Captulo 3: Implementando Seguridad VLANRouting y Switching Captulo 33.1 Segmentacin VLAN 3.2 Implementacin de VLAN3.3 Seguridad y Diseo de VLAN3.4 Resumen

Captulo 3: ObjetivosExplicar el propsito de las VLAN en las redes conmutadasAnalizar cmo un switch reenva tramas basado en configuracin de VLAN en ambientes multi-conmutadosConfigurar un puerto de switch para ser asignado a una VLAN basado en requerimientosConfigurar un puerto troncal en un switch LANConfigurar Dynamic Trunk Protocol (DTP)Solucionar problemas de configuracin de VLAN y troncales en una red conmutadaConfigurar caractersticas de seguridad para mitigar ataques en un entorno segmentado por VLANExplicar las mejores prcticas de seguridad en un entorno segmentado por VLANDescripcin de VLANsDefiniciones de VLANVLAN (LAN virtual) es una particin lgica de una red de capa 2Mltiples particiones pueden ser creadas, permitiendo que mltiples VLANs co-existanCada VLAN es un dominio de broadcast, usualmente con su propia IP de redLas VLANS estn mutuamente aisladas y los paquetes solamente pueden pasar entre ellas a travs de un routerLas particiones de red de capa 2, se lleva dentro de un dispositivo de capa 2, usualmente un switch.Los hosts agrupados dentro de una VLAN no son consientes de la existencia de la VLAN

3.1 VLAN Segmentation3.1.1 Overview of VLANs3.1.1.1 VLAN Definitions

Descripcin de VLANsDefiniciones de VLAN

3.1 VLAN Segmentation3.1.1 Overview of VLANs3.1.1.1 VLAN Definitions

Descripcin de VLANsBeneficios de las VLANsSeguridadReduccin de costosMejor rendimientoReduce el tamao de los dominios de broadcastMejora la eficiencia del personal de TIProteccin y administracin de aplicaciones ms simple

Descripcin de VLANsTipos de VLANsVLAN de datosVLAN por defectoVLAN Nativa VLAN de Administracin

Descripcin de VLANsTipos de VLANs

Descripcin de VLANsVLANs de VozEl trfico de VoIP es sensible al tiempo y requiere:Ancho de banda asegurado para asegurar calidad de servicioPrioridad de transmisin sobre otros tipos de trfico de redHabilidad de ser ruteado alrededor de reas congestionadas en la redRetardo de menos de 150 ms a travs de la redLa caracterstica de VLAN de voz permite a los puertos de acceso llevar trfico voz IP desde un telfono IPEl switch se puede conectar a un telfono IP Cisco7960 y llevar trfico de voz IPDebido a que la calidad del sonido de una llamada por telfono IP se puede deteriorar si los datos se envan de forma desigual, el switch debe soportar calidad de servicio (QoS)

Descripcin de VLANsVLANs VozLos telfonos IP Cisco7960 IP contienen tres puertos de switch integrados de 10/100:Port 1 conecta al switchPort 2 es una interfaz interna de 10/100 que lleva el trficoPort 3 (puertos acceso) conecta a un PC u otro dispositivo.

VLANs en un entorno multi-conmutadoVLAN TrunksUn troncal VLAN lleva ms de una VLANUsualmente establecido entre switch para que dispositivos de la misma VLAN se puedan comunicar, an si estn conectados a diferentes switchsUn troncal VLAN no se asocia a ninguna VLAN. Tampoco se usa el puerto troncal para establecer el enlace troncalCisco IOS soporta IEEE802.1q, un popular protocolo de VLAN trunk

VLANs en un entorno multi-conmutadoVLAN Trunks

VLANs en un entorno multi-conmutadoControlando dominios de Broadcast con VLANsLas VLANs pueden ser usadas para limitar el alcance de las tramas de broadcastUna VLAN es un dominio de broadcast por si mismaPor lo tanto, una trama broadcast enviada por un dispositivo en una VLAN especfica es reenviada solamente dentro de esa VLANEsto ayuda a controlar el alcance de las tramas de broadcast y su impacto en la red Tramas unicast y multicast son reenviadas tambin dentro de la VLAN originaria

VLANs en un entorno multi-conmutadoVLANs Nativas y etiquetado 802.1q Una trama que pertenece a la VLAN nativa no ser etiquetadaUna trama que es recibida sin etiqueta permanecer sin etiqueta y ser puesta en la VLAN nativa cuando se reenvaSi no hay puertos asociados a la VLAN nativa y no hay otros puertos troncales, una trama no etiquetada ser descartadaEn switchs Cisco, La VLAN nativa es la VLAN 1 por defecto

VLANs en un entorno multi-conmutadoEtiquetado de VLAN de Voz

Asignacin de VLANRangos de VLAN en Switchs CatalystLos Switch Catalyst serie 2960 y 3560 soportan sobre 4,000 VLANsEstas VLANs estn divididas en 2 categoras:Rango de VLANs normalesNmeros de VLAN desde 1 a 1005Configuraciones almacenadas en el archivo vlan.dat (en la flash)VTP pueden aprender y almacenar solamente rango de VLANs normalesRango de VLANs extendidasNmeros de VLAN desde 1006 a 4096Configuraciones almacenadas en el running-config (en la NVRAM)VTP no aprende VLANs extendidas

Asignacin de VLANCreando una VLAN

Asignacin de VLANAsignando Puertos a VLANs

Asignacin de VLANAsignando Puertos a VLANs

Asignacin de VLANCambiando pertenencia de puerto a VLAN

Asignacin de VLANCambiando pertenencia de puerto a VLAN

Asignacin de VLANBorrando VLANs

Asignacin de VLANVerificando Informacin de VLAN

Asignacin de VLANVerificando Informacin de VLAN

Asignacin de VLANConfigurando enlace troncal IEEE 802.1q

Asignacin de VLANReseteando el troncal al estado por defecto

Asignacin de VLANReseteando el troncal al estado por defecto

Asignacin de VLANVerificando la Configuracin Troncal

Dynamic Trunking ProtocolIntroduccin a DTPLos puertos de switch pueden ser manualmente configurados para formar troncalesLos puertos de switch tambin pueden ser configurados para negociar y establecer un enlace troncal con un par conectadoDynamic Trunking Protocol (DTP) es un protocolo para administrar la negociacin troncalDTP es un protocolo propietario Cisco y est habilitado por defecto en los switch Cisco Catalyst 2960 y 3560Si el puerto en el switch vecino est configurado en un modo troncal que soporta DTP, l administra la negociacinLa configuracin por defecto de DTP para los switch Cisco Catalyst 2960 y 3560 es dynamic auto

Dynamic Trunking ProtocolModos de Negociacin de InterfazCisco Catalyst 2960 y 3560 soportan los siguientes modos troncales:switchport mode dynamic autoswitchport mode dynamic desirableswitchport mode trunkswitchport nonegotiate

Resolucin de Problemas de VLANs y TrunksAbordando problemas con VLANEs una prctica muy comn asociar una VLAN con una red IPYa que diferentes rede IP slo se pueden comunicar a travs de un router, todos los dispositivos dentro de una VLAN deben ser parte de la misma red IP para comunicarseEn la imagen de abajo, el PC1 no puede comunicarse al servidor debido a que tiene una direccin IP errnea configurada

Resolucin de Problemas de VLANs y TrunksMissing VLANsSi todas las direcciones IP errneas han sido resueltas pero los dispositivos an no se pueden conectar, revisa si la VLAN existe en el switch.

Resolucin de Problemas de VLANs y TrunksIntroduccin a Troubleshooting de troncales

Resolucin de Problemas de VLANs y TrunksModos Mismatches (errneos) de Troncales Si un puerto en un enlace troncal es configurado con un modo troncal que es incompatible con el puerto troncal del vecino, un enlace troncal falla de formarse entre los dos switchsVerifica el estado de los puertos troncales en los switchs usando el comandoshow interfaces trunkPara solucionar el problema, configura las interfaces con los modos troncales apropiados.

Resolucin de Problemas de VLANs y TrunksLista Incorrecta de VLANLas VLANs deben ser permitidas en el troncal antes de que sus tramas puedan ser transmitidas a travs del enlaceUsa el comando switchport trunk allowed vlan para especificar cuales VLANs son permitidas en un enlace troncalPara asegurarse de que las VLANs correctas son permitidas en un troncal, usa el comando show interfaces trunk

Ataques en VLANsAtaques de spoofing a SwitchHay una cantidad de diferentes tipos de ataques de VLAN en redes conmutadas modernas. VLAN hopping es una de ellas. La configuracin por defecto de los puertos del switch es dynamic autoConfigurando un host para actuar como un switch y formar un troncal, un atacante podra ganar acceso a cualquier VLAN en la red.Debido a que el atacante est ahora habilitado para acceder a otras VLANs, esto es llamado un ataque de VLAN hoppingPara prevenir un ataque de spoofing bsico a switchs, deshabilita trunking en todos los puertos, excepto los nicos que especficamente requieren ser troncales

Presentation_IDN 2008 Cisco Systems, Inc. All rights reserved.Cisco Confidential403.3 VLAN Implementations3.3.1 Attacks on VLANs3.3.1.2 Double-Tagging Attack 2006, Cisco Systems, Inc. All rights reserved.Presentation_ID.scrAtaques en VLANsAtaque de Doble-Etiquetado

Ataques en VLANsPVLAN EdgeLa caracterstica Edge de Private VLAN (PVLAN), tambin conocida como puertos protegidos, asegura que no hay intercambio de trfico unicast, broadcast, o multicast entre puertos protegidos en el switchSlo de relevancia localUn puerto protegido slo intercambia trfico con puertos no protegidosUn puerto protegido no intercambiar trfico con otro puerto protegido

Mejores prcticas de Diseo para VLANsPauta de Diseo VLANMueve todos los puertos de la VLAN1 y asgnalos a una VLAN no usadaShutdown todos los puertos del switch no usadosSepara el trfico de administracin del de datosCambia la VLAN de administracin a otra VLAN que no sea la VLAN1. Lo mismo para la VLAN nativaAsegrate que slo dispositivos en la VLAN de administracin puedan conectarse a los switchsEl switch debera aceptar slo conexiones SSHDeshabilita la autonegociacin de puertos troncalesNo uses modos auto o desirable en puertos de switch

