La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

© 2008 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 1 Capítulo 2: Introducción a las redes conmutadas Routing And Switching.

Publicada porAdolfo Cabrera Plaza Modificado hace 9 años

Presentaciones similares

Presentación del tema: "© 2008 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 1 Capítulo 2: Introducción a las redes conmutadas Routing And Switching."— Transcripción de la presentación:

1 © 2008 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 1 Capítulo 2: Introducción a las redes conmutadas Routing And Switching

2 Presentation_ID 2 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Capítulo 2 2.0 Introducción 2.1 Configuración Básica del Switch 2.2 Seguridad en el Switch : Administración e Implementación

3 Presentation_ID 3 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Capítulo 2: Objetivos  Explicar las ventajas y desventajas de enrutamiento estático  Configurar los parámetros básicos de un switch Cisco  Configurar puertos del switch  Configure la interfaz virtual del switch  Describir los ataques básicos a la seguridad en un entorno conmutado  Describir las mejores prácticas de seguridad en un entorno conmutado  Configurar la función de seguridad del puerto para restringir el acceso de red

4 Presentation_ID 4 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Basic Switch Configuration Secuencia de inicio del switch 1.POST 2.El switch carga las instrucciones (cargador de arranque) de inicio de la NVRAM 3.Realiza la inicialización de la CPU a bajo nivel 4.Inicializa el sistema de archivos flash 5.Ubica y carga una imagen del software del sistema operativo en la memoria RAM y arranca el switch.

5 Presentation_ID 5 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Basic Switch Configuration Secuencia de inicio del switch Con el fin de encontrar una imagen IOS adecuado, el switch sigue los siguientes pasos:  Intenta iniciarse automáticamente utilizando la información de la variable de entorno de arranque  Si esta variable no está definida, el switch realiza una búsqueda de arriba hacia abajo a través del sistema de archivos flash. Carga y ejecuta el primer archivo ejecutable, si puede.  El sistema operativo IOS inicializa las interfaces usando los comandos de IOS de Cisco que se encuentran en el archivo de configuración de inicio que se almacena en la NVRAM. Nota: los comandos boot system se puede utilizar para establecer la variable de entorno de arranque..

6 Presentation_ID 6 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Basic Switch Configuration Recovering From a System Crash  El cargador de arranque también se puede utilizar para administrar el switch si el IOS no puede ser cargado.  El cargador de arranque puede ser accesado a través de una conexión de consola: 1.Conectar un PC mediante un cable de consola al puerto de consola del switch. Desconecte el cable de alimentación del switch, 2.Vuelva a conectar el cable de alimentación al switch y presione y mantenga presionado el botón Mode. 3.El LED Sistema de encendido cambia brevemente de ámbar a verde. Suelte el botón Mode.  El cargador de arranque muestra “switch:prompt” en el software de emulación de terminal en el PC.

7 Presentation_ID 7 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Basic Switch Configuration LED Indicadores del switch  Cada puerto de los switches Cisco Catalyst tiene LED que indica el estado del puerto.  Por defecto estos LED reflejan la actividad del puerto, pero también pueden proporcionar otra información sobre el switch a través del botón MODE.  Los siguientes modos están disponibles en Cisco Catalyst 2960 switches: LED de sistema LED de Sistema de alimentación redundante (RPS) LED de estado del puerto LED de puerto Duplex LED de velocidad de puerto LED de modo de Alimentación a través de Ethernet (PoE)

8 Presentation_ID 8 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Basic Switch Configuration LED Indicadores del switch  Cisco Catalyst 2960 switch modes

9 Presentation_ID 9 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Basic Switch Configuration Preparación para la administración básica del switch  Con el fin de administrar de forma remota un switch Cisco, este tiene que ser configurado para acceder a la red.  Una dirección IP y una máscara de subred deben ser configuradas.  Si la administración se hará desde una red remota, se debe configurar una puerta de enlace predeterminada.  La información de IP (dirección IP, máscara de subred, puerta de enlace) se va a asignar a una SVI del switch (interfaz virtual del switch)  Aunque esta configuración IP permiten la gestión remota y acceso remoto al switch, que no permiten que el switch enrute paquetes (capa 3).

10 Presentation_ID 10 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Basic Switch Configuration Preparación para la administración básica del switch

11 Presentation_ID 11 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Configure Switch Ports Duplex Communication

12 Presentation_ID 12 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Configure Switch Ports Configure Switch Ports at the Physical Layer

13 Presentation_ID 13 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Configure Switch Ports Función auto-MDIX  Se requieren ciertos tipos de cable (directo o cruzado) para conectar dispositivos.  Las características de la interfaz crossover auto-MDIX elimina este problema.  Cuando auto-MDIX se habilita, la interfaz detecta y configura automáticamente la conexión adecuada.  Al usar auto-MDIX en una interfaz, la velocidad de la interfaz y el dúplex se deben establecer en auto.

14 Presentation_ID 14 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Configure Switch Ports MDIX Auto Feature

15 Presentation_ID 15 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Configure Switch Ports MDIX Auto Feature

16 Presentation_ID 16 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Configure Switch Ports Verificando la configuración de los puertos de switch

17 Presentation_ID 17 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Configure Switch Ports Características de la capa de acceso

18 Presentation_ID 18 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Configure Switch Ports Características de la capa de acceso

19 Presentation_ID 19 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Configure Switch Ports Características de la capa de acceso  Troubleshooting Switch Media (connection) issues

20 Presentation_ID 20 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Configure Switch Ports Características de la capa de acceso  Troubleshooting Interface-related issues

21 Presentation_ID 21 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Secure Remote Access Operación de SSH  Secure Shell (SSH) es un protocolo que proporciona una conexión segura (cifrada) basada en línea de comandos hacia un dispositivo remoto.  SSH se utiliza comúnmente en los sistemas basados ​​ en UNIX.  Cisco IOS también es compatible con SSH.  Es necesaria una versión del software IOS que incluya características y capacidades de cifrado (cifrado) con el fin de habilitar SSH en los switch Catalyst 2960.  Debido a sus fuertes características de encriptación, SSH debería sustituir Telnet para conexiones de administración.  SSH utiliza el puerto TCP 22 por defecto. Telnet utiliza el puerto TCP 23

22 Presentation_ID 22 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Secure Remote Access Operación de SSH

23 Presentation_ID 23 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Secure Remote Access Configurando SSH

24 Presentation_ID 24 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Secure Remote Access Verificando SSH

25 Presentation_ID 25 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Security Concerns in LANs Inundación de direcciones MAC  Los switch automáticamente llenan su tabla CAM observando el tráfico que entra en sus puertos.  Los switch enviarán tráfico hacia todos los puertos si no puede encontrar la MAC destino en su tabla CAM.  Bajo tales circunstancias, el switch actúa como un hub. Tráfico unicast puede ser visto por todos los dispositivos conectados al switch.  Un atacante podría aprovechar este comportamiento para obtener acceso al tráfico normalmente controlado por el switch mediante el uso de un PC para ejecutar una herramienta de inundaciones MAC.

26 Presentation_ID 26 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Security Concerns in LANs Inundación de direcciones MAC  Esta herramienta es un programa creado para generar y enviar tramas con direcciones MAC de origen falsas al puerto del switch.  A medida que estas tramas alcanzan el switch, se agrega la dirección MAC falsa a su tabla CAM, tomando nota del puerto por el que entraron las tramas.  Finalmente, la tabla CAM se llena con las direcciones MAC falsas.  La tabla CAM ya no tiene espacio para los dispositivos legítimos presentes en la red y por lo tanto nunca encontrará sus direcciones MAC en la tabla CAM.  Todos las tramas serán enviadas a todos los puertos, lo que permite al atacante acceder al tráfico destinado a otros hosts.

27 Presentation_ID 27 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Security Concerns in LANs Inundación de direcciones MAC  Attacker flooding the CAM table with bogus entries

28 Presentation_ID 28 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Security Concerns in LANs Inundación de direcciones MAC  The switch now behaves as a hub

29 Presentation_ID 29 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Security Concerns in LANs DHCP Spoofing  DHCP es un protocolo de red que se utiliza para asignar información IP automáticamente.  Existen dos tipos de ataques de DHCP: DHCP Spoofing (suplantación) DHCP Starvation (hambre)  En los ataques de DHCP Spoofing, un servidor DHCP falso se coloca en la red para emitir direcciones DHCP a los clientes.  DHCP Starvation se utiliza a menudo antes de un ataque de suplantación para negar el servicio DHCP al servidor DHCP legítimo.

30 Presentation_ID 30 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Security Concerns in LANs DHCP Spoofing  DHCP Spoof Attack

31 Presentation_ID 31 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Security Concerns in LANs Aprovechando CDP  CDP es un protocolo propietario de Cisco de capa 2 utilizado para descubrir otros dispositivos Cisco conectados directamente.  Está diseñado para permitir a los dispositivos auto- configurar sus conexiones.  Si un atacante está escuchando mensajes CDP, pueda aprender información importante, como el modelo de dispositivo y la versión del software que se ejecuta  Cisco recomienda deshabilitar CDP cuando no está en uso.

32 Presentation_ID 32 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Security Concerns in LANs Aprovechando Telnet  Como se ha mencionado el protocolo Telnet es inseguro y debe ser reemplazado por SSH.  A pesar de que un atacante puede utilizar Telnet como parte de otros ataques.  Dos de estos ataques son Brute Force Attack hacia las contraseñas y el ataque DoS por telnet.  Cuando las contraseñas no pueden ser capturados, los atacantes intentarán tantas combinaciones de caracteres como sea posible. Este intento de adivinar la contraseña se conoce como ataque de fuerza bruta.  Telnet se puede utilizar para probar las contraseña a través de la red.

33 Presentation_ID 33 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Security Concerns in LANs Aprovechando Telnet  En un ataque DoS de Telnet, el atacante explota una falla en el software del servidor Telnet del switch que hace que el servicio Telnet no este disponible.  Este tipo de ataque impide a un administrador el acceso remoto a las funciones de administración del switch.  Esto se puede combinar con otros ataques directos a la red como parte de un esfuerzo coordinado para evitar que el administrador de la red tengan acceso a los dispositivos centrales durante la violación.  Vulnerabilidades en el servicio Telnet que permiten que los ataques DoS ocurran ya tiene los parches de seguridad en las revisiones más recientes del IOS de Cisco.

34 Presentation_ID 34 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Security Best Practices 10 Mejores prácticas  Desarrollar una política de seguridad por escrito para la organización.  Desactivar los servicios y los puertos no utilizados.  Utilizar contraseñas seguras y cambiarlas a menudo.  Controlar el acceso físico a los dispositivos.  Utilizar HTTPS en lugar de HTTP.  Realizar copias de seguridad de las operaciones regularmente.  Educar a los empleados sobre los ataques de ingeniería social.  Encriptar y proteger con contraseña los datos sensibles.  Implementar firewalls.  Mantener actualizado el software.

35 Presentation_ID 35 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Security Best Practices Network Security Tools: Options  Las herramientas de seguridad de la red son muy importantes para los administradores de red.  Estas herramientas permiten a los administradores para comprobar la fortaleza de las medidas de seguridad implementadas.  Un administrador puede lanzar un ataque contra la red y analizar los resultados.  Esto es también para determinar cómo ajustar las políticas de seguridad para mitigar esos tipos de ataques.  La auditoría de seguridad y pruebas de penetración son dos funciones básicas que las herramientas de seguridad de red realizan.

36 Presentation_ID 36 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Security Best Practices Network Security Tools: Audits  Las herramientas de seguridad de red se puede utilizar para auditar la red  Mediante el control de la red, el administrador puede evaluar qué tipo de información un atacante sería capaz de obtener.  Por ejemplo, al atacar e inundando la tabla CAM de un switch, un administrador podría aprender qué puertos de switch son vulnerables a las inundaciones MAC y corregir el problema.  Herramientas de seguridad de la red también pueden ser utilizados como herramientas de pruebas de penetración

37 Presentation_ID 37 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Security Best Practices Network Security Tools: Audits  Las pruebas de penetración es un ataque simulado.  Ayuda a determinar la vulnerabilidad de la red cuando está bajo un ataque real.  Debilidades en la configuración de dispositivos de red se pueden identificar sobre la base de los resultados de estas pruebas.  Se pueden hacer cambios para hacer a los dispositivos más resistentes a los ataques  Tales pruebas pueden dañar la red y deben ser llevados a cabo bajo condiciones muy controladas.

38 Presentation_ID 38 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Switch Port Security Asegurar los puertos no utilizados  Disable Unused Ports is a simple yet efficient security guideline

39 Presentation_ID 39 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Switch Port Security DHCP Snooping  DHCP Snooping determina que puertos de switch pueden responder a las solicitudes DHCP

40 Presentation_ID 40 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Switch Port Security Port Security: Operation  Port security limita el número de direcciones MAC válidas permitidas para un puerto.  Una dirección MAC legítima será permitida, mientras que otra será denegada.  Cualquier intento adicional de conexión de una dirección MAC desconodida generará una violación a la seguridad.  Las direcciones MAC seguras pueden ser indicadas de la siguiente forma: Static secure MAC addresses Dynamic secure MAC addresses Sticky secure MAC addresses

41 Presentation_ID 41 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Switch Port Security Port Security: Violation Modes  IOS considera una violación de seguridad ante cualquiera de estas situaciones: Un número máximo de direcciones MAC seguras, por interface, han sido agregadas a la CAM, y una dirección MAC que no está en la tabla intenta el acceso a la interface. Una dirección aprendida o configurada en una interfaz segura se ve en otra interfaz segura en la misma VLAN.  Hay tres posibles acciones a tomar cuando se detecta una violación: Protect (proteger) Restrict (restringir) Shutdown (apagar)

42 Presentation_ID 42 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Switch Port Security Port Security: Configuring  Dynamic Port Security Defaults

43 Presentation_ID 43 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Switch Port Security Port Security: Configuring  Configuring Dynamic Port Security

44 Presentation_ID 44 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Switch Port Security Port Security: Configuring  Configuring Port Security Sticky

45 Presentation_ID 45 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Switch Port Security Port Security: Verifying  Verifying Port Security Sticky

46 Presentation_ID 46 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Switch Port Security Port Security: Verifying  Verifying Port Security Sticky – Running Config

47 Presentation_ID 47 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Switch Port Security Port Security: Verifying  Verifying Port Security Secure MAC Addresses

48 Presentation_ID 48 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Switch Port Security Puertos en estado: Error Disabled  Una violación a la seguridad de puerto puede dejar al puerto en un estado de “error disabled” (deshabilitado por error)  Un puerto en error disabled está shutdown  El switch comunicará estos hechos a través de mensajes de la consola  El interruptor se comunicará estos hechos a través de mensajes de la consola

49 Presentation_ID 49 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Switch Port Security Ports In Error Disabled State  The show interface command also reveals a switch port on error disabled state

50 Presentation_ID 50 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Switch Port Security Ports In Error Disabled State  A shutdown/no shutdown interface command must be issued to re-enable the port

51 Presentation_ID 51 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Switch Port Security Network Time Protocol (NTP)  NTP es un protocolo utilizado para sincronizar los relojes de los dispositivos de red.  NTP puede obtener la hora correcta desde un origen de hora externo o interno  Las fuentes de tiempo pueden ser: Reloj maestro local Reloj maestro en Internet GPS o reloj atómico  Un dispositivo de red se puede configurar como un servidor NTP o un cliente NTP

52 Presentation_ID 52 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Switch Port Security Network Time Protocol (NTP)  Configuring NTP

53 Presentation_ID 53 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Switch Port Security Network Time Protocol (NTP)  Verifying NTP

54 Presentation_ID 54 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential Capítulo 2: Resumen Este capítulo cubre: La secuencia de arranque de un switch Cisco Los modos de los LED de los Switch Cisco Cómo acceder y administrar de forma remota un Switch Cisco a través de una conexión segura Cómo cambiar de modo dúplex el puerto de switch Seguridad de puerto de switch, modos y acciones ante una violación. Las mejores prácticas para redes conmutadas

55 Presentation_ID 55 © 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential

Descargar ppt "© 2008 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 1 Capítulo 2: Introducción a las redes conmutadas Routing And Switching."

Presentaciones similares

Switches, routers, hubs & “patch panels”

Switches, routers, hubs & “patch panels”
Introducción al enrutamiento y envío de paquetes

Introducción al enrutamiento y envío de paquetes
Interfaz de Línea de Comando

Interfaz de Línea de Comando
Caracterización de la red existente

Caracterización de la red existente
© 2006 Cisco Systems, Inc. Todos los derechos reservados.Información pública de Cisco 1 Configuración de un switch Conmutación y conexión inalámbrica de.

© 2006 Cisco Systems, Inc. Todos los derechos reservados.Información pública de Cisco 1 Configuración de un switch Conmutación y conexión inalámbrica de.
Problemas asociados a DHCP. Seguridad

Problemas asociados a DHCP. Seguridad
Seguridad de redes empresariales

Seguridad de redes empresariales
E NRUTAMIENTO E STÁTICO Prof.:Sergio Quesada Espinoza Conf. Dispositivos de Red.

E NRUTAMIENTO E STÁTICO Prof.:Sergio Quesada Espinoza Conf. Dispositivos de Red.
Configuración del Router

Configuración del Router
PROTOCOLOS Un protocolo es un conjunto de reglas que hacen que la comunicación en una red sea más eficiente.

PROTOCOLOS Un protocolo es un conjunto de reglas que hacen que la comunicación en una red sea más eficiente.
© 2006 Cisco Systems, Inc. Todos los derechos reservados.Información pública de Cisco 1 Resolución de problemas de una red empresarial Introducción al.

© 2006 Cisco Systems, Inc. Todos los derechos reservados.Información pública de Cisco 1 Resolución de problemas de una red empresarial Introducción al.
L.I. Homero González Gamiño

L.I. Homero González Gamiño
Coordinador e Instructor de Academia Cisco

Coordinador e Instructor de Academia Cisco
Enrutamiento estático

Enrutamiento estático
© 2003 Cisco Systems, Inc. All rights reserved.. 2 Session Number Presentation_ID Troubleshooting de Protocolos de Enrutamiento.

© 2003 Cisco Systems, Inc. All rights reserved.. 2 Session Number Presentation_ID Troubleshooting de Protocolos de Enrutamiento.
Capítulo 1: Introducción a redes conmutadas

Capítulo 1: Introducción a redes conmutadas
© 2007 Cisco Systems, Inc. Todos los derechos reservados.Cisco Public1 Configuración y verificación de su red Aspectos básicos de networking: Capítulo.

© 2007 Cisco Systems, Inc. Todos los derechos reservados.Cisco Public1 Configuración y verificación de su red Aspectos básicos de networking: Capítulo.
Auditoría de Sistemas y Software

Auditoría de Sistemas y Software
Enrutamiento estático

Enrutamiento estático
Configuración del Router

Configuración del Router

Presentaciones similares

Anuncios Google