Please enable JavaScript.
Coggle requires JavaScript to display documents.
Configuraciones de seguridad del Switch - Coggle Diagram
Configuraciones de seguridad del Switch
Implementación de seguridad de puertos
Asegurar los puertos sin utilizar
Los dispositivos de Capa 2 se consideran el eslabón mas débil en la infraestructura de seguridad de una compañía. Los ataques de Capa 2 son de los mas sencillos de desplegar para los hackers, pero estas amenazas también pueden ser mitigadas con algunas soluciones comunes de capa 2.
Mitigación de ataques por saturación de tabla de direcciones MAC
El método más simple y eficaz para evitar ataques por saturación de la tabla de direcciones MAC es habilitar la sport security.
La seguridad de puertos limita la cantidad de direcciones MAC válidas permitidas en el puerto. Permite a un administrador configurar manualmente las direcciones MAC para un puerto o permitir que el switch aprenda dinámicamente un número limitado de direcciones MAC. Cuando un puerto configurado con port security recibe un frame, la dirección MAC de origen del frame se compara con la lista de direcciones MAC de origen seguro que se configuraron manualmente o se aprendieron dinámicamente en el puerto.
Seguridad de puertos
Mitigación de ataques de VLAN
Pasos para mitigar ataques de salto
.
Paso 1 : Deshabilite las negociaciones de DTP (enlace automático) en puertos que no sean enlaces mediante el switchport mode access comando de configuración de la interfaz.
Paso 2 : Deshabilite los puertos no utilizados y colóquelos en una VLAN no utilizada.
Paso 3 : Active manualmente el enlace troncal en un puerto de enlace troncal utilizando el switchport mode trunk comando.
Paso 4 : Deshabilite las negociaciones de DTP (enlace automático) en los puertos de enlace mediante el comando switchport nonegotiate.
Paso 5 : Establezca la VLAN nativa en otra VLAN que no sea la VLAN 1 mediante el comando switchport trunk native vlan vlan \ _number.
Mitigación de ataques de DHCP
El objetivo de un ataque de inanición de DHCP es crear una denegación de servicio(DoS) para la conexión de los clientes. Los ataques de agotamiento de DHCP requieren una herramienta de ataque, como Gobbler. Recuerde que los ataques de inanición de DHCP pueden ser efectivamente mitigados usando seguridad de puertos porque Gobbler usa una dirección MAC de origen única para cada solicitud DHCP enviada.
Sin embargo mitigar ataques DHCP de suplantación de identidad requiere mas protección. Gobbler podría configurarse para usar la dirección MAC de la interfaz real como la dirección Ethernet de origen, pero especifique una dirección Ethernet diferente en la carga útil de DHCP. Esto haría que la seguridad del puerto sea ineficaz porque la dirección MAC de origen sería legítima.
Indagación de DHCP
La inspección de DHCP no depende de las direcciones MAC de origen. En cambio, la inspección de DHCP determina si los mensajes de DHCP vienen de una fuente configurada administrativamente como confiable o no confiable. Luego filtra los mensajes de DHCP y limita la velocidad del trafico DHCP viniendo desde fuentes no confiables.
Dispositivos que estén bajo su control administrativo como Switches, enrutadores y servidores, son fuentes confiables. Cualquier dispositivo más allá del cortafuegos fuera de su red son fuentes no confiables. Además, todos los puertos de acceso son tratados generalmente como fuentes no fiables. La figura muestra un ejemplo de puertos fiables y no fiables.
Pasos para implementar DHCP Snooping
.
Paso 1. Habilite la inspección DHCP mediante el comando ip dhcp snooping de configuración global.
Paso 2. En puertos de confianza, use el comando de configuración de la interfaz ip dhcp snooping trust.
Paso 3: Limite la cantidad de mensajes de descubrimiento de DHCP que puede recibir por segundo en puertos no confiables mediante el ip dhcp snooping limit rate comando de configuración de la interfaz.
Paso 4. Habilite la inspección DHCP por VLAN, o por un rango de VLAN, utilizando el comando ip dhcp snooping vlan de la configuración global.
Mitgación de ataques ARP
.
En un ataque típico el actor amenazante puede enviar respuestas ARP no solicitadas a otros hosts en la subred con la dirección MAC del actor amenazante y la dirección IP de la puerta de enlace predeterminada. Para evitar la suplantación de ARP y el envenenamiento por ARP resultante, un interruptor debe garantizar que solo se transmitan las Solicitudes y Respuestas de ARP válidas.
La inspección dinámica (DAI) requiere de DHCP snooping y ayuda a prevenir ataques ARP así:
No retransmitiendo respuestas ARP invalidas o gratuitas a otros puertos en la misma VLAN.
Intercepta todas las solicitudes y respuestas ARP en puertos no confiables.
Verificando cada paquete interceptado para un enlace IP-to-MAC válido.
Descarte y registro de respuestas no válidas de ARP para evitar el envenenamiento por ARP.
Error-disabling deshabilita la interfaz si se excede el número de DAI configurado de paquetes ARP.
Mitigación de ataques de STP
.
Recuerde que los atacantes de red pueden manipular el Protocolo de árbol de expansión (STP) para realizar un ataque falsificando el puente raíz y cambiando la topología de una red. Para mitigar los ataques de manipulación del Protocolo de árbol de expansión (STP), use PortFast y la Unidad de datos de protocolo de puente (BPDU) Guard.
PortFast - PortFast trae inmediatamente una interfaz configurada como puerto de acceso o troncal al estado de reenvío desde un estado de bloqueo, sin pasar por los estados de escucha y aprendizaje. Aplicar a todos los puertos de acceso de usuario final. PortFast solo debe configurarse en interfaces conectadas a dispositivos finales.
Protección BPDU - el error de protección BPDU deshabilita inmediatamente un puerto que recibe una BPDU. Al igual que PortFast, la protección BPDU solo debe configurarse en interfaces conectadas a dispositivos finales.
