EL COLEGIO DE LA FRONTERA SUR
Nombre del Proyecto:
IMPLEMENTACION DE SEGURIDAD EN CAPA DOS Presenta: Rocío Guadalupe Rodas López Celos Wenceslao Jiménez Santis Institución de Procedencia: UNIVERSIDAD TECNOLÓGICA DE LA SELVA Técnico Superior: Redes y Telecomunicaciones
Titular del área: Ing. Roque Sergio Romero Negrete San Cristóbal de las Casas, Chiapas
1
INDICE Contenido
I. MARCO REFERENCIAL ............................................................................................................. 3 II. INTRODUCCIÓN INTRODUCCIÓN ......................................................................................................................... 4 III. PLANTEAMIENTO DEL PROBLEMA .................................................................................... 5 IV. OBJETIVO ................................................................................................................................... 5 V. ALCANCES .................................................................................................................................. 5 VI. DESARROLLO ........................................................................................................................... 6 VI.I Direcciones MAC ................................................................................................................ 6 VI.II Obtención de una dirección MAC ................................................................................. 7 VI.III Port Security en Switches Cisco .................................................................................. 8 VI.IV ¿Para qué sirve Port Security? ..................................................................................... 9 VI.V Beneficios ......................................................................................................................... 10 VI.VI Verificación de la seguridad de puertos ................................................................. 10 VI.VII Características ............................................................................................................. 10 VI.VIII Razón para la realización realización de port-security port-security en switch cisco ............................ 11 VI.IX Configuración De Port-Security Port-Security ................................................................................ 11 Dirección MAC segura estática ........................................................................................ 13 Dirección MAC segura dinámica ...................................................................................... 14 Dirección MAC segura sticky ............................................................................................ 14 VI.V Configuración .................................................................................................................. 14 VII. MÉTODO A UTILIZAR ........................................................................................................... 16 Dirección MAC segura estática ............................................................................................ 16
VIII. RESULTADOS ESPERADOS ............................................................................................. 20 IX. BIBLIOGRAFÍAS ..................................................................................................................... 21
2
I. MARCO REFERENCIAL
En 1973, los intereses confluentes de tres instituciones para el desarrollo de capacidades científicas enfocadas a la problemática de las áreas tropicales del país, llevaron a la organización del Centro de Investigaciones Ecológicas del Sureste (CIES). Por otro lado, el gobierno del estado de Chiapas, encabezado por el doctor Manuel Velasco Suárez, buscaba establecer un centro para el análisis de problemas del bienestar humano y del desarrollo productivo de las regiones marginadas de Chiapas, considerando en particular la dinámica social y cultural de las comunidades indígenas. Otro interés para la fundación del CIES surgió en el departamento de Ecología Humana de la Facultad de Medicina de la Universidad Autónoma de México (UNAM). Este departamento promovía la investigación entomológica de las enfermedades tropicales, en particular la oncocercosis, leshmaniasis y malaria, y buscaba establecer una colaboración con el Centro de Estudios de Oftalmología Tropical, con base en San Cristóbal y enfocado a la problemática de tracoma en la región, así como con las universidades de Yucatán y de Tabasco. Por último, el Consejo Nacional de Ciencia y Tecnología (CONACYT) iniciaba un programa de descentralización de la investigación científica que planteaba la organización de programas de investigación en biología tropical. La suma de esfuerzos a partir de estos tres intereses llevó a la formulación de una propuesta para organizar un centro de investigaciones enfocado a los problemas del sureste de México y localizado en San Cristóbal de Las Casas, Chiapas. Es así que en 1973, a través de un convenio tripartita, se dio forma a un programa preliminar orientado a definir la viabilidad de este centro de investigación científica.
3
II. INTRODUCCIÓN Una dimensión sumamente importante en la seguridad de redes LAN es el control de quiénes pueden (y quiénes no) acceder a la red interna de la empresa. Ante tal situación para incrementar la seguridad en una red LAN es posible implementar seguridad de puertos en los switches de capa de acceso, de manera de permitir que a cada puerto se conecte sólo la estación autorizada. La activación de Port Security se realiza a nivel de interfaz, lo primero es acceder al modo de configuración y después a la interfaz. Por medio de este se proteger al switch de Ataques de Direcciones MAC malintencionados, limitando el número máximo de direcciones MAC que pueden ser adquiridas por la dirección MAC dinámicamente / estáticamente.
4
III. PLANTEAMIENTO DEL PROBLEMA Al tener libre acceso de los puertos se puede conectar cualquier persona ya sea personal de la empresa o campus o visitante con solo conectarse a algún puerto disponible del switch con el fin de ingresar a la red.
IV. OBJETIVO Incrementar la seguridad en una red LAN implementando seguridad de puertos en los switches de capa de acceso, de manera de permitir que a cada puerto se conecte sólo la estación autorizada utilizando port-security, un mecanismo bastante potente y sencillo.
V. ALCANCES Por medio de Port-Security se controlaran el número de equipos que podrán conectarse al switch de nuestra red. Alcances
Limitaciones
Incrementa la seguridad en una red
Número
LAN.
determinado
de
equipos
conectados al switch.
restringir a partir de la dirección
En caso de bloqueo de un puerto, es
MAC quien se puede conectar a un
necesario que el Administrador de la
determinado puerto del switch
red
Si un dispositivo con otra dirección
mediante un comando en el propio
MAC intenta comunicarse a través
switch.
de
esa
boca,
desbloquee
dicho
puerto
port-security
deshabilitará el puerto.
5
VI. DESARROLLO VI.I Direcciones MAC En las redes de computadoras, la dirección MAC (siglas en inglés de media access control; en español "control de acceso al medio") es un identificador de 48 bits (6 bloques hexadecimales) que corresponde de forma única a una tarjeta o dispositivo de red. Se conoce también como dirección física, y es única para cada dispositivo. Está determinada y configurada por el IEEE (los últimos 24 bits) y el fabricante (los primeros 24 bits) utilizando el organizationally unique identifier. La mayoría de los protocolos que trabajan en la capa 2 del modelo OSI usan una de las tres numeraciones manejadas por el IEEE: MAC-48, EUI-48, y EUI-64, las cuales han sido diseñadas para ser identificadores globalmente únicos. No todos los protocolos de comunicación usan direcciones MAC, y no todos los protocolos requieren identificadores globalmente únicos. Las direcciones MAC son únicas a nivel mundial, puesto que son escritas directamente, en forma binaria, en el hardware en su momento de fabricación. Debido a esto, las direcciones MAC son a veces llamadas burned-in addresses, en inglés. Si nos fijamos en la definición como cada bloque hexadecimal son 8 dígitos binarios (bits), tendríamos: 6 * 8 = 48 bits únicos En la mayoría de los casos no es necesario conocer la dirección MAC, ni para montar una red doméstica, ni para configurar la conexión a internet, usándose esta sólo a niveles internos de la red. Sin embargo, es posible añadir un control de hardware en un conmutador o un punto de acceso inalámbrico, para permitir sólo a unas MAC concretas el acceso a la red. En este caso, deberá saberse la MAC de los dispositivos para añadirlos a la lista. Dicho medio de seguridad se puede considerar un refuerzo de otros sistemas de seguridad, ya que teóricamente se
6
trata de una dirección única y permanente, aunque en todos los sistemas operativos hay métodos que permiten a las tarjetas de red identificarse con direcciones MAC distintas de la real. Port Security es un feature de los switches Cisco que les permite retener las direcciones MAC conectadas a cada puerto del dispositivo y permitir solamente a esas direcciones MAC comunicarse a través de esa boca del switch. Si un dispositivo con otra dirección MAC intenta comunicarse a través de esa boca, portsecurity deshabilitará el puerto. Incluso se puede implementar SNMP para recibir en el momento en el sistema de monitoreo la notificación correspondiente al bloqueo del puerto.
VI.II Obtención de una dirección MAC Windows
Abre una línea de comandos de DOS (o símbolo del sistema). Una forma de hacerlo es Menú inicio, Ejecutar, escribir "cmd"
Escribe el comando ipconfig /all 7
Identifica la sección "Conexiones de red inalámbricas"
Cada tarjeta de red tiene una dirección diferente.
Abre una terminal y ejecuta el comando ifconfig –a
Identifica la interfaz inalámbrica, en este caso wlan0
Identifica el valor de HWaddr, ésta es la MAC address. NOTA: para tu computadora este valor es diferente.
VI.III Port Security en Switches Cisco Port Security es un feature de los switches Cisco que les permite retener las direcciones MAC conectadas a cada puerto del dispositivo y permitir solamente a esas direcciones MAC comunicarse a través de esa boca del switch. Si un dispositivo con otra dirección MAC intenta comunicarse a través de esa boca, portsecurity deshabilitará el puerto. Incluso se puede implementar SNMP para recibir en el momento en el sistema de monitoreo la notificación correspondiente al bloqueo del puerto.
8
VI.IV ¿Para qué sirve Port Security? Permite a los administradores especificar en forma estática las direcciones MAC permitidas en un puerto determinado, o permitir al switch aprender en forma dinámica un número limitado de direcciones MAC. Limitando a uno el número de direcciones MAC permitidas en un puerto, la seguridad de puerto puede ser utilizada para controlar la expansión no autorizada de la red. Una vez que las direcciones MAC son asignadas a un puerto seguro, dicho puerto no reenvía tramas cuyas direcciones MAC deorigen no se encuentren en el grupo de direcciones definidas. Cuando un puerto configurado con seguridad recibe una trama, se compara la dirección MAC de origen de la trama contra la lista de direcciones de origen seguras que fueron configuradas en forma manual o automática (aprendidas) en el puerto. Si un dispositivo con otra dirección MAC intenta comunicarse a través de un puerto de la LAN, port-security deshabilitará el puerto. Incluso se puede implementar SNMP para recibir al momento en el sistema de monitoreo la notificación correspondiente al bloqueo del puerto. Unos mecanismos bastante potente y sencillo: •
Dirección MAC segura estática
•
Dirección MAC segura dinámica
•
Dirección MAC segura sticky
Dos aspectos importantes a tener en cuenta: 1.
Si se habilitan las direcciones MAC sticky y ya había direcciones aprendidas
de forma dinámica, éstas pasan a la running-config y todas las nuevas que se aprendan también se agregan allí. 2.
Si se deshabilitan las direcciones MAC sticky todas las que hubiera pasan a
ser dinámicas y se borran de la running-config. Además, todas las que se aprendan también serán dinámicas.
9
VI.V Beneficios
Seguridad en la información.
Reducción de costos.
Monitoreo el estado de los puertos.
Acceso a los recursos desde cualquier momento.
VI.VI Verificación de la seguridad de puertos Cuando la seguridad de puertos se encuentra habilitada, el administrador debe utilizar los comandos show para verificar si el puerto ha aprendido la dirección MAC. Además, los comandos show resultan de utilidad para monitorear y resolver problemas de las configuraciones de port-security. Puedenser utilizados para ver información tal como el número máximo de direcciones MAC que pueden asociarse a un puerto, el contador de violaciones, o el modo actual de violación.
VI.VII Características La Seguridad de Puerto de Cisco es una característica que nos permite añadir seguridad al acceso físico de la red. El IOS de Cisco tiene la característica de"portsecurity" la cual puede ser usada para: •
Restringir la o las direcciones MAC que se pueden conectar a través de un
puerto de switch. •
Restringir el número de direcciones MAC que se pueden conectar
(simultaneamente) a un puerto del Switch. (Por default: 1 - Máximo: 132). •
Configurar el tiempo en que determinada MAC permanece registrada (en
Minutos). •
Definir la acción a tomar cuando una violación es detectada.
10
VI.VIII Razón para la realización de port-security en switch cisco En implementar técnicas de mitigación para prevenir los ataques que se aprovechan de dichas vulnerabilidades. Para prevenir la falsificación de MAC y el desbordamiento de la tabla de direcciones MAC, debe habilitarse seguridad de puerto (Port Security). La seguridad de puertos permite a los administradores especificar en forma estática las direcciones MAC permitidas en un puerto determinado, o permitir al switch aprender en forma dinámica un número limitado de direcciones MAC. Limitando a uno el número de direcciones MAC permitidas en un puerto, la seguridad de puerto puede ser utilizada para controlar la expansión no autorizada de la red. Esto no es poco frecuente. Siempre hay algún visitante que requiere una conexión que es proporcionada sin respetar las políticas de seguridad de la empresa; o un trabajador de la propia organización que trae su propia laptop y decide conectarla a nuestra red. Para esto el recurso más frecuente es desconectar una terminal conectada a la red y utilizar esa boca para ganar acceso a Internet.
VI.IX Configuración De Port-Security El proceso de configuración requiere ingresar a la configuración de la interfaz en cuestión e ingresar el comando port-security. Un Ejemplo: Switch)#config t Switch(config)#int fa0/1 Switch(config-if)#switchport port-security ? ..aging.........Port-security aging commands ..mac-address...Secure mac address ..maximum.......Max secure addresses ..violation.....Security violation mode 11
Switch(config-if)# switchport port-security
Si se ingresa solamente el comando básico, se asumen los valores por defecto: solo permite una dirección MAC en el puerto, que será la primera que se conecte al mismo, en caso de que otra dirección MAC intente conectarse utilizando esa misma boca, el puerto será deshabilitado. Por supuesto que todos estos parámetros son modificables:
Switchport port-security maximum [cant MAC permitidas] Esta opción permite definir el número de direcciones MAC que está permitido que se conecten a través de la interfaz del switch. El número máximo de direcciones permitidas por puerto es 132. Es importante tener presente que este feature también limita la posibilidad de ataque de seguridad por inundación de la tabla CAM del switch.
Switchport port-security violation [shutdown restrict protect] Este comando establece la acción que tomará el switch en caso de que se supere el número de direcciones MAC que se establece con el comando anterior. Las opciones son deshabilitar el puerto, alertar al Administrador o permitir exclusivamente el tráfico de la MAC que se registró inicialmente.
Switchport port-security mac-address [MAC address] Esta opción permite definir manualmente la dirección MAC que se permite conectar a través de ese puerto, o dejar que la aprenda dinámicamente. Este comando no debe ser configurado en un puerto troncal o de backbone, ya que por estos puertos circulan tramas con múltiples direcciones MAC diferentes de origen. Esto resultaría en el bloqueo del puerto. El monitoreo de este feature
12
Hay comandos específicos que permiten monitorear el estado de los puertos que tienen implementado
Port-security: Switch# show port-security address ......Secure Mac Address Table --------------------------------------------------------Vlan..Mac Address....Type..........Ports..Remaining Age .............................................. (mins) ----..-----------....----..........-----..------------1....0004.00d5.285d ..SecureDynamic Fa0/18.......---------------------------------------------------------Total Addresses in System (excluding one mac per port) .....:.0 Max Addresses limit in System (excluding one mac per port) : 1024 Switch# show port-security interface fa0/18 Port Security.....................: Enabled Port Status.......................: Secure-up Violation Mode....................: Shutdown Aging Time........................: 0 mins Aging Type........................: Absolute SecureStatic Address Aging ........: Disabled Maximum MAC Addresses.............: 1 Total MAC Addresses...............: 1 Configured MAC Addresses..........: 0 Sticky MAC Addresses..............: 0 Last Source Address...............: 0004.00d5.285d Security Violation Count ..........: 0 Switch#
Dirección MAC segura estática
Se configura manualmente. Se agrega a la tabla de direcciones MAC. Se guarda en la running-config . Se puede hacer permanente guardando la configuración.
SwA(config-if)# switchport port-security mac-address DIRECCION-MAC
13
Dirección MAC segura dinámica
Se aprende del tráfico que atraviesa la interfaz. Se la guarda en la tabla de direcciones MAC. Se pierde cuando se reinicia el equipo.
SwA(config-if)# switchport port-security
Dirección MAC segura sticky
Se la puede configurar de forma manual o dinámica. Se la guarda en la tabla de direcciones MAC. Se almacena en la running-config . Se puede hacer permanente guardando la configuración.
SwA(config-if) # switchport port-security mac-address sticky [DIRECCION-MAC] La principal ventaja de las direcciones sticky en contraposición con las dinámicas es que éstas últimas se agregan a la running-config. Así nos evitamos escribir un montón de direcciones MAC de manera estática pero aún podemos guardarlas en el archivo de configuración de manera que se mantengan inclusive si el switch se reinicia. Dos aspectos importantes a tener en cuenta:
Si se habilitan las direcciones MAC sticky y ya había direcciones aprendidas de forma dinámica, éstas pasan a la running-config y todas las nuevas que se aprendan también se agregan allí.
Si se deshabilitan las direcciones MAC sticky todas las que hubiera pasan a ser dinámicas y se borran de la running-config. Además, todas las que se aprendan también serán dinámicas.
VI.V Configuración Para configurar port-security es importante saber que la interfaz debe estar en modo access o en modo trunk. Port-security no puede habilitarse en una interfaz que esté en modo dinámico. 14
Habilitar port-security.
SwA(config-if)# switchport port-security
Indicar que sólo se permite una MAC por interfaz.
SwA(config-if)# switchport port-security maximum 1
Configurar el modo restrict para cuando ocurra una violación del puerto.
SwA(config-if)# switchport port-security violation restrict
Configurar el aprendizaje de direcciones MAC sticky.
SwA(config-if)# switchport port-security mac-address sticky
O bien especificar una MAC de forma estática.
SwA(config-if)# switchport port-security mac-address 5400.0000.0001
Chequear el estado de port-security.
SwA# show port-security Ejemplo: Switch>enable Switch#configure terminal Switch(config-if)#interface fastEthernet 0/2 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security mac-address sticky Switch (config-if)#switchport port-security maximum 3 Switch(config-if)#switchport port-security violation shutdown Switch(config-if)#do wr Building configuration... [OK] Switch(config-if)#exit
15
VII. MÉTODO A UTILIZAR Dirección MAC segura estática
Se configura manualmente.
Se agrega a la tabla de direcciones MAC.
Se guarda en la running-config .
Se puede hacer permanente guardando la configuración.
SwA(config-if)# switchport port-security mac-address DIRECCION-MAC El IOS de Cisco tiene la característica de "port-security" la cual puede ser usada para:
Restringir la o las direcciones MAC que se pueden conectar a través de un puerto del Switch.
Restringir el número de direcciones MAC que se pueden conectar (simultáneamente) a un puerto del Switch. (Por default: 1 - Máximo: 132).
Configurar el tiempo en que determinada MAC permanece registrada (en Minutos).
Definir la acción a tomar cuando una violación es detectada.
Para que se pueda aplicar seguridad de puerto:
El puerto del switch no puede estar definido como troncal (Trunk Port).
El puerto del switch no puede ser un un puerto 802.1x.
El puerto del switch no puede pertenecer a un puerto que conforme un EtherChannel.
El puerto del switch no puede ser el puerto de conexión de un Switchport Analyzer (SPAN).
Para habilitar la seguridad de puerto se debe entrar a la interfaz (o interfaces). 16
Switch>enable Switch#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#interface fa0/1 Switch(config-if)#
Hecho esto se debe configurar la interfaz en modo de acceso, ya que por default viene en modo "Dynamic Desireble" y este modo no admite la configuración de seguridad de puerto.
Switch(config-if)#switchport mode Access
Luego se puede proceder a habilitar la seguridad de puerto mediante el comando: Switch(config-if)#switchport port-security
Este comando habilita la seguidad de puerto por default, siendo esta:
Una dirección MAC permitida.
La primera dirección MAC que se conecte será la configurada como permitida.
Deshabilitar el puerto si ocurre una violación.
Si se conoce la dirección MAC del dispositivo a conectarse en determinado puerto, y ese es el único host a conectarse ahí, puedes configurar manualmente la MAC en el switch para que solo acepte esa dirección.
Switch(config-if)#switchport port-security mac-address 2222.4444.6666
Donde 2222.4444.6666 es la MAC del dispositivo permitido, cualquier otra dirección física que se conecte en el puerto, provocará una violación.
17
Si hay un switch o un hub, conectado a un puerto del switch que quieres asegurar, puedes configurar un máximo de direcciones MAC asociadas a ese puerto, por ejemplo si queremos configurar un máximo de 3 direcciones MAC se haría de la siguiente manera: Switch(config-if)#switchport port-security maximum 3 Si además de eso, conocemos las direcciones MAC asociada a los 3 dispositivos permitidos,
podemos
configurarlas
como
se
muestra
a
continuación.
Switch(config-if)#switchport port-security mac-address 2222.4444.6666 Switch(config-if)# Switch(config-if)#switchport port-security mac-address 1111.2222.3333 Switch(config-if)# Switch(config-if)#switchport port-security mac-address 1111.3333.5555 Switch(config-if)#
De esta forma habremos definido máximo 3 dispositivos asociados a determinado puerto y especificado cuales son los dispositivos que se pueden asociar. Si se conecta un 4to dispositivo ocurre una violación de seguridad, si se conecta un equipo cuya MAC no sea algunas de las que está definida, también ocurre una violación de seguridad. También puedes requerir dar acceso temporal a determinado usuario, para ello puedes configurar temporizadores de acceso, una vez vencido el tiempo configurado la MAC del dispositivo invitado, se borrará. Esto ayudará a evitar que direcciones MAC obsoletas, ocupen la tabla y la saturen, causando una violación cuando el máximo permitido sea excedido. Switch(config-if)#switchport port-security aging time 60 Donde 60 implica un lapso de 60 minutos, el rango va desde 1 a 1440 minutos (24 horas).
18
Ahora solo falta ver qué acciones podemos tomar cuando ocurra una violación, las acciones son:
Protección: Rechaza los paquetes hasta que el causante de la violación es subsanado, el usuario no advierte que se ha producido una violación de seguridad. Switch(config-if)#switchport port-security violation protect
Restricción: Rechaza los paquetes hasta que el causante de la violación es subsanado, el usuario advierte que se ha producido una violación de seguridad. De manera específica se envía un mensaje SNMP, se registra un mensaje de syslog y se aumenta el contador de violaciones. Switch(config-if)#switchport port-security violation restrict
Desactivación (default): La interfaz se deshabilita de manera inmediata por error y se apaga el led del puerto. También envía un mensaje SNMP, se registra un mensaje de syslog y se incrementa el contador de violaciones. Cuando esto sucede es necesario volver a habilitar el puerto manualmente mediante el comando "no shutdown" . Switch(config-if)#switchport port-security violation shutdown
Para verificar las configuraciones, puedes usar los comandos: Switch#show port-security Switch#show port-security interface fastethernet 0/1 Switch#show port-security address
19
VIII. RESULTADOS ESPERADOS Solo se podrán conectar los equipos autorizados con relación a su dirección MAC ADDRESS que se les dé acceso desde un determinado puerto del switch restringiendo las direcciones MAC conectadas a cada puerto del switch. Si un dispositivo con otra dirección MAC intenta comunicarse a través de un puerto de la LAN, port-security deshabilitará el puerto y el administrador de red podrá verificar mediante los siguientes comandos si existe una violación: 1.- Muestra l estado general sobre los puertos del switch.
show port-security address
2.- Muestra una descripción detallada sobre un puerto en específico.
show port-security interfaces fa0/x
20
IX. BIBLIOGRAFÍAS Configurar Port Security en Switches Cisco. (16 de Junio de 2012). Recuperado e l 12 de Mayo de
2013, de file:///C:/Users/Rocio/Documents/seguridad%20en%20redes/Configurar%20Port%20Secu rity%20en%20Switches%20Cisco%20%20%20rm-rf.es.htm Gerometta, O. (09 de Octubre de 2006). Mis Libros de Networking. Recuperado el 15 de Mayo de 2013, de file:///C:/Users/Rocio/Documents/seguridad%20en%20redes/Mis%20Libros%20de%20Ne tworking%20%20Implementaci%C3%B3n%20de%20port%20security%20en%20switches% 20Cisco.htm Silva, A. V. (Septiembre de 2008). CONFIGURACION PORT-SECURITY SWITCH CISCO . Recuperado el 16 de Mayo de 2013, de file:///C:/Users/Rocio/Documents/seguridad%20en%20redes/CONFIGURACION%20PORTSECURITY%20SWITCH%20CISCO.htm
21
