CCNA3 – Conmutación y conexión inalámbrica de LAN CAPITULO 2 •
CSMA/CD o
o
o
o
o
o
≡
Carrier Sense Multiple Access/Collision Detect .
Detección de portadora: portadora : Todos los dispositivos de red que tienen mensajes para enviar deben escuchar antes de transmitir. Acceso múltiple: múltiple: Si la distancia entre los dispositivos es tal que la latencia de las señales de un dispositivo supone la no detección de éstas por parte de un segundo dispositivo, éste también podría comenzar a transmitirla. Detección de colisiones: colisiones : Cuando se produce una colisión TODO el mundo detecta un aumento en el nivel nivel de señal. Todos los dispositivos que estén transmitiendo en ese momento lo seguirán haciendo para garantizar que todos los dispositivos en la red puedan detectar la colisión. Señal de congestión y postergación aleatoria . Una vez que finaliza el retardo asignado a un dispositivo, dicho dispositivo regresa al modo "escuchar "escuchar antes de transmitir". transmitir ".
Comunicaciones Ethernet. Las comunicaciones en una red LAN conmutada se producen de tres maneras:
•
o o
o
o
Unicast. Unicast. Broadcast. Broadcast. Por ejemplo: consulta de resolución de direcciones que envía el protocolo de resolución de direcciones. Multicast. Multicast. Se envía una trama a un grupo específico específico de dispositivos o clientes. Los clientes de la transmisión multicast deben ser miembros de un grupo multicast lógico.
Trama Ethernet: o
o
o
o
Preámbulo y Delimitador de inicio de trama (SFD) (1 byte) se utilizan para la sincronización entre los dispositivos emisores y receptores. Campo Longitud/Tipo: Longitud/Tipo : Longitud exacta del campo Datos de la trama y como parte de la Secuencia de verificación de trama (FCS, Frame Check Sequence). Si > 1536, codifica codifica el tipo tipo de datos. Si no, codifica codifica la la longitud longitud de los datos de la trama. Campos Datos y Relleno: Relleno : Información encapsulada de una capa superior, que es una PDU de Capa 3 genérica. Campo Secuencia de verificación de trama : CRC, cyclic redundancy check.
CCNA3 – Conmutación y conexión inalámbrica de LAN
o
Dirección MAC: o o
48 bits. Compuesta de: OUI (Organizational Unique Identifier ): • o Bit de Broadcast. Local (especifica si se permite o no modificar la o dirección MAC). o Nº de OUI: Identifica al Fabricante. Número de asignación del fabricante •
Configuración de Dúplex
•
o
o
o
Half Duplex (CSMA/CD). Flujo de datos unidireccional. • Alto potencial para las colisiones. • Conectividad de hub. • Full dúplex: Sólo punto a punto. • Conectado a puerto de switch dedicado. • Requiere soporte para full-duplex en ambos extremos. • Sin colisiones. • Circuito de detección de colisiones deshabilitado. •
Los puertos de switch de la serie Cisco CAtalyst 2960 pueden configurarse de 3 maneras: • • •
•
•
Auto-MDIX: Detecta si el cable es directo o cruzado y se auto reconfigura adaptándose a él.
Direccionamiento MAC y Tablas de direcciones MAC de los switches. o
•
Auto: permite que los 2 puertos se comuniquen para decidir el modo. Full: establece el modo full-duplex. Half: establece el modo half-duplex.
Cuando un switch recibe una trama de datos entrantes y la dirección MAC de destino no figura en la tabla, éste reenvía la trama a todos los puertos excepto al que la recibió en primer lugar. Cuando el nodo de destino responde, el switch registra la dirección MAC de éste en la tabla de direcciones del campo dirección de origen de la trama. La tabla de direcciones MAC fue previamente definida como memoria de contenido direccionable (CAM, Content Addressable Memory) o tabla CAM.
Ancho de banda y rendimiento.
CCNA3 – Conmutación y conexión inalámbrica de LAN
•
•
•
Dominios de colisiones: Por ejemplo: si un switch de 12 puertos tiene un dispositivo conectado a cada puerto, se crean 12 dominios de colisión. Dominios de broadcast: Una serie de switches interconectados forma un dominio de broadcast simple. Sólo una entidad de Capa 3, como un router o una LAN virtual (VLAN), puede detener un dominio de broadcast de Capa 3. Latencia de red. Depende de al menos tres factores: o
o o
•
El tiempo que le toma a la NIC de origen aplicar pulsos de voltaje en el cable y el tiempo que le toma a la NIC de destino interpretar estos pulsos. El retardo de propagación real por el cable. La latencia aumenta según los dispositivos de red que se encuentren en la ruta entre dos dispositivos.
Congestión de la red: Causas más comunes: o o o
Tecnología de redes y computadoras cada vez más potentes. Volumen de tráfico de la red cada vez mayor. Aplicaciones con alta demanda de ancho de banda.
Segmentación de las LAN.
•
o o
Cada router reduce el tamaño del dominio de broadcast en la LAN. Cada switch reduce el tamaño del dominio de colisión de la LAN a un único enlace.
Consideraciones del diseño de la LAN.
•
o o
Control de la latencia de la red. Eliminación de los cuellos de botella.
Métodos de reenvío de paquetes del switch:
•
o
o
•
Almacenamiento y reenvio: Un switch de almacenamiento y envio recibe toda la trama, calcula la CRC y verifica la longitud de la trama. Si la CRC y la longitud de la trama son válidas, el switch busca la dirección de destino, la cual dtermina la interfaz de salida. Entonces, se envía la trama por el puerto correcto. Método de corte: El switch que utiliza el método de corte envía la trama antes de recibirla en su totalidad. Como mínimo, la dirección de destino de la trama debe leerse antes de que la trama pueda enviarse.
Conmutación simétrica o asimétrica . Asimétrica es que no todos los puertos del switch trabajan a la misma velocidad porque están conectados a dispositivos de
CCNA3 – Conmutación y conexión inalámbrica de LAN distintas velocidades. Simétrica es que todos los puertos trabajan a la misma velocidad aunque los dispositivos con los que se conectan sean capaces de transmitir a distintas velocidades. •
Bufferes de memoria: o o
•
•
Memoria basada en puerto. Memoria compartida
Conmutación capa 2 y capa 3. Los switches capa 3, en vez de utilizar solo la información de las direcciones MAC para determinar envíos, emplea las direcciones IP e la capa 3, por lo que es capaz de vincular interfaces con direcciones IP. Además, los switches capa 3 tienen capacidades de enrutar.
Diferencias Switch Capa 3 y Router.
*WIC = Wan Interface Card.
CCNA3 – Conmutación y conexión inalámbrica de LAN
•
Alternativas a la CLI basadas en la GUI: o o o o
Asistente de red Cisco Aplicación CiscoView Administrador de dispositivos Cisco Administración de red SNMP (mas frecuente en las grandes empresas).
•
Búfer de historial de comandos : swich# show history
•
Configuración del búfer de historial de comandos :
•
Descripción de la secuencia de arranque de un Switch : o
El switch carga el software cargador de arranque de NVRAM.
o
El cargador de arranque:
•
•
Realiza la inicialización de la CPU a bajo nivel. Realiza el POST para el subsistema de la CPU. Inicializa el sistema de archivos flash en la placa del sistema. Carga una imagen predeterminada de software de sistema operativo en la memoria y arranca el switch.
El sistema operativo se ejecuta utilizando el archivo config.text, guardado en el almacenamiento flash del switch. El cargador de arranque puede ser de utilidad en la recuperación en caso de un colapso del sistema operativo: o
o
o
Proporciona acceso al switch si el sistema operativo tiene problemas lo suficientemente graves como para quedar inutilizable. Proporciona acceso a los archivos almacenados en flash antes de que se cargue el sistema operativo. Utilice la línea de comandos del cargador de arranque para las operaciones de recuperación.
CCNA3 – Conmutación y conexión inalámbrica de LAN
•
Configuración de la interfaz de administración del switch.
•
Configuración del Gateway predeterminado.
•
Verificación de la configuración: o o
•
Configurar Duplex y la velocidad: o o o o o o
•
S1# show running config S1# show interface brief
S1 # configure terminal S1(config) #Interface fastethernet 0/1 S1(config-if) # duplex auto S1(config-if) # speed auto S1(config-if) # end S1 # copy running-config startup-config
Es posible cambiar el valor del tiempo de expiración de las direcciones MAC. El tiempo predeterminado es de 300 segundos.
CCNA3 – Conmutación y conexión inalámbrica de LAN
•
Las direcciones estáticas no expiran y el switch siempre sabe a qué puerto enviar el tráfico destinado a esa dirección MAC en particular. Un administrador de red puede asignar direcciones MAC estáticas (no expiran) a determinados puertos de manera específica: o
o
•
o o o o o o o
o o
S1 # copy system:running-config flash:startup-config (Versión formal) S1 # copy running-config startup-config (Versión informal). S1 # copy startup-config flash:config.bak1
Configuración de restauración del switch : o o
•
show interfaces [id de la interfaz] show startup-config show running-config show flash: show versión show history show ip {interface | http | arp} show mac-address-table
Configuraciones de respaldo switch : o
•
Para eliminarla: no mac-address-table static vlan {1-4096, ALL} interface id de la interfaz.
Comandos show: o
•
Para crear una asignación estática : mac-address-table static vlan {1-4096, ALL} interface id de la interfaz.
S1 # copy flash:config.back1 startup-config S1 # reload (Permite que IOS de Cisco ejecute el reinicio del switch)
Copia de respaldo de los archivos de configuración en un servidor TFTP. o
S1 # copy system:running-config tftp://172.16.52.155/Tokyo-config
•
Eliminación de los archivos de configuración : S1 # erase nvram
•
Configuración del acceso a la consola : o o o o
S1 # configure terminal S1 (config) # line con 0 S1 (config-line) # password cisco (establece cisco como contraseña consola 0) S1 (config-line) # login (establece que se pida login antes de conceder el acceso)
CCNA3 – Conmutación y conexión inalámbrica de LAN
o
•
Configurar el acceso de la terminal virtual. o o o o o
•
S1 S1 S1 S1 S1
# configure terminal (config) # line vty 0 4 (config-line) # password cisco (config-line) # login (confg-line) # end
Configuración de las contraseñas para el modo EXEC: o o
o
o
•
S1 (config-line) # end
S1 # configure terminal S1 (config) # enable password contraseña (La contraseña se almacena en modo texto). S1 (config) # enable secret contraseña (La contraseña se almacena en modo encriptado). S1 (config) # end
Configuración de contraseñas encriptadas: Cuando se configuran contraseñas en la CLI del IOS de Cisco, todas ellas, excepto la contraseña secreta de enable, se almacenan de manera predeterminada en formato de texto sin cifrar. Para encriptarlas:
o
S1 # config terminal S1 (config) #service password-encryption S1 (config) # end
o
Verificamos con: S1 # how running-config
o o
Nota: Este es un modo de encriptación débil (nivel 7). Para que sea fuerte (nivel 5) debemos encriptar las contraseñas una a una cuando se crean. •
Recuperación de la contraseña de enable (un follón) o
•
Configurar un título de inicio de sesión: o o
•
flash_init, load_helper, boot
S1 # configure terminal S1 (config) # banner login “Authorized Personnel Only!”
Configurar un título MOTD: o
S1 # configure terminal
CCNA3 – Conmutación y conexión inalámbrica de LAN
o
•
S1 (config) # banner motd “Device maintenance will be occurring on Friday!”
Telnet: Método de acceso más común o o Envía Corrientes de mensaje de texto claras. No es seguro. o o Se habilita como (si se había deshabilitado por ejemplo, para usar solo SSH):
•
S1 (config-line) # transport input telnet
SSH: o o o o
o
Debería ser el método de acceso común Envía corrientes de mensajes encriptados. Es seguro. Preparación previa para configuración de servidor SSH: Ingresamos al modo global con configure terminal Configuramos nombre de host con hostname nombre_del_host Configuramos un dominio del host para el switch con ip domain name nombre_dominio Habilitamos servidor SSH para autenticación remota y generamos un par de claves con crtypto key generate rsa (cuando lo pida se recomienda long. módulo de 1024 bits). Regresamos al modo EXEC con el comando end Mostramos el estado del servidor con show ip ssh 0 show ssh Configuración de un servidor SSH:
Ingresamos al modo global con configure terminal (Opcional) utilizar SSHv1 ó SSHv2 con ip ssh versión [1 | 2] Configuración de parámetros de control de SSH: 1. Especificar tiempo de espera terminado en segundos y el nº veces un cliente puede volver a autenticarse al servidor. Ambos parámetros se configuran como ssh {timeout segundos | authentication-retries número} 2. Regreso al modo EXEC privilegiado mediante end 3. Muestre el estado conexiones SSH: show ip ssh 0 show ssh 4. (Opcional) Guarde las entradas en el archivo de configuración con copy running-config startup-config 5. Para evitar conexiones que no sean SSH (por ejemplo de Telnet): transport input SSH.
CCNA3 – Conmutación y conexión inalámbrica de LAN
•
Ataques de seguridad comunes. o
Saturación de direcciones MAC.
o
Suplantación de identidad:
Ataque de intermediario: El atacante se hace pasar por DHCP Server y si se encuentra en el mismo sector de red que el cliente, se hará con el control de la situación y le llegará la configuración de DHCP, DNS, etc. antes que la del DHCP Server real. Si encima el atacante hace de Gateway, pasará por él todo el tráfico del cliente engañado.
Ataque de inanición: El atacante solicita direcciones IP y arrenda todos las IP’s DHCP del servidor por lo que los otros clientes no logran obtener ninguna dirección.
Solución: Snooping DHCP: El snooping DHCP es una función que determina cuáles son los puertos de switch que pueden responder a solicitudes de DHCP 1. Lo habilitamos con ip dhcp snooping. 2. Lo habilitamos para las VLAN específicas con dhcp snooping vlan number [numero] 3. Definimos los puertos confiables mediante: ip dhcp snooping trust. 4. (Opcional) Limitamos la tasa a la que un atacante puede enviar solicitudes de DHCP de manera continua a través de puertos no confiables mediante ip dhcp snooping limit rate velocidad.
CCNA3 – Conmutación y conexión inalámbrica de LAN
o
o
Ataques en CDP (Cisco Discovery Protocol): Protocolo que permite descubrir otros dispositivos de Cisco conectados directamente. Los mensajes CDP no están encriptados. Se envía en broadcast periódicos, es protocolo capa 2 no se propaga por los routers. Para evitar esta vulnerabilidad se recomienda deshabilitar el CDP en los dispositivos que no necesitan utilizarlo. Ataques de Telnet. Existen herramientas disponibles que permiten que un atacante inicie un ataque de decodificación de contraseñas de fuerza bruta contra las líneas vty del switch.
•
Ataque de contraseña de fuerza bruta. Ataque de DoS: Explota alguna vulnerabilidad de Telnet y lo inutiliza.
Herramientas de seguridad: o
Auditorias de red: Ayudan a:
o
Las pruebas de penetración de red ayudan a:
o
Identificar debilidades dentro de la configuración de los dispositivos de red. Iniciar varios ataques para probar la red. Precaución: Planifique pruebas de penetración para evitar el impacto en el rendimiento de la red.
Características de las herramientas de seguridad de red :
o
Revelar qué tipo de información puede recopilar un atacante mediante un simple monitoreo del tráfico de la red. Determinar la cantidad ideal de direcciones MAC falsas que deben eliminarse. Determinar el período de expiración de la tabla de direcciones MAC.
Identificación de servicio. Soporte servicios SSL. Pruebas destructivas y no destructivas. Base de datos de vulnerabilidades.
Se pueden utilizar las herramientas de seguridad de red para:
Capturar mensajes de chat. Capturar archivos de tráfico NFS. Capturar solicitudes de HTTP en Formato de registro común. Capturar contraseñas Mostrar URL capturadas del explorador en tiempo real. Interceptar paquetes en una LAN conmutada.
CCNA3 – Conmutación y conexión inalámbrica de LAN
o
Configuración de la seguridad de puerto. Se implementa seguridad en todos los puertos de switch para:
o
o
o
•
Especificar un grupo de direcciones MAC válidas permitidas en el puerto Permitir que sólo una dirección MAC acceda al puerto. Especificar que el puerto se desactiva de manera automática si se detectan direcciones MAC no autorizadas.
Tipos de direcciones MAC seguras:
Estáticas: switchport port-security mac-address dirección MAC
Seguras dinámicas: Las direcciones MAC se aprenden de manera dinámica y se almacenan sólo en la tabla de direcciones. Las direcciones MAC configuradas de esta manera se eliminan cuando el switch se reinicia.
Seguras sin modificación. Se puede configurar un puerto para que aprenda de manera dinámica las direcciones MAC y luego guardarlas en la configuración en ejecución. Se pierden cuando el switch se reinicia salvo que se guarden en el archivo de configuración de inicio.
Modos de violación de seguridad: Protección. Cuando el puerto se llena de MACs comienza a descartar paquetes con direcciones desconocidas y el cliente no se entera. Restricción: Como Protección pero el cliente sí que se entera. Desactivación: Se desactiva el puerto. Verificar seguridad del puerto: switch # show port-security interface fastEthernet 0/18 Verificar las direcciones MAC seguras: # show port-security address