Expl sw chapter_02_switches_part_ii

CCNA3-1 Chapter 2-2

Capitulo 2Capitulo 2

Switch Concepts and Switch Concepts and Configuration Configuration

Parte IIParte II

CCNA3-2 Chapter 2-2

Switch Concepts and ConfigurationSwitch Concepts and Configuration

Configuring Switch SecurityConfiguring Switch Security

PasswordsPasswordsPasswordsPasswords

EncryptionEncryptionEncryptionEncryption

ConsoleConsoleConsoleConsole

Telnet / SSHTelnet / SSHTelnet / SSHTelnet / SSHPassword RecoveryPassword RecoveryPassword RecoveryPassword Recovery

MAC Address FloodingMAC Address FloodingMAC Address FloodingMAC Address Flooding

Spoofing AttacksSpoofing AttacksSpoofing AttacksSpoofing Attacks

CDP AttacksCDP AttacksCDP AttacksCDP Attacks

Telnet AttacksTelnet AttacksTelnet AttacksTelnet AttacksSecurity ToolsSecurity ToolsSecurity ToolsSecurity Tools

Port SecurityPort SecurityPort SecurityPort Security

CCNA3-3 Chapter 2-2

• Securing Console Access:Securing Console Access:

Configuring Password OptionsConfiguring Password Options

CCNA3-4 Chapter 2-2

• Securing Virtual Terminal Access:Securing Virtual Terminal Access:• Hay disponibles 16 sesiones Telnet predeterminado en Hay disponibles 16 sesiones Telnet predeterminado en

lugar de las 5 sesiones establecido para un router.lugar de las 5 sesiones establecido para un router.


CCNA3-5 Chapter 2-2

• Securing Privileged EXEC Access:Securing Privileged EXEC Access:• Always use Always use enable secretenable secret for password encryption. for password encryption.


CCNA3-6 Chapter 2-2

• Encrypting Switch Passwords:Encrypting Switch Passwords:• Usted puede encriptar todas las contraseñas asignadas a un Usted puede encriptar todas las contraseñas asignadas a un

interruptor con el comando interruptor con el comando service password-encryption.service password-encryption.


CCNA3-7 Chapter 2-2

• Password Recovery:Password Recovery:• Para recuperar una contraseña del interruptor:Para recuperar una contraseña del interruptor:• Encienda el switch con el modo de botón pulsado.Encienda el switch con el modo de botón pulsado.

• Dar formato flash.Dar formato flash.

• Cargar archivos de ayudaCargar archivos de ayuda

• Cambie el nombre del archivo de configuración actual.Cambie el nombre del archivo de configuración actual.

• Reinicie el sistema.Reinicie el sistema.

• Restablecer el nombre del archivo de configuración y copiarlo Restablecer el nombre del archivo de configuración y copiarlo en la memoria RAM.en la memoria RAM.

• Cambiar la contraseña.Cambiar la contraseña.

• Copiar a la puesta en marcha de configuraciónCopiar a la puesta en marcha de configuración

• Actualizar el switchActualizar el switch..


CCNA3-8 Chapter 2-2

• Login Banner:Login Banner:

• Message-Of-The-Day Message-Of-The-Day (MOTD)(MOTD) Banner: Banner:

Login BannersLogin Banners

CCNA3-9 Chapter 2-2

• Telnet:Telnet:• El método más común.El método más común.• Virtual aplicación Terminal.Virtual aplicación Terminal.• Enviar en texto sin cifrar.Enviar en texto sin cifrar.• No es seguro.No es seguro.

Secure Shell (SSH):Secure Shell (SSH):• Virtual aplicación Terminal.Virtual aplicación Terminal.• Envía un flujo de datos encriptados.Envía un flujo de datos encriptados.• Es seguro.Es seguro.

Configure Telnet and SSHConfigure Telnet and SSH

CCNA3-10 Chapter 2-2

• Configuring Telnet:Configuring Telnet:

Configure Telnet and SSHConfigure Telnet and SSH

Configuring Secure Shell (SSH):Configuring Secure Shell (SSH):


• MAC Address Flooding:MAC Address Flooding:• Recordemos que la tabla de direcciones MAC en un swich:Recordemos que la tabla de direcciones MAC en un swich:

• Contiene las direcciones MAC disponibles en un Contiene las direcciones MAC disponibles en un determinado puerto físico de un switch.determinado puerto físico de un switch.

• Contiene los parámetros correspondientes para cada Contiene los parámetros correspondientes para cada VLAN.VLAN.

• Se busca la dirección de destino de una trama.Se busca la dirección de destino de una trama.

• SiSi está en la tabla, se envía por el puerto apropiado. está en la tabla, se envía por el puerto apropiado.

• Si Si NoNo esta en la tabla, la trama se remite a todos los esta en la tabla, la trama se remite a todos los puertos del switch, excepto el puerto que recibió la trama.puertos del switch, excepto el puerto que recibió la trama.

Common Security AttacksCommon Security Attacks


• CDP Attacks:CDP Attacks:• Cisco Discovery Protocol (CDP) Cisco Discovery Protocol (CDP) es un protocolo propietario es un protocolo propietario

que intercambia información entre dispositivos de Cisco.que intercambia información entre dispositivos de Cisco.• Dirección IPDirección IP• Versión de softwareVersión de software• PlataformaPlataforma• CapacidadesCapacidades• VLAN nativa (Enlaces troncales - Capítulo 3).VLAN nativa (Enlaces troncales - Capítulo 3).• Con un sniffer de red libre (Wireshark), Con un sniffer de red libre (Wireshark), un intruso podría un intruso podría

obtener esta información.obtener esta información.• Puede ser utilizado para encontrar maneras de realizarPuede ser utilizado para encontrar maneras de realizar• Denegación de Servicio (DoS) y otros.Denegación de Servicio (DoS) y otros.


Por lo general, esta encendida de Por lo general, esta encendida de forma predeterminada. Si usted no forma predeterminada. Si usted no

lo necesitan, apáguelolo necesitan, apáguelo..

Por lo general, esta encendida de Por lo general, esta encendida de forma predeterminada. Si usted no forma predeterminada. Si usted no

lo necesitan, apáguelolo necesitan, apáguelo..


• Telnet Attacks:Telnet Attacks:• Recordemos que transmite Telnet en texto sin formato y no Recordemos que transmite Telnet en texto sin formato y no

es seguro. Si bien es posible que establecer contraseñas, los es seguro. Si bien es posible que establecer contraseñas, los siguientes tipos de ataques son posibles.siguientes tipos de ataques son posibles.

• La fuerza bruta (adivinar la contraseña) DoS (Denegación de La fuerza bruta (adivinar la contraseña) DoS (Denegación de Servicio)Servicio)

• Con un sniffer de red libre (Wireshark), un intruso podría Con un sniffer de red libre (Wireshark), un intruso podría obtener esta información.obtener esta información.

• Utilice contraseñas seguras y cámbielas con frecuencia.Utilice contraseñas seguras y cámbielas con frecuencia.• El uso de SSH.El uso de SSH.



• Implement Port Security to:Implement Port Security to:• Port security Port security está desactivado por defectoestá desactivado por defecto..• Limite el número de direcciones MAC permite válida en un Limite el número de direcciones MAC permite válida en un

puerto.puerto.• Cuando se asigna segura las direcciones MAC a un puerto Cuando se asigna segura las direcciones MAC a un puerto

seguro, el puerto no envía los paquetes con direcciones de seguro, el puerto no envía los paquetes con direcciones de origen fuera del grupo de direcciones definidas.origen fuera del grupo de direcciones definidas.

• Especifique un grupo de direcciones MAC permite válida en Especifique un grupo de direcciones MAC permite válida en un puerto.un puerto.

• O permitir sólo un acceso a la dirección MAC del puerto.O permitir sólo un acceso a la dirección MAC del puerto.• Especificar que el puerto se apaga automáticamente si un Especificar que el puerto se apaga automáticamente si un

enfermo se detecta dirección MACenfermo se detecta dirección MAC

Configuring Port SecurityConfiguring Port Security


• Secure MAC Address types:Secure MAC Address types:• Estático:Estático:

• Manualmente especificar que una dirección MAC es Manualmente especificar que una dirección MAC es la única dirección que pueden conectarse a ese la única dirección que pueden conectarse a ese puerto.puerto.

• Ellos se agregan a la tabla de direcciones MAC y se Ellos se agregan a la tabla de direcciones MAC y se almacena en la configuración activa.almacena en la configuración activa.

• Dinámico:Dinámico:• Las direcciones MAC se aprenden de forma dinámica Las direcciones MAC se aprenden de forma dinámica

cuando un dispositivo se conecta al switch.cuando un dispositivo se conecta al switch.• Se almacenan en la tabla de direcciones y se pierden Se almacenan en la tabla de direcciones y se pierden

cuando se vuelve a cargar el switch.cuando se vuelve a cargar el switch.



• Secure MAC Address types:Secure MAC Address types:• Sticky:Sticky:

• Especifica que las direcciones MAC son:Especifica que las direcciones MAC son:• Dinámicamente aprendido.Dinámicamente aprendido.• Añadido a la tabla de direcciones MAC.Añadido a la tabla de direcciones MAC.• Almacenados en la configuración activa.Almacenados en la configuración activa.• Usted también puede agregar manualmente una Usted también puede agregar manualmente una

dirección MAC.dirección MAC.• Las direcciones MAC que son "pegajosos Las direcciones MAC que son "pegajosos

aprendidas" (se oye esa frase) se perderán si no aprendidas" (se oye esa frase) se perderán si no para guardar la configuración.para guardar la configuración.



• Security Violation Modes:Security Violation Modes:• Violaciones ocurrir cuando:Violaciones ocurrir cuando:• Una estación cuya dirección MAC no está en la mesa de Una estación cuya dirección MAC no está en la mesa de

dirección de los intentos de acceder a la interfaz y la tabla dirección de los intentos de acceder a la interfaz y la tabla de direcciones está llena.de direcciones está llena.

• Una dirección se está utilizando en dos interfaces de Una dirección se está utilizando en dos interfaces de seguridad en la misma VLAN.seguridad en la misma VLAN.

• Modes:Modes:• Protect:Protect: drop frames – no notify drop frames – no notify• Restrict:Restrict: drop frames - notify drop frames - notify• Shutdown:Shutdown: disable port - notify disable port - notify



• Default Security Configuration:Default Security Configuration:



• Configure Static Port Security:Configure Static Port Security:• SOLAMENTESOLAMENTE una dirección permitida. una dirección permitida.• Añadir a la tabla de MAC y configuración en ejecución.Añadir a la tabla de MAC y configuración en ejecución.



• Configure Dynamic Port Security:Configure Dynamic Port Security:• Aprendidas dinámicamente cuando el dispositivo se conecta.Aprendidas dinámicamente cuando el dispositivo se conecta.

• Añadido a la mesa MAC solamente.Añadido a la mesa MAC solamente.



• Configure Sticky Port Security:Configure Sticky Port Security:• Dinámicamente para obtener direcciones MAC.Dinámicamente para obtener direcciones MAC.• Añadir a la tabla de MAC y configuración en ejecución.Añadir a la tabla de MAC y configuración en ejecución.



• Verify Port Security Settings:Verify Port Security Settings:

Verify Port SecurityVerify Port Security


• Verify Secure MAC Addresses:Verify Secure MAC Addresses:

Verify Port SecurityVerify Port Security


• Disable unused ports:Disable unused ports:

Securing Unused PortsSecuring Unused Ports

Usted puede especificar un rango de interfaces.Usted puede especificar un rango de interfaces.Por ejemplo, para especificar los 10 primeros interfaces:Por ejemplo, para especificar los 10 primeros interfaces:interface range fastethernet 0/1 - 10interface range fastethernet 0/1 - 10

Usted puede especificar un rango de interfaces.Usted puede especificar un rango de interfaces.Por ejemplo, para especificar los 10 primeros interfaces:Por ejemplo, para especificar los 10 primeros interfaces:interface range fastethernet 0/1 - 10interface range fastethernet 0/1 - 10

Expl sw chapter_02_switches_part_ii

Documents

Transcript of Expl sw chapter_02_switches_part_ii