Seguridad Perimetral

Seguridad Perimetral en redes de área local
Ing. Luis Fran Cardozo González

Esp. Desarrollo de Aplicaciones para dispositivos móviles
Magister en Ingeniería de Sistemas y Computación
Email: [email protected]
12/10/2018 2
Exposición cuando no hay protección

12/10/2018 3
Seguridad Perimetral
• Basa su filosofía en la protección de todo el
sistema informático de una empresa desde
"fuera“.(en realidad la protección debe hacerse
tanto externa como internamente).
• Establecer una “coraza” que proteja todos los

elementos sensibles (Información) frente
amenazas diversas.
• Se basa principalmente en las políticas de

seguridad establecidas por la compañía.
12/10/2018 4
Características de la información a proteger:
• Confidencialidad (solo autorizados)
• Integridad (Información No alterada)
• Disponibilidad( en el momento requerido)
12/10/2018 5
Anillos de Seguridad
12/10/2018 6
• Routers
–Switchs, Routers
• Firewalls
–Proxy, Network Filtering Equipment, Host Filtering
Equipment
• Intruders Detecting Systems
–HIDS
–NIDS
• Wireless Networks
–AP, Brigde, Routers
• Virtual Private Network
–Modo Transporte
–Modo Tunel
• VA
–Intrusivos
–No intrusivos
12/10/2018 7
Conexiones de perímetro
Los perímetros de red incluyen conexiones a:

• Internet
• Sucursales
• Socios comerciales
• Usuarios remotos
• Redes inalámbricas
• Aplicaciones de Internet
12/10/2018 8
Conexiones de perímetro
12/10/2018 9
Seguridad en los switchs

• Listas de control de acceso para la gestión de trafico entre
vlans.
• No hacer uso de la Vlan 1 (default) para entornos de
producción.
• No Broadcast storm (si se tiene una vlan exclusiva)
• Deshabilitar puertos innecesarios
• Asociar puertos a direcciones MAC.
• Utilizar 802.1x (autenticación de acceso a los recursos de
red)
• Deshabilitar servicios No necesarios.
• Habilitar autenticación (por lo menos basada en passwords)
para la administración.
• Deshabilitar administración remota
• Usar SNMP v3 con nombres de comunidad complejos
• Habilitar logging local y syslog server.
• Backup de la configuración del switch.
12/10/2018 10
Virtual Lan
12/10/2018 11
Redes Virtuales
Tipos de Vlans:
– Estáticas
• Puertos
– Dinámicas
• Direcciones MAC
• Protocolos
12/10/2018 12
Redes Virtuales
12/10/2018 13
Redes Virtuales
12/10/2018 14
Redes Virtuales
12/10/2018 15
Redes Virtuales
12/10/2018 16
Redes Virtuales
• Distribución de Vlans en multiples Switches:
– 802.1q (IEEE)
– ISL (intervlan Switching Label)
– 802.10
– LANE
12/10/2018 17
Redes Virtuales
12/10/2018 18
Ruteo entre Vlans

12/10/2018 19
Ruteo entre Vlans

12/10/2018 20
Ventajas
• Reducen los costes administrativos relacionados

traslados, adiciones y cambios.
• Proporcionan seguridad básica de grupo de

trabajo y de red.
• Proporcionan una actividad de difusión

controlada.
12/10/2018 21
Configuración Switch
12/10/2018 22
Creación de Vlan
Switch>enable
Switch#conf terminal
Switch(config)#vlan 2
Switch(config-vlan)#name contaduria
Switch(config-vlan)#end
Switch>enable
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#
Switch(config)#int f0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch(config-if)#end
12/10/2018 23
Configuración puerto Trunk

Switch>enable
Switch#conf terminal
Switch(config)#int f0/24
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk
Switch(config-if)#no shutdown
Switch(config-if)#exit
Switch(config)#
12/10/2018 24
Banner motd
SW-2960G# conf t
SW-local(config)# banner motd &
Enter TEXT message. End with the character '&'.
#######################################################
# SOLO SE PERMITE EL ACCESO A PERSONAL AUTORIZADO
# SUS ACTIVIDADES ESTAN SIENDO MONITOREADAS
#######################################################
&
SW-2960G(config)#
12/10/2018 25
Deshabilitar Puertos
Switch#conf t
Enter configuration commands, one per line. End with
CNTL/Z.
SW-2960G(config)#int range f0/4 - 23
SW-2960G(config-if-range)#shut
SW-2960G(config-if-range)#end
Switch#
12/10/2018 26
Registro de Mac
SW-2960G(config)#mac-address-table static 0011.2233.4455 vlan 2 int f0/1

SW-2960G(config)#
Consultar Tabla de direciones MAC

SW-2960G# show mac-address-table
Mac Address Table

-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
3 0011.2233.4455 DYNAMIC Fa0/1
12/10/2018 27
Dirección MAC segura Estática
#int f0/1
SW-2960G(config-if)#switchport mode access o mode trunk
SW-2960G(config-if)#switchport port-security mac-address DIRECCION-MAC
SW-2960G(config-if)#exit
Dirección MAC segura Dinámica

#int f0/1
SW-2960G(config-if)#switchport port-security
12/10/2018 28
Dirección MAC segura sticky
#int f0/1
SW-2960G(config-if)#switchport port-security
SW-2960G(config-if)#switchport port-security maximum 1
SW-2960G(config-if)#switchport port-security mac-address sticky
Especificar una MAC de forma estática.
SW-2960G(config-if)#switchport port-security mac-address 5400.0000.0001
SW-2960G(config-if)#switchport port-security violation shutdown
*Protect, Restrict, Shutdown, Shutdown VLAN

12/10/2018 29
Contraseñas
SW-2960G# conf t
SW-2960G(config)#enable secret clave
SW-2960G(config)#line console 0
SW-2960G(config-line)#password claveConsola
SW-2960G(config-line)#login
SW-2960G(config-line)#line vty 0 4
SW-2960G(config-line)#password claveTelnet
SW-2960G(config-line)#login
SW-2960G(config-line)#end
SW-2960G#
SW-2960G(config)#service password-encryption
12/10/2018 30
Contramedidas Básicas en los switchs

• Backup configuración
• No broadcast storm
• Deshabilitar puertos libres
• Puertos asociados a MAC
• Autenticacion a nivel de red (802.1x)
• Administracion solo via consola
• Contraseñas complejas
• ACL’s
• Servidores SNMP V3 o comunidades complejas
12/10/2018 31
Ejercicio
12/10/2018 32
Ejercicio
12/10/2018 33
Ejercicio
12/10/2018 34
¿Preguntas?

Seguridad Perimetral

Cargado por

Copyright:

Formatos disponibles

Seguridad Perimetral

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Seguridad Perimetral

Cargado por

Copyright:

Formatos disponibles

Seguridad Perimetral en redes de área local

Ing. Luis Fran Cardozo González

Exposición cuando no hay protección

• Establecer una “coraza” que proteja todos los

• Se basa principalmente en las políticas de

Los perímetros de red incluyen conexiones a:

Seguridad en los switchs

Ruteo entre Vlans

Ruteo entre Vlans

• Reducen los costes administrativos relacionados

• Proporcionan seguridad básica de grupo de

• Proporcionan una actividad de difusión

Configuración puerto Trunk

SW-2960G(config)#mac-address-table static 0011.2233.4455 vlan 2 int f0/1

Consultar Tabla de direciones MAC

Mac Address Table

Dirección MAC segura Estática

Dirección MAC segura Dinámica

Dirección MAC segura sticky

*Protect, Restrict, Shutdown, Shutdown VLAN

Contramedidas Básicas en los switchs

También podría gustarte