Tema: Mecanismos para control de tráfico basado en puertos



Documentos relacionados
Configuración básica de Switch Cisco

Tema: Implementación de DHCP en una Red LAN

Tema: VLAN. Contenidos. Objetivos Específico. Materiales y Equipo. Introducción Teórica

Introducción de redes LAN y WAN Diseño de una red LAN Mecanismos de control de puertos. Enlaces agregados de ancho de banda.

Switches de las 3550/3560 Series del Catalyst usando el ejemplo de configuración del control de tráfico del acceso basado

Experiencia 2 y 3 : Cableado y Switchs (Documentación)

REALIZAR UNA CONFIGURACIÓN INICIAL EN EL SWITCH.

Práctica de laboratorio 3.1.4: Aplicación de seguridad básica de un switch

Tema: Configuración de túneles IPSec

Uso de servidor DHCP para redes de voz y datos

Tema: NAT. Contenidos. Objetivos Específicos. Materiales y Equipo. Procedimiento. Bibliografía. Guía 1

Universidad Popular Autónoma del Estado de Puebla [DIPLOMADO EN REDES] Guía de Estudios para la Certificación CCENT/CCNA ICND1

Examen Cisco Online CCNA4 V4.0 - Capitulo 5. By Alen.-

Capitulo 1: Intro. al Enrutam. y reenvio de paquetes

EL64E Redes de Computadores. Marcela Quiroga V. Agenda 5 TCP/IP: Data Link layer

Tema: Configuración de red AD-HOC

Laboratorio práctico Monitoreo del tráfico de VLAN

Laboratorio práctico 5.5.3: Desarrollo de las ACL para implementar conjuntos de reglas de firewall

Práctica de laboratorio 8.3.3: Configuración y verificación de las ACL estándar

Manejo de Redes Grupo: 606

Laboratorio práctico Cómo hacer un diagrama de los flujos de tráfico de Intranet

Diseño de Redes LAN Tecnologías de conmutación. Derman Zepeda Vega.

ACTIVIDAD: CONFIGURACIÓN BÁSICA DE VLAN. Tabla de direccionamiento. Asignación de puertos

Práctica de laboratorio 5.5.3: Resolución de problemas del protocolo spanning tree

UNIVERSIDAD DON BOSCO FACULTAD DE ESTUDIOS TECNOLÓGICOS COORDINACION DE COMPUTACIÓN GUIA DE LABORATORIO # 10

CCNA 3 EXAMEN 7 SU PUNTUACION ES 100%. RESPUESTAS CORRECTAS AL PRIMER INTENTO: 21/21 EJERCICIO COMPLETADO

Práctica de laboratorio: resolución de problemas de routing entre VLAN Topología

2. Qué dispositivo se debe utilizar para enrutar un paquete a una red remota? A switch de acceso B servidor de DHCP C hub D router

CAPAS DEL MODELO OSI (dispositivos de interconexión)

Aranda 360 ENDPOINT SECURITY

Configuración switches Cisco Small-Business

CAPÍTULO HTML Y DHCP DE H0/H2-ECOM100 CONFIGURACIÓN. En este capítulo...

INSTITUTO TECNOLOGICO DE SALINA CRUZ REDES DE COMPUTADORAS REALIZADA POR: JIMENEZ GARCIA ANGEL DANIEL

Capitulo 10 - CCNA Exploration: Aspectos básicos de networking (Versión 4.0)

1 of 6. Visualizador del examen - ENetwork Chapter 5 - CCNA Exploration: Network Fundamentals (Versión 4.0)

Tema: Analizador de tráfico

Explorando el Packet Tracer v5.3 Telefonía IP & CME

TELECOMUNICACIONES Y REDES

TELECOMUNICACIONES Y REDES

Practica Redes VLAN y Enrutamientos (Estático y Dinámico)

Introducción al enrutamiento y envío de paquetes

CONFIGURACION DE UN SWITCH

Configuración de switches y uso de VLAN. CC50P Sebastián Castro A. Primavera 2006

Examen Cisco Online CCNA4 V4.0 - Capitulo 7. By Alen.-

Una ACL es una lista secuencial de sentencias de permiso o denegación que se aplican a direcciones IP o protocolos de capa superior.

Redes de Comunicaciones. José Manuel Vázquez Naya

OBSERVER Que topologías para el Análisis y Monitoreo de Redes contempla?

Práctica de laboratorio 5.5.3: Resolución de problemas del Protocolo spanning tree

Práctica de laboratorio: implementación de seguridad de VLAN

Capitulo 2: Enrutamiento Estático

UNIVERSIDAD DON BOSCO FACULTAD DE ESTUDIOS TECNOLÓGICOS ESCUELA DE COMPUTACION

Anexo I. Politicas Generales de Seguridad del proyecto CAT

! " " & '( ) ( (( * (+,-.!(/0"" ) 8-*9:!#;9"<!""#

Introducción a Switching Ethernet

Práctica de laboratorio 4.4.3: Configuración del VTP para solucionar problemas

Unidad 3: Extensión de LAN: módems. conmutadores. Redes y Comunicaciones

Conmutación de una red empresarial

INSTITUTO POLITÉCNICO NACIONAL La tecnica al servicio de la patria. Practica Cableado Estructurado" Aplicaciones de Redes 4NM80

Es un conjunto de dispositivos interconectados entre si que comparten recursos y/o servicios como video, voz y datos a través de medios guiados, no

7.2.2 Plan de prueba de conectividad básica. Construcción de red (Configuración) Fecha de prueba

Ejemplo de configuración de ACL en controlador para redes LAN inalámbricas

Sophos Computer Security Scan Guía de inicio

SEGURIDAD INFORMATICA HERRAMIENTAS PARA LA SEGURIDAD EN REDES DE COMPUTADORES

6.4 CONMUTADOR o SWITCH

CCNA 1 - Examen final

Título del contenido: Windows Server 2012 Detalles técnicos de redes. Módulo 1: Administración de la infraestructura de red

Práctica 4 - Network Address Translation (NAT)

Cómo monitorear una red LAN

USB (Universal Serial Bus)

Manual de Usuario CPE OX330. Manual de Usuario CPE OX330

HOWTO: Cómo configurar DNAT para publicar los servicios internos hacia Internet

Experiencias en arquitecturas de seguridad en la comunidad RedIRIS

CCNA 2. Laboratorio Enrutamiento por defecto con los protocolos RIP e IGRP (Hecho con Packet Tracer 4.11)

Diseño de Redes de Área Local

Actividad de Packet Tracer 2.4.7: Configuración de la seguridad del switch

Práctica de laboratorio: configuración de rutas estáticas y predeterminadas IPv4

Monitorización de sistemas y servicios


Actividad PT 2.3.8: Configuración de la administración básica del switch

Tema: Introducción a packet tracer

Actividad PT 4.4.1: Configuración básica del VTP

Sistema de Captura Electrónica

Bloque IV: El nivel de red. Tema 10: Enrutamiento IP básico

Capa de TRANSPORTE. Ing. José Martín Calixto Cely Original: Galo Valencia P.

Tema: Configuración de Access Point

Práctica 7 Network Address Translation en routers Cisco

Tema: Analizador de tráfico

Transporte de Datos. Profesora María Elena Villapol. Comunicación de Datos

Gestión y diagnóstico básico de switches ConneXium TCSESM instalados en arquitecturas redundantes (anillo)

Con SNMP y MIB-II sólo se puede recuperar información local a los dispositivos.

CAPITULO 1. Redes de Area Local LAN

PORTAFOLIO DE EVIDENCIAS. REDES

- ESwitching Chapter 4 - CCNA Exploration: LAN Switching and Wireless (Versión 4.0)

Lista de Control de Acceso (ACL) LOGO

Qué es el enrutamiento estático?

TELECOMUNICACIONES Y REDES. Redes Computacionales II. Prof. Cristian Ahumada V.

1. Instala servicios de configuración dinámica, describiendo sus características y aplicaciones.

Práctica de laboratorio 8.3.4: Planificación, configuración y verificación de las ACL extendidas

PROTOCOLOS DE ENRUTAMIENTO

Transcripción:

Administración de redes. Guía 6 1 Facultad: Ingeniería Escuela: Electrónica Asignatura: Administración de redes Tema: Mecanismos para control de tráfico basado en puertos Contenidos Storm Control Protected Ports Private Edge VLANs Port Blocking Port Security Objetivos Específicos Estudiar diferentes mecanismos disponibles para el control de tráfico basado en puertos. Diferenciar escenarios en que se pueden utilizar los mecanismos para control de tráfico basado en puertos. Ejecutar procedimientos para la configuración de control de tráfico basado en puertos en un switch Catalyst 2960. Materiales y Equipo 1 Switch Cisco Catalyst 2960 1 PC con HyperTerminal o SecureCRT 1 Cables de Consola Cisco 1 Convertidores serial a USB 1 Cable UTP Cruzado Procedimiento Esquema Bibliografía de Conexiones Conectar la PC con el switch empleando el cable de consola. Guía 1 PARTE I: Storm Control Storm control previene que el tráfico de la LAN se vea afectado o interrumpido por tormentas de broadcast, multicast o unicast en una de las interfaces físicas. Una tormenta LAN ocurre cuando paquetes inundan la LAN, generando tráfico excesivo y degradando el desempeño de la red. Errores en la implementación de protocols, configuraciones de red erróneas o usuarios atacando la red con DoS pueden provocar una tormenta. Storm Control (o supresión de tráfico) monitorea los paquetes que pasan de las interfaces al bus de switching y determina si el paquete es unicast, multicast, o broadcast. El switch realiza conteo de

2 Administración de redes. Guía 6 los paquetes de un tipo específico recibidos en un intervalo de 1 segundo y luego compara el número de paquetes con el umbral de nivel de supresión predefinido. Con storm control, el puerto bloquea el tráfico cuando el umbral máximo ha sido alcanzado. El puerto permanece bloqueado hasta que la tasa de tráfico cae por debajo del umbral mínimo (si se ha especificado uno) y entonces transmite tráfico de forma normal. En general, entre más alto es el umbral, la protección contra tormentas de broadcast es menos efectiva. Storm control se configura ingresando al modo de configuración de interface y aplicando el siguiente comando storm-control {broadcast multicast unicast} level {level [level-low] bps bps [bps-low] pps pps [pps-low]} Level especifica el umbral máximo (rising threshold) para tráfico broadcast, multicast o unicast como porcentaje del ancho de banda. Bps especifica el umbral máximo en bits por segundo. Pps especifica el umbral máximo en paquetes por segundo. Luego se aplica el siguiente comando para especificar la acción a tomar cuando una tormenta es detectada. Por defecto la acción realizada es la de filtrar el tráfico sin enviar traps. storm-control action {shutdown trap} Shutdown es utilizado para deshabilitar el Puerto (err-disable) durante la tormenta. Trap es utilizado para generar un trap de SNMP cuando se detecta una tormenta. 1. Configure el puerto Fa0/1 para habilitar storm control para broadcast con un umbral de 20%. Switch# configure terminal Switch(config)# interface FastEthernet0/1 Switch(config-if)# storm-control broadcast level 20 2. Configure el Puerto Fa0/2 para habilitar storm control para multicast con un umbral máximo de 100kbps y un umbral caída de 50kbps. En caso de detectar una tormenta se debe generar un trap SNMP. Switch# Switch(config)# Switch(config-if)# Switch(config-if)# PARTE II: Protected Ports Private Edge VLANs Por razones de seguridad y protección de hosts de la red LAN o debido a la existencia de ciertas aplicaciones se tienen requerimientos que ningún tipo de tráfico sea transmitido (forwarded) a nivel de L2 entre puertos de un mismo switch de tal forma que un host no pueda ver el tráfico generado por otro vecino. En tal ambiente, el uso de puertos protegidos asegura que no exista intercambio de tráfico unicast, multicast o broadcast entre dichos puertos. Puertos protegidos poseen las siguientes características:

Administración de redes. Guía 6 3 Un puerto protegido no transmite tráfico a ningún puerto que también es protegido. Tráfico de datos no puede ser transmitido entre puertos protegidos en L2; solamente tráfico de control, como paquetes PIM, pueden ser transmitidos debido a que estos paquetes son procesados por el CPU y transmitidos via software. Todo el tráfico de datos que debe pasar entre 2 puertos protegidos, debe hacerse por medio de un dispositivo L3. Transmisión entre un puerto protegido y uno no protegido (publico) se hace de forma normal. 1. Configure el Puerto FastEthernet0/3 como puerto protegido: Switch# configure terminal Switch(config)# interface FastEthernet0/3 Switch(config-if)# switchport protected Switch(config-if)# end PARTE III: Port Blocking Por defecto, un switch inunda los paquetes con direcciones MAC destino desconocidas en todos los puertos. Si tráfico multicast o unicast desconocido es enviado a un puerto protegido, pueden existir problemas de seguridad. Para prevenir que tráfico unicast o multicast desconocido sea transmitidos de un puerto a otro, se puede bloquear un puerto (protegido o publico) para que no inunde paquetes unicast o multicast desconocidos a otros puertos. 2. Configure la interface FastEthernet0/4 para bloquear inundaciones de multicast y unicast desconocidas: Switch# configure terminal Switch(config)# interface gigabitethernet0/1 Switch(config-if)# switchport block multicast Switch(config-if)# switchport block unicast Switch(config-if)# end PARTE IV: Port Security Se puede utilizar port security para restringir tráfico entrante en una interface al limitar e identificar las direcciones MAC de las estaciones que tienen acceso autorizado al puerto. Cuando se asignan direcciones MAC seguras a un puerto asegurado, el puerto no transmite paquetes con direcciones origen que no se encuentren en el grupo de direcciones predefinido. Si se limita el número de direcciones MAC a uno y se asigna una dirección MAC única, el host asociado al puerto tiene asegurado todo el ancho de banda de dicho puerto. Si un puerto es configurado como seguro y el número máximo de direcciones MAC seguras es alcanzado o cuando la dirección MAC de la estación que intenta tener acceso a la red es diferente de las direcciones MAC configuradas como seguras, una violación de seguridad ocurre. También, si una estación con dirección MAC segura configurada o aprendida en un puerto seguro intenta acceder mediante otro puerto seguro, se marca una violación. Se configura el número máximo de direcciones seguras permitidas en un puerto utilizando el comando switchport port-security maximum value. Un switch soporta los siguientes tipos de direcciones MAC seguras:

4 Administración de redes. Guía 6 Static secure MAC addresses: estas direcciones son configuradas manualmente utilizando el comando switchport port-security mac-address mac-address. Estas direcciones son almacenadas en la tabla de direcciones y se agregan el la configuración actual del equipo (runningconfiguration). Dynamic secure MAC addresses: estas direcciones son configuradas de forma dinámica y son almacenadas únicamente en la tabla de direcciones y son removidas una vez se reinicia el switch. Sticky secure MAC addresses: estas pueden ser aprendidas de forma dinámica o configuradas manualmente, almacenadas en la tabla de direcciones y se agregan a la configuración actual del equipo. Si estas direcciones son almacenadas en el archivo de configuración, cuando el switch reinicia, la interface no requiere reconfigurar dinámicamente las direcciones. Se puede configurar una interface para convertir las direcciones MAC dinámicas en direcciones MAC sticky para que sean agregadas a la configuración actual del switch utilizando sticky learning. Para habilitar sticky learning se emplea el comando switchport port-security macaddress sticky. Al ejecutar este comando, la interface convierte todas las direcciones MAC seguras dinámicas, incluyendo aquellas que fueron aprendidas de forma dinámica antes de haber habilitado sticky learning. Todas las direcciones seguras sticky son añadidas a la configuración actual del switch. Si se deshabilita sticky learning, las direcciones MAC sticky son convertidas a direcciones dinámicas seguras y son removidas de la configuración actual del switch. Se puede configurar una interface en tres modos de violación: Protect: cuando el numero de direcciones MAC seguras alcanza el limite máximo permitido en el puerto, paquetes con direcciones fuente desconocidas son descartados. No se envían notificaciones que una violación de seguridad ha ocurrido. Restrict: cuando el número de direcciones MAC alcanza el límite máximo permitido en el puerto, los paquetes con direcciones fuente desconocidas son descartados. En este modo, se envía notificación de que una violación de seguridad ha ocurrido. Un trap SNMP es enviado, un mensaje syslog es creado y el contador de violaciones incrementa. Shutdown: una violación de seguridad del puerto provoca que la interface sea deshabilitada (err-disable) inmediatamente. Un trap SNMP es enviado, se crea un mensaje syslog y el contador de violaciones incrementa. Este es el modo por defecto. Para la configuración de port security se emplean los siguientes commandos: Se configura el modo switchport de la interface: switchport mode {access trunk} Se habilita port security en el puerto: switchport port-security Configurar el número máximo de direcciones MAC seguras permitidas. Puede especificarse el número máximo por VLAN. switchport port-security [maximum value [vlan {vlan-list {access voice}}]] Configurar el modo de violación switchport port-security violation {protect restrict shutdown} Configurar las direcciones MAC seguras permitidas en el puerto. Si se configura un número de direcciones menor al máximo permitido en el puerto, el remanente de direcciones puede ser aprendidas de forma dinámica. switchport port-security [mac-address mac-address [vlan {vlan-id {access voice}}]

Administración de redes. Guía 6 5 Habilitar sticky learning en la interface: switchport port-security mac-address sticky Configurar una dirección MAC segura como dirección sticky: switchport port-security mac-address sticky [mac-address vlan {vlan-id {access voice}}] 3. Configure el Puerto FastEthernet0/5 con port security con un número máximo de direcciones MAC seguras de 50. Switch(config)# interface gigabitethernet0/1 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 50 Switch(config-if)# switchport port-security mac-address sticky 4. Configure el Puerto FastEthernet0/6 con port security, configure direcciones MAC seguras de forma manual para la vlan de datos y vlan de voz, configure un número máximo de 20 direcciones seguras en el puerto (10 para vlan de datos y 10 para vlan de voz). Switch(config)# interface FastEthernet0/1 Switch(config-if)# switchport access vlan 21 Switch(config-if)# switchport mode access Switch(config-if)# switchport voice vlan 22 Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 20 Switch(config-if)# switchport port-security violation restrict Switch(config-if)# switchport port-security mac-address sticky Switch(config-if)# switchport port-security mac-address sticky address Switch(config-if)# switchport port-security mac-address address Switch(config-if)# switchport port-security mac-address sticky address vlan voice Switch(config-if)# switchport port-security mac-address address vlan voice Switch(config-if)# switchport port-security maximum 10 vlan access Switch(config-if)# switchport port-security maximum 10 vlan voice Análisis de resultados Presente un escenario o ejemplo en que pueda implementarse cada uno de estos mecanismos. Guía 3 Guía Bibliografía 4 http://cisco.biz/en/us/docs/ios/12_0t/12_0t1/feature/guide/easyip2.html#wp24774 fía Guía 3 Guía 4 fía

6 Administración de redes. Guía 6 Hoja de cotejo: Docente: Guía 6: Mecanismos para control de tráfico basado en puertos Máquina No: 1 1 Alumno: Máquina GL: No: Tema: Alumno: Docente: Presentación del programa Docente: GL: Máquina a No: GL: Fecha: EVALUACION % 1-4 5-7 8-10 Nota CONOCIMIENTO Del 20 al 30% Conocimiento deficiente de los fundamentos teóricos Conocimiento y explicación incompleta de los fundamentos teóricos Conocimiento completo y explicación clara de los fundamentos teóricos APLICACIÓN DEL CONOCIMIENTO Del 40% al 60% ACTITUD Del 15% al 30% No tiene actitud proactiva. Actitud propositiva y con propuestas no aplicables al contenido de la guía. Tiene actitud proactiva y sus propuestas son concretas. TOTAL 100%

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback