anteproyecto seguridad en capa 2.pdf
Post on 27-Dec-2015
28 Views
Preview:
TRANSCRIPT
1
EL COLEGIO DE LA FRONTERA SUR
Nombre del Proyecto:
IMPLEMENTACION DE SEGURIDAD EN CAPA DOS Presenta:
Rocío Guadalupe Rodas López
Celos Wenceslao Jiménez Santis
Institución de Procedencia: UNIVERSIDAD TECNOLÓGICA
DE LA SELVA Técnico Superior:
Redes y Telecomunicaciones
Titular del área:
Ing. Roque Sergio Romero Negrete
San Cristóbal de las Casas, Chiapas
2
INDICE
Contenido I. MARCO REFERENCIAL ............................................................................................................. 3
II. INTRODUCCIÓN ......................................................................................................................... 4
III. PLANTEAMIENTO DEL PROBLEMA .................................................................................... 5
IV. OBJETIVO ................................................................................................................................... 5
V. ALCANCES .................................................................................................................................. 5
VI. DESARROLLO ........................................................................................................................... 6
VI.I Direcciones MAC ................................................................................................................ 6
VI.II Obtención de una dirección MAC ................................................................................. 7
VI.III Port Security en Switches Cisco .................................................................................. 8
VI.IV ¿Para qué sirve Port Security? ..................................................................................... 9
VI.V Beneficios ......................................................................................................................... 10
VI.VI Verificación de la seguridad de puertos ................................................................. 10
VI.VII Características ............................................................................................................. 10
VI.VIII Razón para la realización de port-security en switch cisco ............................ 11
VI.IX Configuración De Port-Security ................................................................................ 11
Dirección MAC segura estática ........................................................................................ 13
Dirección MAC segura dinámica ...................................................................................... 14
Dirección MAC segura sticky ............................................................................................ 14
VI.V Configuración .................................................................................................................. 14
VII. MÉTODO A UTILIZAR ........................................................................................................... 16
Dirección MAC segura estática ............................................................................................ 16
VIII. RESULTADOS ESPERADOS ............................................................................................. 20
IX. BIBLIOGRAFÍAS ..................................................................................................................... 21
3
I. MARCO REFERENCIAL
En 1973, los intereses confluentes de tres instituciones para el desarrollo de
capacidades científicas enfocadas a la problemática de las áreas tropicales del
país, llevaron a la organización del Centro de Investigaciones Ecológicas del
Sureste (CIES). Por otro lado, el gobierno del estado de Chiapas, encabezado por
el doctor Manuel Velasco Suárez, buscaba establecer un centro para el análisis de
problemas del bienestar humano y del desarrollo productivo de las regiones
marginadas de Chiapas, considerando en particular la dinámica social y cultural de
las comunidades indígenas.
Otro interés para la fundación del CIES surgió en el departamento de Ecología
Humana de la Facultad de Medicina de la Universidad Autónoma de México
(UNAM). Este departamento promovía la investigación entomológica de las
enfermedades tropicales, en particular la oncocercosis, leshmaniasis y malaria, y
buscaba establecer una colaboración con el Centro de Estudios de Oftalmología
Tropical, con base en San Cristóbal y enfocado a la problemática de tracoma en la
región, así como con las universidades de Yucatán y de Tabasco.
Por último, el Consejo Nacional de Ciencia y Tecnología (CONACYT) iniciaba un
programa de descentralización de la investigación científica que planteaba la
organización de programas de investigación en biología tropical. La suma de
esfuerzos a partir de estos tres intereses llevó a la formulación de una propuesta
para organizar un centro de investigaciones enfocado a los problemas del sureste
de México y localizado en San Cristóbal de Las Casas, Chiapas. Es así que en
1973, a través de un convenio tripartita, se dio forma a un programa preliminar
orientado a definir la viabilidad de este centro de investigación científica.
4
II. INTRODUCCIÓN
Una dimensión sumamente importante en la seguridad de redes LAN es el control
de quiénes pueden (y quiénes no) acceder a la red interna de la empresa. Ante tal
situación para incrementar la seguridad en una red LAN es posible implementar
seguridad de puertos en los switches de capa de acceso, de manera de permitir
que a cada puerto se conecte sólo la estación autorizada.
La activación de Port Security se realiza a nivel de interfaz, lo primero es acceder
al modo de configuración y después a la interfaz. Por medio de este se proteger al
switch de Ataques de Direcciones MAC malintencionados, limitando el número
máximo de direcciones MAC que pueden ser adquiridas por la dirección MAC
dinámicamente / estáticamente.
5
III. PLANTEAMIENTO DEL PROBLEMA
Al tener libre acceso de los puertos se puede conectar cualquier persona ya sea
personal de la empresa o campus o visitante con solo conectarse a algún puerto
disponible del switch con el fin de ingresar a la red.
IV. OBJETIVO
Incrementar la seguridad en una red LAN implementando seguridad de puertos en
los switches de capa de acceso, de manera de permitir que a cada puerto se
conecte sólo la estación autorizada utilizando port-security, un mecanismo
bastante potente y sencillo.
V. ALCANCES
Por medio de Port-Security se controlaran el número de equipos que podrán
conectarse al switch de nuestra red.
Alcances Limitaciones
Incrementa la seguridad en una red
LAN.
restringir a partir de la dirección
MAC quien se puede conectar a un
determinado puerto del switch
Si un dispositivo con otra dirección
MAC intenta comunicarse a través
de esa boca, port-security
deshabilitará el puerto.
Número determinado de equipos
conectados al switch.
En caso de bloqueo de un puerto, es
necesario que el Administrador de la
red desbloquee dicho puerto
mediante un comando en el propio
switch.
6
VI. DESARROLLO
VI.I Direcciones MAC
En las redes de computadoras, la dirección MAC (siglas en inglés de media
access control; en español "control de acceso al medio") es un identificador de 48
bits (6 bloques hexadecimales) que corresponde de forma única a una tarjeta o
dispositivo de red. Se conoce también como dirección física, y es única para cada
dispositivo. Está determinada y configurada por el IEEE (los últimos 24 bits) y el
fabricante (los primeros 24 bits) utilizando el organizationally unique identifier. La
mayoría de los protocolos que trabajan en la capa 2 del modelo OSI usan una de
las tres numeraciones manejadas por el IEEE: MAC-48, EUI-48, y EUI-64, las
cuales han sido diseñadas para ser identificadores globalmente únicos. No todos
los protocolos de comunicación usan direcciones MAC, y no todos los protocolos
requieren identificadores globalmente únicos.
Las direcciones MAC son únicas a nivel mundial, puesto que son escritas
directamente, en forma binaria, en el hardware en su momento de fabricación.
Debido a esto, las direcciones MAC son a veces llamadas burned-in addresses, en
inglés.
Si nos fijamos en la definición como cada bloque hexadecimal son 8 dígitos
binarios (bits), tendríamos:
6 * 8 = 48 bits únicos
En la mayoría de los casos no es necesario conocer la dirección MAC, ni para
montar una red doméstica, ni para configurar la conexión a internet, usándose esta
sólo a niveles internos de la red. Sin embargo, es posible añadir un control de
hardware en un conmutador o un punto de acceso inalámbrico, para permitir sólo
a unas MAC concretas el acceso a la red. En este caso, deberá saberse la MAC
de los dispositivos para añadirlos a la lista. Dicho medio de seguridad se puede
considerar un refuerzo de otros sistemas de seguridad, ya que teóricamente se
7
trata de una dirección única y permanente, aunque en todos los sistemas
operativos hay métodos que permiten a las tarjetas de red identificarse con
direcciones MAC distintas de la real.
Port Security es un feature de los switches Cisco que les permite retener las
direcciones MAC conectadas a cada puerto del dispositivo y permitir solamente a
esas direcciones MAC comunicarse a través de esa boca del switch. Si un
dispositivo con otra dirección MAC intenta comunicarse a través de esa boca, port-
security deshabilitará el puerto. Incluso se puede implementar SNMP para recibir
en el momento en el sistema de monitoreo la notificación correspondiente al
bloqueo del puerto.
VI.II Obtención de una dirección MAC
Windows
Abre una línea de comandos de DOS (o símbolo del sistema). Una forma
de hacerlo es Menú inicio, Ejecutar, escribir "cmd"
Escribe el comando ipconfig /all
8
Identifica la sección "Conexiones de red inalámbricas"
Cada tarjeta de red tiene una dirección diferente.
Abre una terminal y ejecuta el comando ifconfig –a
Identifica la interfaz inalámbrica, en este caso wlan0
Identifica el valor de HWaddr, ésta es la MAC address. NOTA: para tu
computadora este valor es diferente.
VI.III Port Security en Switches Cisco
Port Security es un feature de los switches Cisco que les permite retener las
direcciones MAC conectadas a cada puerto del dispositivo y permitir solamente a
esas direcciones MAC comunicarse a través de esa boca del switch. Si un
dispositivo con otra dirección MAC intenta comunicarse a través de esa boca, port-
security deshabilitará el puerto. Incluso se puede implementar SNMP para recibir
en el momento en el sistema de monitoreo la notificación correspondiente al
bloqueo del puerto.
9
VI.IV ¿Para qué sirve Port Security?
Permite a los administradores especificar en forma estática las direcciones MAC
permitidas en un puerto determinado, o permitir al switch aprender en forma
dinámica un número limitado de direcciones MAC. Limitando a uno el número de
direcciones MAC permitidas en un puerto, la seguridad de puerto puede ser
utilizada para controlar la expansión no autorizada de la red. Una vez que las
direcciones MAC son asignadas a un puerto seguro, dicho puerto no reenvía
tramas cuyas direcciones MAC deorigen no se encuentren en el grupo de
direcciones definidas. Cuando un puerto configurado con seguridad recibe una
trama, se compara la dirección MAC de origen de la trama contra la lista de
direcciones de origen seguras que fueron configuradas en forma manual o
automática (aprendidas) en el puerto.
Si un dispositivo con otra dirección MAC intenta comunicarse a través de un
puerto de la LAN, port-security deshabilitará el puerto. Incluso se puede
implementar SNMP para recibir al momento en el sistema de monitoreo la
notificación correspondiente al bloqueo del puerto. Unos mecanismos bastante
potente y sencillo:
• Dirección MAC segura estática
• Dirección MAC segura dinámica
• Dirección MAC segura sticky
Dos aspectos importantes a tener en cuenta:
1. Si se habilitan las direcciones MAC sticky y ya había direcciones aprendidas
de forma dinámica, éstas pasan a la running-config y todas las nuevas que se
aprendan también se agregan allí.
2. Si se deshabilitan las direcciones MAC sticky todas las que hubiera pasan a
ser dinámicas y se borran de la running-config. Además, todas las que se
aprendan también serán dinámicas.
10
VI.V Beneficios
Seguridad en la información.
Reducción de costos.
Monitoreo el estado de los puertos.
Acceso a los recursos desde cualquier momento.
VI.VI Verificación de la seguridad de puertos
Cuando la seguridad de puertos se encuentra habilitada, el administrador debe
utilizar los comandos show para verificar si el puerto ha aprendido la dirección
MAC. Además, los comandos show resultan de utilidad para monitorear y resolver
problemas de las configuraciones de port-security. Puedenser utilizados para ver
información tal como el número máximo de direcciones MAC que pueden
asociarse a un puerto, el contador de violaciones, o el modo actual de violación.
VI.VII Características
La Seguridad de Puerto de Cisco es una característica que nos permite añadir
seguridad al acceso físico de la red. El IOS de Cisco tiene la característica de"port-
security" la cual puede ser usada para:
• Restringir la o las direcciones MAC que se pueden conectar a través de un
puerto de switch.
• Restringir el número de direcciones MAC que se pueden conectar
(simultaneamente) a un puerto del Switch. (Por default: 1 - Máximo: 132).
• Configurar el tiempo en que determinada MAC permanece registrada (en
Minutos).
• Definir la acción a tomar cuando una violación es detectada.
11
VI.VIII Razón para la realización de port-security en switch cisco
En implementar técnicas de mitigación para prevenir los ataques que se
aprovechan de dichas vulnerabilidades. Para prevenir la falsificación de MAC y el
desbordamiento de la tabla de direcciones MAC, debe habilitarse seguridad de
puerto (Port Security). La seguridad de puertos permite a los administradores
especificar en forma estática las direcciones MAC permitidas en un puerto
determinado, o permitir al switch aprender en forma dinámica un número limitado
de direcciones MAC. Limitando a uno el número de direcciones MAC permitidas
en un puerto, la seguridad de puerto puede ser utilizada para controlar la
expansión no autorizada de la red.
Esto no es poco frecuente. Siempre hay algún visitante que requiere una conexión
que es proporcionada sin respetar las políticas de seguridad de la empresa; o un
trabajador de la propia organización que trae su propia laptop y decide conectarla
a nuestra red. Para esto el recurso más frecuente es desconectar una terminal
conectada a la red y utilizar esa boca para ganar acceso a Internet.
VI.IX Configuración De Port-Security
El proceso de configuración requiere ingresar a la configuración de la interfaz en
cuestión e ingresar el comando port-security. Un Ejemplo:
Switch)#config t
Switch(config)#int fa0/1
Switch(config-if)#switchport port-security ?
..aging.........Port-security aging commands
..mac-address...Secure mac address
..maximum.......Max secure addresses
..violation.....Security violation mode
12
Switch(config-if)# switchport port-security
Si se ingresa solamente el comando básico, se asumen los valores por defecto:
solo permite una dirección MAC en el puerto, que será la primera que se conecte
al mismo, en caso de que otra dirección MAC intente conectarse utilizando esa
misma boca, el puerto será deshabilitado. Por supuesto que todos estos
parámetros son modificables:
Switchport port-security maximum [cant MAC permitidas]
Esta opción permite definir el número de direcciones MAC que está permitido que
se conecten a través de la interfaz del switch. El número máximo de direcciones
permitidas por puerto es 132.
Es importante tener presente que este feature también limita la posibilidad de
ataque de seguridad por inundación de la tabla CAM del switch.
Switchport port-security violation [shutdown restrict protect]
Este comando establece la acción que tomará el switch en caso de que se supere
el número de direcciones MAC que se establece con el comando anterior. Las
opciones son deshabilitar el puerto, alertar al Administrador o permitir
exclusivamente el tráfico de la MAC que se registró inicialmente.
Switchport port-security mac-address [MAC address]
Esta opción permite definir manualmente la dirección MAC que se permite
conectar a través de ese puerto, o dejar que la aprenda dinámicamente.
Este comando no debe ser configurado en un puerto troncal o de backbone, ya
que por estos puertos circulan tramas con múltiples direcciones MAC diferentes de
origen. Esto resultaría en el bloqueo del puerto.
El monitoreo de este feature
13
Hay comandos específicos que permiten monitorear el estado de los puertos que
tienen implementado
Port-security:
Switch# show port-security address
......Secure Mac Address Table
---------------------------------------------------------
Vlan..Mac Address....Type..........Ports..Remaining Age
..............................................(mins)
----..-----------....----..........-----..-------------
1....0004.00d5.285d..SecureDynamic Fa0/18.......-
----------------------------------------------------------
Total Addresses in System (excluding one mac per port).....:.0
Max Addresses limit in System (excluding one mac per port) : 1024
Switch# show port-security interface fa0/18
Port Security.....................: Enabled
Port Status.......................: Secure-up
Violation Mode....................: Shutdown
Aging Time........................: 0 mins
Aging Type........................: Absolute
SecureStatic Address Aging........: Disabled
Maximum MAC Addresses.............: 1
Total MAC Addresses...............: 1
Configured MAC Addresses..........: 0
Sticky MAC Addresses..............: 0
Last Source Address...............: 0004.00d5.285d
Security Violation Count..........: 0
Switch#
Dirección MAC segura estática
Se configura manualmente.
Se agrega a la tabla de direcciones MAC.
Se guarda en la running-config.
Se puede hacer permanente guardando la configuración.
SwA(config-if)# switchport port-security mac-address DIRECCION-MAC
14
Dirección MAC segura dinámica
Se aprende del tráfico que atraviesa la interfaz.
Se la guarda en la tabla de direcciones MAC.
Se pierde cuando se reinicia el equipo.
SwA(config-if)# switchport port-security
Dirección MAC segura sticky
Se la puede configurar de forma manual o dinámica.
Se la guarda en la tabla de direcciones MAC.
Se almacena en la running-config.
Se puede hacer permanente guardando la configuración.
SwA(config-if) # switchport port-security mac-address sticky [DIRECCION-MAC]
La principal ventaja de las direcciones sticky en contraposición con las dinámicas
es que éstas últimas se agregan a la running-config. Así nos evitamos escribir un
montón de direcciones MAC de manera estática pero aún podemos guardarlas en
el archivo de configuración de manera que se mantengan inclusive si el switch se
reinicia.
Dos aspectos importantes a tener en cuenta:
Si se habilitan las direcciones MAC sticky y ya había direcciones
aprendidas de forma dinámica, éstas pasan a la running-config y todas las
nuevas que se aprendan también se agregan allí.
Si se deshabilitan las direcciones MAC sticky todas las que hubiera pasan a
ser dinámicas y se borran de la running-config. Además, todas las que se
aprendan también serán dinámicas.
VI.V Configuración
Para configurar port-security es importante saber que la interfaz debe estar en
modo access o en modo trunk. Port-security no puede habilitarse en una interfaz
que esté en modo dinámico.
15
Habilitar port-security.
SwA(config-if)# switchport port-security
Indicar que sólo se permite una MAC por interfaz.
SwA(config-if)# switchport port-security maximum 1
Configurar el modo restrict para cuando ocurra una violación del puerto.
SwA(config-if)# switchport port-security violation restrict
Configurar el aprendizaje de direcciones MAC sticky.
SwA(config-if)# switchport port-security mac-address sticky
O bien especificar una MAC de forma estática.
SwA(config-if)# switchport port-security mac-address 5400.0000.0001
Chequear el estado de port-security.
SwA# show port-security
Ejemplo: Switch>enable
Switch#configure terminal
Switch(config-if)#interface fastEthernet 0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security mac-address sticky
Switch (config-if)#switchport port-security maximum 3
Switch(config-if)#switchport port-security violation shutdown
Switch(config-if)#do wr
Building configuration...
[OK]
Switch(config-if)#exit
16
VII. MÉTODO A UTILIZAR
Dirección MAC segura estática
Se configura manualmente.
Se agrega a la tabla de direcciones MAC.
Se guarda en la running-config.
Se puede hacer permanente guardando la configuración.
SwA(config-if)# switchport port-security mac-address DIRECCION-MAC
El IOS de Cisco tiene la característica de "port-security" la cual puede ser usada
para:
Restringir la o las direcciones MAC que se pueden conectar a través de un
puerto del Switch.
Restringir el número de direcciones MAC que se pueden conectar
(simultáneamente) a un puerto del Switch. (Por default: 1 - Máximo: 132).
Configurar el tiempo en que determinada MAC permanece registrada (en
Minutos).
Definir la acción a tomar cuando una violación es detectada.
Para que se pueda aplicar seguridad de puerto:
El puerto del switch no puede estar definido como troncal (Trunk Port).
El puerto del switch no puede ser un un puerto 802.1x.
El puerto del switch no puede pertenecer a un puerto que conforme un
EtherChannel.
El puerto del switch no puede ser el puerto de conexión de un Switchport
Analyzer (SPAN).
Para habilitar la seguridad de puerto se debe entrar a la interfaz (o interfaces).
17
Switch>enable
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#interface fa0/1
Switch(config-if)#
Hecho esto se debe configurar la interfaz en modo de acceso, ya que por default
viene en modo "Dynamic Desireble" y este modo no admite la configuración de
seguridad de puerto.
Switch(config-if)#switchport mode Access
Luego se puede proceder a habilitar la seguridad de puerto mediante el comando:
Switch(config-if)#switchport port-security
Este comando habilita la seguidad de puerto por default, siendo esta:
Una dirección MAC permitida.
La primera dirección MAC que se conecte será la configurada como
permitida.
Deshabilitar el puerto si ocurre una violación.
Si se conoce la dirección MAC del dispositivo a conectarse en determinado
puerto, y ese es el único host a conectarse ahí, puedes configurar manualmente la
MAC en el switch para que solo acepte esa dirección.
Switch(config-if)#switchport port-security mac-address 2222.4444.6666
Donde 2222.4444.6666 es la MAC del dispositivo permitido, cualquier otra
dirección física que se conecte en el puerto, provocará una violación.
18
Si hay un switch o un hub, conectado a un puerto del switch que quieres asegurar,
puedes configurar un máximo de direcciones MAC asociadas a ese puerto, por
ejemplo si queremos configurar un máximo de 3 direcciones MAC se haría de la
siguiente manera:
Switch(config-if)#switchport port-security maximum 3
Si además de eso, conocemos las direcciones MAC asociada a los 3 dispositivos
permitidos, podemos configurarlas como se muestra a continuación.
Switch(config-if)#switchport port-security mac-address 2222.4444.6666
Switch(config-if)#
Switch(config-if)#switchport port-security mac-address 1111.2222.3333
Switch(config-if)#
Switch(config-if)#switchport port-security mac-address 1111.3333.5555
Switch(config-if)#
De esta forma habremos definido máximo 3 dispositivos asociados a determinado
puerto y especificado cuales son los dispositivos que se pueden asociar. Si se
conecta un 4to dispositivo ocurre una violación de seguridad, si se conecta un
equipo cuya MAC no sea algunas de las que está definida, también ocurre una
violación de seguridad.
También puedes requerir dar acceso temporal a determinado usuario, para ello
puedes configurar temporizadores de acceso, una vez vencido el tiempo
configurado la MAC del dispositivo invitado, se borrará. Esto ayudará a evitar que
direcciones MAC obsoletas, ocupen la tabla y la saturen, causando una violación
cuando el máximo permitido sea excedido.
Switch(config-if)#switchport port-security aging time 60
Donde 60 implica un lapso de 60 minutos, el rango va desde 1 a 1440 minutos (24
horas).
19
Ahora solo falta ver qué acciones podemos tomar cuando ocurra una violación, las
acciones son:
Protección: Rechaza los paquetes hasta que el causante de la violación es
subsanado, el usuario no advierte que se ha producido una violación de
seguridad.
Switch(config-if)#switchport port-security violation protect
Restricción: Rechaza los paquetes hasta que el causante de la violación
es subsanado, el usuario advierte que se ha producido una violación de
seguridad. De manera específica se envía un mensaje SNMP, se registra
un mensaje de syslog y se aumenta el contador de violaciones.
Switch(config-if)#switchport port-security violation restrict
Desactivación (default): La interfaz se deshabilita de manera inmediata
por error y se apaga el led del puerto. También envía un mensaje SNMP, se
registra un mensaje de syslog y se incrementa el contador de violaciones.
Cuando esto sucede es necesario volver a habilitar el puerto manualmente
mediante el comando "no shutdown".
Switch(config-if)#switchport port-security violation shutdown
Para verificar las configuraciones, puedes usar los comandos:
Switch#show port-security
Switch#show port-security interface fastethernet 0/1
Switch#show port-security address
20
VIII. RESULTADOS ESPERADOS
Solo se podrán conectar los equipos autorizados con relación a su dirección MAC
ADDRESS que se les dé acceso desde un determinado puerto del switch
restringiendo las direcciones MAC conectadas a cada puerto del switch. Si un
dispositivo con otra dirección MAC intenta comunicarse a través de un puerto de la
LAN, port-security deshabilitará el puerto y el administrador de red podrá verificar
mediante los siguientes comandos si existe una violación:
1.- Muestra l estado general sobre los puertos del switch.
show port-security address
2.- Muestra una descripción detallada sobre un puerto en específico.
show port-security interfaces fa0/x
21
IX. BIBLIOGRAFÍAS
Configurar Port Security en Switches Cisco. (16 de Junio de 2012). Recuperado el 12 de Mayo de
2013, de
file:///C:/Users/Rocio/Documents/seguridad%20en%20redes/Configurar%20Port%20Secu
rity%20en%20Switches%20Cisco%20%20%20rm-rf.es.htm
Gerometta, O. (09 de Octubre de 2006). Mis Libros de Networking. Recuperado el 15 de Mayo de
2013, de
file:///C:/Users/Rocio/Documents/seguridad%20en%20redes/Mis%20Libros%20de%20Ne
tworking%20%20Implementaci%C3%B3n%20de%20port%20security%20en%20switches%
20Cisco.htm
Silva, A. V. (Septiembre de 2008). CONFIGURACION PORT-SECURITY SWITCH CISCO. Recuperado el
16 de Mayo de 2013, de
file:///C:/Users/Rocio/Documents/seguridad%20en%20redes/CONFIGURACION%20PORT-
SECURITY%20SWITCH%20CISCO.htm
top related