Nombre del Proyecto: IMPLEMENTACION DE SEGURIDAD EN CAPA DOS Presenta: Roco Guadalupe Rodas Lpez Celos Wenceslao Jimnez Santis Institucin de Procedencia: UNIVERSIDAD TECNOLGICA DE LA SELVA Tcnico Superior: Redes y Telecomunicaciones
Titular del rea: Ing. Roque Sergio Romero Negrete San Cristbal de las Casas, Chiapas
2 INDICE Contenido I. MARCO REFERENCIAL ............................................................................................................. 3 II. INTRODUCCIN ......................................................................................................................... 4 III. PLANTEAMIENTO DEL PROBLEMA .................................................................................... 5 IV. OBJETIVO ................................................................................................................................... 5 V. ALCANCES .................................................................................................................................. 5 VI. DESARROLLO ........................................................................................................................... 6 VI.I Direcciones MAC ................................................................................................................ 6 VI.II Obtencin de una direccin MAC ................................................................................. 7 VI.III Port Security en Switches Cisco .................................................................................. 8 VI.IV Para qu sirve Port Security? ..................................................................................... 9 VI.V Beneficios ......................................................................................................................... 10 VI.VI Verificacin de la seguridad de puertos ................................................................. 10 VI.VII Caractersticas ............................................................................................................. 10 VI.VIII Razn para la realizacin de port-security en switch cisco ............................ 11 VI.IX Configuracin De Port-Security ................................................................................ 11 Direccin MAC segura esttica ........................................................................................ 13 Direccin MAC segura dinmica ...................................................................................... 14 Direccin MAC segura sticky ............................................................................................ 14 VI.V Configuracin .................................................................................................................. 14 VII. MTODO A UTILIZAR ........................................................................................................... 16 Direccin MAC segura esttica ............................................................................................ 16 VIII. RESULTADOS ESPERADOS ............................................................................................. 20 IX. BIBLIOGRAFAS ..................................................................................................................... 21
3 I. MARCO REFERENCIAL
En 1973, los intereses confluentes de tres instituciones para el desarrollo de capacidades cientficas enfocadas a la problemtica de las reas tropicales del pas, llevaron a la organizacin del Centro de Investigaciones Ecolgicas del Sureste (CIES). Por otro lado, el gobierno del estado de Chiapas, encabezado por el doctor Manuel Velasco Surez, buscaba establecer un centro para el anlisis de problemas del bienestar humano y del desarrollo productivo de las regiones marginadas de Chiapas, considerando en particular la dinmica social y cultural de las comunidades indgenas. Otro inters para la fundacin del CIES surgi en el departamento de Ecologa Humana de la Facultad de Medicina de la Universidad Autnoma de Mxico (UNAM). Este departamento promova la investigacin entomolgica de las enfermedades tropicales, en particular la oncocercosis, leshmaniasis y malaria, y buscaba establecer una colaboracin con el Centro de Estudios de Oftalmologa Tropical, con base en San Cristbal y enfocado a la problemtica de tracoma en la regin, as como con las universidades de Yucatn y de Tabasco. Por ltimo, el Consejo Nacional de Ciencia y Tecnologa (CONACYT) iniciaba un programa de descentralizacin de la investigacin cientfica que planteaba la organizacin de programas de investigacin en biologa tropical. La suma de esfuerzos a partir de estos tres intereses llev a la formulacin de una propuesta para organizar un centro de investigaciones enfocado a los problemas del sureste de Mxico y localizado en San Cristbal de Las Casas, Chiapas. Es as que en 1973, a travs de un convenio tripartita, se dio forma a un programa preliminar orientado a definir la viabilidad de este centro de investigacin cientfica.
4 II. INTRODUCCIN
Una dimensin sumamente importante en la seguridad de redes LAN es el control de quines pueden (y quines no) acceder a la red interna de la empresa. Ante tal situacin para incrementar la seguridad en una red LAN es posible implementar seguridad de puertos en los switches de capa de acceso, de manera de permitir que a cada puerto se conecte slo la estacin autorizada. La activacin de Port Security se realiza a nivel de interfaz, lo primero es acceder al modo de configuracin y despus a la interfaz. Por medio de este se proteger al switch de Ataques de Direcciones MAC malintencionados, limitando el nmero mximo de direcciones MAC que pueden ser adquiridas por la direccin MAC dinmicamente / estticamente.
5 III. PLANTEAMIENTO DEL PROBLEMA Al tener libre acceso de los puertos se puede conectar cualquier persona ya sea personal de la empresa o campus o visitante con solo conectarse a algn puerto disponible del switch con el fin de ingresar a la red.
IV. OBJETIVO Incrementar la seguridad en una red LAN implementando seguridad de puertos en los switches de capa de acceso, de manera de permitir que a cada puerto se conecte slo la estacin autorizada utilizando port-security, un mecanismo bastante potente y sencillo.
V. ALCANCES Por medio de Port-Security se controlaran el nmero de equipos que podrn conectarse al switch de nuestra red. Alcances Limitaciones Incrementa la seguridad en una red LAN. restringir a partir de la direccin MAC quien se puede conectar a un determinado puerto del switch Si un dispositivo con otra direccin MAC intenta comunicarse a travs de esa boca, port-security deshabilitar el puerto. Nmero determinado de equipos conectados al switch. En caso de bloqueo de un puerto, es necesario que el Administrador de la red desbloquee dicho puerto mediante un comando en el propio switch.
6 VI. DESARROLLO
VI.I Direcciones MAC
En las redes de computadoras, la direccin MAC (siglas en ingls de media access control; en espaol "control de acceso al medio") es un identificador de 48 bits (6 bloques hexadecimales) que corresponde de forma nica a una tarjeta o dispositivo de red. Se conoce tambin como direccin fsica, y es nica para cada dispositivo. Est determinada y configurada por el IEEE (los ltimos 24 bits) y el fabricante (los primeros 24 bits) utilizando el organizationally unique identifier. La mayora de los protocolos que trabajan en la capa 2 del modelo OSI usan una de las tres numeraciones manejadas por el IEEE: MAC-48, EUI-48, y EUI-64, las cuales han sido diseadas para ser identificadores globalmente nicos. No todos los protocolos de comunicacin usan direcciones MAC, y no todos los protocolos requieren identificadores globalmente nicos. Las direcciones MAC son nicas a nivel mundial, puesto que son escritas directamente, en forma binaria, en el hardware en su momento de fabricacin. Debido a esto, las direcciones MAC son a veces llamadas burned-in addresses, en ingls. Si nos fijamos en la definicin como cada bloque hexadecimal son 8 dgitos binarios (bits), tendramos: 6 * 8 = 48 bits nicos En la mayora de los casos no es necesario conocer la direccin MAC, ni para montar una red domstica, ni para configurar la conexin a internet, usndose esta slo a niveles internos de la red. Sin embargo, es posible aadir un control de hardware en un conmutador o un punto de acceso inalmbrico, para permitir slo a unas MAC concretas el acceso a la red. En este caso, deber saberse la MAC de los dispositivos para aadirlos a la lista. Dicho medio de seguridad se puede considerar un refuerzo de otros sistemas de seguridad, ya que tericamente se
7 trata de una direccin nica y permanente, aunque en todos los sistemas operativos hay mtodos que permiten a las tarjetas de red identificarse con direcciones MAC distintas de la real. Port Security es un feature de los switches Cisco que les permite retener las direcciones MAC conectadas a cada puerto del dispositivo y permitir solamente a esas direcciones MAC comunicarse a travs de esa boca del switch. Si un dispositivo con otra direccin MAC intenta comunicarse a travs de esa boca, port- security deshabilitar el puerto. Incluso se puede implementar SNMP para recibir en el momento en el sistema de monitoreo la notificacin correspondiente al bloqueo del puerto.
VI.II Obtencin de una direccin MAC
Windows
Abre una lnea de comandos de DOS (o smbolo del sistema). Una forma de hacerlo es Men inicio, Ejecutar, escribir "cmd" Escribe el comando ipconfig /all
8 Identifica la seccin "Conexiones de red inalmbricas" Cada tarjeta de red tiene una direccin diferente.
Abre una terminal y ejecuta el comando ifconfig a Identifica la interfaz inalmbrica, en este caso wlan0 Identifica el valor de HWaddr, sta es la MAC address. NOTA: para tu computadora este valor es diferente.
VI.III Port Security en Switches Cisco Port Security es un feature de los switches Cisco que les permite retener las direcciones MAC conectadas a cada puerto del dispositivo y permitir solamente a esas direcciones MAC comunicarse a travs de esa boca del switch. Si un dispositivo con otra direccin MAC intenta comunicarse a travs de esa boca, port- security deshabilitar el puerto. Incluso se puede implementar SNMP para recibir en el momento en el sistema de monitoreo la notificacin correspondiente al bloqueo del puerto.
9 VI.IV Para qu sirve Port Security? Permite a los administradores especificar en forma esttica las direcciones MAC permitidas en un puerto determinado, o permitir al switch aprender en forma dinmica un nmero limitado de direcciones MAC. Limitando a uno el nmero de direcciones MAC permitidas en un puerto, la seguridad de puerto puede ser utilizada para controlar la expansin no autorizada de la red. Una vez que las direcciones MAC son asignadas a un puerto seguro, dicho puerto no reenva tramas cuyas direcciones MAC deorigen no se encuentren en el grupo de direcciones definidas. Cuando un puerto configurado con seguridad recibe una trama, se compara la direccin MAC de origen de la trama contra la lista de direcciones de origen seguras que fueron configuradas en forma manual o automtica (aprendidas) en el puerto. Si un dispositivo con otra direccin MAC intenta comunicarse a travs de un puerto de la LAN, port-security deshabilitar el puerto. Incluso se puede implementar SNMP para recibir al momento en el sistema de monitoreo la notificacin correspondiente al bloqueo del puerto. Unos mecanismos bastante potente y sencillo: Direccin MAC segura esttica Direccin MAC segura dinmica Direccin MAC segura sticky Dos aspectos importantes a tener en cuenta: 1. Si se habilitan las direcciones MAC sticky y ya haba direcciones aprendidas de forma dinmica, stas pasan a la running-config y todas las nuevas que se aprendan tambin se agregan all. 2. Si se deshabilitan las direcciones MAC sticky todas las que hubiera pasan a ser dinmicas y se borran de la running-config. Adems, todas las que se aprendan tambin sern dinmicas.
10 VI.V Beneficios Seguridad en la informacin. Reduccin de costos. Monitoreo el estado de los puertos. Acceso a los recursos desde cualquier momento. VI.VI Verificacin de la seguridad de puertos Cuando la seguridad de puertos se encuentra habilitada, el administrador debe utilizar los comandos show para verificar si el puerto ha aprendido la direccin MAC. Adems, los comandos show resultan de utilidad para monitorear y resolver problemas de las configuraciones de port-security. Puedenser utilizados para ver informacin tal como el nmero mximo de direcciones MAC que pueden asociarse a un puerto, el contador de violaciones, o el modo actual de violacin.
VI.VII Caractersticas La Seguridad de Puerto de Cisco es una caracterstica que nos permite aadir seguridad al acceso fsico de la red. El IOS de Cisco tiene la caracterstica de"port- security" la cual puede ser usada para: Restringir la o las direcciones MAC que se pueden conectar a travs de un puerto de switch. Restringir el nmero de direcciones MAC que se pueden conectar (simultaneamente) a un puerto del Switch. (Por default: 1 - Mximo: 132). Configurar el tiempo en que determinada MAC permanece registrada (en Minutos). Definir la accin a tomar cuando una violacin es detectada.
11 VI.VIII Razn para la realizacin de port-security en switch cisco
En implementar tcnicas de mitigacin para prevenir los ataques que se aprovechan de dichas vulnerabilidades. Para prevenir la falsificacin de MAC y el desbordamiento de la tabla de direcciones MAC, debe habilitarse seguridad de puerto (Port Security). La seguridad de puertos permite a los administradores especificar en forma esttica las direcciones MAC permitidas en un puerto determinado, o permitir al switch aprender en forma dinmica un nmero limitado de direcciones MAC. Limitando a uno el nmero de direcciones MAC permitidas en un puerto, la seguridad de puerto puede ser utilizada para controlar la expansin no autorizada de la red. Esto no es poco frecuente. Siempre hay algn visitante que requiere una conexin que es proporcionada sin respetar las polticas de seguridad de la empresa; o un trabajador de la propia organizacin que trae su propia laptop y decide conectarla a nuestra red. Para esto el recurso ms frecuente es desconectar una terminal conectada a la red y utilizar esa boca para ganar acceso a Internet.
VI.IX Configuracin De Port-Security
El proceso de configuracin requiere ingresar a la configuracin de la interfaz en cuestin e ingresar el comando port-security. Un Ejemplo: Switch)#config t Switch(config)#int fa0/1 Switch(config-if)#switchport port-security ? ..aging.........Port-security aging commands ..mac-address...Secure mac address ..maximum.......Max secure addresses ..violation.....Security violation mode
12 Switch(config-if)# switchport port-security
Si se ingresa solamente el comando bsico, se asumen los valores por defecto: solo permite una direccin MAC en el puerto, que ser la primera que se conecte al mismo, en caso de que otra direccin MAC intente conectarse utilizando esa misma boca, el puerto ser deshabilitado. Por supuesto que todos estos parmetros son modificables: Switchport port-security maximum [cant MAC permitidas] Esta opcin permite definir el nmero de direcciones MAC que est permitido que se conecten a travs de la interfaz del switch. El nmero mximo de direcciones permitidas por puerto es 132. Es importante tener presente que este feature tambin limita la posibilidad de ataque de seguridad por inundacin de la tabla CAM del switch. Switchport port-security violation [shutdown restrict protect] Este comando establece la accin que tomar el switch en caso de que se supere el nmero de direcciones MAC que se establece con el comando anterior. Las opciones son deshabilitar el puerto, alertar al Administrador o permitir exclusivamente el trfico de la MAC que se registr inicialmente. Switchport port-security mac-address [MAC address] Esta opcin permite definir manualmente la direccin MAC que se permite conectar a travs de ese puerto, o dejar que la aprenda dinmicamente. Este comando no debe ser configurado en un puerto troncal o de backbone, ya que por estos puertos circulan tramas con mltiples direcciones MAC diferentes de origen. Esto resultara en el bloqueo del puerto. El monitoreo de este feature
13 Hay comandos especficos que permiten monitorear el estado de los puertos que tienen implementado Port-security: Switch# show port-security address ......Secure Mac Address Table --------------------------------------------------------- Vlan..Mac Address....Type..........Ports..Remaining Age ..............................................(mins) ----..-----------....----..........-----..------------- 1....0004.00d5.285d..SecureDynamic Fa0/18.......- ---------------------------------------------------------- Total Addresses in System (excluding one mac per port).....:.0 Max Addresses limit in System (excluding one mac per port) : 1024 Switch# show port-security interface fa0/18 Port Security.....................: Enabled Port Status.......................: Secure-up Violation Mode....................: Shutdown Aging Time........................: 0 mins Aging Type........................: Absolute SecureStatic Address Aging........: Disabled Maximum MAC Addresses.............: 1 Total MAC Addresses...............: 1 Configured MAC Addresses..........: 0 Sticky MAC Addresses..............: 0 Last Source Address...............: 0004.00d5.285d Security Violation Count..........: 0 Switch# Direccin MAC segura esttica Se configura manualmente. Se agrega a la tabla de direcciones MAC. Se guarda en la running-config. Se puede hacer permanente guardando la configuracin. SwA(config-if)# switchport port-security mac-address DIRECCION-MAC
14 Direccin MAC segura dinmica Se aprende del trfico que atraviesa la interfaz. Se la guarda en la tabla de direcciones MAC. Se pierde cuando se reinicia el equipo. SwA(config-if)# switchport port-security Direccin MAC segura sticky Se la puede configurar de forma manual o dinmica. Se la guarda en la tabla de direcciones MAC. Se almacena en la running-config. Se puede hacer permanente guardando la configuracin. SwA(config-if) # switchport port-security mac-address sticky [DIRECCION-MAC] La principal ventaja de las direcciones sticky en contraposicin con las dinmicas es que stas ltimas se agregan a la running-config. As nos evitamos escribir un montn de direcciones MAC de manera esttica pero an podemos guardarlas en el archivo de configuracin de manera que se mantengan inclusive si el switch se reinicia. Dos aspectos importantes a tener en cuenta: Si se habilitan las direcciones MAC sticky y ya haba direcciones aprendidas de forma dinmica, stas pasan a la running-config y todas las nuevas que se aprendan tambin se agregan all. Si se deshabilitan las direcciones MAC sticky todas las que hubiera pasan a ser dinmicas y se borran de la running-config. Adems, todas las que se aprendan tambin sern dinmicas. VI.V Configuracin Para configurar port-security es importante saber que la interfaz debe estar en modo access o en modo trunk. Port-security no puede habilitarse en una interfaz que est en modo dinmico.
15 Habilitar port-security. SwA(config-if)# switchport port-security Indicar que slo se permite una MAC por interfaz. SwA(config-if)# switchport port-security maximum 1 Configurar el modo restrict para cuando ocurra una violacin del puerto. SwA(config-if)# switchport port-security violation restrict Configurar el aprendizaje de direcciones MAC sticky. SwA(config-if)# switchport port-security mac-address sticky O bien especificar una MAC de forma esttica. SwA(config-if)# switchport port-security mac-address 5400.0000.0001 Chequear el estado de port-security. SwA# show port-security Ejemplo: Switch>enable Switch#configure terminal Switch(config-if)#interface fastEthernet 0/2 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security mac-address sticky Switch (config-if)#switchport port-security maximum 3 Switch(config-if)#switchport port-security violation shutdown Switch(config-if)#do wr Building configuration... [OK] Switch(config-if)#exit
16 VII. MTODO A UTILIZAR
Direccin MAC segura esttica Se configura manualmente. Se agrega a la tabla de direcciones MAC. Se guarda en la running-config. Se puede hacer permanente guardando la configuracin. SwA(config-if)# switchport port-security mac-address DIRECCION-MAC El IOS de Cisco tiene la caracterstica de "port-security" la cual puede ser usada para: Restringir la o las direcciones MAC que se pueden conectar a travs de un puerto del Switch. Restringir el nmero de direcciones MAC que se pueden conectar (simultneamente) a un puerto del Switch. (Por default: 1 - Mximo: 132). Configurar el tiempo en que determinada MAC permanece registrada (en Minutos). Definir la accin a tomar cuando una violacin es detectada. Para que se pueda aplicar seguridad de puerto: El puerto del switch no puede estar definido como troncal (Trunk Port). El puerto del switch no puede ser un un puerto 802.1x. El puerto del switch no puede pertenecer a un puerto que conforme un EtherChannel. El puerto del switch no puede ser el puerto de conexin de un Switchport Analyzer (SPAN).
Para habilitar la seguridad de puerto se debe entrar a la interfaz (o interfaces).
17 Switch>enable Switch#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#interface fa0/1 Switch(config-if)# Hecho esto se debe configurar la interfaz en modo de acceso, ya que por default viene en modo "Dynamic Desireble" y este modo no admite la configuracin de seguridad de puerto.
Switch(config-if)#switchport mode Access Luego se puede proceder a habilitar la seguridad de puerto mediante el comando:
Switch(config-if)#switchport port-security Este comando habilita la seguidad de puerto por default, siendo esta: Una direccin MAC permitida. La primera direccin MAC que se conecte ser la configurada como permitida. Deshabilitar el puerto si ocurre una violacin. Si se conoce la direccin MAC del dispositivo a conectarse en determinado puerto, y ese es el nico host a conectarse ah, puedes configurar manualmente la MAC en el switch para que solo acepte esa direccin.
Switch(config-if)#switchport port-security mac-address 2222.4444.6666 Donde 2222.4444.6666 es la MAC del dispositivo permitido, cualquier otra direccin fsica que se conecte en el puerto, provocar una violacin.
18 Si hay un switch o un hub, conectado a un puerto del switch que quieres asegurar, puedes configurar un mximo de direcciones MAC asociadas a ese puerto, por ejemplo si queremos configurar un mximo de 3 direcciones MAC se hara de la siguiente manera: Switch(config-if)#switchport port-security maximum 3
Si adems de eso, conocemos las direcciones MAC asociada a los 3 dispositivos permitidos, podemos configurarlas como se muestra a continuacin.
De esta forma habremos definido mximo 3 dispositivos asociados a determinado puerto y especificado cuales son los dispositivos que se pueden asociar. Si se conecta un 4to dispositivo ocurre una violacin de seguridad, si se conecta un equipo cuya MAC no sea algunas de las que est definida, tambin ocurre una violacin de seguridad. Tambin puedes requerir dar acceso temporal a determinado usuario, para ello puedes configurar temporizadores de acceso, una vez vencido el tiempo configurado la MAC del dispositivo invitado, se borrar. Esto ayudar a evitar que direcciones MAC obsoletas, ocupen la tabla y la saturen, causando una violacin cuando el mximo permitido sea excedido. Switch(config-if)#switchport port-security aging time 60 Donde 60 implica un lapso de 60 minutos, el rango va desde 1 a 1440 minutos (24 horas).
19 Ahora solo falta ver qu acciones podemos tomar cuando ocurra una violacin, las acciones son: Proteccin: Rechaza los paquetes hasta que el causante de la violacin es subsanado, el usuario no advierte que se ha producido una violacin de seguridad. Switch(config-if)#switchport port-security violation protect Restriccin: Rechaza los paquetes hasta que el causante de la violacin es subsanado, el usuario advierte que se ha producido una violacin de seguridad. De manera especfica se enva un mensaje SNMP, se registra un mensaje de syslog y se aumenta el contador de violaciones. Switch(config-if)#switchport port-security violation restrict Desactivacin (default): La interfaz se deshabilita de manera inmediata por error y se apaga el led del puerto. Tambin enva un mensaje SNMP, se registra un mensaje de syslog y se incrementa el contador de violaciones. Cuando esto sucede es necesario volver a habilitar el puerto manualmente mediante el comando "no shutdown". Switch(config-if)#switchport port-security violation shutdown
Para verificar las configuraciones, puedes usar los comandos:
Solo se podrn conectar los equipos autorizados con relacin a su direccin MAC ADDRESS que se les d acceso desde un determinado puerto del switch restringiendo las direcciones MAC conectadas a cada puerto del switch. Si un dispositivo con otra direccin MAC intenta comunicarse a travs de un puerto de la LAN, port-security deshabilitar el puerto y el administrador de red podr verificar mediante los siguientes comandos si existe una violacin: 1.- Muestra l estado general sobre los puertos del switch. show port-security address 2.- Muestra una descripcin detallada sobre un puerto en especfico. show port-security interfaces fa0/x
21 IX. BIBLIOGRAFAS
Configurar Port Security en Switches Cisco. (16 de Junio de 2012). Recuperado el 12 de Mayo de 2013, de file:///C:/Users/Rocio/Documents/seguridad%20en%20redes/Configurar%20Port%20Secu rity%20en%20Switches%20Cisco%20%20%20rm-rf.es.htm Gerometta, O. (09 de Octubre de 2006). Mis Libros de Networking. Recuperado el 15 de Mayo de 2013, de file:///C:/Users/Rocio/Documents/seguridad%20en%20redes/Mis%20Libros%20de%20Ne tworking%20%20Implementaci%C3%B3n%20de%20port%20security%20en%20switches% 20Cisco.htm Silva, A. V. (Septiembre de 2008). CONFIGURACION PORT-SECURITY SWITCH CISCO. Recuperado el 16 de Mayo de 2013, de file:///C:/Users/Rocio/Documents/seguridad%20en%20redes/CONFIGURACION%20PORT- SECURITY%20SWITCH%20CISCO.htm