TECNOLGICO NACIONAL DE MXICO

INSTITUTO TECNOLGICO DE SALINA CRUZ

ACTIVIDAD:

REPORTE DE INVESTIGACION SEGURIDAD EN REDES VLAN

NOMBRE (S):

VICTOR MIGUEL REYES HERNANDEZ

ASIGNATURA:

REDES EMERGENTES

GRADO Y GRUPO:

7E

CARRERA:
ING. EN TICS

FACILITADOR:
M.C. SUSANA MONICA ROMAN NAJERA

SALINA CRUZ, OAX. A 21 DE SEPTIEMBRE DE 2016

INDICE

INTRODUCCION .................................................................................................... 1
OBJETIVO............................................................................................................... 2
Definicin de VLAN ................................................................................................. 3
Seguridad de puertos de switch .............................................................................. 3
Funcionamiento................................................................................................... 3
Modos de violacin de seguridad ........................................................................ 4
Recomendaciones de configuracin de una VLAN ................................................. 5
Configuracin .......................................................................................................... 5
Asignacin esttica de direcciones ..................................................................... 6
Puertos seguros .................................................................................................. 7
Direccin MAC segura esttica ........................................................................... 7
Configuracin predeterminada de la seguridad de puertos dinmicos ................ 8
Configuracin de la seguridad de puertos dinmicos .......................................... 9
Configuracin de la seguridad de puertos persistentes ...................................... 9
Comprobaciones de funcionamiento ..................................................................... 10
Seguridad de puertos para DHCP ......................................................................... 10
CONCLUSION ...................................................................................................... 12
FUENTES BIBLIOGRAFICAS (OTRAS FUENTES) ............................................. 13
ANEXO .................................................................................................................. 14

INTRODUCCION
Dentro del mbito de las comunicaciones del internet, aparte de encontrarnos con
los componentes bsicos de una red, nosotros podemos crear redes virtuales que
permitan una mejor conexin del usuario, por lo cual para poder desarrollar esta
funcin de comunicacin se requiere de la integracin de las diferentes
seguridades existentes, ya que como administradores de la red virtual, debemos
que tengan la total de seguridad para evitar los posibles ataque informticos que
se puedan dar dentro de nuestra red.
As que a continuacin en este trabajo se podr ver el conocimiento bsico sobre
que es una VLAN para despus pasar a la seguridad de los puertos de los
switches.
Por lo cual dentro de la configuracin de puertos nos encontraremos con
conceptos sobre su funcionamiento, los modos de violacin de seguridad, la
asignacin esttica de direcciones, etc.
Seguido de eso pasaremos a algunos ejemplos sobre la configuracin de
seguridad

en

puertos

dinmicos,

persistentes,

as

como

tambin

las

comprobaciones de funcionamiento y la seguridad de puertos DHCP.

Sin ms prembulo se presenta el siguiente trabajo a su disposicin.

Pgina 1 de 14

OBJETIVO
Configura redes VLAN conforme a los estndares

Pgina 2 de 14

Definicin de VLAN
Como bien sabemos una VLAN (red de rea local virtual)es una red de rea local
que agrupa un conjunto de equipos de manera lgica y no fsica.
Se la llama virtual porque parece que est en una LAN propia y que la red es de
ellos solos.
Por lo tanto esto permite que las estaciones de trabajo ubicadas fsicamente en
lugares diferentes pueden trabajar en la misma red lgica (es decir, con el mismo
direccionamiento de red), como si estuvieran conectadas al mismo switch.
As que es necesario que exista una seguridad implementada en cada clan que se
vaya a crear.

Seguridad de puertos de switch

Funcionamiento
La seguridad en los switches comienza por el acceso al propio sistema, a travs
de la consola o a travs de las lneas virtuales (vty), ya sea por Telnet o SSH, o
tambin por Http.
Se puede establecer una contrasea para el acceso en modo privilegiado y
adems, la autenticacin se puede llevar de modo local, por medio de usuarios
configurados en el propio sistema, con sus diferentes niveles de privilegios, o bien
por medio de un servidor externo
Para la seguridad desde el punto de vista de la red, a nivel de switch (capa 2) se
suelen utilizar LAN virtuales (VLAN) para separar dominios de difusin.
Tambin existe una seguridad a nivel de puertos, que va ms all de los accesos
al sistema del switch, con el que se intenta controlar qu equipos se conectan a la
red.

Pgina 3 de 14

Modos de violacin de seguridad

Cuando se detecta una violacin, hay tres acciones posibles que se pueden
realizar:

Protect

Restrict

Shutdown

Protect: Protege bloqueando, pero cuando llega una MAC conocida vuelve a
enviar trfico. Al puerto se le permite estar en estado Up, como en el modo de
restringir. A pesar de que los paquetes de direcciones MAC violados se botan, no
hay constancia de la violacin.

No avisa

No genera Syslog y SNMP.

Restrict: Protege bloqueando, pero cuando llega una MAC conocida vuelve a
enviar trfico. Al puerto se le permite permanecer en estado Up, pero todos los
paquetes violados de las direcciones MAC son botados. El switch mantiene un
recuento actualizado del nmero de paquetes violados, se puede enviar una
captura de SNMP y un mensaje de Syslog como una alerta de la violacin.

Enva Syslog y SNMP.

Enva un errdisable.

Shutdown: El puerto de inmediato se pone en el estado errdisable, lo que hace

que efectivamente se apague. Hay que volver a habilitarlo de forma manual o
mediante la recuperacin errdisable para ser utilizado de nuevo.

Bloquea el puerto,

Apaga el puerto.

Hay que levantarlo manualmente.

Pgina 4 de 14

Recomendaciones de configuracin de una VLAN

Si configura una red de rea local virtual (VLAN), recuerde que las VLAN
comparten el ancho de banda de la red y requieren medidas de seguridad
adicionales.

Al usar VLAN, separe los clusters sensibles de sistemas del resto de la red.
De esta manera, se reduce la probabilidad de que los usuarios tengan
acceso a la informacin almacenada en esos clientes y servidores.

Asigne un nmero de VLAN nativo nico a los puertos de enlace troncal.

Limite las VLAN que se pueden transportar mediante un enlace troncal a las
que son estrictamente necesarias.

Desactive el protocolo de enlace troncal (VTP) de VLAN, si es posible. De

lo contrario, configure lo siguiente para el VTP: dominio de gestin,
contrasea

eliminacin.

continuacin,

defina

VTP

en

modo

transparente.

Utilice configuraciones de VLAN estticas, cuando sea posible.

Desactive los puertos de conmutador no utilizados y asgneles un nmero

de VLAN que no est en uso.

Configuracin
La seguridad de puertos limita la cantidad de direcciones MAC vlidas permitidas
en un puerto.
Se permite el acceso a las direcciones MAC de los dispositivos legtimos, mientras
que otras direcciones MAC se rechazan.
Cualquier intento adicional de conexin por parte de direcciones MAC
desconocidas generar una violacin de seguridad.
Las direcciones MAC seguras se pueden configurar de varias maneras:

Direcciones MAC seguras estticas

Direcciones MAC seguras dinmicas

Direcciones MAC seguras persistentes

Pgina 5 de 14

Asignacin esttica de direcciones

Consiste en asignar manualmente una direccin MAC a un puerto especfico. Se
puede comprobar que no se puede conectar ese equipo en otro puerto. Lo
contrario

se

puede.

La sintaxis del comando:

1. sw(config)#mac-address-table static direccin_mac interface n

vlan

nombre_vlan
Para eliminar la asignacin se debe usar la forma no del comando.
2. sw(config)#no mac-address-table static direccin_mac interface n

vlan

nombre_vlan
Debe tenerse en cuenta que la sintaxis mostrada puede variar ligeramente
dependiendo

del

modelo

de

switch

de

la

versin

de

IOS.

La comprobacin de la configuracin puede hacerse consultando simplemente la

tabla de direcciones MAC del switch:

sw#show mac-address-table

Pgina 6 de 14

Puertos seguros
Se conoce como puerto seguro a aqul que se configura de manera que puede
establecer una direccin MAC como segura, e impedir que el resto de equipos
puedan

conectarse

ese

mismo

puerto.

Existen varias maneras de tratar el puerto seguro. La configuracin bsica:

Para poder aplicar seguridad hace falta que el puerto est en modo access.
1. sw(config-if)#switchport mode access

Para establecer la seguridad.

2. sw(config-if)#switchport port-security

Con el puerto as configurado, por defecto, la primera MAC que aprenda (la de la
primera trama que pase por ah) ser la nica que se podr usar, hasta que se
desconecte, entonces la que aprenda despus se convertir en segura.
Se puede cambiar para que aprenda ms de una como segura (slo tiene sentido
en

un

puerto

conectado

un

hub

otro

switch).

Para que en cuanto aprenda una direccin, no permita cambiarla.

sw(config-if)#switchport port-security mac-address sticky

Direccin MAC segura esttica

Se configura manualmente.

Se agrega a la tabla de direcciones MAC.

Se guarda en la running-config.

Se puede hacer permanente guardando la configuracin.

Comando: sw(config-if)# switchport port-security mac-address DIRECCION-MAC

Pgina 7 de 14

Configuracin predeterminada de la seguridad de puertos

dinmicos
CARACTERISTICA

CONFIGURACION
PREDETERMINADA

Seguridad del puerto

Inhabilitada en un puerto

Nmero mximo

Modo de violacin

Shutdown.

El puerto se desactiva

cuando se supea la cantidad mxima

de direcciones MAC seguras.
Aprendizaje

de

direcciones

sin Disabled

modificacin

1. Switch(config-if)# switchport port-security

2. Switch(config-if)# switchport port-security maximum 2 (El rango va de 1 132)
3. Switch(config-if)# switchport port-security mac-address sticky
4. Switch(config-if)# switchport port-security mac-address0006.5b02.a841
5. Switch(config-if)# switchport port-security violation {shutdown | restrict | protect}

Pgina 8 de 14

Configuracin de la seguridad de puertos dinmicos

Especifica la interfaz que se debe S1(config)# interface fastethernet 0/18

configurar para la seguridad de puertos
Establece la interfaz en modo de S1(config-if)# switchport mode Access
acceso
Establezca la seguridad de puerto en la S1(config-if)# switchport port-security
interfaz

Configuracin de la seguridad de puertos persistentes

Especifica la interfaz que se debe

configurar para la seguridad de puertos
Establece la interfaz en modo de
acceso
Establezca la seguridad de puerto en la
interfaz
Establece la cantidad mxima de
direcciones seguras permitidas en el
puerto
Habilita el aprendizaje por persistencia

S1(config)# interface fastethernet 0/19

S1(config-if)# switchport mode Access
S1(config-if)# switchport port-security
S1(config-if)# switchport port-security
maximum 50
S1(config-if)# switchport port-security
mac-address sticky

Pgina 9 de 14

Comprobaciones de funcionamiento
Para comprobar el estado de seguridad de puertos.
1. sw#show port-security
Para ver la configuracin detallada de un puerto.
2. sw#show port-security interface interfaz
Ejemplo:

Seguridad de puertos para DHCP

Una defensa importante que podemos aplicar en los puertos es frente a los
ataques al servicio DHCP.
El protocolo DHCP trabaja a base de difusiones, sin autenticacin, por lo que es
susceptible al ataque por parte de servidores DHCP piratas que otorguen
configuraciones falsas a clientes legtimos.

Pgina 10 de 14

stos, normalmente, no obtendrn la configuracin necesaria para acceder a

recursos externos.
El snooping consiste en la identificacin de puertos confiables, a los que se les
permitir tanto enviar como recibir mensajes DHCP.
Con la opcin trust, el puerto se convierte en confiable, permitiendo el paso de
ofertas de servidores DHCP hacia los clientes.
1. sw(config)# ip dhcp snooping --> para habilitar el servicio.
2. sw(config)#interface f0/1
3. sw(config-if)#ip dhcp snooping trust
Los no confiables solo pueden enviar solicitudes, con lo que podrn tener
conectados clientes DHCP, pero no servidores.

DHCP tambin es muy susceptible a los ataques de DoS (Denegacin de Servicio)

a base de lanzar mltiples solicitudes de configuracin IP con direcciones MAC
inventadas, con el objetivo de agotar todas las IP disponibles en el servidor.
Para ste ltimo caso, es oportuno limitar el nmero de peticiones que se puedan
realizar a travs de un puerto, con el comando:
1. sw(config-if)#ip dhcp snooping limit rate ratio --> nmero de peticiones
vlidas.

Pgina 11 de 14

CONCLUSION
Bueno con la realizacin de este reporte se pudo notar una definicin breve sobre
una VLAN as como tambin ver como es el funcionamiento de la seguridad en los
switches y su forma de implementar esta seguridad en ellos.
Tambin se pudo notar que existen diferentes formas de aplicar esta seguridad en
los switches pero esto debe tomarse en cuenta conforme a los requerimientos de
la red virtual a la que se vaya a usar.
Sin embargo como administradores de la red virtual esto no nos debera preocupar
ya que no tiene nada de complejo con el uso de los comando sino que
simplemente debemos saber hacia que VLAN nos estaremos dirigiendo cuando
apliquemos

estas

medidas

de

Pgina 12 de 14

seguridad

en

ellos.

FUENTES BIBLIOGRAFICAS (OTRAS FUENTES)

1. Publicado por Ing Roiman Valbuena Director Acadmico, Seguridad en redes
Vlan,

accedido

22

de

septiembre

de

2016,

http://seguridaddigitalvenezuela.blogspot.com/2008/08/seguridad-en-redesvlan.html.

2. Seguridad de VLAN - Sun Blade X4-2B, accedido 22 de septiembre de 2016,

https://docs.oracle.com/cd/E50696_01/html/E50091/gmpfo.html.
3. Cisco CCNA Cmo Configurar Trunk Port En Cisco Switch, Informacin
prctica sobre Redes, Linux, Seguridad y Hacking para profesionales de TI.
Capacity

Academy,

28

de

agosto

de

2014,

http://blog.capacityacademy.com/2014/08/28/cisco-ccna-como-configurar-trunkport-en-cisco-switch/.

4. Unidad Ic - Implementacin de Seguridad de VLAN, Scribd, accedido 22 de

septiembre

de

2016,

https://es.scribd.com/doc/316377809/Unidad-Ic-

Implementacion-de-Seguridad-de-VLAN.

5. Seguridad de puerto en switches Cisco | Mikroways, accedido 22 de

septiembre

de

2016,

http://www.mikroways.net/2009/11/26/seguridad-de-

puerto-en-switches-cisco/.

6. ngel Calvo, Seguridad en puertos de switches Cisco, Aplicaciones y

Sistemas, 3 de octubre de 2015, http://aplicacionesysistemas.com/seguridadpuerto-switch-cisco/.

Pgina 13 de 14

ANEXO

Es una red de rea local

que agrupa un conjunto
de equipos de manera
lgica y no fsica.

El snooping consi
ste
en
la
identificacin de
puertos
confiables, a los
que
se
les
permitir
tanto
enviar
como
recibir mensajes
DHCP
VLAN

SEGURIDAD DE PUERTOS
PERSISTENTES
SEGURIDAD DE
PUERTOS
DINMICOS

Para poder aplicar seguridad hace falta que el

PUERTOS SEGUROS

SEGURIDAD DE PUERTOS
PARA DHCP

Seguridad en redes VLAN

CONFIGURACION

SEGURIDAD DE
PUERTOS DE
SWITCH

Modos de
violacin
de
seguridad

Funcionamiento:
La
seguridad en los switches
comienza por el acceso al
propio sistema, a travs
de la consola o a travs
de las lneas virtuales
(vty) o tambin

Cuando se detecta una violacin, hay tres acciones posibles que se

pueden realizar
Restrict
Protect

puerto est en modo access.

Direcciones MAC seguras estticas
1. sw(config-if)#switchport mode access

Para establecer la seguridad.

Direcciones MAC seguras dinmicas

Direcciones MAC seguras persistentes

2. sw(config-if)#switchport port-security

Shutdown

Pgina 14 de 14