Seguridad en los puertos del Switch  (Port Security )

Port security reduce la exposicion a ataques , en el que el atacante se conecta directamente a algun puerto del switch.  Cuando el dispositivo intenta enviar algún tipo de trafico  , el Switch puede tomar diferentes acciones , por defecto el Switch apagara el puerto.

Port Security identifica el dispositivo basado en la dirección MAC.

Port Security no tiene restricción  si el paquete viene local o ha sido reenviado por otros dispositivos.

 

Basado en el ejemplo anterior , si tengo habilitado port-security en el Puerto FA0/24  del switch1 puedo verificar la MAC address de PC0 cuando se envia por el switch 0

Port-security es muy flexible pero todas las opciones usan el mismo principio.

 Primero el Switch habilita port security en el puerto , cada puerto tiene un numero máximo de direcciones MAC permitidas, Si se excede este maximo de direcciones MAC permitidas el puerto se bloquea o se apaga.

Port security tiene 3 opciones principales:

·         Definir un maximo de direcciones MAC permitidas.

·         Definir la direccion MAC enganchada al Puerto de manera estatica o dinamica

·         Definir la acción a tomar apagar/ restringir / proteger  

Puede sonar grandiosa la idea de permitir acceso a mi red con  por dirección MAC, pero buscar la dirección MAC de todos los dispositivos de la red puede ser frustrante. 

 Port security tiene una función que fácilita esta labor  llamada “Sticky secure MAC address” , implementando esto el puerto aprende la MAC del dispositivo dinámicamente.

Nota: Port security no guarda la configuración de las direcciones MAC aprendidas dinámicamente.

Cuando ocurre una violacion del Puerto, la interface pasa al modo de “err-disabled” el cual detiene por completo el traffico en el puerto.

Para recobrar el Puerto el administrador debe manualmente deshabilitar la interface “shutdown” y prenderla de nuevo “no shutdown”

Ejemplo de configuracion de port security

interface FastEthernet0/2

 switchport mode access

 switchport port-security

switchport port-security  maximium 2

 switchport port-security mac-address 0060.2F65.C17A

o

interface FastEthernet0/2

 switchport mode access

 switchport port-security

 switchport port-security mac-address sticky

Switch#show port-security interface fastEthernet 0/2

Port Security              : Enabled

Port Status                : Secure-up

Violation Mode             : Shutdown

Aging Time                 : 0 mins

Aging Type                 : Absolute

SecureStatic Address Aging : Disabled

Maximum MAC Addresses      : 1

Total MAC Addresses        : 1

Configured MAC Addresses   : 1

Sticky MAC Addresses       : 0

Last Source Address:Vlan   : 0000.0000.0000:0

Security Violation Count   : 0

Espero sea de ayuda

-Randy -

Configuracion basica de las interfaces de un switch

Si compras un Switch Cisco, con el simple hecho de conectar los equipos a los puertos y encenderlo el empezara a hacer su trabajo.  

 Con la configuración que trae por defecto, colocara los dispositivos en VLAN por defecto VLAN  y los dispositivos podrán comenzar a hablar entre ellos.

Por supuesto que esto es altamente no recomendado, ya que abre un hoyo de seguridad inmenso.

A continuación detallare un poco la configuración básica de las interfaces de un switch y en próximos blogs detallare un poco como implementar seguridad en los puertos.

Switch(config)#interface fastEthernet 0/1

Switch(config-if)#description Laptop-de-Juan

Switch(config-if)#speed 100

Switch(config-if)#duplex full

Nota:  Configurar “speed”  y “duplex” en la interface desactivara la auto-negociación en el puerto.

Para asignar una IP al puerto, creamos una VLAN y la asignamos al puerto.

Switch(config)#vlan 50

Switch(config-vlan)#name puertos-para-laptop

Switch(config-vlan)#exit

Switch(config)#interface vlan 50

Switch(config-if)#description VLAN-para-laptops

Switch(config-if)#ip address 192.168.1.1 255.255.255.0

Switch(config-if)#exit

Switch(config)#interface fastEthernet 0/1

Switch(config-if)#switchport access vlan 50

Switch(config-if)#switchport mode access

Espero sea de ayuda.

-Randy – 

Configurar un IP para acceso remoto en un switch.

Para permitir Telnet o SSH a un switch asi como otros  protocolos de administración “IP-based”   (SNMP)

Esta dirección IP no tiene ninguna relación con como el switch routea el trafico , simplemente es para el trafico administrativo.

El switch utiliza una interfaz virtual (SVI) o una VLAN que actua como la “NIC” del switch.

Se debe asignar una VLAN para administracion del dispositivo , por defecto es la VLAN 1.

Ejemplo de la configuración:

switch# configure terminal

 Switch(config)# interface vlan 1

 Switch (config-if)# ip address 192.168.1.200 255.255.255.0

Switch(config-if)# no shutdown Switch

(config-if)# exit

Switch (config)# ip default-gateway 192.168.1

Esta IP en el switch tambien puede ser aprendida mediante DHCP  con la siguiente configuracion.

switch# configure terminal

 Switch(config)# interface vlan 1

Switch (config-if)# ip address dhcp

Switch(config-if)# no shutdown Switch

(config-if)# exit

Para revisar la IP asignada mediante DHCP usamos el comando show dhcp lease  y “show interfaces vlan 1” para revisar la configuración de la VLAN 

Espero sea de ayuda

-Randy-

Logging Syncronous

La consola del router / switch por defecto recibe copia de todos los "syslog messages" aunque no sean solicitados directamente.

La idea es que si el switch necesita avisar al administrador de la red de alguna informacion urgente , el adminastrador podria estar conectado a la consola y darse cuenta.

Estos mensajes se pueden tornar algo molestos si estamos intentando configurar nuestro dispositivo via consola.

Se podrian deshabilitar con el commando "no logging console" y habilitarlo de nuevo una vez finalizemos la session.

Pero el IOS de cisco provee una solucion a estos mensajes tambien. Diciendole al switch que despliegue los mensajes de syslog en la interfaz conveniente.

Ejemplo de la configuracion:

line console 0 
login password cisco
 exec-timeout 0 0 
logging synchronous

line vty 0 15 
exec-timeout 0 0
logging synchronous

Espero sea de ayuda

- Randy -

"Show History"

Algunas veces necesitamos saber que comando se utilizaron recientemente en el dispositivo o simplemente necesitamos tener a mano de nuevo
el comando que utilizamos hace unos cuantos minutos.

El comando "Show history" soluciona este problema.

Si quieres ver los comando utilizados recientemente en el dispositivo utiliza el comando "Show history" .

Este comando por defecto tiene un buffer limitado , si queres tener mas información a mano debemos modificar ese buffer con el siguiente comando.

History size xxxx

Espero sea de ayuda

- Randy -

Configurar un Banner para las sesiones de VTY

Algunas veces si algún usuario o alguien desde el exterior trata de acesar nuestro dispositivo vía Telnet / SSH  nos gustaría que antes de que ejecute alguna acción aparezca el alguna leyenda con las normas para configurar el dispositivo o las repercusiones legales que puede haber si el usuario decide ingresar indebidamente en el dispositivo.


Hay 3 tipos de Banners configurables:

Banner MOTD (Message of the day ) : Se muestra antes que el usuario ingrese , puede cambiar periodicamente y normalmente se utiliza para anunciar eventos en el dispositivo. Por ejemplo "Dispositivo en mantenimiento hoy a las 11"

Banner login: Se muestra antes de que el usuario ingrese , es un banner permanente , por ejemplo "Acceso restringido"

Banner exec : Se muestra después de que el usuario ingresa , normalmente usado para ocultar notas que solo deben ser vistas por usuarios autorizados.


 Configuración de un Banner para VTY:

SW1(config)# banner #
Enter TEXT message.  End with the character '#'. 
(MOTD) #Mantenimiento del switch a las 11:00pm hoy#

 # SW1(config)# banner login
 # Enter TEXT message.  End with the character '#'.
 (Login) Acceso restingido !!! 

 # SW1(config)# banner exec Z 
Enter TEXT message.  End with the character 'Z'.
 (Exec) Hacer cambio de la IP publica asap! Z
 SW1(config)# end 


Espero sea de ayuda

- Randy-

Asegurando el CLI de Router/switch Cisco

Por defecto los routers y switches vienen sin contraseña alguna para acceder a los diferentes modos.
Cualquiera persona pudiera accesar fácilmente a la administacion via consola del equipo o telnet si esta activado.

A continuación un ejemplo sencillo de autenticacion local en el dispositivo:

Switch> enable 
Switch# configure terminal 
Switch(config)# enable secret cisco    ---------► Esta contraseña se pedira cada vez que el usuario intente ingresar al "enable mode" desde cualquier tipo  de administracion.

 Switch(config)# line console 0 switch
(config-line)# password umbrella -------► Esta clave se solicitara solo para el acceso por consola
switch(config-line)# login 
switch (config-line)# exit 

Switch(config)# line vty 0 15 
Switch(config-line)# password love  -----► Esta clave se solicitara para el acceso por VTY
Switch (config-line)# login 
Switch (config-line)# end

También se pueden crear usuarios con diferentes passwords para el acceso de VTY con el comando:

Switch(config)# Username Cisco password Ciscofacil 

y con un simple comando de "Login" en el VTY se empezarian a autenticar los usuarios de esa manera.

El switch y el router pueden usar dispositivos externos para su autenticacion mediante el servicio de AAA, por ejemplo se podría ligar el servicio de Active directory de un windows server para hacer la autenticacion del personal de TI para administración via telnet.


Enable Secret Vs Enable Password

** En las ultimas versiones del Cisco IOS el comando "Enable password" ha sido depreciado ***

La diferencia entre estos dos comandos,  el comando "Enable secret" encripta el password automáticamente mientras el "Enable password" lo mantiene en "Clear text" o texto claro.

Si hacemos un "Show Run" al dispositvo podríamos ver la diferencia.

Enable secret utiliza un funcion de una sola via con el algoritmo MD5 y encripta nuestro password

(Ultimas versiones de IOS para router soportan SHA-256 como función para encriptar)





Por ultimo si hacemos un "Show run " al dispositivo veremos los password de consola y VTY en texto claro para encriptarlos debemos utilizar el comando "Service password-encription".

Espero sea de ayuda.

Saludos.

 Como configurar SSH y Telnet en Cisco Routers y Switches

Telnet :  Es un protocolo de administración de dispositivos remotos que utiliza el puerto TCP 23 por defecto. Su mayor deficiencia es que todo su trafico (incluyendo nombres de usuario y contraseña ) viajan en texto plano por la red. 


Configuración :

router#configure terminal

router(config)#line vty 0 15  

(Normalmente se soportan 16 sesiones de telnet/ssh al mismo tiempo, usted puede restringir la cantidad de sesiones usanrouter(config)#do un numero menor a 15. )

router(config)# transport input telnet
router(config)# login local  

(Este comando hace que el router use los usuarios en su configuración para el acceso, pero  se podría utilizar también un servidor de AAA para la autenticacion )

router(config)#exit
router#wr mem



SSH: Secure Shell , al igual que Telnet es un protocolo de administracion remota de equipos , su mayor diferencia es que el trafico de la session lo encripta. Su puerto es el TCP 22. 

Configuración:

router#configure terminal

router(config)#line vty 0 15

router(config)# transport input SSH
router(config)# login local  
router(config)#exit

router (config)#crypto key generate rsa
The name for the keys will be: cisco.cisco
Choose the size of the key modulus in the range of 360 to 2048 for your
  General Purpose Keys. Choosing a key modulus greater than 512 may take
  a few minutes.

How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]



Espero sea de ayuda .

Saludos ! 

- Randy -