You are on page 1of 51

CCNA2.

R&S
Routing y
switching

Cap 02: Configuracin y conceptos bsicos de


Switching
Ing. Juan Villegas Cubas
villegas80@hotmail.com
CCNA v 5 : Routing y switching

Captulo 2
2.0 Introduccin

2.1 Configuracin bsica de un switch


2.2 Seguridad de switches: administracin e
implementacin

CCNA v 5 : Routing y switching

Informacin pblica de Cisco

Instructor: Ing. CCNA CCAI Juan Villegas Cubas

Captulo 2: Objetivos
Configurar los parmetros iniciales en un switch Cisco.
Configurar los puertos de un switch para cumplir con los requisitos
de red.
Configurar la interfaz virtual de administracin de un switch.
Describir los ataques de seguridad bsicos en un entorno
conmutado.

Describir las prcticas recomendadas de seguridad en un entorno


conmutado.
Configurar la caracterstica de seguridad de puertos para restringir
el acceso a la red.

CCNA v 5 : Routing y switching

Informacin pblica de Cisco

Instructor: Ing. CCNA CCAI Juan Villegas Cubas

Configuracin bsica de un switch

Secuencia de arranque de un switch


1. POST
2. Se ejecuta el software del cargador de arranque.

3. El cargador de arranque lleva a cabo la inicializacin


de la CPU de bajo nivel.
4. El cargador de arranque inicia el sistema de archivos
flash.
5. El cargador de arranque ubica y carga en la memoria
una imagen del software del sistema operativo IOS
predeterminado

6. Ceder el control del switch al IOS.


CCNA v 5 : Routing y switching

Informacin pblica de Cisco

Instructor: Ing. CCNA CCAI Juan Villegas Cubas

Configuracin bsica de un switch

Secuencia de arranque de un switch


Para encontrar una imagen del IOS adecuada, el switch realiza
los siguientes pasos:
1. Intenta arrancar automticamente con la informacin de la
variable de entorno BOOT.
2. Si esta variable no est establecida, el switch realiza una
bsqueda integral en todo el sistema de archivos flash. Si
puede, el switch carga y ejecuta el primer archivo ejecutable.
3. A continuacin, el sistema operativo IOS inicia las interfaces
mediante los comandos de IOS de Cisco que se encuentran
en el archivo de configuracin, la configuracin de inicio,
almacenado en la memoria NVRAM.
Si se muestra Switch> indica que se ejecut el IOS.
Nota: el comando boot system se puede utilizar para
establecer la variable de entorno BOOT.

CCNA v 5 : Routing y switching

Informacin pblica de Cisco

Instructor: Ing. CCNA CCAI Juan Villegas Cubas

Configuracin bsica de un switch

Recuperacin tras un bloqueo del sistema


El cargador de arranque tambin se puede utilizar para
administrar el switch si el IOS no se puede cargar.
Se puede acceder al cargador de arranque mediante
una conexin de consola con los siguientes pasos:
1. Conecte una computadora al puerto de consola del switch
con un cable de consola. Desconecte el cable de
alimentacin del switch.
2. Vuelva a conectar el cable de alimentacin al switch y
mantenga presionado el botn Mode (Modo).
3. El LED del sistema emite brevemente una luz color mbar y
despus verde slido. Suelte el botn Mode.

Aparece la peticin de entrada switch: del cargador de


arranque en el software de emulacin de terminal en la
computadora.
CCNA v 5 : Routing y switching

Informacin pblica de Cisco

Instructor: Ing. CCNA CCAI Juan Villegas Cubas

Configuracin bsica de un switch

Indicadores LED de los switches


Cada puerto en los switches Cisco Catalyst tiene
indicadores luminosos LED de estado.
Estos LED reflejan la actividad del puerto de manera
predeterminada, pero tambin pueden proporcionar otra
informacin sobre el switch mediante el botn Mode.
Los siguientes modos estn disponibles en los switches
Cisco Catalyst 2960:
LED del sistema
LED del sistema de alimentacin redundante (RPS)
LED de estado del puerto (Si existe error en el puerto, el LED cambia
de color verde a ambar)

LED de modo dplex del puerto


LED de velocidad del puerto
LED de modo de alimentacin por Ethernet
CCNA v 5 : Routing y switching

Informacin pblica de Cisco

Instructor: Ing. CCNA CCAI Juan Villegas Cubas

Configuracin bsica de un switch

Indicadores LED de los switches


Modos de los switches Cisco Catalyst 2960

CCNA v 5 : Routing y switching

Informacin pblica de Cisco

Instructor: Ing. CCNA CCAI Juan Villegas Cubas

Configuracin bsica de un switch

Preparacin para la administracin bsica de


un switch
Para administrar un switch Cisco de forma remota, se lo
debe configurar para que acceda a la red.
Se debe configurar una direccin IP y una mscara de
subred.
Si el switch se administra desde una red remota, tambin
se debe configurar un gateway predeterminado.

La informacin de IP (direccin, mscara de subred,


gateway) se debe asignar a una SVI (interfaz virtual de
switch) de switch. Por defecto se asigna a la VLAN1
Si bien esta configuracin de IP permite la administracin
remota y el acceso remoto al switch, no permite que el
switch enrute paquetes de capa 3.
CCNA v 5 : Routing y switching

Informacin pblica de Cisco

Instructor: Ing. CCNA CCAI Juan Villegas Cubas

Configuracin bsica de un switch

Preparacin para la administracin bsica de


un switch

CCNA v 5 : Routing y switching

Informacin pblica de Cisco

Instructor: Ing. CCNA CCAI Juan Villegas Cubas

10

Configuracin de puertos de un switch

Comunicacin dplex

Mejor rendimiento:
Se deshabilita la
funcin de detectar
colisiones.
Eficacia: Flujo de
datos bidireccional,
Comunicacin en
ambas direcciones.

CCNA v 5 : Routing y switching

Informacin pblica de Cisco

Instructor: Ing. CCNA CCAI Juan Villegas Cubas

11

Configuracin de puertos de un switch

Configuracin de puertos de switch en la capa fsica

CCNA v 5 : Routing y switching

Informacin pblica de Cisco

Instructor: Ing. CCNA CCAI Juan Villegas Cubas

12

Configuracin de puertos de un switch

Caracterstica automtica de MDIX


Antes se requeran determinados tipos de cable
(cruzado o directo) para conectar dispositivos.
La caracterstica automtica de conexin cruzada de
interfaz dependiente del medio (auto-MDIX) elimina
este problema.

Al habilitar la caracterstica auto-MDIX, la interfaz


detecta y configura automticamente las conexiones
conforme a esto. Comando de configuracin mdix auto
Cuando se usa auto-MDIX en una interfaz, la velocidad
y el modo dplex de la interfaz se deben establecer en
auto.

CCNA v 5 : Routing y switching

Informacin pblica de Cisco

Instructor: Ing. CCNA CCAI Juan Villegas Cubas

13

Configuracin de puertos de un switch

Caracterstica automtica de MDIX

CCNA v 5 : Routing y switching

Informacin pblica de Cisco

Instructor: Ing. CCNA CCAI Juan Villegas Cubas

14

Configuracin de puertos de un switch

Caracterstica automtica de MDIX


Verificar la configuracin de Auto-DMIX

CCNA v 5 : Routing y switching

Informacin pblica de Cisco

Instructor: Ing. CCNA CCAI Juan Villegas Cubas

15

Configuracin de puertos de un switch

Verificacin de la configuracin de puertos de


un switch

CCNA v 5 : Routing y switching

Informacin pblica de Cisco

Instructor: Ing. CCNA CCAI Juan Villegas Cubas

16

Configuracin de puertos de un switch

Problemas de la capa de acceso a la red

CCNA v 5 : Routing y switching

Informacin pblica de Cisco

Instructor: Ing. CCNA CCAI Juan Villegas Cubas

17

Configuracin de puertos de un switch

Problemas de la capa de acceso a la red

La elevacin de errores de CRC generalmente significa que se estn


modificando datos durante la transmisin del host al switch. La causa ms
frecuente son los altos niveles de interferencia electromagntica en el enlace
CCNA v 5 : Routing y switching

Informacin pblica de Cisco

Instructor: Ing. CCNA CCAI Juan Villegas Cubas

18

Cuestiones de seguridad en redes LAN

Saturacin de direcciones MAC


Los switches completan automticamente las tablas
CAM mediante la observacin del trfico que ingresa
por los puertos.
Los switches reenvan el trfico por todos los puertos si
este no puede encontrar el destino MAC en la tabla
CAM.
En ese caso, el switch acta como hub. Todos los
dispositivos conectados al switch pueden ver el trfico
de unidifusin.
Un atacante podra aprovechar este comportamiento
para acceder al trfico que normalmente controla el
switch mediante una computadora para ejecutar una
herramienta de saturacin de direcciones MAC.
CCNA v 5 : Routing y switching

Informacin pblica de Cisco

Instructor: Ing. CCNA CCAI Juan Villegas Cubas

19

Cuestiones de seguridad en redes LAN

Saturacin de direcciones MAC


Esta herramienta es un programa creado para generar y
enviar tramas con direcciones MAC de origen falsas al
puerto del switch.
A medida que las tramas llegan al switch, este agrega la
direccin MAC falsa a la tabla CAM y registra el puerto por
el que llegan las tramas.
Por ltimo, la tabla CAM se completa con direcciones MAC
falsas.
La tabla CAM ya no tiene lugar para los dispositivos
legtimos presentes en la red, y, por lo tanto, estos nunca
encontrarn sus direcciones MAC en dicha tabla.
Ahora todas las tramas se reenvan a todos los puertos, lo
que permite que el atacante tenga acceso al trfico a otros
hosts.
CCNA v 5 : Routing y switching

Informacin pblica de Cisco

Instructor: Ing. CCNA CCAI Juan Villegas Cubas

20

Cuestiones de seguridad en redes LAN

Saturacin de direcciones MAC


El atacante satura la tabla CAM con entradas falsas.

CCNA v 5 : Routing y switching

Informacin pblica de Cisco

Instructor: Ing. CCNA CCAI Juan Villegas Cubas

21

Cuestiones de seguridad en redes LAN

Saturacin de direcciones MAC


Ahora el switch funciona como un hub.

Se evita utilizando Seguridad de Puertos


CCNA v 5 : Routing y switching

Informacin pblica de Cisco

Instructor: Ing. CCNA CCAI Juan Villegas Cubas

22

Seguridad de puertos de switch

Seguridad de puertos sin utilizar


La accin de deshabilitar puertos sin utilizar es una pauta de
seguridad simple pero eficaz.

CCNA v 5 : Routing y switching

Informacin pblica de Cisco

Instructor: Ing. CCNA CCAI Juan Villegas Cubas

23

Seguridad de puertos de switch

Seguridad de puertos: funcionamiento


La seguridad de puertos limita la cantidad de direcciones
MAC vlidas permitidas en un puerto.
Se permite el acceso a las direcciones MAC de los
dispositivos legtimos, mientras que otras direcciones MAC
se rechazan.

Cualquier intento adicional de conexin por parte de


direcciones MAC desconocidas generar una violacin de
seguridad.
Las direcciones MAC seguras se pueden configurar de
varias maneras:
Direcciones MAC seguras estticas
Direcciones MAC seguras dinmicas

Direcciones MAC seguras persistentes


CCNA v 5 : Routing y switching

Informacin pblica de Cisco

Instructor: Ing. CCNA CCAI Juan Villegas Cubas

24

Seguridad de puertos de switch

Seguridad de puertos: modos de violacin de


seguridad
IOS considera que se produce una violacin de seguridad
cuando se da cualquiera de estas situaciones:
Se agreg la cantidad mxima de direcciones MAC
seguras a la tabla CAM para esa interfaz, y una
estacin cuya direccin MAC no figura en la tabla de
direcciones intenta acceder a la interfaz.
Cuando se detecta una violacin, hay tres acciones posibles
que se pueden realizar:
Protect(Se descartan los paquetes con direcciones de origen
desconocidas, y no se notifica)
Restrict (Se descartan los paquetes con direcciones de origen
desconocidas, y se notifica)

Shutdown (Accin por defecto, se desactiva el puerto)


CCNA v 5 : Routing y switching

Informacin pblica de Cisco

Instructor: Ing. CCNA CCAI Juan Villegas Cubas

25

Seguridad de puertos de switch

Seguridad de puertos: configuracin


Configuracin predeterminada de la seguridad de
puertos dinmicos

CCNA v 5 : Routing y switching

Informacin pblica de Cisco

Instructor: Ing. CCNA CCAI Juan Villegas Cubas

26

Seguridad de puertos de switch

Seguridad de puertos: configuracin


Configuracin de la seguridad de puertos dinmicos

CCNA v 5 : Routing y switching

Informacin pblica de Cisco

Instructor: Ing. CCNA CCAI Juan Villegas Cubas

27

Seguridad de puertos de switch

Seguridad de puertos: configuracin

Configuracin de la seguridad de puertos persistentes

CCNA v 5 : Routing y switching

Informacin pblica de Cisco

Instructor: Ing. CCNA CCAI Juan Villegas Cubas

28

Seguridad de puertos de switch

Seguridad de puertos: verificacin


Verificacin de la seguridad de puertos persistentes

CCNA v 5 : Routing y switching

Informacin pblica de Cisco

Instructor: Ing. CCNA CCAI Juan Villegas Cubas

29

Seguridad de puertos de switch

Seguridad de puertos: verificacin


Verificacin de la seguridad de puertos persistentes:
configuracin en ejecucin

CCNA v 5 : Routing y switching

Informacin pblica de Cisco

Instructor: Ing. CCNA CCAI Juan Villegas Cubas

30

Seguridad de puertos de switch

Seguridad de puertos: verificacin


Verificacin de la seguridad de puertos: direcciones
MAC seguras

CCNA v 5 : Routing y switching

Informacin pblica de Cisco

Instructor: Ing. CCNA CCAI Juan Villegas Cubas

31

Seguridad de puertos de switch

Puertos en estado de inhabilitacin por errores


Una violacin de seguridad de puertos puede dejar al
switch en estado de inhabilitacin por errores.
Un puerto en estado de inhabilitacin por errores
queda desactivado completamente.

El switch comunicar estos eventos por medio de


mensajes de consola.

CCNA v 5 : Routing y switching

Informacin pblica de Cisco

Instructor: Ing. CCNA CCAI Juan Villegas Cubas

32

Seguridad de puertos de switch

Puertos en estado de inhabilitacin por errores


El comando show interface tambin indica si hay un
puerto de switch en estado de inhabilitacin por errores.

CCNA v 5 : Routing y switching

Informacin pblica de Cisco

Instructor: Ing. CCNA CCAI Juan Villegas Cubas

33

Seguridad de puertos de switch

Puertos en estado de inhabilitacin por errores


Se debe emitir un comando de interfaz shutdown/no
shutdown para volver a habilitar el puerto.

CCNA v 5 : Routing y switching

Informacin pblica de Cisco

Instructor: Ing. CCNA CCAI Juan Villegas Cubas

34

Cuestiones de seguridad en redes LAN

Suplantacin de identidad de DHCP


DHCP es un protocolo de red que se utiliza para asignar la
informacin IP automticamente.

Los dos tipos de ataques de DHCP que existen son los


siguientes:
Suplantacin de identidad de DHCP
Agotamiento de direcciones DHCP (Inanicin DHCP)

En los ataques de suplantacin de identidad de DHCP, se


coloca un servidor de DHCP falso en la red para emitir
direcciones de DHCP para los clientes.
El agotamiento de direcciones DHCP se utiliza
generalmente antes del ataque de suplantacin de identidad
de DHCP para denegar el servicio al servidor de DHCP
legtimo.
CCNA v 5 : Routing y switching

Informacin pblica de Cisco

Instructor: Ing. CCNA CCAI Juan Villegas Cubas

35

Cuestiones de seguridad en redes LAN

Suplantacin de identidad de DHCP


Ataque de suplantacin de identidad de DHCP

CCNA v 5 : Routing y switching

Informacin pblica de Cisco

Instructor: Ing. CCNA CCAI Juan Villegas Cubas

36

Seguridad de puertos de switch

Deteccin de DHCP
La deteccin de DHCP permite determinar cules son los puertos
de switch que pueden responder a solicitudes de DHCP.

CCNA v 5 : Routing y switching

Informacin pblica de Cisco

Instructor: Ing. CCNA CCAI Juan Villegas Cubas

37

Cuestiones de seguridad en redes LAN

Aprovechamiento de CDP
CDP es un protocolo exclusivo de Cisco de capa 2 que
se utiliza para detectar otros dispositivos de Cisco
conectados directamente.
Est diseado para permitir que los dispositivos
configuren las conexiones automticamente.
Si un atacante escuchara los mensajes CDP, podra
obtener informacin importante, como el modelo del
dispositivo o la versin del software en ejecucin.

Cisco recomienda deshabilitar CDP cuando no se


utiliza.

CCNA v 5 : Routing y switching

Informacin pblica de Cisco

Instructor: Ing. CCNA CCAI Juan Villegas Cubas

38

Cuestiones de seguridad en redes LAN

Aprovechamiento de Telnet
Como se mencion anteriormente, el protocolo Telnet
no es seguro, y se debe reemplazar por SSH.
Sin embargo, un atacante pueda utilizar Telnet como
parte de otros ataques.

Dos de estos ataques son los ataques de contrasea


de fuerza bruta y el ataque DoS por Telnet.
Cuando no se pueden capturar las contraseas, los
atacantes prueban con tantas combinaciones de
caracteres como sea posible. Este intento de adivinar
la contrasea se conoce como ataque de contrasea
de fuerza bruta.
Telnet se puede utilizar para probar la contrasea
adivinada en el sistema.
CCNA v 5 : Routing y switching

Informacin pblica de Cisco

Instructor: Ing. CCNA CCAI Juan Villegas Cubas

39

Acceso remoto seguro

Funcionamiento de SSH
Shell seguro (SSH) es un protocolo que proporciona una
conexin segura (cifrada) a un dispositivo remoto basada en la
lnea de comandos.
Por lo general, SSH se utiliza en sistemas basados en UNIX.
IOS de Cisco tambin admite SSH.
Para habilitar SSH en los switches Catalyst 2960, se requiere
una versin del software IOS que incluya caractersticas y
capacidades criptogrficas (cifradas).
SSH reemplaza a Telnet para las conexiones de administracin,
debido a sus slidas caractersticas de cifrado.
SSH utiliza el puerto TCP 22 de manera predeterminada. Telnet
utiliza el puerto TCP 23.

CCNA v 5 : Routing y switching

Informacin pblica de Cisco

Instructor: Ing. CCNA CCAI Juan Villegas Cubas

40

Acceso remoto seguro

Funcionamiento de SSH

CCNA v 5 : Routing y switching

Informacin pblica de Cisco

Instructor: Ing. CCNA CCAI Juan Villegas Cubas

41

Acceso remoto seguro

Configuracin de SSH

CCNA v 5 : Routing y switching

Informacin pblica de Cisco

Instructor: Ing. CCNA CCAI Juan Villegas Cubas

42

Acceso remoto seguro

Verificacin de SSH

CCNA v 5 : Routing y switching

Informacin pblica de Cisco

Instructor: Ing. CCNA CCAI Juan Villegas Cubas

43

Prcticas recomendadas de seguridad

10 prcticas recomendadas
Desarrolle una poltica de seguridad escrita para la
organizacin.
Desactive los servicios y puertos que no se utilicen.
Utilice contraseas seguras y cmbielas con frecuencia.

Controle el acceso fsico a los dispositivos.


Utilice HTTPS en lugar de HTTP.
Realice copias de seguridad regularmente.

Capacite a los empleados sobre los ataques de ingeniera


social.
Cifre y proteja con contraseas los datos confidenciales.
Implemente firewalls.
Mantenga el software actualizado.
CCNA v 5 : Routing y switching

Informacin pblica de Cisco

Instructor: Ing. CCNA CCAI Juan Villegas Cubas

44

Prcticas recomendadas de seguridad

Herramientas de seguridad de red: opciones


Las herramientas de seguridad de red son muy
importantes para los administradores de red.
Estas herramientas permiten que el administrador
pruebe la resistencia de las medidas de seguridad
implementadas.
Un administrador puede iniciar un ataque contra la red
y analizar los resultados.
Estas herramientas tambin sirven para determinar
cmo ajustar las polticas de seguridad, a fin de mitigar
esos tipos de ataques.
Las auditoras de seguridad y las pruebas de
penetracin son dos funciones bsicas de las
herramientas de seguridad de red.
CCNA v 5 : Routing y switching

Informacin pblica de Cisco

Instructor: Ing. CCNA CCAI Juan Villegas Cubas

45

Prcticas recomendadas de seguridad

Herramientas de seguridad de red: auditoras


Las herramientas de seguridad de red se pueden
utilizar para auditar la red.
Al controlar la red, el administrador puede evaluar qu
tipo de informacin puede reunir un atacante.

Por ejemplo, si se ataca y satura la tabla CAM de un


switch, el administrador puede descubrir qu puertos
del switch son vulnerables a la saturacin de
direcciones MAC y corregir el problema.
Las herramientas de seguridad de red tambin se
pueden utilizar como herramientas de prueba de
penetracin.

CCNA v 5 : Routing y switching

Informacin pblica de Cisco

Instructor: Ing. CCNA CCAI Juan Villegas Cubas

46

Prcticas recomendadas de seguridad

Herramientas de seguridad de red: auditoras


La prueba de penetracin es un ataque simulado.
Ayuda a determinar qu tan vulnerable sera la red en
un ataque real.
Se pueden identificar las debilidades en la
configuracin de los dispositivos de red segn los
resultados de esta prueba.
Se pueden realizar cambios para que los dispositivos
sean ms resistentes a los ataques.
Dichas pruebas pueden daar la red, y se deben
realizar en condiciones muy controladas.
Lo ideal es una red sin conexin que imite la red de
produccin real y funcione como banco de pruebas.
CCNA v 5 : Routing y switching

Informacin pblica de Cisco

Instructor: Ing. CCNA CCAI Juan Villegas Cubas

47

Seguridad de puertos de switch

Protocolo de tiempo de red (NTP)


NTP es un protocolo que se utiliza para sincronizar los
relojes de las redes de datos de los sistemas de
computacin.
NTP puede obtener la hora correcta de un origen de hora
interno o externo

Los orgenes de hora pueden ser los siguientes:


Reloj maestro local
Reloj maestro en Internet

GPS o reloj atmico


Los dispositivos de red se pueden configurar como servidor
NTP o cliente NTP.

CCNA v 5 : Routing y switching

Informacin pblica de Cisco

Instructor: Ing. CCNA CCAI Juan Villegas Cubas

48

Seguridad de puertos de switch

Protocolo de tiempo de red (NTP)


Configuracin de NTP

CCNA v 5 : Routing y switching

Informacin pblica de Cisco

Instructor: Ing. CCNA CCAI Juan Villegas Cubas

49

Seguridad de puertos de switch

Protocolo de tiempo de red (NTP)


Verificacin de NTP

CCNA v 5 : Routing y switching

Informacin pblica de Cisco

Instructor: Ing. CCNA CCAI Juan Villegas Cubas

50

CCNA v 5 : Routing y switching

Informacin pblica de Cisco

Instructor: Ing. CCNA CCAI Juan Villegas Cubas

51