apuntes capitulo 2 ccna 2.pdf

download apuntes capitulo 2 ccna 2.pdf

of 19

Transcript of apuntes capitulo 2 ccna 2.pdf

  • LLLLiiiibbbb rrrreeee tttt aaaa:::: CCNA IICCCCrrrreeee aaaaddddoooo :::: 06/07/2014 06:44 p.m. AAAA cccc tttt uuuuaaaalllliiiizzzzaaaaddddoooo :::: 08/07/2014 09:32 p.m.UUUURRRRLLLLOOOOrrrriiiiggggeeee nnnn :::: https://static-course-assets.s3.amazonaws.com/RSE50ES/module2/2.2.2.1/2.2.2.1.html

    Apuntes captulo 2

    Los switches se usan para conectar varios dispositivos en la misma red. En una red diseada correctamente, los switches LAN son responsables de controlar el flujo de datos en la capa de acceso y de dirigirlo a los recursos conectados en red.

    Es una de las reas ms vulnerables de la red, ya que est muy expuesta al usuario. Los switches se deben configurar para que sean resistentes a los ataques de todo tipo y, al mismo tiempo, protejan los datos de los usuarios y permitan que haya conexiones de alta velocidad.

    1. Primero, el switch carga un programa de autodiagnstico al encender (POST) almacenado en la memoria ROM. El POST verifica el subsistema de la CPU. Este comprueba la CPU, la memoria DRAM y la parte del dispositivo flash que integra el sistema de archivos flash.

    2. A continuacin, el switch carga el software del cargador de arranque. El cargador de arranque es un pequeo programa almacenado en la memoria ROM que se ejecuta inmediatamente despus de que el POST se completa correctamente.

    3. El cargador de arranque lleva a cabo la inicializacin de la CPU de bajo nivel. Inicializa los registros de la CPU, que controlan dnde est asignada la memoria fsica, la cantidad de memoria y su velocidad.

    4. El cargador de arranque inicia el sistema de archivos flash en la placa del sistema.

    5. Por ltimo, el cargador de arranque ubica y carga en la memoria una imagen del software del sistema operativo IOS predeterminado y le cede el control del switch al IOS.

    RECUPERACIN TRAS UN BLOQUEO DE SISTEMA

    El cargador de arranque proporciona acceso al switch si no se puede usar el sistema operativo debido a la falta de archivos de sistema o al dao de estos. El cargador de arranque tiene una lnea de comandos que proporciona acceso a los archivos almacenados en la memoria flash.

    Se puede acceder al cargador de arranque mediante una conexin de consola con los siguientes pasos:

    Paso 1. Conecte una computadora al puerto de consola del switch con un cable de consola. Configure el software de emulacin de terminal para conectarse al switch.

    Paso 2. Desconecte el cable de alimentacin del switch.

    Paso 3. Vuelva a conectar el cable de alimentacin al switch, espere 15 segundos y, a continuacin, presione y mantenga presionado el botn Mode (Modo) mientras el LED del sistema sigue parpadeando con luz verde.

    Paso 4. Contine oprimiendo el botn Modo hasta que el LED del sistema se torne mbar por un breve instante y luego verde, despus suelte el botn Modo.

    Paso 5. Aparece la peticin de entrada switch: del cargador de arranque en el software de emulacin de terminal en la computadora.

  • La lnea de comandos de boot loader admite comandos para formatear el sistema de archivos flash, volver a instalar el software del sistema operativo y recuperarse de la prdida o el olvido de una contrasea.

    De manera predeterminada, el switch est configurado para que el control de la administracin del switch se realice mediante la VLAN 1. Todos los puertos se asignan a la VLAN 1 de manera predeterminada. Por motivos de seguridad, se recomienda usar una VLAN de administracin distinta de la VLAN 1.

  • Half y Full dplex

    En general, la eficacia de una configuracin Ethernet compartida estndar basada en hubs es del 50% al 60% del ancho de banda indicado. Full-duplex ofrece el 100% de eficacia en ambas direcciones (transmisin y recepcin). Como resultado, se obtiene un uso potencial del 200% del ancho de banda indicado.

  • Nota: si la configuracin para el modo dplex y la velocidad de puertos del switch presenta incompatibilidades, se pueden producir problemas de conectividad. Una falla de autonegociacin provoca incompatibilidades en la configuracin.

    Todos los puertos de fibra ptica, como los puertos 100BASE-FX, solo funcionan a una velocidad predefinida y siempre son full-duplex.

  • ADMINISTRACIN REMOTA SEGURA

    SHH se asigna al puerto TCP 22. Telnet se asigna al puerto TCP 23.

    En la figura 5, use el comando show version en el switch para ver qu IOS se ejecuta actualmente en el dispositivo y el nombre de archivo de IOS que incluye la combinacin k9 que admite caractersticas y capacidades criptogrficas (cifradas).

  • Paso 1. Verificar la compatibilidad con SSH

    Use el comando show ip ssh para verificar que el switch admita SSH. Si el switch no ejecuta un IOS que admita caractersticas criptogrficas, este comando no se reconoce.

    Paso 2. Configurar el dominio IP

    Configure el nombre de dominio IP de la red mediante el comando ip domain-name nombre-de-dominio del modo de configuracin global. En la figura 1, el valor de nombre-de-dominio es cisco.com.

    Paso 3. Generar pares de claves RSA

    No todas las versiones del IOS utilizan la versin 2 de SSH de manera predeterminada, y la versin 1 de SSH tiene fallas de seguridad conocidas. Para configurar la versin 2 de SSH, emita el comando ip ssh version 2 del modo de configuracin global. La creacin de un par de claves RSA habilita SSH automticamente. Use el comando crypto key generate rsa del modo de configuracin global para habilitar el servidor SSH en el switch y generar un par de claves RSA. Al crear claves RSA, se solicita al administrador que introduzca una longitud de mdulo. Cisco recomienda un tamao de mdulo mnimo de 1024 bits (consulte la configuracin de muestra en la figura 1). Una longitud de mdulo mayor es ms segura, pero se tarda ms en generarlo y utilizarlo.

    Nota: para eliminar el par de claves RSA, use el comando crypto key zeroize rsa del modo de configuracin global. Despus de eliminarse el par de claves RSA, el servidor SSH se deshabilita automticamente.

    Paso 4. Configurar la autenticacin de usuario

    El servidor SSH puede autenticar a los usuarios localmente o con un servidor de autenticacin. Para usar el mtodo de autenticacin local, cree un nombre de usuario y una contrasea con el comando del modo de configuracin global username nombre-de-usuario secret contrasea. En el ejemplo, se asign la contrasea ccna al usuario admin.

    Paso 5. Configurar las lneas vty

    Habilite el protocolo SSH en las lneas vty mediante el comando transport input ssh del modo de configuracin de lnea. El switch Catalyst 2960 tiene lneas vty que van de 0 a 15. Esta configuracin evita las conexiones que no son SSH (como Telnet) y limita al switch a que acepte solo las conexiones SSH. Use el comando line vty del modo de configuracin global y, luego, el comando login local del modo de configuracin de lnea para requerir la autenticacin local de las conexiones SSH mediante la base de datos de nombres de usuarios locales.

    Paso 6. Habilitar la versin 2 de SSH.

    De manera predeterminada, SSH admite las versiones 1 y 2. Si se admiten ambas versiones, en el resultado de show ip ssh se muestra que se admite la versin 1.99. La versin 1 tiene vulnerabilidades conocidas. Por esta razn, se recomienda habilitar nicamente la versin 2. Habilite la versin de SSH mediante el comando de configuracin global ip ssh version 2.Para mostrar los datos de la versin y de configuracin de SSH en el dispositivo que configur como servidor SSH, use el comando show ip ssh. En el ejemplo, se habilit la versin 2 de SSH. Para revisar las conexiones SSH al dispositivo, use el comando show ssh

    ATAQUES DE SEGURIDAD FRECUENTES

  • Saturacin de direcciones MAC

    El comportamiento de un switch de saturar direcciones MAC para las direcciones desconocidas se puede usar para atacar un switch. Este tipo de ataque se denomina ataque de desbordamiento de la tabla de direcciones MAC. En ocasiones, los ataques de desbordamiento de la tabla de direcciones MAC se denominan ataques de saturacin MAC y ataques de desbordamiento de la tabla CAM.

    Las tablas de direcciones MAC poseen lmite de tamao. Los ataques de saturacin MAC usan esta limitacin para sobrecargar al switch con direcciones MAC de origen falsas hasta que la tabla de direcciones MAC del switch est completa.

    Defensa de la red

    Prcticas recomendadas de seguridad

  • La defensa de la red contra ataques requiere vigilancia y capacitacin. Las siguientes son prcticas recomendadas para proteger una red:

    Desarrolle una poltica de seguridad escrita para la organizacin.

    Desactive los servicios y puertos que no se utilicen.

    Utilice contraseas seguras y cmbielas con frecuencia.

    Controle el acceso fsico a los dispositivos.

    Evite usar sitios web HTTP estndar inseguros, especialmente para las pantallas de inicio de sesin; en lugar de esto, use HTTPS, que es ms seguro.

    Realice copias de respaldo y prubelas peridicamente.

    Capacite a los empleados sobre los ataques de ingeniera social y desarrolle polticas para validar identidades por telfono, mediante correo electrnico y personalmente.

    Cifre y proteja con contraseas los datos confidenciales.

    Implemente hardware y software de seguridad, como firewalls.

    Mantenga el software actualizado mediante la instalacin semanal o mensual de parches de seguridad, si es posible.

    Estos mtodos son solo un punto de partida para la administracin de la seguridad. Las organizaciones deben mantenerse alerta en todo momento para defenderse de estas amenazas en constante evolucin. Use herramientas de seguridad de red para medir la vulnerabilidad de la red actual.

    Prcticas recomendadas de seguridad

    Las herramientas de seguridad de red ayudan al administrador de red a probar una red para detectar debilidades. Algunas herramientas permiten que el administrador asuma el rol de atacante. Mediante una de estas herramientas, el administrador puede iniciar un ataque contra la red y analizar los resultados para determinar cmo ajustar las polticas de seguridad a fin de mitigar esos tipos de ataques. Las auditoras de seguridad y los pruebas de penetracin son dos funciones bsicas que llevan a cabo las herramientas de seguridad de red.

    Sin importar el tipo de prueba, el personal que configura y lleva a cabo las pruebas de seguridad debe tener un amplio conocimiento de seguridad y de redes. Esto incluye conocimientos en las siguientes reas:

    Seguridad de la red

    Firewalls

    Sistemas de prevencin de intrusiones

    Sistemas operativos

    Programacin

  • Protocolos de red (como TCP/IP)

    Las herramientas de seguridad de red permiten que los administradores de red realicen auditoras de seguridad en una red. Una auditora de seguridad revela el tipo de informacin que puede recopilar un atacante con un simple monitoreo del trfico de la red.

    Por ejemplo, las herramientas de auditora de seguridad de red permiten que un administrador sature la tabla de direcciones MAC con direcciones MAC ficticias. A esto le sigue una auditora de los puertos del switch a medida que este satura con trfico todos los puertos. Durante la auditora, las asignaciones de direcciones MAC legtimas vencen y se reemplazan por las asignaciones de direcciones MAC ficticias. Esto determina qu puertos estn comprometidos y no estn configurados correctamente para evitar este tipo de ataque.

    La prueba de penetracin es un ataque simulado contra la red para determinar qu tan vulnerable sera en un ataque real. Esto permite que un administrador de red identifique debilidades en la configuracin de los dispositivos de red y realice cambios para que los dispositivos sean ms resistentes a los ataques. Los administradores pueden llevar a cabo una gran cantidad de ataques, y la mayora de los conjuntos de herramientas vienen acompaados por documentacin completa que detalla la sintaxis necesaria para ejecutar el ataque deseado.

    Realizar cambios de configuracin a varios puertos de un switch es sencillo. Si se debe configurar un rango de puertos, use el comando interface range.

  • Switch(config)# interface range escriba el mdulo/primer-nmero ltimo-nmero

    El snooping DHCP es una funcin que determina cules son los puertos de switch que pueden responder a solicitudes de DHCP. Los puertos se identifican como confiables o no confiables. Los puertos confiables pueden recibir todos los mensajes de DHCP, incluidos los paquetes de oferta de DHCP y de acuse de recibo de DHCP; los puertos no confiables solo pueden recibir solicitudes.

    Si un dispositivo no autorizado en un puerto no confiable intenta enviar un paquete de oferta de DHCP a la red, el puerto se desactiva.

    Se construye una tabla enlazada de DHCP para los puertos no confiables. Cada entrada contiene una direccin MAC cliente, una direccin IP, un tiempo de arrendamiento, un nmero de VLAN y una ID de puerto registrados como clientes que realizan solicitudes de DHCP. Se utiliza entonces la tabla para filtrar el trfico de DHCP subsiguiente. Desde la perspectiva de la deteccin de DHCP, los puertos de acceso no confiables no deben enviar mensajes de servidor de DHCP.

  • Estos pasos describen la forma en que se configura la deteccin de DHCP en un switch Catalyst 2960:

    Paso 1. Habilite la deteccin de DHCP mediante el comando ip dhcp snooping del modo de configuracin global.

    Paso 2. Habilite la deteccin de DHCP para VLAN especficas mediante el comando ip dhcp snooping vlan nmero.

    Paso 3. Defina los puertos como confiables en el nivel de la interfaz mediante la identificacin de los puertos confiables con el comando ip dhcp snooping trust.

    Paso 4. (Optativo) Limite la velocidad a la que un atacante puede enviar solicitudes de DHCP falsas de manera continua a travs de puertos no confiables al servidor de DHCP mediante el comando ip dhcp snooping limit rate velocidad.

    Seguridad del puerto

    Se deben proteger todos los puertos (interfaces) del switch antes de implementar el dispositivo para la produccin. Una forma de proteger los puertos es mediante la implementacin de una caracterstica denominada seguridad de puertos. La seguridad de puerto limita la cantidad de direcciones MAC vlidas permitidas en el puerto. Se permite el acceso a las direcciones MAC de los dispositivos legtimos, mientras que otras direcciones MAC se rechazan. Si un dispositivo no autorizado en un puerto no confiable intenta enviar un paquete de oferta de DHCP a la red, el puerto se desactiva.

    La seguridad de puertos se puede configurar para permitir una o ms direcciones MAC. Si la cantidad de direcciones MAC permitidas en el puerto se limita a una, solo el dispositivo con esa direccin MAC especfica puede conectarse correctamente al puerto.

    Seguridad del puerto

    Se deben proteger todos los puertos (interfaces) del switch antes de implementar el dispositivo para la produccin. Una forma de proteger los puertos es mediante la implementacin de una caracterstica denominada seguridad de puertos. La seguridad de puerto limita la cantidad de direcciones MAC vlidas permitidas en el puerto. Se permite el acceso a las direcciones MAC de los dispositivos legtimos, mientras que otras direcciones MAC se rechazan.

    La seguridad de puertos se puede configurar para permitir una o ms direcciones MAC. Si la cantidad de direcciones MAC permitidas en el puerto se limita a una, solo el dispositivo con esa direccin MAC especfica puede conectarse correctamente al puerto.

    Si se configura un puerto como seguro y se alcanza la cantidad mxima de direcciones MAC, cualquier intento adicional de conexin de las direcciones MAC desconocidas genera una violacin de seguridad. En la figura 1, se resumen estos puntos.

    Tipos de direcciones MAC seguras

    Existen varias maneras de configurar la seguridad de puerto. El tipo de direccin segura se basa en la configuracin e incluye lo siguiente:

    Direcciones MAC seguras estticas: son direcciones MAC que se configuran manualmente en un

  • puerto mediante el comando switchport port-security mac-address direccin-mac del modo de configuracin de interfaz. Las direcciones MAC configuradas de esta forma se almacenan en la tabla de direcciones y se agregan a la configuracin en ejecucin del switch.

    Direcciones MAC seguras dinmicas: son direcciones MAC detectadas dinmicamente y se almacenan solamente en la tabla de direcciones. Las direcciones MAC configuradas de esta manera se eliminan cuando el switch se reinicia.

    Direcciones MAC seguras persistentes: son direcciones MAC que pueden detectarse de forma dinmica o configurarse de forma manual, y que despus se almacenan en la tabla de direcciones y se agregan a la configuracin en ejecucin.

    Direcciones MAC seguras persistentes

    Para configurar una interfaz a fin de convertir las direcciones MAC detectadas dinmicamente en direcciones MAC seguras persistentes y agregarlas a la configuracin en ejecucin, debe habilitar el aprendizaje por persistencia. El aprendizaje por persistencia se habilita en una interfaz mediante el comando switchport port-security mac-address sticky del modo de configuracin de interfaz.

    Cuando se introduce este comando, el switch convierte todas las direcciones MAC detectadas dinmicamente en direcciones MAC seguras persistentes, incluso las que se detectaron dinmicamente antes de que se habilitara el aprendizaje por persistencia. Todas las direcciones MAC seguras persistentes se agregan a la tabla de direcciones y a la configuracin en ejecucin.

    Las direcciones MAC seguras persistentes tambin se pueden definir manualmente. Cuando se configuran direcciones MAC seguras persistentes mediante el comando switchport port-security mac-address sticky direccin-mac del modo de configuracin de interfaz, todas las direcciones especificadas se agregan a la tabla de direcciones y a la configuracin en ejecucin.

    Si se inhabilita el aprendizaje por persistencia mediante el comando no switchport port-security mac-address sticky del modo de configuracin de interfaz, las direcciones MAC seguras persistentes siguen formando parte de la tabla de direcciones, pero se eliminan de la configuracin en ejecucin.

    la caracterstica de seguridad de puertos no funciona hasta que se habilita la seguridad de puertos en la interfaz mediante el comando switchport port-security.

    Existe una violacin de seguridad cuando se produce cualquiera de estas situaciones:

    Se agreg la cantidad mxima de direcciones MAC seguras a la tabla de direcciones para esa interfaz, y una estacin cuya direccin MAC no figura en la tabla de direcciones intenta acceder a la interfaz.

    Una direccin aprendida o configurada en una interfaz segura puede verse en otra interfaz segura de la misma VLAN.

    Se puede configurar una interfaz para uno de tres modos de violacin, con la accin especfica que se debe realizar si se produce una violacin.

    Protect (Proteger): cuando la cantidad de direcciones MAC seguras alcanza el lmite permitido para el puerto, los paquetes con direcciones de origen desconocidas se descartan hasta que se elimine una cantidad suficiente de direcciones MAC seguras o se aumente la cantidad mxima de direcciones

  • permitidas. No hay ninguna notificacin de que se produjo una violacin de seguridad.

    Restrict (Restringir): cuando la cantidad de direcciones MAC seguras alcanza el lmite permitido para el puerto, los paquetes con direcciones de origen desconocidas se descartan hasta que se elimine una cantidad suficiente de direcciones MAC seguras o se aumente la cantidad mxima de direcciones permitidas. En este modo, hay una notificacin de que se produjo una violacin de seguridad.

    Shutdown (Desactivar): en este modo de violacin (predeterminado), una violacin de seguridad de puerto produce que la interfaz se inhabilite de inmediato por errores y que se apague el LED del puerto. Aumenta el contador de violaciones. Cuando hay un puerto seguro en estado inhabilitado por errores, se lo puede sacar de dicho estado mediante la introduccin de los comandos shutdown y no shutdown del modo de configuracin de interfaz.

    Para cambiar el modo de violacin en un puerto de switch, use el comando del modo de configuracin de interfaz switchport port-security violation {protect | restrict | shutdown}.

  • Protocolo NTP

    El protocolo NTP se usa para sincronizar los relojes de los sistemas de computacin de las redes de datos conmutadas por paquetes de latencia variable. NTP permite que los dispositivos de red sincronicen la configuracin de la hora con un servidor NTP. Un grupo de clientes NTP que obtienen informacin de fecha y hora de un nico origen tiene una configuracin de tiempo ms coherente.

    NTP puede obtener la hora correcta de un origen de hora interno o externo, incluidos los siguientes:

    Reloj maestro local

    Reloj maestro en Internet

    GPS o reloj atmico

    Los dispositivos de red se pueden configurar como servidor NTP o cliente NTP. Para permitir que un servidor horario NTP sincronice el reloj del software, use el comando ntp server direccin-IP del modo de configuracin global. NTP puede obtener la hora correcta de un origen de hora interno o externo, incluidos los siguientes:

    Reloj maestro local

  • Reloj maestro en Internet

    GPS o reloj atmico

    Los dispositivos de red se pueden configurar como servidor NTP o cliente NTP. Para permitir que un servidor horario NTP sincronice el reloj del software, use el comando ntp server direccin-IP del modo de configuracin global.


Ccna 2 Cisco Ios

Ccna 2 Cisco Ios

Ccna Exam 2

Ccna Exam 2

Ccna 2 Cap 1

Ccna 2 Cap 1

CCNA ICND 2

CCNA ICND 2

CCNA 2 - Examenes

CCNA 2 - Examenes

CCNA 2 - Examen Unidad 7

CCNA 2 - Examen Unidad 7

Cisco CCNA 2 Exploration

Cisco CCNA 2 Exploration

CCNA 1 Exploration Modulo 2

CCNA 1 Exploration Modulo 2

CCNA 2.docx

CCNA 2.docx

CCNA 2-CAPITULO 1

CCNA 2-CAPITULO 1

Capítulo 1 CCNA 2 V5

Capítulo 1 CCNA 2 V5

CCNA 2 - Examen Unidad 4

CCNA 2 - Examen Unidad 4

CCNA 2 Cisco v5 Examen

CCNA 2 Cisco v5 Examen

Diseno de Redes - CCNA 2

Diseno de Redes - CCNA 2

CCNA 2 Modulo Cinco

CCNA 2 Modulo Cinco

Ccna 3 Resumen5-2

Ccna 3 Resumen5-2

Examenes Parciales CCNA 2-20120705

Examenes Parciales CCNA 2-20120705

ccna 2 resumenes

ccna 2 resumenes

laboratorios CCNA 2

laboratorios CCNA 2

CCNA 2 Capítulo 2 v5.docx

CCNA 2 Capítulo 2 v5.docx