Seguridad de puerto en los Switch’s Cisco

Con el objetivo de incrementar la seguridad en una red LAN es posible implementar seguridad de puertos en los switches de capa de acceso, de manera de permitir que a cada puerto se conecte sólo la estación autorizada. Para ello, Cisco provee port security, un mecanismo bastante potente y sencillo que resumiré a continuación.

Dirección MAC segura estática

• Se configura manualmente.
• Se agrega a la tabla de direcciones MAC.
• Se guarda en la running-config.
• Se puede hacer permanente guardando la configuración.

SwA(config-if)# switchport port-security mac-address DIRECCION-MAC

Dirección MAC segura dinámica

• Se aprende del tráfico que atraviesa la interfaz.
• Se la guarda en la tabla de direcciones MAC.
• Se pierde cuando se reinicia el equipo.

SwA(config-if)# switchport port-security

Dirección MAC segura sticky

• Se la puede configurar de forma manual o dinámica.
• Se la guarda en la tabla de direcciones MAC.
• Se almacena en la running-config.
• Se puede hacer permanente guardando la configuración.

SwA(config-if)# switchport port-security mac-address sticky [DIRECCION-MAC]

La principal ventaja de las direcciones sticky en contraposición con las dinámicas es que éstas últimas se agregan a la running-config. Así nos evitamos escribir un montón de direcciones MAC de manera estática pero aún podemos guardarlas en el archivo de configuración de manera que se mantengan inclusive si el switch se reinicia.

Dos aspectos importantes a tener en cuenta:

• Si se habilitan las direcciones MAC sticky y ya había direcciones aprendidas de forma dinámica, éstas pasan a la running-config y todas las nuevas que se aprendan también se agregan allí.
• Si se deshabilitan las direcciones MAC sticky todas las que hubiera pasan a ser dinámicas y se borran de la running-config. Además, todas las que se aprendan también serán dinámicas.

Acciones a tomar si se produce una violación

Es importante tener en cuenta que por violación se entiende uno de los siguientes dos casos:

• Se alcanzó la cantidad máxima de direcciones MAC permitidas.
• Una dirección MAC que se aprendió en un puerto se aprende por otro puerto diferente.

Los modos en los que se puede establecer un puerto para decidir qué acción tomar en el caso de una violación son, entonces:

• Protect: una vez que se alcanzó el máximo de direcciones MAC en un puerto, todo el tráfico de orígenes desconocidos (es decir, de direcciones MAC que no sean válidas para ese puerto) es descartado. No obstante, se continúa enviando el tráfico legal normalmente. No se notifica al administrador de esta situación.
• Restrict: el mismo comportamiento que el caso anterior pero con la diferencia que se envía un aviso al administrador mediante SNMP, se registra el evento en el syslog y se incrementa el contador de violaciones.
• Shutdown: en este caso el puerto se da de baja dejándolo en estado err-disabled (deshabilitado por error). Además se envía un aviso al administrador mediante SNMP, se registra el evento en el syslog y se incrementa el contador de violaciones.
• Shutdown VLAN: la única diferencia con el caso anterior es que se deshabilita la VLAN en ese puerto en lugar de dar de baja el puerto completo. Es particularmente atractivo para los puertos de trunk.

Configuración

Para configurar port-security es importante saber que la interfaz debe estar en modo access o en modo trunk. Port-security no puede habilitarse en una interfaz que esté en modo dinámico.

Sigue leyendo →

Unas cuantas chuletas sobre Redes y Cisco (8)

Echaba ya en falta publicar algo sobre el verdadero contenido del blog, que con el tiempo ha ido perdiendo, que sus razones hay, pero que es un mundo que jamas termino de conocer. Sed buenos!!!

Todas estas.. (Cisco IOS Versions, Physical Terminations/Connectors, VLANs, Quality of Service, MPLS, IP Access Lists, Spanning Tree, OSPF, EIGRP, BGP) …las teneis aquí.

Protocolos (BGP,EIGRP, First Hop Redundancy, IEEE 802.11 WLAN, IEEE 802.1X, IPsec, IPv4 Multicast, IPv6, IS-IS, OSPF, Spanning Tree).

Aplicaciones (tcpdump,Wireshark display filters).

Referencia (IOS IPv4 Access Lists, IPv4 Subnetting, Common Ports).

Sintaxis (Markdown, MediaWiki).

Tecnologías (Frame Mode MPLS, QoS, VLANs).

Miscelanea (Cisco IOS Versions, Physical terminations).

1. General Cisco IOS cheat sheet (router/switch commands etc.)
2. Cisco Commands for Beginners
3. Descriptive list of Cisco Commands (fresh)
4. Cisco IOS Firewall Cheat Sheet (Official Design Guide)
5. Cisco – Ethernet Encapsulation (en pdf)
6. Mini CCNA Cheat Sheet
7. CCNA Cheat Sheet (commands debugging)
8. Connector Pinouts Cheat Sheets

El Sistema de Control en la Red (I)

Lo de este articulo no es nuevo, es una historia de 10 años, pero pasa inadvertida…

Cuando la gente piensa que en el mundo de internet no existe control, se equivoca. En todo momento nuestra privacidad esta siendo violada, en un pacto que se cuece en las altas esferas controladoras.

Esto es el primer articulo (de muchos mas) sobre el oscuro mundo de internet y la informática.

Empezaremos por como espían los sistemas operativos que tenéis instalados en vuestros PCs .A la “masa”, y como en todo momento (aquellos que tengan sistemas microsoft) pueden ser intervenidos si están conectados a la Red de redes.

Para iros poniendo al tanto os explicare como funciona el mercado de software a muy grandes rasgos.

Código abierto y código cerrado. (Simplificando mucho las cosas).

Un programa se hace en un código fuente, que el humano entiende, y ese trozo de texto se compila y queda en ceros y unos. Si nos dan solo los ceros y los unos, volver al código fuente en algo como un sistema operativo es literalmente imposible.

De ahí la eterna lucha de código abierto o cerrado. En el código sea cerrado, por lo tanto, nadie salvo el propio fabricante sabe que hace ese software exactamente. Esto en un sistema operativo es grave. En el código abierto, el código fuente es publico, por lo tanto sabes con precisión lo que hace tu propio ordenador.

Por lo que nos pueden espiar absolutamente todo de nuestro pc sin ningún tipo de problema.

Hace años que se sabe en el mundo de informática que los sistemas windows, tienen claves de NSA, si, si. De la National Security Agency. Esos que manejan la CIA, unos chavalazos. Y se venden con esta magnifica puerta trasera a TODOS los USUARIOS y PAISES. Y desde hace años nunca lo he visto en la televisión.

¿Porque los países no protestan, aun sabiéndolo?

Salvo casos puntuales como Alemania que cambio todos sus sistemas operativos por esto mismo…

¿Y porque no hay denuncias en los juzgados?

Desde el punto de vista de un servidor, esta claro. Como son todos los mismos colegas, ¿que mas da?, además, eso mueve mucho dinero como para no gastarlo entre ellos.

Repasemos las evidencias, sistema operativo por sistema operativo.

Sigue leyendo →

Wi-Fi N, estándar

El organismo internacional que estudia las distintas propuestas de estándar, IEEE, acaba de aprobar el estándar Wi-Fi N (802.11n). Tras seis años y docenas de borradores, finalmente ha sido aprobado junto con el estándar P802.11w relacionado con la seguridad inalámbrica.

Hace uso de varios canales de transmisión y recepción a la vez (MIMO) para poder ofrecer tal ancho de banda, hasta 300mbps teóricos, a diferencia del actual y ya vetusto 802.11g, hasta 54Mbps. En condiciones reales, la tasa de transferencia rondará los 150 megabits por segundo (18,75 Mbytes/s), con picos de 200 megabits (25 Mbytes/s), que viene a ser el doble teórico de una conexión LAN de 100 Mbps.

Enlace | Nota de Prensa de la IEEE

Curso de Redes GNU Linux

El curso de redes GNU/linux aprenderemos como crear una red, administrar, montar diferentes tipo servicios de red en linux etc.. Tambien el objetivo de este curso es la explotación final de una red mediante la instalación de un servidor de red con GNU/Linux y equipos clientes también con Linux.

Sigue leyendo →

Frases Célebres de Paco, nuestro profesor de Redes

(clic en la imagen para ampliar)

¿Cómo funcionan las redes?

Muchas veces se a dicho y comentado que mas vale 1 imagen que mil palabras asique.. ea

Aqui os dejo un video (en 2 partes) que creo que lo explica bastante bien.