Seguridad Portuaria en Red Informática – Part 1

La tarea de los atacantes es comparativamente muy fácil cuando pueden ingresar a la red que desean atacar. Las LAN Ethernet son muy vulnerables a los ataques, ya que los puertos del conmutador están abiertos para su uso de forma predeterminada. Se pueden producir varios ataques, como el ataque Dos en la capa 2, la suplantación de direcciones. Si el administrador tiene control sobre la red, obviamente la red es segura. Para tomar el control total sobre los puertos del conmutador, el usuario puede usar una característica llamada seguridad de puertos. Si de alguna manera evita que un usuario no autorizado use estos puertos, la seguridad aumentará en gran medida en la capa 2. 

Los usuarios pueden asegurar un puerto en dos pasos: 

1. Limitar la cantidad de direcciones MAC a un solo puerto de switch, es decir, si se aprenden más del límite de direcciones Mac de un solo puerto, se tomarán las medidas adecuadas.
2. Si se observa un acceso no autorizado, el tráfico debe descartarse utilizando cualquiera de las opciones, o más apropiadamente, el usuario debe generar un mensaje de registro para que el acceso no autorizado pueda observarse fácilmente.

Seguridad del puerto: los 
conmutadores aprenden las direcciones MAC cuando la trama se reenvía a través de un puerto de conmutador. Mediante el uso de la seguridad del puerto, los usuarios pueden limitar la cantidad de direcciones MAC que se pueden aprender en un puerto, establecer direcciones MAC estáticas y establecer sanciones para ese puerto si lo usa un usuario no autorizado. Los usuarios pueden usar comandos de restricción, apagado o protección de puertos de seguridad. 

Analicemos estos modos de violación: 

• protect: este modo descarta los paquetes con direcciones mac de origen desconocido hasta que elimine suficientes direcciones mac seguras para caer por debajo del valor máximo.
• restringir: este modo realiza la misma función que la protección, es decir, descarta paquetes hasta que se eliminen suficientes direcciones MAC seguras para caer por debajo del valor máximo. Además de esto, generará un mensaje de registro, incrementará el valor del contador y también enviará una trampa SNMP.
• apagar: este modo es el más preferido en comparación con otros modos, ya que cierra el puerto inmediatamente si se realiza un acceso no autorizado. También generará un registro, incrementará el valor del contador y enviará una trampa SNMP. Este puerto permanecerá en un estado de apagado hasta que el administrador ejecute el comando «no apagar».
• Pegajoso: este no es un modo de violación. Al usar el comando fijo, el usuario proporciona seguridad de dirección Mac estática sin tener que escribir la dirección Mac absoluta. Por ejemplo, si el usuario proporciona un límite máximo de 2, las primeras 2 direcciones Mac aprendidas en ese puerto se colocarán en la configuración en ejecución. Después de la segunda dirección Mac aprendida, si el tercer usuario desea acceder, se tomará la acción apropiada de acuerdo con el modo de violación aplicado.

Nota: la seguridad del puerto funcionará solo en el puerto de acceso, es decir, para habilitar la seguridad del puerto, el usuario primero debe convertirlo en un puerto de acceso. 

Configuración: 
aplicar la seguridad del puerto en la interfaz fa0/1 del conmutador. Primero, convierta el puerto en un puerto de acceso y habilitará la seguridad del puerto. 

S1(config)#int fa0/1
S1(config-if)#switchport mode access
S1(config-if)#switchport port-security

Use el comando fijo para que aprenda la dirección Mac dinámicamente y proporcione el límite y la acción apropiada que se debe tomar.  

S1(config-if)#switchport port-security mac-address sticky
S1(config-if)#switchport port-security
maximum 2
S1(config-if)#switchport port-security violation shutdown

Si el usuario desea proporcionar una entrada estática, configúrela iniciando su dirección Mac.  

S1(config-if)#switchport port-security 
S1(config-if)#switchport port-security violation shutdown
S1(config-if)#switchport port-security mac-address aa.bb.cc.dd.ee.ff