Configuración y conceptos básicos de switching

Configuración y conceptos básicos de switching

PROCESO DE ARRANQUE DEL SWITCH (I)

1. Ejecución del POST (diagnóstico del hardware).

2. Ejecución del bootstrap o cargador de arranque, que realiza las siguientes operaciones: Inicialización de los registros de la CPU. Inicializa el sistema de ficheros flash.

3. Búsqueda y carga del IOS:

En primer lugar se comprueba si la variable BOOT contiene la ubicación del fichero, con el comando: show bootvar

Se modifica con el comando: boot system flash:/ruta/fichero.bin

Si BOOT está vacía, realiza una búsqueda recursiva en profundidad en el sistema de archivos flash.

4. Búsqueda y carga del ACI:

Si existe un fichero ACI en la NVRAM, se ejecutan los comandos que contenga.

PROCESO DE ARRANQUE DEL SWITCH (II)

1. Conectar el switch a un PC mediante el cable de consola.

2. Reiniciar el switch. A los 15 segundos, hay que pulsar el botón Mode y soltarlo solo cuando haya parpadeado en verde, cambie a ámbar y vuelva a ser verde.

3. Cuando aparece la línea de comandos con el prompt switch#, ya se pueden introducir órdenes para, por ejemplo, comprobar el contenido de la memoria flash u obtener un IOS.

INDICADORES LED DEL SWITCH

Pulsando sucesivamente el botón Mode los LEDs del switch van mostrando una información diferente, según se describe en la siguiente tabla:

CONFIGURACIÓN BÁSICA DE UN SWITCH (I)

Para una administración remota desde la red local, es necesario proporcionar al switch una dirección IP, una máscara. Si se pretende acceder desde una red remota hay que configurar, además, un gateway por defecto (para que los paquetes puedan volver al equipo que inició la conexión).

La IP y la máscara no se asocian a un puerto físico sino a una SVI (Interfaz Virtual del Switch) que no es más que una VLAN (agrupación lógica de puertos físicos que forman un dominio de broadcast).

De manera predeterminada, todos los puertos se encuentran asignados a la VLAN 1, pero conviene configurar la IP en otra distinta, por motivos de seguridad.

CONFIGURACIÓN BÁSICA DE UN SWITCH (II)

Veamos los pasos para configurar una VLAN cualquiera (por ejemplo la 99), suponiendo que ya se le ha asignado la IP y la máscara:

1. Asignar un nombre (por ejemplo vlan_admin): S(C)# vlan 99

S(C-vlan)# name vlan_admin

2. Vincular un puerto (por ejemplo el Fa0/0) a dicha VLAN: S(C)# int Fa0/0

S(C-if)# switchport access vlan 99

3. Verificar su configuración (mismo comando que para las interfaces): S(C)#show ip interface brief

LA COMUNICACIÓN EN UN SWITCH (I)

->Half-duplex: ANTIGUA Y PRODUCE COLISIONES.

->Full-duplex: Impide que se produzcan colisiones. Las tecnologías a1 y 10 Gb/seg requieren que las NIC funcionen con full-duplex. Lo mismo sucede con la fibra óptica.

Hay que tener cuidado cuando se configura manualmente, puesto que una mala configuración puede provocar problemas en la comunicación. Tanto el modo de comunicación como la velocidad de un puerto, se pueden configurar con los siguientes comandos:

LA COMUNICACIÓN EN UN SWITCH (II)

Los dispositivos de red antiguos requerían un determinado tipo de cable para conectarlos con otros dispositivos (recordad los cables directos y cruzados).

Los dispositivos modernos, gracias a la característica Auto-MDIX, pueden adaptarse automáticamente según el cable que tengan conectados.

PROBLEMAS EN LA CAPA DE ACCESO (I)

Se detectan gracias a la información que produce la salida del comando show interfaces:

is administratively down; line protocol is down: Indica que la interfaz ha sido desactivada por el administrador.

PROBLEMAS EN LA CAPA DE ACCESO (II)

Input errors: Muestra el número total de errores a la hora de recibir paquetes desde la red, incluyendo runts (tramas más cortas de lo permitido), giants (tramas más largas de lo permitido) y errores CRC (recuerda el código de redundancia cíclica)

Output errors: Muestra el número total de errores a la hora de enviar paquetes a la red, debido a colisiones (solo deberían aparecer en modo half-duplex) y colisiones tardías (aquellas que se producen después de haber enviado los primeros 64B de la trama). Estas últimas se deben a una longitud excesiva de los cables o a tener configurado un extremo de un cable con half-duplex y el otro con full-duplex.

RESOLUCIÓN DE PROBLEMAS EN UN SWITCH

CONFIGURACIÓN SSH

SSH es un protocolo similar a Telnet pero usa el puerto 23 y, entre otras cosas, cifra la conexión.

Un dispositivo Cisco soporta SSH, si el nombre del fichero IOS contiene la cadena k9 (visible con show version) o bien si reconoce el comando show ip ssh (muestra la versión y la configuración SSH).

Comandos para configurar SSH versión 2 (la 1 tiene agujeros):

ATAQUES DE SEGURIDAD FRECUENTES (I)

Saturación de direcciones MAC: enviar tramas con direcciones MAC origen y destino falsas hasta saturar la memoria del switch, momento en el que entra en un modo denominado "fall-open" que hace que el switch funcione como un hub. Este ataque se puede atajar configurando la seguridad de los puertos.

Suplantación de identidad DHCP: El primer paso consiste en agotar las direcciones que ofrece el servidor DHCP autorizado mediante peticiones falsas, consiguiendo así la denegación del servicio (DoS). En un segundo paso, el atacante instalaría un servidor falso para atender las solicitudes de los clientes, para obligarlos a utilizar un servidor DNS falso o incluso un gateway predeterminado del propio atacante. De esta forma, el ataque de suplantación quedaría completado. La contramedida se explica más adelante.

ATAQUES DE SEGURIDAD FRECUENTES (II)

Ataque a CDP: Es un protocolo de capa 2 propietario de Cisco, que está activado por defecto y envía información sobre el dispositivo, su configuración IP, la versión del IOS, la plataforma, etc. Esta información se puede utilizar para realizar ataques de denegación de servicio (DoS). Por seguridad, conviene desactivarlo en los puertos que no lo necesitan.

Ataque a Telnet: Con un sniffer se pueden capturar las claves que se envían cuando se utiliza Telnet (no encripta la conexión). Existen herramientas para realizar ataques de descodificación de claves por diccionario y por fuerza bruta. Es conveniente tener claves de suficiente longitud y cambiarlas periódicamente. Por otro lado, versiones antiguas del IOS incluyen una vulnerabilidad que permite hacer DoS a Telnet. Conviene actualizar con parches de seguridad el IOS para corregir este agujero de seguridad.

MEDIDAS DE PROTECCIÓN (I)

Inhabilitar puertos en desuso: Para evitar que ciertos usuarios puedan conectar sus equipos a los puertos del switch para acceder a la red, conviene inhabilitar dichos puertos. Para ello se usa el comando shutdown. Si hay que aplicar este comando a varios puertos a la vez, se puede hacer de la forma siguiente:

Para aplicar el comando al rango de puertos F0/0 - F0/24: S(C)# interface range f0/0 - 24

S(C-if-range)#shutdown

MEDIDAS DE PROTECCIÓN (II)

Snooping de DHCP: Consiste en identificar qué puertos pueden recibir todos los mensajes DHCP y cuáles solo pueden enviar solicitudes, para configurarlos como confiables o no confiables respectivamente. Si desde un puerto no confiable se envía una oferta DHCP, el puerto se desactiva. En la siguiente figura se muestra cómo se configura:

Opcionalmente también se puede limitar la velocidad a la que se envían solicitudes (por si son falsas) con el comando:

SEGURIDAD DE PUERTOS (I)

Los puertos pueden configurarse para que solo puedan utilizarlos un número determinado de direcciones MAC. Existen tres modos de configuración distintos:

MAC seguras estáticas: Se almacenan en el ACA y se configuran con el comando:

S(C-if)# switchport port-security mac-address

MAC seguras dinámicas: El switch las detecta dinámicamente y no se almacenan en el ACA.

MAC seguras persistentes: Se almacenan en el ACA. Tipos:

Dinámicas: Se activa [desactiva] el proceso de captura con: S(C-if)# [no] switchport port-security mac-address sticky

Estáticas: Se configuran con el comando:

S(C-if)# switchport port-security mac-address sticky

SEGURIDAD DE PUERTOS (II)

Cuando el switch detecta que se ha violado la seguridad establecida en los puertos, puede tomar una de las siguientes acciones:

Protect: Se descartan los paquetes con MACs desconocidas y no se notifica de la situación.

Restrict: También se descartan los paquetes con MACs desconocidas pero sí se notifica.

Shutdown: El puerto se inhabilita, se apaga el LED y se registra la situación. Para volver a habilitar el puerto, hay que reiniciarlo ejecutando los comandos shutdown y no shutdown.

Para configurar estas acciones, se utiliza el comando:

S(C-if)# switchport port-security violation {protect | restrict | shutdown}

VERIFICACIÓN DE LA SEGURIDAD

Para verificar la configuración establecida en la interfaz Fa0/1 (por ejemplo), se utiliza el comando:

S# show port-security interface Fa0/1

Para visualizar todas las MACs configuradas como seguras, se usa el comando:

S#show port-security address

PROTOCOLO DE HORA (NTP)

Es muy importante que los dispositivos de una red tengan la hora correcta y que estén sincronizados entre sí, sobre todo para lo referente a las auditorías. Para ello existe un protocolo que puede hacer funcionar un determinado dispositivo como servidor o como cliente de hora. Para configurar un servidor de hora con NTP, se ejecuta: R1(C)# ntp master 1

Para asociar un cliente a un servidor NTP con IP 10.0.0.1:

R2(C)# ntp server 10.0.0.1

Para ver las asociaciones creadas, se ejecuta: R2(C)# show ntp associations

Para ver el estado de la sincronización, se ejecuta:

R2(C)#show ntp status