PUERTOS EN ESTADO DE INHABILITACIÓN POR ERRORES

Cuando se configura un puerto con seguridad de puertos, una violación puede provocar que el puerto se inhabilite por errores. Cuando un puerto se inhabilita por errores, se desactiva eficazmente, y no se envía ni se recibe tráfico en ese puerto. En la consola (figura 1), se muestra una serie de mensajes relacionados con la seguridad del puerto.

1

Nota: el estado del enlace y del protocolo del puerto cambia a down (inactivo).

El LED del puerto se apagará. El comando show interfaces identifica el estado del puerto como err-disabled (figura 2). El resultado del comando show port-security interface ahora muestra el estado del puerto como secure-shutdown. Debido a que el modo de violación de seguridad de puertos está establecido en shutdown, el puerto que experimenta la violación de seguridad pasa al estado de inhabilitación por errores.

2.PNG

El administrador debe determinar la causa de la violación de seguridad antes de volver a habilitar el puerto. Si hay un dispositivo no autorizado conectado a un puerto seguro, el puerto no se debe volver a habilitar hasta que se elimine la amenaza de seguridad. Para volver a habilitar el puerto, use el comando shutdown del modo de configuración de interfaz (figura 3). Luego, use el comando no shutdown del modo de configuración de interfaz para que el puerto funcione.

3.PNG

SEGURIDAD DE PUERTOS: VERIFICACIÓN

Verificar la seguridad del puerto

Después de configurar la seguridad de puertos en un switch, revise cada interfaz para verificar que la seguridad de puertos y las direcciones MAC estáticas se configuraron correctamente.

Verificar los parámetros de seguridad de puerto

Para mostrar la configuración de seguridad de puertos para el switch o la interfaz especificada, use el comando show port-security interface [id-interfaz]. El resultado de la configuración de la seguridad del puerto dinámico se muestra en la figura 1. De manera predeterminada, se permite una dirección MAC en este puerto.

1.PNG

El resultado que se muestra en la figura 2 muestra los valores de la configuración de seguridad del puerto persistente. La cantidad máxima de direcciones se estableció en 10, como se configuró.

2.PNG

Nota: la dirección MAC se identifica como sticky MAC (MAC persistente).

Las direcciones MAC persistentes se agregan a la tabla de direcciones MAC y a la configuración en ejecución. Como se muestra en la figura 3, la dirección MAC persistente de la PC2 se agregó a la configuración en ejecución para S1.

3.PNG

Verificar las direcciones MAC seguras

Para mostrar todas las direcciones MAC seguras configuradas en todas las interfaces del switch o en una interfaz especificada con la información de vencimiento para cada una, use el comando show port-security address. Como se muestra en la figura 4, las direcciones MAC seguras se indican junto con los tipos.

4.PNG

SEGURIDAD DE PUERTOS: CONFIGURACIÓN

En la figura 1, se resume la configuración predeterminada de seguridad de puerto en un switch Cisco Catalyst.

1.PNG

En la figura 2, se muestran los comandos de CLI de Cisco IOS necesarios para configurar la seguridad de puertos en el puerto Fast Ethernet F0/18 del switch S1. Observe que el ejemplo no especifica un modo de violación. En este ejemplo, el modo de violación es shutdown, el modo predeterminado.

2.PNG

En la figura 3, se muestra cómo habilitar las direcciones MAC seguras persistentes para la seguridad de puertos en el puerto Fast Ethernet 0/19 del switch S1. Como se mencionó anteriormente, la cantidad máxima de direcciones MAC seguras se puede configurar de forma manual. En este ejemplo, la sintaxis del comando de Cisco IOS se utiliza para establecer en 10 la cantidad máxima de direcciones MAC para el puerto 0/19. De manera predeterminada, el modo de violación se establece en shutdown.

3.PNG

SEGURIDAD DE PUERTOS: MODOS DE VIOLACIÓN DE SEGURIDAD

Se puede configurar una interfaz para uno de tres modos de violación, con la acción específica que se debe realizar si se produce una violación. La figura muestra los tipos de tráficos de datos que se envían cuando se configura en el puerto uno de los siguientes modos de violación de seguridad.

Protect (Proteger): cuando la cantidad de direcciones MAC seguras alcanza el límite permitido para el puerto, los paquetes con direcciones de origen desconocidas se descartan hasta que se elimine una cantidad suficiente de direcciones MAC seguras o se aumente la cantidad máxima de direcciones permitidas. No hay ninguna notificación de que se produjo una violación de seguridad.

Restrict (Restringir): cuando la cantidad de direcciones MAC seguras alcanza el límite permitido para el puerto, los paquetes con direcciones de origen desconocidas se descartan hasta que se elimine una cantidad suficiente de direcciones MAC seguras o se aumente la cantidad máxima de direcciones permitidas. En este modo, hay una notificación de que se produjo una violación de seguridad.

Shutdown (Desactivar): en este modo (predeterminado), una violación de seguridad de puerto produce que la interfaz se inhabilite de inmediato por errores y que se apague el LED del puerto. Aumenta el contador de violaciones. Cuando un puerto seguro está en el estado inhabilitado por errores, se lo puede sacar de este estado si se introduce el comando de modo de configuración de interfaz shutdown seguido por el comando no shutdown.

Para cambiar el modo de violación en un puerto de switch, use el comando del modo de configuración de interfaz switchport port-security violation {protect | restrict | shutdown}.

1.PNG

SEGURIDAD DE PUERTOS: FUNCIONAMIENTO

Seguridad de puertos

Se deben proteger todos los puertos (interfaces) del switch antes de implementar el dispositivo para la producción. Una forma de proteger los puertos es mediante la implementación de una característica denominada “seguridad de puertos”. La seguridad de puerto limita la cantidad de direcciones MAC válidas permitidas en el puerto. Se permite el acceso a las direcciones MAC de los dispositivos legítimos, mientras que otras direcciones MAC se rechazan.

La seguridad de puertos se puede configurar para permitir una o más direcciones MAC. Si la cantidad de direcciones MAC permitidas en el puerto se limita a una, solo el dispositivo con esa dirección MAC específica puede conectarse correctamente al puerto.

Si se configura un puerto como seguro y se alcanza la cantidad máxima de direcciones MAC, cualquier intento adicional de conexión de las direcciones MAC desconocidas genera una violación de seguridad. En la figura 1, se resumen estos puntos.

1.PNG

Tipos de direcciones MAC seguras

Existen varias maneras de configurar la seguridad de puerto. El tipo de dirección segura se basa en la configuración e incluye lo siguiente:

Direcciones MAC seguras estáticas: son direcciones MAC que se configuran manualmente en un puerto mediante el comando switchport port-security mac-address dirección-mac (comando del modo de configuración de interfaz) Las direcciones MAC configuradas de esta forma se almacenan en la tabla de direcciones y se agregan a la configuración en ejecución del switch.

Direcciones MAC seguras dinámicas: son direcciones MAC detectadas dinámicamente y se almacenan solamente en la tabla de direcciones. Las direcciones MAC configuradas de esta manera se eliminan cuando el switch se reinicia.

Direcciones MAC seguras persistentes: son direcciones MAC que pueden detectarse de forma dinámica o configurarse de forma manual, y que después se almacenan en la tabla de direcciones y se agregan a la configuración en ejecución.

Direcciones MAC seguras persistentes

Para configurar una interfaz a fin de convertir las direcciones MAC detectadas dinámicamente en direcciones MAC seguras persistentes y agregarlas a la configuración en ejecución, debe habilitar el aprendizaje por persistencia. El aprendizaje por persistencia se habilita en una interfaz mediante el comando switchport port-security mac-address sticky del modo de configuración de interfaz.

Cuando se introduce este comando, el switch convierte todas las direcciones MAC detectadas dinámicamente en direcciones MAC seguras persistentes, incluso las que se detectaron dinámicamente antes de que se habilitara el aprendizaje por persistencia. Todas las direcciones MAC seguras persistentes se agregan a la tabla de direcciones y a la configuración en ejecución.

Las direcciones MAC seguras persistentes también se pueden definir manualmente. Cuando se configuran las direcciones MAC seguras persistentes con el comando de configuración de interfaz switchport port-security mac-address sticky dirección-mac todas las direcciones especificadas se agregan a la tabla de direcciones y a la configuración en ejecución.

Si se guardan las direcciones MAC seguras persistentes en el archivo de configuración de inicio, cuando el switch se reinicia o la interfaz se desactiva, la interfaz no necesita volver a aprender las direcciones. Si no se guardan las direcciones seguras persistentes, estas se pierden.

Si se inhabilita el aprendizaje por persistencia mediante el comando no switchport port-security mac-address sticky del modo de configuración de interfaz, las direcciones MAC seguras persistentes siguen formando parte de la tabla de direcciones, pero se eliminan de la configuración en ejecución.

En la figura 2, se muestran las características de las direcciones MAC seguras persistentes.

2.PNG

Nota: La característica de seguridad de puertos no funciona hasta que se habilita la seguridad de puertos en la interfaz mediante el comando switchport po

ASEGURAR LOS PUERTOS SIN UTILIZAR

Deshabilitar puertos en desuso

Un método simple que muchos administradores usan para contribuir a la seguridad de la red ante accesos no autorizados es inhabilitar todos los puertos del switch que no se utilizan. Por ejemplo, si un switch Catalyst 2960 tiene 24 puertos y hay tres conexiones Fast Ethernet en uso, es aconsejable inhabilitar los 21 puertos que no se utilizan. Navegue hasta todos los puertos que no se utilizan y emita el comando shutdown de Cisco IOS. Si, más adelante, se debe reactivar un puerto, se puede habilitar con el comando no shutdown La figura muestra el resultado parcial para esta configuración.

Realizar cambios de configuración a varios puertos de un switch es sencillo. Si se debe configurar un rango de puertos, use el comando interface range.

Switch(config)# interface range escriba el módulo/primer-número – último-número

El proceso de habilitación e inhabilitación de puertos puede llevar mucho tiempo, pero mejora la seguridad de la red y vale la pena el esfuerzo.

1.PNG

AMENAZAS DE SEGURIDAD

La seguridad de la red es una parte integral de las redes de PC, independientemente de si la red está limitada a un entorno doméstico con una única conexión a Internet o si es tan extensa como una empresa con miles de usuarios. La seguridad de la red implementada debe tener en cuenta el entorno, así como las herramientas y los requisitos de la red. Debe poder proteger los datos y, al mismo tiempo, mantener la calidad de servicio que se espera de la red.

La protección de la red incluye protocolos, tecnologías, dispositivos, herramientas y técnicas para proteger los datos y mitigar amenazas. Los vectores de amenazas pueden ser externos o internos. En la actualidad, muchas amenazas de seguridad de red externas se expanden por Internet.

Las amenazas externas más comunes a las redes incluyen las siguientes:

  • Virus, gusanos y caballos de Troya: se trata de software malicioso y códigos arbitrarios que se ejecutan en un dispositivo de usuario.
  • Spyware y adware: software instalado en un dispositivo de usuario que recopila información sobre el usuario de forma secreta.
  • Ataques de día cero, también llamados “ataques de hora cero”: un ataque que ocurre el mismo día en que se hace pública una vulnerabilidad.
  • Ataques de hackers: un ataque de una persona experta a los dispositivos de usuario o recursos de red.
  • Ataques por denegación de servicio: ataques diseñados para reducir o para bloquear aplicaciones y procesos en un dispositivo de red.
  • Interceptación y robo de datos: un ataque para capturar información privada en la red de una organización.
  • Robo de identidad: un ataque para robar las credenciales de inicio de sesión de un usuario a fin de acceder a datos privados.

También es importante tener en cuenta las amenazas internas. Se llevaron a cabo numerosos estudios que muestran que las violaciones de datos más comunes suceden a causa de los usuarios internos de la red. Esto se puede atribuir a dispositivos perdidos o robados o al mal uso accidental por parte de los empleados, y dentro del entorno comercial, incluso a empleados maliciosos. Con las estrategias de BYOD en desarrollo, los datos corporativos son mucho más vulnerables. Por lo tanto, cuando se desarrolla una política de seguridad, es importante abordar tanto las amenazas de seguridad externas como las internas.

No hay una solución única que pueda proteger una red contra la variedad de amenazas que existen. Por este motivo, la seguridad debe implementarse en varias capas, y debe utilizarse más de una solución de seguridad. Si un componente de seguridad no puede identificar ni proteger la red, hay otros que pueden hacerlo.

En general, la implementación de seguridad de las redes domésticas es muy básica. Se suele implementar en los terminales de conexión así como en el punto de conexión a Internet e incluso puede depender de servicios contratados al ISP.

Por otra parte, la implementación de seguridad de la red en redes de las empresas normalmente consiste en la integración de numerosos componentes a la red para controlar y filtrar el tráfico. Lo ideal es que todos los componentes funcionen juntos, lo que minimiza la necesidad de mantenimiento y aumenta la seguridad.

Los componentes de seguridad de la red para redes domésticas o de oficinas pequeñas deben incluir, como mínimo, lo siguiente:

  • Antivirus y antispyware: se utilizan para proteger los terminales de infecciones con software malicioso.
  • Filtrado de firewall: para bloquear accesos no autorizados a la red. Esto puede incluir un sistema de firewall ejecutado en un host que se implemente para impedir el acceso no autorizado al terminal o un servicio de filtrado básico en el router doméstico para impedir el acceso no autorizado del mundo exterior a la red.
  • Además de lo anterior, las redes más grandes y las redes corporativas generalmente tienen otros requisitos de seguridad:
  • Sistemas de firewall dedicados: para proporcionar funcionalidades de firewall más avanzadas que puedan filtrar una gran cantidad de tráfico con mayor granularidad.
  • Listas de control de acceso (ACL): filtran el acceso y el reenvío de tráfico.
  • Sistemas de prevención de intrusión (IPS): identifican amenazas de rápida expansión, como ataques de día cero o de hora cero.
  • Redes privadas virtuales (VPN): proporcionan un acceso seguro a los trabajadores remotos.

Los requisitos de seguridad de la red deben tener en cuenta el entorno de red, así como las diversas aplicaciones y los requisitos informáticos. Tanto los entornos domésticos como las empresas deben poder proteger sus datos y, al mismo tiempo, mantener la calidad de servicio que se espera de cada tecnología. Además, la solución de seguridad implementada debe poder adaptarse a las crecientes tendencias de red, en constante cambio.

El estudio de las amenazas de seguridad de red y de las técnicas de mitigación comienza con una comprensión clara de la infraestructura de switching y routing subyacente utilizada para organizar los servicios de red.