Tecnológico Nacional de México en Celaya

Tópicos Avanzados en Seguridad de

Redes Convergentes
Prof. Franco Fabio García Gonzalez

Capitulo
Capitulo 6: Seguridad en una Red de
Área Local
Presenta:

Ana Paulina Mares Cupa

27/03/2020
Seguridad en una Red de Área Local
Una red segura es tan fuerte como su eslabón más débil.
Por esta razón, además de asegurar el borde de la red,
también es importante asegurar los dispositivos finales que
residen en la red. La seguridad de Endpoint incluye la
seguridad de los dispositivos de infraestructura de red en la
red local (LAN) y sistemas finales. Hay varias aplicaciones
y dispositivos de seguridad endpoint disponibles para lograr
esto, incluyendo Cisco Protección Avanzada de Malware,
Email y Seguridad Web, y Control de Admisión de Red
(NAC).
La seguridad de Endpoint también abarca la seguridad de la capa 2, tales como la
suplantación de direcciones MAC y ataques de manipulación STP. Las
configuraciones de seguridad de la capa 2 incluyen habilitar la seguridad portuaria,
la guardia BPDU, la guardia raíz y el borde PVLAN.
Seguridad Endpoint
Introducción a la Seguridad Endpoint
Asegurar los elementos LAN
Los medios de comunicación suelen cubrir los ataques externos a las redes
empresariales, como:
 Dos ataca la red de una organización para degradar o incluso detener el
acceso público a ella
 Violación del servidor web de una organización para desfigurar su presencia
en la web
 Violación de los servidores de datos y hosts de una organización para robar
información confidencial
Se necesitan varios dispositivos de seguridad de la red para proteger el perímetro
de la red del acceso exterior. Muchos ataques pueden, y se originan, desde dentro
de la red. Por lo tanto, asegurar una LAN interna es tan importante como asegurar
el perímetro de la red exterior.
Sin una LAN segura, los usuarios dentro de una organización todavía son
susceptibles a amenazas de red y cortes que pueden afectar directamente la
productividad y el margen de beneficio de una organización.
Concretamente, hay dos elementos internos de la red local que se deben asegurar:
 Endpoints - Los hosts comúnmente consisten en portátiles, escritorios,
servidores y teléfonos IP que son susceptibles a ataques relacionados con
malware.
 Infraestructura de red - Los dispositivos de infraestructura LAN interconectan
los puntos finales, porque la mayoría de estos dispositivos son susceptibles
a ataques relacionados con LAN
Seguridad tradicional de Endpoint
Históricamente, los puntos finales de los empleados eran computadoras expedidas.
Estos hosts estaban protegidos por firewalls y dispositivos de exploración IPS que
funcionaban bien con los hosts que estaban conectados a la LAN y detrás del
firewall.
Los puntos finales también utilizaron características de seguridad tradicionales
basadas en host
Host Based IPS
•Monitorea y hace
reportes en la
configuración y las
actividades del Host
Antivirus Host Based Firewall
•Software que detecta •Es un software que
virus y malware en restringe las
los host conexiones de
entrada y salida.

Host-
Based
Protection

La red sin fronteras

La red ha evolucionado para incluir iPhones, iPads, dispositivos Android, tabletas, y
más. Estos nuevos parámetros han difuminado la frontera de la red porque el
acceso a los recursos de la red puede ser iniciado por usuarios de muchos lugares
utilizando diversos métodos de conectividad.
Hay algunos problemas con el método tradicional de asegurar los puntos finales,
porque los nuevos dispositivos de endpoint no son buenos candidatos para las
soluciones tradicionales debido a la variedad de dispositivos y la variedad de
sistemas operativos disponibles en esos dispositivos.
El desafío consiste en permitir que estos dispositivos heterogéneos se conecten a
los recursos empresariales de manera segura.
Asegurar los puntos finales en la red sin fronteras

Antivirus:
•Protegué
Endpoint de
virus y
malware

Data Loss SPAM

Prevention Filtering
•Previene
•filtra los SPAM
información
del emial antes
sencible antes
de que se Host- de que lleguen
al endpoint
pierda Based
Protection

Blacklisting URL Filtering

•filtra los sitios
•identifica sitios
web antes de
web con mala
que lleguen al
reputación
endpoint

Soluciones de seguridad modernas de Endpoint

La protección de los puntos finales en una red sin fronteras se puede lograr
utilizando las siguientes soluciones de seguridad modernas:
 Protección antimalware (Advanced Malware Protection - AMP): provee
protección en el Endpoint contra virus y malware.
 Aparato de Seguridad de Correo Electrónico (Email Security Appliances
- ESA): Filtra emails SPAM antes de que llegues al Endpoint
 Dispositivos de seguridad web (Web Security Appliances - WSA): filtra
sitios web y blacklisting antes de que lleguen a endpoint
 Control de Admisión en Red (Network Admission Control - NAC):
permite
Estas tecnologías trabajan en conjunto entre sí para dar más protección que las
suites basadas en el anfitrión puede proporcionar.

Cifrado de hardware y software de datos locales

Los puntos finales también son susceptibles al robo de datos. La solución es cifrar
localmente la unidad de disco con un algoritmo de cifrado fuerte como el cifrado
AES de 256 bits. El cifrado protege los datos confidenciales del acceso no
autorizado.
Algunos sistemas operativos como MAC OSX proporcionan de forma nativa
opciones de cifrado. El sistema operativo Windows soporta software de cifrado
como Bitlocker, Truecrypt, Credant, Veracrypt, y otros.
Protección Antimalware
Protección avanzada contra malware
La amenaza más común y generalizada a los puntos finales es el malware. Por esta
razón, Sourcefire proporciona una variedad de recursos relacionados con la
seguridad que ahora se están integrando en los productos de Cisco.
la tecnología Sourcefire de Protección Avanzada de Malware (AMP) para proteger
los puntos finales y las redes más eficazmente que la protección de malware
tradicional basada en host. AMP proporciona a las organizaciones con visibilidad y
control continuo para derrotar el malware a través de la red extendida antes, durante
y después de un ataque.
La solución AMP puede permitir la detección y bloqueo de malware, análisis
continuo y alertas retrospectivas con:
 Reputación de archivos - Analice archivos en línea y bloquee o aplique
políticas
 File Sandboxing - Analice archivos desconocidos para entender el
comportamiento del archivo verdadero
 Retrospección de archivos - Continuar analizando archivos para cambiar los
niveles de amenaza

AMP y Defensa de Amenazas Gestionadas

AMP utiliza las vastas redes de inteligencia de seguridad en la nube de Cisco y
Sourcefire para proporcionar protección avanzada.
Específicamente, AMP accede a la inteligencia de seguridad colectiva del Cisco
Talos Security Intelligence and Research Group (Talos). Talos detecta y
correlaciona amenazas en tiempo real utilizando la red de detección de amenazas
más grande del mundo.
Estos equipos reúnen inteligencia de amenazas en tiempo real de una variedad de
fuentes:
 1,6 millones de dispositivos de seguridad desplegados, incluyendo
cortafuegos, IPS, web y aparatos de correo electrónico
 150 millones de puntos finales
Luego analizan estos datos:
 100 TB de inteligencia de seguridad al día
 13 mil millones de peticiones web por día
 35% del tráfico de correo electrónico empresarial mundial
AMP para puntos finales
AMP protege antes, durante y después de un ataque. AMP está disponible en una
variedad de formatos:
 AMP para Endpoints - AMP para Endpoints se integra con Cisco AMP para
Redes para ofrecer una protección integral a través de redes extendidas y
puntos finales.
 AMP para Redes - Proporciona una solución basada en la red y está
integrado en dispositivos de seguridad de red Cisco ASA Firewall y Cisco
Firepower.
 AMP para Seguridad de Contenido - Esta es una característica integrada en
Cisco Cloud Web Security o Cisco Web y Email Security Appliances para
proteger contra los ataques de malware avanzados basados en correo
electrónico y web.
Cisco AMP para Endpoints ejecuta un agente Fireamp y se convierte en un conector
Fireamp. AMP for Endpoints se integra con Cisco AMP for Networks para ofrecer
una protección completa a través de un solo cristal y a través de redes extendidas
y puntos finales. Utiliza análisis continuos, seguridad retrospectiva e indicaciones
de compromiso de varias fuentes.

Seguridad en Email y Web

Asegurar el correo electrónico y la web
Cada día, más de 100 mil millones de mensajes de correo electrónico corporativos
se intercambian. A medida que el nivel de uso aumenta, la seguridad se convierte
en una mayor prioridad.
Las campañas masivas de spam ya no son la única preocupación. Hoy en día, el
spam y el malware son sólo parte de una imagen compleja que incluye amenazas
entrantes y riesgos salientes.
Cisco Email Dispositivo de Seguridad
Para defender los sistemas de correo electrónico de misión crítica, Cisco ofrece una
variedad de soluciones de seguridad de correo electrónico, incluyendo la ESA, así
como soluciones virtuales, Cloud e híbridas. Estas soluciones proporcionan:
 Protección de correo electrónico rápida y completa que puede bloquear el
spam y las amenazas antes de que lleguen a su red.
 Opciones de implementación flexibles en nube, virtuales y físicas para
satisfacer las necesidades cambiantes del negocio.
 Control de mensajes salientes a través de la prevención de pérdida de datos
en el dispositivo (DLP) y cifrado de correo electrónico.
Cisco ESA combate el spam, los virus y las amenazas mixtas para organizaciones;
y refuerza el cumplimiento y protege la reputación y los activos de marca, reduce el
tiempo de inactividad y simplifica la administración de los sistemas de correo
corporativos.
Cisco ESA defiende sistemas de correo electrónico de misión crítica con
aplicaciones, soluciones virtuales, cloud e híbridas. Estas son algunas de las
principales características y beneficios de las soluciones de Cisco Email Security:
 Inteligencia de amenazas globales - Analiza anomalías, descubre nuevas
amenazas y vigila las tendencias del tráfico.
 Bloqueo de spam - Una defensa de múltiples capas combina una capa
externa de filtrado basado en la reputación del remitente y una capa interna
de filtrado que realiza un análisis profundo del mensaje.
 Protección avanzada contra malware - Proporciona protección a través del
continuo de ataque: antes, durante y después de un ataque.
 Control de mensajes salientes - Controla los mensajes salientes a través de
DLP y cifrado de correo electrónico para ayudar a asegurar que los mensajes
importantes cumplen con las normas de la industria y están protegidos en
tránsito.

Cisco Web Security Appliance

El Cisco WSA es una tecnología de mitigación de amenazas basadas en la web que
hace frente a los crecientes desafíos de la seguridad y el control del tráfico web. El
Cisco WSA combina protección avanzada de malware, visibilidad y control de
aplicaciones, controles de uso aceptable, informes y movilidad segura para
proporcionar una solución todo en uno en una sola plataforma.
Cisco WSA proporciona un control completo sobre cómo los usuarios acceden a
Internet. Ciertas características y aplicaciones, como chat, mensajería, vídeo y
audio, pueden ser permitidas, restringidas con límites de tiempo y ancho de banda,
o bloqueadas, de acuerdo a los requisitos de la organización. La WSA puede
realizar listas negras, filtrado de URL, análisis de malware, categorización de URL,
filtrado de aplicaciones web, y cifrado y descifrado TLS/SSL.
Estas son algunas de las principales características y beneficios de Cisco Web
Security Appliance soluciones:
 Talos Security Intelligence - Protección web rápida y completa respaldada
por una gran red de detección de amenazas.
 Cisco Web Usage Controls - Combina el filtrado tradicional de URL con
análisis de contenido dinámico para mitigar el cumplimiento, responsabilidad
y riesgos de productividad.
 Protección de malware avanzada (AMP) - AMP es una función de licencia
adicional disponible para todos los clientes de Cisco WSA.
 Prevención de pérdida de datos (DLP) - Evitar que los datos confidenciales
salgan de la red mediante la creación de reglas basadas en el contexto para
DLP básico.
Cisco Web Security Virtual Appliance (WSAV) es una versión de software de la WSA
Cisco que se ejecuta en la parte superior de un Esxi Vmware o KVM hipervisor y
Cisco Unified Computing System (UCS) servidores.
Cisco Cloud Seguridad Web
Cisco Cloud Web Security (CWS) es un servicio de seguridad basado en la nube
que utiliza proxies web en el entorno de nube de Cisco para explorar el tráfico de
malware y aplicación de políticas. CWS ofrece los siguientes beneficios:
 Las políticas granulares de uso web se pueden establecer y hacer cumplir en
todo el entorno para aplicaciones, sitios web y contenido específico de la
página web.
 Cisco CWS es fácil de integrar en su infraestructura existente.
 La inteligencia de amenazas en tiempo real se actualiza continuamente para
protegerse contra las últimas amenazas.
 La gestión centralizada y la presentación de informes dan visibilidad al uso
de la web y a la información sobre amenazas.
Los clientes de Cisco pueden conectarse al servicio Cisco CWS directamente
usando un archivo de autoconfiguración proxy (PAC) en el dispositivo final del
usuario o a través de conectores integrados en cuatro productos Cisco:
 Routers Cisco ISR G2
 Cisco ASA
 Cisco WSA
 Cliente de movilidad segura Cisco Anyconnect
Controlando el Acceso a la Red
Control de Admisión Red Cisco
El propósito de Cisco Network Admission Control (NAC) es permitir que sólo los
sistemas autorizados y compatibles, ya sea administrados o no, para acceder a la
red. Cisco NAC también está diseñado para hacer cumplir la política de seguridad
de la red.
Existen dos categorías de productos Cisco NAC:
 Marco NAC - El marco NAC utiliza la infraestructura de red Cisco existente y
software de terceros para hacer cumplir la política de seguridad en todos los
puntos finales.
 Aparato Cisco NAC - Como parte de la solución Cisco Trustsec, el Cisco NAC
Appliance incorpora funciones NAC en un aparato y proporciona una solución
para controlar el acceso a la red.
El Cisco NAC Appliance se puede utilizar para:
 Reconocer a los usuarios, sus dispositivos y sus funciones en la red
 Evaluar si las máquinas cumplen con las políticas de seguridad
 Hacer cumplir las políticas de seguridad mediante el bloqueo, aislamiento y
reparación de máquinas no conformes
 Proporcionar un acceso fácil y seguro a los huéspedes
 Simplifique el acceso al dispositivo no autenticador
 Auditoría e informe de quién está en la red
Los CNS están evolucionando desde la protección básica de seguridad a controles
más sofisticados de visibilidad, acceso y seguridad (EVAS). A diferencia de las
antiguas tecnologías NAC.

Cisco NAC Funciones

El objetivo asegurar que sólo los hosts que están autenticados y han tenido su
postura de seguridad examinada y aprobada se permiten en la red. Por ejemplo, las
computadoras portátiles de la empresa utilizadas fuera del sitio durante un período
de tiempo puede que no hayan recibido actualizaciones de seguridad actuales o
podrían haberse infectado de otros sistemas. Estos sistemas no pueden conectarse
a la red hasta que sean examinados, actualizados y aprobados.
Los dispositivos de acceso a la red funcionan como capa de aplicación, obligan a
los clientes a consultar un servidor RADIUS para autenticación y autorización. El
servidor RADIUS puede consultar otros dispositivos, tales como un servidor
antivirus Trend Micro, y responder a los ejecutores de la red.

Componentes Cisco NAC

Trustsec es un componente central de la arquitectura Redes Seguras sin Fronteras,
es un servidor de políticas que trabaja con Cisco NAC Server (NAS) para autenticar
a los usuarios y evaluar sus dispositivos a través de conexiones LAN, inalámbricas
o VPN. El acceso a la red y a los recursos se basa en las credenciales de los
usuarios y sus funciones en la organización, así como en el cumplimiento de las
normas de los dispositivos endpoint:
 Cisco NAC Manager (NAM) - define el acceso de usuario basado en roles y
las políticas de seguridad de punto final.
 Cisco NAC Server (NAS) - Evalúa y hace cumplir la política de seguridad en
un entorno de despliegue de NAC basado en electrodomésticos.
 Cisco NAC Agent (NAA) - Realiza una inspección profunda del perfil de
seguridad del dispositivo mediante el análisis de la configuración del registro,
servicios y archivos.
Estas son dos herramientas adicionales de aplicación de la Política Trustsec:
 Cisco NAC Guest Server - Gestiona el acceso a la red de huéspedes,
incluyendo el aprovisionamiento, notificación, administración y reporte de
todas las cuentas de usuarios invitados y actividades de red.
 Cisco NAC profiler - Ayuda a implementar el control de acceso basado en
políticas al proporcionar descubrimiento, perfilado, colocación basada en
 políticas, y la supervisión posterior a la conexión de todos los dispositivos de
punto final.
Acceso a la red para huéspedes
Cisco NAC Guest Server proporciona la aplicación de la política de invitados ya sea
al Cisco NAC Appliance o el Cisco Wireless LAN Controller, donde las políticas de
invitados se hacen cumplir. Cisco NAC Guest Server, un componente de la solución
Cisco Trustsec, proporciona soporte completo de ciclo de vida de acceso para
huéspedes, incluyendo aprovisionamiento, notificación, administración e informes.
Cisco NAC Guest Server proporciona la capacidad para los patrocinadores, como
los empleados de la empresa, para crear cuentas de invitados. Los patrocinadores
se autentican en el servidor invitado y se les conceden permisos basados en sus
funciones. Los patrocinadores pueden recibir permisos basados en roles para crear
cuentas, editar cuentas, suspender cuentas y ejecutar informes.
Hay tres maneras de otorgar permisos de patrocinador para:
 Sólo las cuentas creadas por el patrocinador
 Todas las cuentas
 No hay cuentas (es decir, no pueden cambiar ningún permiso)
Después de crear una cuenta de invitado, los huéspedes pueden acceder a la red
con los detalles proporcionados por el patrocinador.

Cisco NAC Profiler

Cisco NAC Profiler permite el descubrimiento dinámico, identificación y monitoreo
de todos los puntos finales conectados a la red, gestionando estos dispositivos de
forma inteligente, basándose en políticas de seguridad definidas por el usuario.
Cisco NAC Profiler facilita el despliegue y la gestión de los sistemas de NAC Cisco.
Descubre y rastrea la ubicación y el tipo de todos los endpoints adjuntos a LAN,
incluyendo aquellos que no pueden autenticarse.
Cisco NAC Profiler permite a los administradores de seguridad:
 Simplifique el despliegue de Cisco NAC automatizando la identificación y
autenticación de dispositivos y facilitando las tareas administrativas.
 Facilitar el despliegue y la gestión de la infraestructura basada en Cisco ACS
802.1X o soluciones de superposición Cisco NAC.
 Reúna información de perfiles de dispositivos de endpoint y mantenga un
inventario contextual en tiempo real de dispositivos en red.
 Monitoree y gestione anomalías en el comportamiento del dispositivo, como
cambio de puerto, spoofing de direcciones MAC y cambios de perfil.
 Asegure todos los puntos finales de propiedad de la empresa, incluyendo
dispositivos no autenticadores como impresoras y teléfonos IP.
Cisco NAC Profiler tiene dos componentes: el NAC Profiler Collector,y la aplicación
NAC Profiler Server secuencialmente cómo el Cisco NAC Profiler recoge,
agregados, filtros y actualiza datos de dispositivos.

Consideraciones de Seguridad en Capa 2

Capa 2 Amenazas de seguridad
Describir vulnerabilidades de la capa 2
Los administradores de redes
implementan de forma rutinaria
soluciones de seguridad para
proteger los elementos de la Capa 3
hasta la Capa 7 usando VPN,
cortafuegos y dispositivos IPS. Sin
embargo, si la Capa 2 está
comprometida, entonces todas las
capas de arriba también se ven
afectadas. Por ejemplo, si un
empleado o visitante con acceso a la
red interna pudiera capturar cuadros
de Capa 2, entonces toda la
seguridad implementada en las capas
anteriores sería inútil. El empleado
también podría causar estragos en la
infraestructura de redes LAN Layer 2.

Categorías de ataque de interruptor

La seguridad es tan fuerte como el eslabón más débil del sistema, y la capa 2 se
considera el eslabón más débil. Esto se debe a que tradicionalmente las redes
locales estaban bajo el control administrativo de una sola organización. Confiamos
intrínsecamente en todas las personas y dispositivos conectados a nuestra LAN.
Hoy, con BYOD y ataques más sofisticados, nuestras Lans se han vuelto más
vulnerables a la penetración. Por lo tanto, además de proteger la capa 3 a la capa
7, los profesionales de la seguridad de la red también deben mitigar los ataques a
la infraestructura LAN de capa 2.
El primer paso para mitigar los ataques contra la infraestructura de Capa 2 es
entender el funcionamiento subyacente de la Capa 2 y las amenazas que plantea la
infraestructura de Capa 2.
Estas soluciones de Capa 2 no serán efectivas si los protocolos de gestión no están
asegurados. Un ejemplo sería si los atacantes pueden fácilmente telnet en un
interruptor. Syslog, SNMP, TFTP, telnet, FTP y otros protocolos comunes de
administración de redes son inseguros.
Por lo tanto, se recomiendan las siguientes estrategias:
 Siempre use variantes seguras de estos protocolos como SSH, SCP y SSL.
 Considere el uso de la gestión fuera de banda (OOB).
 Utilice una VLAN de gestión dedicada donde no reside más que el tráfico de
gestión.
 Utilice Acls para filtrar el acceso no deseado.

Ataques de tabla CAM

Funcionamiento básico del interruptor
Para tomar decisiones de reenvío, un conmutador LAN de Capa 2 construye una
tabla de direcciones MAC que se almacena en su memoria de direcciones de
contenido (CAM). Una tabla CAM es lo mismo que una tabla de direcciones MAC.
Una excepción importante a esto es que la sintaxis para mostrar qué direcciones se
almacenan en un interruptor utiliza "tabla de direcciones mac".
La tabla CAM une y almacena las direcciones MAC y los parámetros VLAN
asociados que están conectados a los puertos físicos del interruptor. Si la dirección
MAC de destino no está en la tabla CAM, el interruptor inundará el marco de todos
los puertos excepto para el puerto de entrada del marco. Esto se llama inundación
unicasta desconocida.

Ataque de mesa CAM

Todas las tablas CAM tienen un tamaño fijo y, en consecuencia, un interruptor
puede quedarse sin recursos en los que almacenar direcciones MAC. Los ataques
de desbordamiento de la tabla CAM aprovechan esta limitación bombardeando el
interruptor con direcciones MAC de origen falsas hasta que la mesa de direcciones
MAC del interruptor está llena.
Si se introducen suficientes entradas en la tabla CAM antes de que las entradas
antiguas expiren, la tabla se rellena hasta el punto de que no se pueden aceptar
nuevas entradas. Cuando esto ocurre, el interruptor trata el marco como un unicast
desconocido y comienza a inundar todo el tráfico entrante a todos los puertos sin
hacer referencia a la tabla CAM. El interruptor, en esencia, actúa como un hub.
Como resultado, el atacante puede capturar todos los cuadros enviados de un host
a otro.
Herramientas de ataque de mesa CAM
Lo que hace que estas herramientas sean tan peligrosas es que un atacante puede
crear un ataque de desbordamiento de mesa CAM en cuestión de segundos. Por
ejemplo, un interruptor Catalyst 6500 puede almacenar 132.000 direcciones MAC
en su tabla CAM. Una herramienta como macof puede inundar un interruptor con
hasta 8.000 marcos falsos por segundo; creando un ataque de desbordamiento de
mesa CAM en cuestión de unos segundos.
Otra razón por la que estas herramientas de ataque son peligrosas es porque no
sólo afectan al interruptor local, también pueden afectar a otros interruptores de
Capa 2 conectados. Cuando la tabla CAM de un interruptor está llena, comienza a
inundar todos los puertos, incluyendo los que se conectan a otros interruptores de
Capa 2.
Para mitigar los ataques de desbordamiento de tabla CAM, los administradores de
red deben implementar la seguridad portuaria.

Mitigando los ataques de mesa CAM

Contramedida para los ataques de mesa CAM
El método más simple y eficaz para prevenir ataques de desbordamiento de mesa
CAM es permitir la seguridad del puerto. La seguridad del puerto permite a un
administrador especificar estáticamente las direcciones MAC de un puerto o permitir
el cambio para aprender dinámicamente un número limitado de direcciones MAC.
Al limitar el número de direcciones MAC permitidas en un puerto a una, la seguridad
del puerto se puede utilizar para controlar la expansión no autorizada de la red.
Cuando un puerto configurado con seguridad de puerto recibe un marco, la dirección
MAC de origen del marco se compara con la lista de direcciones de origen seguras
que fueron configuradas manualmente o autoconfiguradas (aprendidas) en el
puerto.

Seguridad Portuaria
Habilitar opciones de seguridad portuaria
Para establecer el número máximo de direcciones MAC permitidas en un puerto
utilice el comando switchport port-security maximum value. El número máximo real
de direcciones MAC seguras que se pueden configurar se establece por el número
máximo de direcciones MAC disponibles permitidas por la plantilla activa de gestión
de bases de datos de conmutación (SDM). Utilice el comando show sdm prefer para
ver la configuración actual de la plantilla.

El interruptor se puede configurar para aprender sobre direcciones MAC en un

puerto seguro de dos maneras:
 Configurado manualmente - El administrador configura manualmente la(s)
dirección(es) MAC usando el comando de configuración de interfaz de
puerto-puerto de seguridad de conmutación.
 Aprendida dinámicamente - El administrador habilita el conmutador para
aprender dinámicamente la dirección MAC usando el comando de
configuración de interfaz pegajosa de puerto-seguridad de puerto-mac-
address.

Violaciones de la seguridad portuaria

Si una dirección MAC de un dispositivo conectado al puerto difiere de la lista de
direcciones seguras, entonces ocurre una violación de puerto, y el puerto entra en
el estado deshabilitado por error.
El comportamiento de un interruptor depende de la violación configurada. Hay tres
modos de violación de la seguridad:
Para establecer el modo de violación de la seguridad del puerto, utilice el comando
de configuración de interfaz switchport port port-security {protect | restrict | shutdown
| shutdown vlan}.

Para volver a activar un puerto deshabilitado por error, puede volver a activar
manualmente el puerto deshabilitado introduciendo los comandos de configuración
de la interfaz de apagado y sin ellos.
Envejecimiento de la Seguridad Portuaria
El envejecimiento de la seguridad portuaria se puede utilizar para establecer el
tiempo de envejecimiento para direcciones seguras estáticas y dinámicas en un
puerto. Se admiten dos tipos de envejecimiento por puerto:
 Absoluto - Las direcciones seguras en el puerto se eliminan después del
tiempo de envejecimiento especificado.
 Inactividad - Las direcciones seguras en el puerto se eliminan sólo si están
inactivas durante el tiempo de envejecimiento especificado.
Utilice el envejecimiento para eliminar direcciones MAC seguras en un puerto
seguro sin borrar manualmente las direcciones MAC seguras existentes. El
envejecimiento de las direcciones seguras configuradas estáticamente se puede
activar o desactivar por puerto.
Seguridad Portuaria con Teléfonos IP
Un puerto de acceso que conecta un teléfono IP y un ordenador, normalmente
requiere dos direcciones MAC seguras. Sin embargo, en algunos interruptores este
número debe ser establecido a tres porque cuando el puerto está conectado a un
teléfono IP de Cisco, el teléfono IP requiere hasta dos direcciones MAC. La dirección
IP del teléfono se aprende en la VLAN de voz y también puede aprenderse en la
VLAN de acceso. Conectar un PC al teléfono IP requiere una dirección MAC
adicional.
Las direcciones generalmente se aprenden dinámicamente. Sin embargo, al
configurar la seguridad del puerto con un teléfono IP, las direcciones de voz no se
pueden hacer pegajosas.
Las violaciones de esta política resultan en que el puerto se cierra. El tiempo límite
de envejecimiento para las direcciones MAC aprendidas se establece en dos horas.
Notificación de dirección MAC SNMP
Los gestores de redes necesitan una forma de supervisar quién está utilizando la
red y cuál es su ubicación.
La función de notificación de direcciones MAC envía trampas SNMP a la estación
de administración de redes (NMS) cuando se añade una nueva dirección MAC, o
se elimina una dirección antigua de las tablas de reenvío. Las notificaciones de
direcciones MAC se generan sólo para direcciones MAC dinámicas y seguras.
La notificación de la dirección MAC permite al administrador de la red monitorizar
las direcciones MAC aprendidas, así como las direcciones MAC que envejecen y se
eliminan del interruptor.

Mitigando Ataques en VLAN

Ataques de salto de VLAN
La arquitectura VLAN simplifica el mantenimiento de la red y mejora el rendimiento,
pero también abre la puerta al abuso.
Un tipo específico de amenaza VLAN es un ataque de salto VLAN. Un ataque de
salto de VLAN permite que el tráfico de una VLAN sea visto por otra VLAN sin la
ayuda de un router.
Un ataque de salto VLAN puede ser lanzado de dos maneras:
 Spoofing mensajes DTP desde el host atacante para hacer que el interruptor
entre en modo trunking. Desde aquí, el atacante puede enviar el tráfico
marcado con la VLAN objetivo, y el interruptor luego entrega los paquetes al
destino.
 Introduciendo un interruptor rogué y habilitando trunking. El atacante puede
entonces acceder a todas las Vlans en el interruptor de la víctima desde el
interruptor rogué.
Ataque VLAN de doble marcado
Otro tipo de ataque de salto de VLAN es un ataque de doble marcado (o doble
encapsulado). Este ataque aprovecha la forma en que funciona el hardware en la
mayoría de los interruptores.
Esto puede permitir que un atacante en situaciones específicas incruste una
etiqueta 802.1Q oculta dentro del marco. Esta etiqueta permite que el marco vaya
a una VLAN que la etiqueta 802.1Q original no especificó. Una característica
importante del ataque de salto de VLAN doble encapsulado es que funciona incluso
si los puertos troncales están desactivados, ya que un host normalmente envía un
marco en un segmento que no es un enlace troncal.
Un ataque de doble marcaje sigue tres pasos:
 el atacante envía un marco 802.1Q con doble etiqueta al interruptor. La
cabecera externa tiene la etiqueta VLAN del atacante.
 el marco llega al primer interruptor, que mira a la primera etiqueta 802.1Q de
4 bytes. El interruptor ve que el marco está destinado a VLAN 10, que es la
VLAN nativa.
 el cuadro llega al segundo interruptor pero no tiene conocimiento de que se
suponía que era para VLAN 10. El tráfico VLAN nativo no está marcado por
el interruptor de envío como se especifica en la especificación 802.1Q.
Este tipo de ataque es unidireccional y sólo funciona cuando el atacante está
conectado a un puerto que reside en la misma VLAN que la VLAN nativa del puerto
principal.
Mitigando los ataques de salto de VLAN
La mejor manera de prevenir ataques básicos de salto de VLAN:
 Desactive las negociaciones DTP (auto trunking) en puertos que no se estén
usando.
 Habilite manualmente el enlace
 Deshabilitar las negociaciones de DTP (auto trunking)
 Configure la VLAN nativa para que sea algo distinto a VLAN
 Desactive los puertos no utilizados y póngalos en una VLAN no utilizada.

Característica de borde PVLAN

 Un puerto protegido no reenvía ningún tráfico, tal como unicast, multicast, o
broadcast, a cualquier otro puerto que sea también un puerto protegido.
 El comportamiento de reenvío entre un puerto protegido y un puerto no
protegido procede como de costumbre.
 El valor predeterminado es no tener puertos protegidos definidos.
PVLAN Edge
El borde PVLAN es una característica que sólo tiene importancia local para el
interruptor, y no hay aislamiento previsto entre dos puertos protegidos situados en
diferentes interruptores. Un puerto protegido no reenvía ningún tráfico (unicast,
multicast, o broadcast) a cualquier otro puerto que también es un puerto protegido
en el mismo interruptor. El tráfico no se puede redirigir entre puertos protegidos en
la Capa 2 (L2); todo el tráfico que pasa entre puertos protegidos debe ser reenviado
a través de un dispositivo de Capa 3 (L3).

Vlans privadas
Pvlans proporcionan aislamiento de Capa 2 entre puertos dentro del mismo dominio
de difusión. Hay tres tipos de puertos PVLAN:
 Promiscuo - Un puerto promiscuo puede hablar con todos.
 Aislado - Un puerto aislado sólo puede hablar con puertos promiscuos
 Comunidad - Los puertos comunitarios pueden hablar con otros puertos
comunitarios y promiscuos.
La seguridad proporcionada por un PVLAN puede ser eludida mediante el uso del
router como un proxy. Los Pvlans se usan principalmente en sitios de co-ubicación
de proveedores de servicios. Otra aplicación típica se puede encontrar en hoteles
donde cada habitación estaría conectada en su propio puerto aislado.
Mitigando los ataques de DHCP
Ataque de Spoofing de DHCP
Un ataque de spoofing DHCP ocurre cuando un servidor DHCP corrupto está
conectado a la red y proporciona parámetros de configuración IP falsos a clientes
legítimos. Un servidor deshonesto puede proporcionar una variedad de información
engañosa:
 Gateway por defecto incorrecto - Attacker proporciona una puerta de enlace
inválida o la dirección IP de su host para crear un ataque man-in-the-middle.
 Servidor DNS incorrecto - El atacante proporciona una dirección incorrecta
del servidor DNS apuntando al usuario a un sitio web nefasto.
 Dirección IP incorrecta - El atacante proporciona una dirección IP de puerta
de enlace no válida y crea un ataque de Dos en el cliente DHCP.

DHCP Ataque de Hambre

El objetivo de este ataque es crear un DOS para conectar a los clientes. Los ataques
de hambre DHCP requieren una herramienta de ataque como Gobbler.
Gobbler tiene la capacidad de mirar todo el alcance de las direcciones IP
arrendables e intenta arrendarlas todas. Específicamente, crea mensajes de
descubrimiento de DHCP con direcciones MAC falsas.

Mitigando los ataques de DHCP

Es fácil mitigar los ataques de hambre DHCP usando la seguridad portuaria. Sin
embargo, mitigar los ataques de spoofing DHCP requiere más protección.
La seguridad del puerto podría configurarse para mitigar esto. Sin embargo, Gobbler
también se puede configurar para utilizar la misma dirección MAC de interfaz con
una dirección de hardware diferente para cada petición. Esto haría que la protección
portuaria resultara ineficaz.
Los ataques de spoofing de DHCP pueden ser mitigados usando DHCP
fisgoneando en puertos de confianza. El espionaje de DHCP también ayuda a
mitigar los ataques de hambre de DHCP al limitar el número de mensajes de
descubrimiento de DHCP que un puerto no confiable puede recibir. DHCP snooping
construye y mantiene una base de datos DHCP snooping binding que el switch
puede usar para filtrar mensajes DHCP desde fuentes no confiables. La tabla de
enlaces DHCP incluye la dirección MAC del cliente, la dirección IP, el tiempo de
arrendamiento DHCP, el tipo de unión, el número VLAN, y la información de la
interfaz en cada puerto de conmutación no fiable o interfaz.
En una red grande, la tabla de enlaces DHCP puede tardar un tiempo en compilarse
después de activarse. Por ejemplo, podría tomar 2 días para que DHCP fisgonee
para completar la tabla si el tiempo de arrendamiento de DHCP es de 4 días.
Cuando DHCP snooping está habilitado en una interfaz o VLAN, y un conmutador
recibe un paquete en un puerto no confiable, el conmutador compara la información
del paquete fuente con la contenida en la tabla de enlace de snooping DHCP. El
interruptor denegará paquetes que contengan información específica:
 Mensajes no autorizados del servidor DHCP desde un puerto no confiable
 Mensajes de clientes DHCP no autorizados que no se adhieren a la tabla de
enlaces de espionaje o límites de tarifas
 Paquetes de relé-agente DHCP que incluyen información de la opción-82 en
un puerto no confiable
Configurando DHCP Snooping
DHCP snooping reconoce dos tipos de puertos:
 Puertos DHCP de confianza - Sólo los puertos que se conectan a los
servidores DHCP fuente deben ser confiables. Estos puertos que se espera
que respondan con la oferta de DHCP y los mensajes DHCP Ack. Los puertos
de confianza deben ser identificados explícitamente en la configuración.
 Puertos no confiables - Estos puertos se conectan a hosts que no deberían
proporcionar mensajes del servidor DHCP. Por defecto, todos los puertos de
conmutación no son confiables.
La regla general al configurar DHCP snooping es "confiar en el puerto y habilitar
DHCP fisgoneando por VLAN". Por lo tanto, se deben usar los siguientes pasos
para activar el espionaje DHCP:
1. Active DHCP fisgoneando usando el comando ip dhcp snooping de
configuración global.
2. En puertos de confianza, utilice el comando de configuración de interfaz ip
dhcp snooping trust.
3. Activar DHCP fisgoneando por VLAN, o por una gama de VLAN.
Los puertos no confiables también deberían limitar el número de mensajes de
descubrimiento de DHCP que pueden recibir por segundo usando el comando ip
dhcp snooping limit rate interfaz configuration.

Configurando DHCP Snooping

Mitigando los ataques ARP
ARP Spoofing y Ataque de Envenenamiento ARP
Por lo general, un host transmite una petición ARP a otros hosts para determinar la
dirección MAC de un host con una dirección IP en particular. Todos los hosts en la
subred reciben y procesan la Solicitud ARP. El host con la dirección IP
correspondiente en la Solicitud ARP envía una Respuesta ARP.
El problema es que un atacante puede enviar un mensaje ARP gratuito que contiene
una dirección MAC falsa a un switch, y el switch actualizaría su tabla CAM en
consecuencia. Por lo tanto, cualquier host puede reclamar ser el propietario de
cualquier IP/MAC que elija. En un ataque típico, un usuario malicioso puede enviar
respuestas ARP no solicitadas a otros hosts en la subred con la dirección MAC del
atacante y la dirección IP de la puerta de enlace predeterminada.

Mitigando los ataques ARP

Para evitar la suplantación de ARP o el envenenamiento, un interruptor debe
garantizar que sólo se transmiten las solicitudes y respuestas ARP válidas.
La inspección ARP dinámica ayuda a prevenir tales ataques al no transmitir
respuestas ARP inválidas o gratuitas a otros puertos en la misma VLAN. La
inspección ARP dinámica intercepta todas las solicitudes ARP y todas las
respuestas en los puertos no confiables. Cada paquete interceptado es verificado
para una unión válida IP-a-MAC. DAI también puede ser la tasa limitada para limitar
el número de paquetes ARP, y la interfaz puede ser desactivada por error si se
supera la tasa.
DAI requiere DHCP fisgoneando. DAI determina la validez de un paquete ARP
basado en una base de datos válida de direcciones MAC a direcciones IP que es
construida por DHCP snooping. Además, para manejar hosts que usan direcciones
IP configuradas estáticamente, DAI puede validar paquetes ARP contra Acls ARP
configuradas por el usuario.
Configuración de la inspección ARP dinámica
Generalmente es recomendable configurar todos los puertos de conmutación de
acceso como no confiables y configurar todos los puertos de enlace ascendente que
están conectados a otros conmutadores como confiables.
Para mitigar las posibilidades de spoofing ARP, estos procedimientos se
recomiendan:
 Implemente protección contra el spoofing de DHCP al permitir a DHCP
fisgonear globalmente.
 Activar DHCP fisgoneando en las VLAN seleccionadas.
 Activar DAI en las VLAN seleccionadas.
 Configure las interfaces de confianza para fisgoneo DHCP e inspección ARP
(por defecto no es fiable).
Mitigar ataques de falsificación de direcciones
Dirección Spoofing Attack
Las direcciones MAC y direcciones IP pueden ser falsificadas por una variedad de
razones. Los ataques de spoofing ocurren cuando un host se hace pasar por otro
para recibir datos inaccesibles o para eludir configuraciones de seguridad.
El método utilizado por los interruptores para llenar la tabla de direcciones MAC
conduce a una vulnerabilidad conocida como spoofing dirección MAC. Los ataques
de suplantación de direcciones MAC ocurren cuando los atacantes alteran la
dirección MAC de su host para coincidir con otra dirección MAC conocida de un host
objetivo. Cuando el interruptor recibe el marco, examina la dirección MAC de origen.
El conmutador sobreescribe la entrada actual de la tabla CAM y asigna la dirección
MAC al nuevo puerto. Entonces inadvertidamente reenvía cuadros destinados al
host objetivo al host atacante.
Para evitar que el conmutador devuelva las asignaciones de puertos de direcciones
MAC falsificadas a su estado correcto, el host atacante puede crear un programa o
script que envíe constantemente fotogramas al conmutador para que el conmutador
mantenga la información incorrecta o falsa. No hay ningún mecanismo de seguridad
en la Capa 2 que permita a un conmutador verificar el origen de las direcciones
MAC, que es lo que lo hace tan vulnerable a la falsificación.
La suplantación de direcciones IP es cuando un PC pícaro secuestra una dirección
IP válida de un vecino, o una utiliza una dirección IP aleatoria. La suplantación de
direcciones IP es difícil de mitigar, especialmente cuando se utiliza dentro de una
subred a la que pertenece la IP.

Mitigar ataques de falsificación de direcciones

IPSG funciona igual que DAI, IPSG se despliega en puertos de acceso y troncales
de Capa 2 no confiables. IPSG mantiene dinámicamente ACLS de VLAN por puerto
(PVACL) basado en uniones IP-to-MAC-to-switch-port.
Este proceso restringe el tráfico IP del cliente a las direcciones IP de origen que
están configuradas en el enlace. Cualquier tráfico IP con una dirección IP de origen
distinta a la de la unión de la fuente IP será filtrado.
Para cada puerto no confiable, hay dos niveles posibles de filtrado de seguridad de
tráfico IP:
 Filtro de dirección IP de origen - El tráfico IP se filtra en función de su
dirección IP de origen y sólo se permite el tráfico IP con una dirección IP de
origen que coincida con la entrada de enlace IP de origen.
 Filtro de dirección IP de origen y MAC - El tráfico IP se filtra en función de su
dirección IP de origen, además de su dirección MAC
Configuración de IP Source Guard

Spanning Tree Protocol

Introducción al protocolo Spanning Tree
Spanning Tree Protocol (STP) es otra tecnología de Capa 2 que es vulnerable en la
infraestructura de Capa 2.
STP asegura que los enlaces físicos redundantes estén libres de bucle. Asegura
que sólo hay una ruta lógica entre todos los destinos de la red mediante el bloqueo
intencional de rutas redundantes que podrían causar un bucle.
El bloqueo de las rutas redundantes es fundamental para evitar bucles en la red.
Las rutas físicas todavía existen para proporcionar redundancia, pero estas rutas
están deshabilitadas para evitar que ocurran los bucles. Si alguna vez se necesita
la ruta para compensar un fallo en un cable de red o conmutador, STP vuelve a
calcular las rutas y desbloquea los puertos necesarios para permitir que la ruta
redundante se active.

Varias implementaciones de STP

Existen varias implementaciones de STP, como Rapid Spanning Tree Protocol
(RSTP) y Multiple Spanning Tree Protocol (MSTP). Para comunicar correctamente
los conceptos de árbol, es importante referirse a la implementación o estándar en
particular en contexto.
STP asegura una topología sin bucle, proporcionando una protección importante
contra bucles de puente accidentales o maliciosos. Un bucle de puente puede
desactivar fácil y rápidamente la LAN, y, por lo tanto, STP nunca debe ser
desactivado excepto en condiciones específicas y cuando los riesgos se entienden
claramente.
Funciones de puerto STP
El algoritmo de árbol de extensión designa un solo interruptor como el puente raíz y
lo utiliza como punto de referencia para todos los cálculos de trayectoria.
Un BPDU es un marco de mensajería intercambiado por interruptores para STP.
Cada BPDU contiene una BID que identifica el interruptor que envió el BPDU. El
BID contiene un valor de prioridad, la dirección MAC del interruptor de envío, y un
identificador de sistema ampliado opcional. El valor de BID más bajo se determina
por la combinación de estos tres campos.
Después de que se ha determinado el puente raíz, el algoritmo de árbol de extensión
calcula la ruta más corta. Mientras que el algoritmo de árbol de extensión determina
las mejores rutas al puente raíz para todos los puertos de conmutación en el dominio
broadcast, el tráfico se impide de ser reenviado a través de la red. El algoritmo de
árbol de extensión considera los costos de ruta y puerto al determinar qué puertos
bloquear. Los costes del surco se calculan utilizando los valores del coste del puerto
asociados a las velocidades del puerto para cada puerto de conmutación a lo largo
de un surco dado. La suma de los valores de coste del puerto determina el coste
total del surco hasta el puente raíz. Si hay más de una ruta para elegir, el algoritmo
de árbol de extensión elige la ruta con el costo de ruta más bajo.
Cuando el algoritmo de árbol de extensión ha determinado qué rutas son las más
deseables en relación con cada conmutador, asigna los roles de puerto a los puertos
de conmutación participantes. Los roles de puerto en la figura describen su relación
en la red con el puente raíz y si se les permite reenviar el tráfico.

Puente Raíz STP

El puente raíz sirve como punto de referencia para todos los cálculos de árboles de
extensión para determinar qué rutas redundantes bloquear.
Un proceso electoral determina qué interruptor se convierte en el puente raíz.
El BID se compone de un valor de prioridad, un ID extendido del sistema y la
dirección MAC del interruptor.
Todos los interruptores en el dominio broadcast participan en el proceso electoral.
Después de que un interruptor arranca, comienza a enviar cuadros BPDU cada dos
segundos. Estos Bpdus contienen el interruptor BID y el ID de la raíz.
A medida que los interruptores avanzan sus cuadros BPDU, los interruptores
adyacentes en el dominio broadcast leen la información del ID raíz de los cuadros
BPDU. Si el ID de la raíz de un BPDU recibido es menor que el ID de la raíz en el
interruptor de recepción, entonces el interruptor de recepción actualiza su ID de la
raíz, identificando el interruptor adyacente como el puente de la raíz. En realidad,
puede no ser un interruptor adyacente, pero podría ser cualquier otro interruptor en
el dominio de difusión. El interruptor entonces reenvía nuevos marcos BPDU con el
ID raíz inferior a los otros interruptores adyacentes. Eventualmente, el interruptor
con el BID más bajo termina siendo identificado como el puente raíz para la instancia
del árbol de expansión.
Hay un puente raíz elegido para cada instancia de árbol de extensión. Es posible
tener varios puentes raíz distintos. Si todos los puertos en todos los interruptores
son miembros de VLAN 1, entonces sólo hay una instancia de árbol de extensión.
El ID extendido del sistema juega un papel en cómo se determinan las instancias
de los árboles.

Costo de la ruta STP

Cuando el puente raíz ha sido elegido para la instancia de árbol de extensión, el
algoritmo de árbol de extensión inicia el proceso de determinar las mejores rutas al
puente raíz desde todos los destinos en el dominio de difusión. La información de la
ruta se determina sumando los costes de cada puerto a lo largo del camino desde
el destino hasta el puente raíz. Cada "destino" es en realidad un puerto de
conmutación.
Los costes de puerto por defecto se definen por la velocidad a la que funciona el
puerto. 10 Gb/s puertos Ethernet tienen un costo de puerto de 2, 1 Gb/s puertos
Ethernet tienen un costo de puerto de 4, 100 Mb/s puertos Fast Ethernet tienen un
costo de puerto de 19, y 10 Mb/s puertos Ethernet tienen un costo de puerto de 100.
Aunque los puertos de conmutación tienen un costo de puerto predeterminado
asociado con ellos, el costo de puerto es configurable.

Para restaurar el costo del puerto al valor predeterminado de 19, introduzca el

comando de modo de configuración de interfaz sin spanning-tree cost.

El costo del camino es igual a la suma de todos los costos del puerto a lo largo del
camino al puente raíz. Las rutas con el costo más bajo se vuelven preferidas, y todas
las otras rutas redundantes son bloqueadas.

Para verificar el costo de puerto y ruta al puente raíz, introduzca el comando show
spanning-tree.
Formato de marco BPDU 802.1D
El algoritmo del árbol de expansión depende del intercambio de Bpdus para
determinar un puente raíz. Un marco BPDU contiene 12 campos distintos que
transmiten la información de ruta y prioridad usada para determinar el puente raíz y
los caminos al puente raíz.
 Los primeros cuatro campos identifican los parámetros de protocolo, versión,
tipo de mensaje y estado.
 Los cuatro campos siguientes se utilizan para identificar el puente raíz y el
costo de la ruta al puente raíz.
 Los últimos cuatro campos son todos campos temporizadores que
determinan la frecuencia con la que se envían los mensajes BPDU y el
tiempo que se conserva la información recibida a través del proceso BPDU.

Propagación y proceso del BPDU

Cada conmutador en el dominio broadcast asume inicialmente que es el puente raíz
para una instancia de árbol de extensión, por lo que los fotogramas BPDU que se
envían contienen la BID del conmutador local como ID raíz. Por defecto, los marcos
BPDU se envían cada dos segundos después de arrancar un interruptor. Cada
conmutador mantiene información local sobre su propia BID, el ID de la raíz y el
costo de la ruta a la raíz.
Cuando un interruptor adyacente recibe un marco BPDU, compara el ID raíz
contenido en el marco BPDU con su ID raíz local. Si el ID de raíz de BPDU es menor
que su ID de raíz local, el conmutador actualiza el ID de raíz local con el ID de raíz
contenido en el BPDU. El conmutador también incluirá la nueva raíz en sus
mensajes BPDU a otros conmutadores. La distancia al puente raíz también está
indicada por la actualización del coste de la ruta.
Después de que un ID raíz ha sido actualizado para identificar un nuevo puente raíz,
todos los marcos BPDU posteriores enviados desde ese interruptor contienen el
nuevo ID raíz y el costo de ruta actualizado. De esa manera, todos los otros
interruptores adyacentes son capaces de ver el ID raíz más bajo identificado en todo
momento. A medida que los marcos BPDU pasan entre otros interruptores
adyacentes, el costo de la ruta se actualiza continuamente para indicar el costo total
de la ruta al puente raíz. Cada interruptor en el árbol de extensión utiliza sus costos
de ruta para identificar la mejor ruta posible al puente raíz.

Identificación extendida del sistema

El ID de puente (BID) se utiliza para determinar el puente raíz en una red. El campo
BID de un marco BPDU contiene tres campos separados. Cada campo se utiliza
durante la elección del puente raíz.
Bridge Priority
La prioridad bridge es un valor personalizable que se puede utilizar para influir en
qué interruptor se convierte en el puente raíz. El interruptor con la prioridad más
baja, que implica la BID más baja, se convierte en el puente raíz porque un valor de
prioridad más baja tiene prioridad. El valor de prioridad por defecto para todos los
interruptores Cisco es 32768. El rango es de 0 a 61440 en incrementos de 4096.
Todos los demás valores son rechazados. Una prioridad puente de 0 tiene prioridad
sobre todas las demás prioridades puente.
Identificación extendida del sistema
Las primeras implementaciones de IEEE 802.1D fueron diseñadas para redes que
no usaban VLAN. Había un árbol común que se extendía a través de todos los
interruptores. Por esta razón, en los antiguos interruptores Cisco, el ID extendido
del sistema podría omitirse en marcos BPDU.
Cuando dos interruptores están configurados con la misma prioridad y tienen el
mismo ID extendido del sistema, el interruptor que tiene la dirección MAC con el
valor hexadecimal más bajo tendrá la BID más baja. Inicialmente, todos los
interruptores están configurados con el mismo valor de prioridad por defecto. La
dirección MAC es entonces el factor decisivo en qué interruptor se va a convertir en
el puente raíz. Para asegurar que la decisión de puente raíz mejor cumple con la
red

Seleccione el puente raíz

Cuando un administrador desea que un interruptor específico se convierta en un
puente raíz, el valor de prioridad puente debe ajustarse para asegurarse de que es
inferior a los valores de prioridad puente de todos los demás interruptores de la red.
Hay dos métodos diferentes para configurar el valor de prioridad de puente en un
interruptor Cisco Catalyst.
Método 1
Para asegurarse de que el interruptor tiene el valor de prioridad de puente más bajo,
utilice el comando principal vlan-id de root de spanning-tree en el modo de
configuración global. La prioridad para el conmutador es el valor predefinido de
24.576 o el múltiplo más alto de 4.096, menos que la prioridad de puente más baja
detectada en la red.
Si se desea un puente raíz alternativo, utilice el comando de modo de configuración
global secundario vlan-id vlan-id de root. Este comando establece la prioridad para
el cambio al valor predefinido de 28.672. Esto asegura que el interruptor alterno se
convierte en el puente raíz si el puente raíz primario falla. Esto supone que el resto
Método 2
Otro método para configurar el valor de prioridad de puente es usar el comando de
modo de configuración global de valor de prioridad vlan-id de spanning-tree. Este
comando da más control granular sobre el valor de prioridad del puente. El valor de
prioridad se configura en incrementos de 4.096 entre 0 y 61.440.
Para verificar la prioridad de puente de un interruptor, utilice el comando show
spanning-tree.
Mitigando los ataques de STP
Ataques de manipulación STP
Los atacantes de la red pueden manipular STP para realizar un ataque mediante la
suplantación del puente raíz y el cambio de la topología de una red. Los atacantes
pueden hacer que sus hosts aparezcan como puentes raíz; y por lo tanto, capturar
todo el tráfico para el dominio de conmutación inmediata.
Para llevar a cabo un ataque de manipulación STP, el host atacante transmite
configuración y topología STP cambiar Bpdus a la fuerza que abarca-
recalculaciones de árbol. El Bpdus enviado por el anfitrión atacante anuncia una
prioridad de puente inferior en un intento de ser elegido el puente raíz. Si tiene éxito,
el anfitrión atacante se convierte en el puente raíz y ve una variedad de marcos que
de otra manera no serían accesibles.
Este ataque puede ser utilizado para derrotar los tres objetivos de seguridad:
confidencialidad, integridad y disponibilidad.
Mitigando los ataques de STP
Estas son las prácticas recomendadas para el uso de mecanismos de estabilidad
STP:
 Portfast - Portfast trae inmediatamente una interfaz configurada como un
puerto de acceso o tronco al estado de reenvío desde un estado de bloqueo,
evitando los estados de escucha y aprendizaje
  BPDU Guard - El error BPDU guard desactiva inmediatamente un puerto que
recibe un BPDU.
 Root Guard - Root guard evita que un cambio inapropiado se convierta en el
puente raíz. Root guard limita los puertos de conmutación fuera de los cuales
se puede negociar el puente raíz.
 Loop Guard - Loop guard evita que los puertos alternativos o root se
conviertan en puertos designados debido a un fallo que conduce a un enlace
unidireccional.
Configuración de Portfast
La característica spanning-tree de Portfast hace que una interfaz configurada como
un puerto de acceso de Capa 2 pase inmediatamente del estado de bloqueo al
estado de reenvío, evitando los estados de escucha y aprendizaje. Portfast se
puede utilizar en puertos de acceso de Capa 2 que se conectan a una sola estación
de trabajo o servidor, como se muestra en la figura. Esto permite a esos dispositivos
conectarse a la red inmediatamente, en lugar de esperar a que STP converja.
Debido a que el propósito de Portfast es minimizar el tiempo que los puertos de
acceso deben esperar a que STP converja, debe ser utilizado sólo en los puertos
de acceso. Si Portfast está habilitado en un puerto que se conecta a otro interruptor,
existe el riesgo de crear un bucle de árbol de extensión.
Portfast puede ser configurado globalmente en todos los puertos no de ejecución
usando el comando de configuración global por defecto spanning-tree portfast.
Alternativamente, Portfast puede ser habilitado en una interfaz usando el comando
de configuración de la interfaz portfast de spanning-tree.

Configuración de BPDU Guard

Aunque Portfast está habilitado, la interfaz escuchará Bpdus. La recepción de Bpdus
inesperado puede ser accidental, o parte de un intento no autorizado de añadir un
interruptor a la red.
BPDU Guard protege la integridad de los puertos habilitados para Portfast. BPDU
también protege contra interruptores adicionales añadidos a la topología, lo que
puede violar el número de interruptores de extremo a extremo permitidos en la
topología STP. Si se recibe cualquier BPDU en un puerto BPDU Guard habilitado,
ese puerto se pone en estado de error desactivado. Esto significa que el puerto está
apagado y debe volver a encenderse manualmente o recuperarse automáticamente
a través de la función de tiempo de espera desactivado por error.
Utilice el comando de configuración global por defecto de bpduguard spanning-tree
portfast para habilitar globalmente la guardia BPDU en todos los puertos habilitados
para Portfast. Si Portfast no está configurado, entonces BPDU Guard no está
activado. Alternativamente, BPDU Guard se puede habilitar en un puerto habilitado
para Portfast usando el comando de configuración de interfaz bpduguard de
spanning-tree.
Configuración de Root Guard
En una red, hay algunos interruptores que nunca deberían, en ninguna
circunstancia, convertirse en el puente raíz STP. Root Guard proporciona una
manera de hacer cumplir la colocación de puentes raíz en la red al limitar qué
interruptor puede convertirse en el puente raíz.
El protector de raíz se despliega mejor hacia los puertos que se conectan a
interruptores que no deberían ser el puente raíz. Si un puerto activado por root-
guard recibe Bpdus que son superiores a los que el puente raíz actual está
enviando, ese puerto es movido a un estado raíz-inconsistente. Esto es
efectivamente igual a un estado de escucha STP, y no se envía tráfico de datos a
través de ese puerto. La recuperación ocurre tan pronto como el dispositivo infractor
deja de enviar Bpdus superior.
Utilice el comando de configuración de la interfaz root de spanning-tree guard para
configurar root guard en una interfaz.
Para ver los puertos de Root Guard que han recibido Bpdus superior y están en un
estado raíz-inconsistente, use el comando show spanning-tree inconsistencies
ports.

Configuración de guardia de bucle

El tráfico en enlaces bidireccionales fluye en ambas direcciones. Si por alguna razón
un flujo de tráfico de una dirección falla, esto crea un enlace unidireccional que
puede resultar en un bucle de Capa 2. STP se basa en la recepción o transmisión
continua de Bpdus en función de la función portuaria. El puerto designado transmite
Bpdus, y el puerto no designado recibe Bpdus. Un lazo de Capa 2 generalmente se
crea cuando un puerto STP en una topología redundante deja de recibir Bpdus y
por error transiciones al estado de reenvío.
La función STP Loop Guard proporciona protección adicional contra los bucles de
la capa 2. Si no se reciben Bpdus en un puerto Loop Guard no designado, el puerto
pasa a un estado de bloqueo inconsistente, en lugar del estado de escucha /
aprendizaje / reenvío. Sin la función de Loop Guard, el puerto asumiría un papel de
puerto designado y crearía un bucle.

Resumen
La seguridad de Endpoint incluye la seguridad de los dispositivos de infraestructura
de red en la LAN y sistemas finales, tales como estaciones de trabajo, servidores,
teléfonos IP, puntos de acceso y dispositivos de red de área de almacenamiento
(SAN).
Hay varias aplicaciones de seguridad de punto final y dispositivos disponibles para
lograr la seguridad de punto final. Estos incluyen Protección Avanzada de Malware
(AMP), Cisco Email Security Appliance (ESA) y Web Security Appliance (WSA),
seguridad para proporcionar antispam, antivirus, seguridad antispyware, y Cisco
NAC, que sólo permite a los sistemas autorizados y conformes acceder a la red y
hacer cumplir una política de seguridad de la red.
En la Capa 2, existen varias vulnerabilidades que requieren técnicas de mitigación
especializadas:
 Los ataques de desbordamiento de mesa CAM se abordan con seguridad
portuaria.
 Los ataques VLAN se controlan desactivando DTP y siguiendo las directrices
básicas para configurar los puertos troncales.
 Los ataques DHCP se abordan con fisgoneo DHCP.
 Los ataques de spoofing ARP y envenenamiento ARP se mitigan mediante
la Inspección ARP Dinámica (DAI).
 Los ataques de suplantación de direcciones MAC y IP se mitigan usando IP
Source Guard.
 Los ataques de manipulación STP son manejados por Portfast, guardia
BPDU, guardia de raíz, y guardia de bucle.