Conceptos de seguridad de LAN
Control de Acceso
Autenticación con una contraseña local
configurar un inicio de sesión
líneas vty
consola
puertos auxiliares
texto plano
R1(config)# line vty 0 4
R1(config-line)# password ci5c0
R1(config-line)# login
no es fiable
SSH
acceso remoto
encriptación de datos
base de datos local
La cuenta de usuario deben ser configuradas localmente en cada dispositivo
no proporciona ningún método de autenticación de respaldo
Componentes AAA
Autenticación
modo de controlar quién tiene permitido acceder a una red
Autorización
controlar lo que las personas pueden hacer mientras se encuentran allí
Registro
qué acciones realizan mientras acceden a la red
tipos
local
guardan
nombres de usuario
contraseñas
dispositivo de red (router)
autenticación
base de datos locales
redes pequeñas
basada en el servidor
el router accede a un servidor central de AAA
servidor AAA
nombres de usuario
contraseñas
guardar registro
servidor AAA
solución de problemas de dispositivos
802.1x
estándar IEEE 802.1X
control de acceso y un protocolo de autenticación basados en puertos
evita que las estaciones de trabajo no autorizadas se conecten a una LAN a través de puertos de switch de acceso público
roles de los host específicos
Cliente (suplicante)
requiere acceso
Switch (Autenticador)
actúa intermediario (proxy) entre el cliente y el servidor de autenticación
Servidor de autenticación
valida la identidad del cliente
Amenazas a la seguridad de Capa 2
Categorías de Ataques a Switches
Capa 2
capa más débil
riesgo de capa 3-7
Ataques de Capa 2
Ataques a la tabla MAC
ataques de saturación de direcciones MAC
Ataques de VLAN
VLAN Hopping
VLAN Double-Tagging
Ataques de DHCP
ataques de agotamiento y suplantación DHCP
Ataques ARP
suplantación de ARP y los ataques de envenenamiento de ARP
Ataques de Suplantación de Direcciones
ataques de suplantación de direcciones MAC e IP
Ataque de STP
ataques de manipulación al Protocolo de Árbol de Extensión
Mitigación de ataques en Capa 2
Seguridad de Puertos
Previene
ataques MAC address flooding
DHCP Snooping
Ataque por agotamiento del DHCP
Previene ataques
suplantación de identidad
agotamiento de DHCP
Inspección ARP dinámica (DAI)
previene
suplantación de ARP
ataques de envenenamiento de ARP
Protección de IP de origen (IPSG)
previene
ataques de suplantación de direcciones MAC e IP
Ataque de Tablas de Direcciones MAC
Revisar la Operación del Switch
tabla de direcciones MAC
vulnerable
S1# show mac address-table dynamic
Saturación de Tablas de Direcciones MAC
tablas MAC
tamaño fijo
guardar direcciones MAC
atacantes
bombardeo de direcciones mac falsas
llenar tabla
switch envía tramas por todos sus puertos y los switch vecinos también quedan afectados
capturan todas las tramas enviadas desde un host a otro
herramienta de ataque de red llamada macof
Mitigación de Ataques a la Tabla de Direcciones MAC.
Seguridad de puertos
