sticky secure MAC addresses - Direcciones MAC que se pueden aprender de forma dinmica o configuradas manualmente, se almacenan en la tabla de direcciones y se agregan a la configuracin en ejecucin.

Si un puerto est configurado como un puerto seguro y se alcanza el nmero mximo de direcciones MAC, cualquier intento de conexin adicionales por direcciones MAC desconocidas, se generar una violacin de seguridad, asi una violacin de seguridad se dar en el caso que: 1. El nmero mximo de direcciones MAC seguras se han aadido a la tabla de direcciones para esa interfaz, y una estacin cuya direccin MAC no est en la tabla de direcciones de los intentos de acceder a la interfaz. 2. Una direccin aprendido o configurado en una interfaz segura se ve en otra interfaz segura en la misma VLAN. 3. Una interfaz se puede configurar para uno de los tres modos de violacin, especificando las medidas que deben adoptarse en caso de una violacin. En el caso de cumplirse una de estas tres situaciones una interfaz se puede configurar de tres modos de violacin diferentes, especificando las medidas que deben adoptarse en caso de una violacin.

Protect. - Cuando el nmero de direcciones MAC seguras alcanza el lmite permitido en el puerto, los paquetes con direcciones de origen desconocido se eliminan hasta que un nmero suficiente de direcciones MAC seguras se eliminan o se incrementa el nmero de direcciones mximos permitidos, en este modo no se tiene notificaciones. Restrict.- Cuando el nmero de direcciones MAC seguras alcanza el lmite permitido en el puerto, los paquetes con direcciones de origen desconocido se eliminan hasta que un nmero suficiente de direcciones MAC seguras se eliminan o se incrementa el nmero de direcciones mximos permitidos. En este modo, existe una notificacin de que se ha producido una violacin de seguridad. Shutdown.- es el modo por defecto, en este una violacin de la seguridad del puerto hace que la interfaz se apague y se incrementa el contador de violacin. CONFIGURACIONES DE PORT SECURITY

CONFIGURACION POR DEFECTO.-

CONFIGURACION SIN ESPECIFICACION DE VIOLACION.-

CONFIGURACION COMPLETA.-

Luego de realizar estas configuraciones se debe verificar que se hayan hecho correctamente, asi para realizar esta verificacin tenemos:

PUERTOS EN ESTADO ERROR DISABLED.- Cuando se da una violacin de seguridad, un puerto pueden entrar en estado Error Disabled, es este caso el led indicador esta de color naranja, y al hacer uso del comando show interface se ver que el puerto est en estado Error Disabled, al presentarse este caso el administrador debe determinar la causa de la violacin de seguridad antes de volver a habilitar el puerto. Para poder habilitar el puerto se debe apagarlo (Shutdown) y luego encenderlo (no Shutdown), y asi se eliminara el estado Error Disabled.

NETWORK TIME PROTOCOL (NTP) Es un protocolo que se utiliza para sincronizar los relojes de los sistemas informticos a travs de redes de datos de latencia variable de conmutacin de paquetes,. NTP permite que los dispositivos de la red para sincronizar los ajustes de la hora con un servidor NTP. Un dispositivo de red se puede configurar como un servidor NTP o un cliente NTP. Para hacer que el software del reloj se sincronice con la hora de un servidor NTP se tiene los siguientes comandos:

Una vez finalizada esta configuracin se debe como en casos anteriores realizar una verificacin de la correcta programacin del protocolo, asi tenemos: