CCNAS

Asegurando la red de área local

1
 CCNAS

Objetivos
• Describir la seguridad de sistemas finales con IronPort.
• Describir la seguridad de sistemas finales con el Control de Admisión de Red.
• Describir la seguridad de sistemas finales con el Agente de Seguridad Cisco.
• Describir los ataques de MAC spoofing , ataques de manipulación de STP, ataques de
desbordamiento de tabla de direcciones MAC, ataques de tormenta de broadcast y ataques
de VLAN.
• Describir las técnicas de mitigación específicas para los ataques de Capa 2.
• Configurar la seguridad de puerto, el guardián BPDU, el guardián de puente raíz, control de
tormentas de difusión, SPAN y RSPAN.
• Describir las consideraciones de seguridad inalámbricas, VoIP, y SAN.
• Describir las soluciones de seguridad inalámbricas, VoIP, y SAN.

2
 CCNAS

Introducción
• Las amenazas más debatidas en los medios de comunicación son las amenazas externas,
como los gusanos de Internet y ataques DoS.
• Asegurar una LAN es tan importante como asegurar el perímetro de una red.
• Muchos administradores de red desarrollan su estrategia de seguridad desde el
perímetro de una red hacia la LAN. Otros administradores desarrollan su estrategia de
seguridad en la LAN hacia el perímetro de la red.
• Independientemente del enfoque, las dos áreas específicas que son vitales para
garantizar la seguridad son los dispositivos finales y la infraestructura de red.
• La LAN se compone de dispositivos finales. Un punto final, o host, es un sistema
informático individual o dispositivo que actúa como un cliente de red. Dispositivos finales
comunes son: portátiles, de escritorio, teléfonos IP, y asistentes digitales personales
(PDA) y servidores.
• La estrategia de seguridad de LAN hacia el perímetro se basa en la idea de que si los
usuarios no están practicando la seguridad en sus sistemas de escritorio, ninguna
cantidad de medidas de seguridad garantiza una red segura.
• La infraestructura de red es la otra área de enfoque para asegurar la LAN

3
 CCNAS

Elementos sobre los que se basa la estrategia de Cisco para abordar la

seguridad de dispositivo final
• Cisco Network Admission Control (NAC) - La solución NAC asegura que todos los
parámetros se ajustan a las políticas de seguridad de la red antes de conceder el acceso a
la red. NAC proporciona el acceso a dispositivos que cumplan las políticas de
seguridad y se asegura de que los dispositivos que incumplan se les niege el acceso,
sean puestos en cuarentena, o se les restrinja el acceso a los recursos.
• La protección de sistema final - Cisco Security Agent (CSA) protege los puntos finales
contra las amenazas que se plantean por los virus, caballos de Troya y gusanos.
IronPort complementa al CSA, centrándose en el correo electrónico y la seguridad
Web.
• Contención de la infección de red - Para hacer frente a los más recientes ataques que
pueden comprometer la red, la contención se centra en la automatización de los
elementos clave del proceso de respuesta a la infección. Los elementos de Cisco
Self-Defending Network (SDN) que proveen este servicio son:
– NAC
– CSA
– IPS.

4
 CCNAS

Los sistemas operativos prestan servicios de seguridad básica a las

aplicaciones
• Código de confianza y camino confiable - Asegura que la integridad del sistema
operativo no es violada.
• Marco privilegiado de ejecución - Proporciona autenticación de identidad y de ciertos
privilegios sobre la base de la identidad.
• Protección y aislamiento de la memoria - Proporciona la separación de otros usuarios y
sus datos.
• El control de acceso a los recursos - Garantiza la confidencialidad y la integridad de los
datos.

5
 CCNAS

Técnicas que ayudan a proteger a un sistema final de las

vulnerabilidades del sistema operativo
• Los S.O deben proporcionar identidad y privilegios a cada proceso
• La conmutación de privilegios es posible , durante la ejecución de un programa o durante
un simple sesión de “login”.
– Por ejemplo, UNIX tiene la utilidad suid (ID usuario) y Windows y tiene la utilidad
runas.
• Concepto de privilegio mínimo - Para proteger mejor a un sistema final, a un proceso
nunca se le deben dar más privilegios que los necesarios para realizar un trabajo.
• El aislamiento entre los procesos - Aislamiento entre procesos puede ser virtual o físico.
Por ejemplo, protección de memoria que se puede hacer en el hardware. Algunos
sistemas operativos proporcionan aislamiento mediante la ejecución de compartimentos
lógicos.
• Monitor de referencia - Un monitor de referencia es un concepto de control de acceso, que
se refiere a un mecanismo o proceso que interviene en todos los accesos a los objetos.
Proporciona funciones de auditoria para hacer un seguimiento de los accesos. Además
del monitor de referencia que usualmente existe en un sistema operativo, CSA tiene
funciones de monitor de referencia.
• Fragmentos pequeños y verificables de código – Es esencial para todas las funciones
de seguridad contar con fragmentos pequeños y verificables de código que sean
gestionados y controlados por un monitor de referencia.
6
 CCNAS

Tipos de ataques a aplicaciones

Directos He tenido acceso
directo a los privilegios
de esta aplicación

He tenido acceso a este

sistema, dado que el
otro sistema confía en
este, puedo acceder a
Indirectos él.

7
 CCNAS

Soluciones Cisco

Otras Soluciones

8
 CCNAS

IronPort
• Cisco Systems adquirió IronPort Systems en 2007. IronPort es un proveedor líder de
dispositivos anti-spam, anti-virus y anti-spyware.
• IronPort utiliza SenderBase, la más grande base de datos del mundo de detección de
amenazas, para ayudar a proporcionar medidas de seguridad preventivas y reactivas.
• IronPort ofrece dispositivos de seguridad diferentes:
– C-Series - Un “appliance” de seguridad de correo electrónico para control de virus y
spam.
– S-Series - Un “appliance” de seguridad Web para el filtrado de spyware, filtrado de
URL, y anti-malware.
– M-Series - Un “appliance” de gestión de seguridad que complementa a los
“appliance” de la serie C y S , permitiendo la gestión y seguimiento de políticas
de seguridad y la información de auditoria.
• M-Series es una herramienta de gestión flexible para centralizar y consolidar la
política y los datos en tiempo de ejecución, ofrece a los profesionales de seguridad
una sola interfaz para manejar todos sus sistemas de seguridad de capa de
aplicación
• IronPort permite una defensa perimetral para ayudar a prevenir que todo tipo de
amenazas de Internet pueda llegar a los escritorios de los empleados.

9
 CCNAS

IronPort Serie C: SenderBase

• SenderBase de IronPort es el mayor servicio de
monitorización de tráfico de correo electrónico
del mundo.
• SenderBase recopila datos de más de 100,000
ISPs, universidades y empresas.
• Mide más de 120 diferentes parámetros para
cualquier servidor de correo electrónico en
Internet.
• Esta base de datos recibe más de cinco millones
de consultas por día.
• SenderBase cuenta con la visión más precisa
de los patrones de envío de cualquier
remitente de correo electrónico (por el tamaño
de la base de datos).
• IronPort licenció los datos de SenderBase a
la comunidad de código abierto y otras
instituciones que participan en la lucha contra el
spam.
• Los ocho ISPs más grandes y más del 20 por
ciento de las empresas más grandes del mundo
usan las aplicaciones de seguridad de correo
electrónico de la serie C de IronPort.
10
 CCNAS

IronPort Serie E
• La Serie S de IronPort es un “appliance” de seguridad Web que ofrece anti-malware de múltiples
motores de escaneo y filtrado de spyware basado en firmas en un único dispositivo integrado.
• Brinda protección contra una amplia variedad de amenazas basadas en Web, que van desde el
adware, phishing, pharming, troyanos, gusanos…

11
 CCNAS

Network Admission Control (NAC)

• El objetivo de Cisco NAC es doble:
– permitir que sólo sistemas autorizados y compatibles puedan acceder a la red
– y por otro lado reforzar la política de seguridad de red.
• NAC ayuda a mantener la estabilidad de la red proporcionando cuatro características importantes:
– Autenticación y autorización
– Comprobación de la situación (la evaluación de un dispositivo contra de las políticas de la red)‫‏‬
– Puesta en cuarentena de sistemas no compatibles
– Adaptación de sistemas no compatibles
• Los productos Cisco NAC se clasifican en dos categorías generales:
– NAC Framework - el marco NAC usa la existente infraestructura de red de Cisco y software de
terceros para hacer cumplir las políticas de seguridad en todo sistema final. Diferentes
dispositivos se encargan de hacer cumplir las 4 características de NAC.
– Cisco NAC Appliance – Las cuatro funciones de NAC se centralizan en único “appliance”, el
cual proporciona una solución de seguridad para controlar el acceso de la red. Es ideal para
organizaciones que necesitan un seguimiento simplificado e integrado del sistema operativo,
los parches antivirus y actualizaciones de seguridad. No requiere la existencia de un
infraestructura de red Cisco para su implementación.

12
 CCNAS

Cisco Network Admission Control (NAC)‫‏‬

•La solución en banda implica el
seguimiento de los flujos de datos
no sólo del proceso de
autenticación.

• Dentro del marco NAC sus funciones, incluyendo autenticación, autorización y auditoria (AAA),
escaneo, y readaptación, son realizadas por otros productos de Cisco, tales como Cisco Secure
ACS (CSACS), o productos de partner´s tales como TrendMicro.
• El objetivo del marco NAC como de Cisco NAC Appliance es garantizar que sólo se permiten en la
red a los hosts autenticados cuya situación de seguridad haya sido valorada y aprobada.
– Por ejemplo, los portátiles de la empresa que hayan sido utilizados fuera de la misma por un cierto
período de tiempo no recibieran las actualizaciones de seguridad o que pudieran haber sido
infectados por otros sistemas, no podrán conectarse a la red hasta que sean examinados y
autorizados.
• Los dispositivos de acceso a la red funcionan como capa de refuerzo. Obligan a los clientes a
consultar a un servidor RADIUS para la autenticación y autorización. El servidor RADIUS puede
consultar otros dispositivos, como un servidor antivirus TrendMicro, y responder a los
dispositivos de refuerzo de la red.
13
 CCNAS

Cisco Network Admission Control (NAC)‫‏‬

14
 CCNAS

Cisco Network Admission Control (NAC)‫‏‬

• Los “Appliance” Cisco NAC integran todas las funciones NAC en un único dispositivo de red que
reúna todas y cada una de las funciones NAC. Varios componentes principales realizan estas tareas:
– Cisco NAS
• Sirve como dispositivo en banda o fuera de banda en el control de acceso a la red.
• Realiza chequeos de los dispositivos cada vez los usuarios intentan acceder a la red.
– Cisco NAM
• Una interfaz administrativa centralizada y usada por el personal técnico.
• Cisco NAM se comunica con y administra Cisco NAS.
– Cisco NAA
• Software de cliente que facilita la admisión a la red, es un agente que corre en los dispositivos
finales.
• Realiza una inspección profunda del perfil de seguridad de un equipo local mediante el análisis
del del registro, los servicios y los archivos. A través de esta inspección, NAA puede
determinar si el dispositivo necesita un fichero “dat” para el antivirus, un parche de seguridad, o
un hotfix crítico para Windows.
– Reglas de actualizaciones
• Actualizaciones automáticas programadas para el antivirus, revisiones críticas, y otras
aplicaciones

15
 CCNAS

Cisco Network Admission Control (NAC)‫‏‬

16
 CCNAS

Cisco Network Admission Control (NAC)‫‏‬

• Cisco NAC Appliance, extiende NAC a todos los métodos de acceso a la red, como el
acceso a través de redes LAN, pasarelas de acceso remoto, y puntos de acceso
inalámbrico.
• Beneficios del NAC Appliance de Cisco :
– Reconoce los usuarios, sus dispositivos, y su papel en la red. Este primer paso se
produce en el punto de autenticación, antes de que el código malicioso puede causar
daños.
– Evalúa si las máquinas se ajustan a las políticas de seguridad. Las políticas de
seguridad puede incluir software específico antivirus y anti-spyware, actualizaciones del
sistema operativo, o parches.
– Refuerza la políticas de seguridad mediante el bloqueo, el aislamiento y adaptación
de equipos no confiables.

17
 CCNAS

Cisco Network Admission Control (NAC)‫‏‬

• Equipos no confiables son redirigidas a un área de cuarentena, donde se soluciona el
conflicto a la discreción de un profesional de la seguridad.

18
 CCNAS

Cisco Network Admission Control (NAC)‫‏‬

• Cisco NNA es la interfaz de
software que ven los usuarios
cuando interactúan el Appliance
NAC de Cisco. Hay tres ventanas de
acceso:
– La primera ventana es la ventana
de inicio de sesión inicial en la
que el usuario introduce el
nombre de usuario y la
contraseña y el sistema es
escaneado para su cumplimiento.
– Si el escáner no funciona, se
concede al usuario el acceso
temporal y se presenta una
ventana indicando que hay
acceso temporales.
– Si la solución está disponible,
descargar e instalar el Software
necesario para cumplir las
normas de seguridad.
19
 CCNAS

Cisco Security Agent (CSA)‫‏‬

• CSA es un software de seguridad de sistema final, basado en HIPS, que proporciona
capacidades de protección contra amenazas para servidores y sistemas de
computación de escritorio. Debido a que una sola consola de administración puede
soportar hasta 100.000 agentes, es una solución altamente escalable.
• El modelo de arquitectura de CSA consta de dos componentes:
– Centro de Gestión de CSA - Permite que el administrador de la red pueda dividir las
máquinas en grupos según sus funciones y requisitos de seguridad, y luego configurar
las políticas de seguridad para esos grupos. Se puede mantener un registro de
violaciones de seguridad y enviar alertas por correo electrónico o a un “busca”.
– Cisco Security Agent - El componente de CSA instalado en el sistema , que
proporciona un seguimiento continuo de la actividad del sistema local y analiza el
funcionamiento de este. CSA toma medidas proactivas para bloquear el intento de
actividades maliciosas e interroga al Centro de Gestión a intervalos configurables para
las actualizaciones de las políticas.

20
 CCNAS

Cisco Security Agent (CSA)‫‏‬

• Cuando una aplicación necesita acceso a los recursos del sistema, hace que el sistema operativo
haga una llamada al núcleo. CSA intercepta las llamadas del sistema operativo y las compara con
la política de seguridad almacenada en caché. Si la solicitud no viola la política, se pasa al núcleo
para su ejecución.
• Si la petición viola la política de seguridad, CSA bloquea la solicitud y toma dos acciones:
– Un mensaje de error se envía de nuevo a la aplicación correspondiente.
– Una alerta es generada y enviada al Centro de gestión CSA.
• CSA ofrece protección a través del despliegue de cuatro interceptores:
– Interceptor de sistema de archivos – Intercepta las peticiones de lectura o escritura
permitiéndolas o denegándolas según la política de seguridad.
– Interceptor de red – Controla los cambios en NDIS y permite las conexiones de red a través de la
política de seguridad. El número de conexiones puede limitarse para prevenir ataques DoS.
– Interceptor de configuración – Intercepta las peticiones de lectura y escritura en el Registro de
Windows o en los ficheros control de ejecución (RC) en UNIX.
– Interceptor de espacio de ejecución - Gestiona la integridad del entorno de ejecución de cada
aplicación detectando y bloqueando las peticiones de escritura en memoria ajenas a la aplicación
solicitante. Los intentos de una aplicación de inyectar código, como una biblioteca compartida o una
DLL, en otra también son detectados y bloqueados.

21
 CCNAS

Cisco Security Agent (CSA)‫‏‬

• Interceptando las comunicaciones entre las aplicaciones y el sistema subyacente, CSA
combina la funcionalidad de los enfoques tradicionales de seguridad:
– Firewall Distribuido - El interceptor de red realiza las funciones de un servidor de
seguridad.
– HIPS - El interceptor de red junto con el interceptor de espacio de ejecución combinan
la capacidad de alerta de HIPS con el refuerzo activo de una política de seguridad.
– Aplicación Sandbox - Es un espacio de ejecución en el que se pueden ejecutar los
programas sospechosos con un acceso restringido a los recursos del sistema. Este
servicio lo proporciona una combinación de los interceptores del sistema de archivos,
de la configuración y del espacio de ejecución.
– Prevención de gusanos de red – Los interceptores de red y entorno de ejecución
facilitan la prevención de gusanos sin necesidad de actualizaciones.
– Monitor de integridad de archivos – Los interceptores del sistema de archivos y de la
configuración actúan como un monitor de integridad de ficheros.

22
 CCNAS

Cisco Security Agent (CSA) y las distintas fases de un ataque

23
 CCNAS

Cisco Security Agent (CSA)‫‏‬

• CSA genera mensajes en las máquinas cliente, que se registran en la consola CSA. Un
usuario o administrador puede revisar los mensajes de registro. Un mensaje de registro
incluye la fecha y la hora, la gravedad del suceso, texto, un código de evento, nombre de
archivo, nombre del proceso, el origen y destino IP…
• IronPort, NAC, y CSA trabajan juntos para proporcionar una solución completa de extremo
a extremo para la seguridad de sistemas finales en una LAN. Sin embargo, una LAN
pueden ser vulnerable a una serie de ataques de capa 2.

24
 CCNAS

Tipos de ataques de capa 2

• MAC Spoofing
• Manipulación de STP
• Desbordamiento Tabla de direcciones MAC
• Tormentas de Broadcast
• Ataques de VLAN.
• El primer paso para mitigar los ataques de este tipo es entender las amenazas subyacentes
que plantea la infraestructura de la capa 2, esta capa puede suponer un enlace muy débil
con las capas superiores de OSI, porque si se ve comprometida la capa 2, pueden
comprometerse todas las capas.
• Otra consideración fundamental son los desbordamientos de búfer. Los desbordamientos
de búfer son a menudo la fuente de un ataque DoS, estos pueden ser utilizados para
permitir la ejecución de código arbitrario en un programa y una escalada de privilegios no
autorizada.

25
 CCNAS

Seguridad en capa 2
• La seguridad de una red es tan fuerte como el eslabón más débil, y ese vínculo es a
menudo la capa de enlace de datos. Si esta se ve comprometida el resto también y lo que
es más importante no son conscientes de este problema.
• Para ayudar a prevenir los ataques de capa 2, una aplicación debe validar cuidadosamente
los datos introducidos por el usuario. La entrada puede contener datos formateados
incorrectamente, secuencias de control, o demasiados datos, tales como desbordamientos
de búfer.
• Un desbordamiento de búfer trata de sobrescribir la memoria en una aplicación.
– Se utilizan principalmente para acceder a privilegios de “root” o provocar un ataque
DoS.
• Herramientas, tales como Cisco Security Agent, puede ser usado para prevenir
desbordamientos de buffer.

26
 CCNAS

Ataques de suplantación de direcciones MAC:

• A diferencia de los hubs, los switches regulan el flujo de datos entre los puertos
mediante la creación de redes instantáneas que contienen sólo los dos dispositivos
finales que se comunican entre sí en ese momento en el tiempo.
• Los switches logran esto por la transmisión de los datos a puertos específicos basados en
la dirección MAC.
• Los switches mantienen las tablas de direcciones MAC, también conocidas como tablas
de memoria de contenido direccionable (CAM), son tablas de búsqueda, para rastrear el
origen de las direcciones MAC asociadas a cada puerto del switch.
• Es importante señalar que las tramas de datos son enviados por los sistemas finales, y sus
direcciones de origen y de destino no se cambian en todo el dominio de conmutación.
• Si un conmutador recibe una trama de datos de entrada y la dirección MAC de
destino no está en la tabla, el conmutador reenvía la trama por todos los puertos, a
excepción del puerto en el que se recibió.
• Cuando el nodo de destino responde, el switch registra la dirección MAC del nodo en la
tabla de direcciones basándose en la dirección de origen.
• Los switches deben rellenar la tabla de direcciones MAC mediante el registro de la
dirección MAC origen de una trama, y asociar esa dirección con el puerto en el que
se recibió la trama.

27
 CCNAS

Ataques de suplantación de direcciones MAC:

• El método utilizado por los interruptores para rellenar la tabla de direcciones MAC da lugar
a una vulnerabilidad conocida como MAC spoofing.
• Los ataques de suplantación ocurren cuando un host se enmascara o se hace pasar
por otro para recibir datos de otro modo inaccesibles, o para eludir las
configuraciones de seguridad.
• Ataques de MAC spoofing ocurre cuando un atacante modifica la dirección MAC de su
host para que coincida con otra dirección MAC conocida de un host de destino.
• La máquina atacante envía una trama a toda la red con la dirección MAC que acaba de
configurar.
• Cuando el conmutador recibe la trama, se examina la dirección MAC origen. El switch
sobrescribe la entrada actual de la tabla de direcciones MAC y asigna la dirección
MAC para el nuevo puerto.
• A continuación, envía las tramas destinados al host de destino a la máquina atacante.
• Cuando el switch cambia la tabla de direcciones MAC, el host de destino no recibe
ningún tráfico hasta que vuelva enviar tráfico. Cuando el host de destino envía el
tráfico, el conmutador recibe y examina la trama, entonces la tabla de direcciones
MAC se reescribe una vez más, reasociando la dirección MAC al puerto original.
28
 CCNAS

Ataques de suplantación de direcciones MAC:

29
 CCNAS

Ataques de desbordamiento de la tabla de direcciones MAC

• La clave para entender cómo los ataques de desbordamiento de la dirección MAC de
trabajo es saber que las tablas de direcciones MAC son de tamaño limitado.
• Los ataques de Inundaciones MAC se aprovechan de esta limitación, al bombardear el
switch con direcciones MAC origen falsas hasta que la tabla de direcciones MAC este
llena.
• Si suficientes entradas se introducen en la tabla de direcciones MAC antes de que las
entradas existentes expiren, la tabla se llena hasta el punto de que no pueden
aceptarse nuevas entradas.
• Cuando esto ocurre, el switch empieza a inundar todo el tráfico entrante a todos los
puertos porque no hay lugar en la tabla para guardar las direcciones MAC legítimas,
el switch actúa entonces como un concentrador.
• El resultado es que el atacante puede ver todos los paquetes enviados desde un host a
otro. Tráfico se inunda sólo dentro de la VLAN local, por lo que el intruso no ve más
que el tráfico dentro de la VLAN a la que está conectado.
• Si el intruso no mantiene la inundación de direcciones MAC de origen no válido, el
switch con el tiempo hace caducar las entradas antiguas de la tabla MAC y empieza a
actuar como un switch de nuevo.
30
 CCNAS

Ataques de desbordamiento de la tabla de direcciones MAC

• La herramienta macof es la aplicación más común para un ataque de desbordamiento de
una tabla de direcciones MAC. Esta herramienta inunda tramas que contienen
direcciones MAC origen, MAC de destino y las direcciones IP generadas
aleatoriamente.
• En un corto período de tiempo, la tabla de direcciones MAC se llena.
• Mientras macof se deja correr, la tabla en el switch permanece llena, el switch inunda
las tramas recibidas a través de cualquier puerto.
• Ambos MAC spoofing como los ataques de desbordamiento de la tabla MAC pueden
ser mitigado mediante la configuración de seguridad de puerto en el switch.
• Con la seguridad de puerto, el administrador puede especificar estáticamente las
direcciones MAC de un puerto del switch en particular o aprender dinámicamente un
número fijo de direcciones MAC de un puerto de conmutación.
• Especificar estáticamente las direcciones MAC no es una solución viable para un
entorno de producción. Permitir el aprendizaje dinámico de un número fijo de
direcciones MAC es una solución más escalable desde el punto de vista
administrativo.

31
 CCNAS

Ataques de desbordamiento de la tabla de direcciones MAC

32
 CCNAS

Los ataques de manipulación de STP

• STP es un protocolo de capa 2 que garantiza una topología libre de bucles. STP opera eligiendo un
puente raíz y la construcción de una topología de árbol a partir de esa raíz.
• STP permite la redundancia, pero al mismo tiempo, asegura que sólo un enlace esté en funcionamiento a
la vez y sin bucles.
• Los atacantes pueden manipular STP para llevar a cabo un ataque cambiando la topología de la
red. Un atacante puede hacer que parezca que la máquina atacante es un puente raíz, suplantando
al puente raíz.
• Todo el tráfico para el dominio de conmutación de inmediato pasa por el puente raíz “rogue” (el
sistema de ataque).
• Para llevar a cabo un ataque de manipulación del STP, el host atacante emite en forma de broadcast
BPDUs de configuración y cambio de topología que fuerza a que los switches de la red tengan que
recalcular sus árboles.
• Las BPDUs enviadas por la máquina atacante anuncian una prioridad menor de puente en un
intento de ser elegido como el puente raíz. Si tiene éxito, la máquina atacante se convierte en el
puente raíz y ve una serie de tramas que de otra manera no son accesibles.
• Este ataque puede ser usado para usurpar los tres objetivos de seguridad: confidencialidad,
integridad y disponibilidad.
• Las técnicas de mitigación para la manipulación de STP incluyen la activación de PortFast, así como el
guardián de puente raíz y el guardián de BPDU.

33
 CCNAS

Los ataques de manipulación de STP

34
 CCNAS

Ataques de VLAN
• Una VLAN es un dominio de broadcast lógico que abarca muchos segmento de LAN
• Una estructura de VLANs pueden ser diseñada para permitir la agrupación lógica de las
estaciones, por su función, el equipo de proyecto o su aplicación sin tener en cuenta la
ubicación física de los usuarios.
• Cada puerto del switch se puede asignar a una sola VLAN, lo que añade una capa de
seguridad. Puertos en una VLAN comparten los broadcast, los puertos en diferentes
VLANs no comparten los broadcast.
• Usando la tecnología VLAN, los puertos de switch y los usuarios conectados pueden
agruparse en comunidades lógicamente definidas, tales como compañeros de trabajo
en el mismo departamento, un equipo multifuncional de productos, o diversos
grupos de usuarios que comparten la misma aplicación de red.
• Una VLAN pueden existir en un único conmutador o abarcar varios conmutadores.
Una VLAN pueden incluir ordenadores en un solo edificio o varios. VLAN también puede
conectarse a través de redes de área metropolitana.

35
 CCNAS

Ataques de tormentas de broadcast

• Una tormenta de broadcast se produce cuando los paquetes inundan la LAN, creando
exceso de tráfico y disminuyendo el rendimiento de la red.
• Los errores en la implementación de la pila de protocolos, errores en las
configuraciones de red, o los usuarios ejecutando un ataque DoS pueden causar una
tormenta.
• Algunos protocolos necesarios, tales como Address Resolution Protocol (ARP) y
Dynamic Host Configuration Protocol (DHCP), hacen uso de los broadcast, por lo
tanto, los switches deben ser capaces de retransmitir este tipo de tráfico.
• Si bien no es posible prevenir todos los tipos de tormentas de paquetes y exceso de
broadcast, es posible suprimirlos mediante el control de tormentas.
• El control de tormenta impide que el tráfico en una LAN se interrumpa por una
tormenta de broadcast, multicast o unicast en una de las interfaces físicas.
• “Storm control” (o la supresión del tráfico) supervisa los paquetes que pasan de una
interfaz hacia el bus de conmutación y determina si el paquete es de unidifusión,
multidifusión, o de difusión.
• El switch cuenta el número de paquetes de un tipo determinado recibidos dentro de
un cierto intervalo de tiempo comparándolos con un umbral predefinido.
• “Storm control” bloquea el tráfico cuando se alcanza o se sobrepasa el umbral.
36
 CCNAS

Ataque de salto de VLAN y cómo prevenirlo:

• De forma predeterminada, los puertos troncales tienen acceso a todas las VLAN y pasan el tráfico
de varias VLAN a través de la misma conexión física, por lo general entre los conmutadores. Los
datos que se desplazan a través de estos vínculos pueden ser encapsulados con IEEE 802.1Q o Inter-
Switch Link (ISL).
• En el ataque básico de salto de VLAN, el atacante se aprovecha de la configuración predeterminada
de trunking automático en la mayoría de los switches. El atacante configura un sistema para
hacerse pasar por un switch. Esta suplantación requiere que el atacante de la red sea capaz de
emular ISL o 802.1Q, así como el Dynamic Trunking Protocol (DTP) propietario de Cisco.
• Suplantando a un swtich hacemos crear a otro switch la necesidad del trunk, un atacante puede
obtener acceso a todas las VLAN que pueden introducirse en el puerto de tronco.
• Este ataque requiere una configuración en el puerto que soporta trunking en modo auto o en
modo desirable. El resultado, es que el atacante es miembro de todas las VLANs en el conmutador
y pueden saltar, es decir, enviar y recibir tráfico en todas las VLAN.
• Una ataque de salto de VLAN puede ser lanzado de dos maneras:
– Mensajes “Spoofing DTP” del host atacante que pueden causar que el switch entre en el modo de
trunking. Desde aquí, el atacante puede enviar tráfico etiquetado con la VLAN objetivo, y luego el
switch envía los paquetes al destino.
– La introducción de un “rogue switch” que permita el trunking. Después, el atacante puede
acceder a todas las VLAN en el switch víctima desde el “rogue switch”.
• La mejor manera de prevenir un ataque de salto VLAN es desactivar el trunking en todos los
puertos, salvo los que específicamente lo requieren. En los puertos que requieren trunking,
deshabilite las negociaciones DTP (auto trunking) y active manualmente el trunk.
37
 CCNAS

Ataque de salto VLAN con doble etiquetado

• Otro tipo de ataque es de salto de VLAN es el que utiliza el doble encapsulado (dos
etiquetas).
• La mayoría de switches realizan sólo un nivel de desencapsulación de 802.1Q, lo que
puede permitir a un atacante en situaciones específicas incrustar una etiqueta 802.1Q
oculta dentro de la trama, esta etiqueta permite a la trama ir a una VLAN distinta a la de la
etiqueta original 802.1Q.
• Este tipo de ataque es unidireccional y sólo funciona cuando el atacante y el puerto
de trunk tienen la misma VLAN nativa.
• Frustrar este tipo de ataque no es tan fácil como ataques básicos de salto VLAN. El mejor
enfoque es asegurar que la VLAN nativa de los puertos del tronco es diferente a la
VLAN de los puertos de usuario.
• De hecho, se considera una garantía de buenas prácticas utilizar una VLAN ficticia que
no se utiliza en toda la red de conmutación como la VLAN nativa para todos los
trunks en una LAN conmutada.

38
 CCNAS

Ataque de salto VLAN con doble etiquetado

39
 CCNAS

Configurando la seguridad de puerto

• Se deben aplicar de técnicas de mitigación para evitar que los ataques se aprovechen de
las vulnerabilidades. Por ejemplo, para evitar “MAC spoofing” y el desborde de las
tablas MAC, habilitar la seguridad del puerto.
• La seguridad del puerto se puede utilizar para controlar la expansión no autorizado de la
red.
• Cuando las direcciones MAC son asignados a un puerto seguro, el puerto no reenvía
tramas con direcciones MAC de origen distintas al grupo de direcciones definidas.
• Cuando un puerto configurado con la seguridad del puerto recibe una trama, la dirección
MAC origen de la trama se compara con la lista de direcciones de origen seguras que
fueron configurados manualmente o configurada automáticamente (aprendidas) en el
puerto.
• Si la dirección MAC de un dispositivo conectado al puerto difiere de la lista de direcciones
seguras, el puerto, bien se deshabilita hasta que sea administrativamente habilitado o
descarta las tramas procedentes del host no seguro. El comportamiento del puerto depende
de cómo esté configurado para responder a un violación de seguridad.
• Se recomienda la configuración de la característica de seguridad del puerto que
emite un “shutdown” en lugar de un “restrict” . La opción de restringir puede fallar
en virtud de la carga del ataque.
40
 CCNAS

Configurando la seguridad de puerto

• Estos son los pasos para la configuración de la seguridad de puerto en un puerto de
acceso:
– Paso 1. Configurar una interfaz como interfaz de acceso.
• Switch (config) # switchport mode access

Si una interfaz está en el modo por defecto (auto dinámico), no puede ser
configurada como un puerto seguro.

– Paso 2. Habilitar la seguridad del puerto en la interfaz a través del comando

switchport port-security.

La sintaxis completa incluye una serie de parámetros opcionales.

• Switch(config-if)# switchport port-security [mac-address mac-address [vlan
{vlan-id | {access | voice}}]] | [mac-address sticky [mac-address| vlan {vlan-id |
{access | voice}}]] [maximum value [vlan {vlan-list | {access | voice}}]]

– Paso 3. (Opcional) Configure el número máximo de direcciones MAC para asegurar la

interfaz.
• Switch(config-if)# switchport port-security maximum value
El rango es de 1 a 132. El valor predeterminado es 1.
41
 CCNAS

Configurando la seguridad de puerto

• Configurar acciones que toma el switch si se produce una violación de seguridad.
• Estos son los pasos para configurar la violación de la seguridad en un puerto de acceso:

42
 CCNAS

Configurando la seguridad de puerto

43
 CCNAS

Envejecimiento de la seguridad de puerto

• El Envejecimiento de la seguridad de puerto puede ser usado para fijar el tiempo de
envejecimiento para direcciones seguras estáticas y dinámicas. Dos tipos de
envejecimiento son soportados por puerto:
– Absoluta - Las direcciones seguras en el puerto son eliminadas después del tiempo de
envejecimiento especificado.
– Inactividad - Las direcciones seguras en el puerto son eliminadas sólo si están
inactivas por el tiempo de envejecimiento especificado.

44
 CCNAS

Envejecimiento de la seguridad de puerto

45
 CCNAS

Verificar la seguridad de puerto

• Los siguientes comandos se pueden utilizar para ver información como el número máximo
de direcciones MAC que pueden estar asociadas con un puerto, el recuento de violaciones,
las acciones a tomar y el modo de violación actual.

46
 CCNAS

Verificar la seguridad de puerto

• La característica de notificación de direcciones MAC envía “traps” SNMP a la estación de gestión
de redes (NMS) cada vez que una nueva dirección MAC se añade o se borra de las tablas de
reenvío.
• Las notificaciones de direcciones MAC se generan sólo para direcciones MAC dinámicas y
seguras.
• La notificación permite al administrador de red supervisar las direcciones MAC que son
aprendidas, así como las direcciones MAC que caducan y se eliminan del switch.
• Se usa el comando de configuración global mac address-table notification para habilitar la función de
notificación en el switch.

47
 CCNAS

Configurando Portfast, BPDU Guard and Root Guard

• Para mitigar la manipulación de la STP podemos usar las siguientes funcionalidades:
– PortFast
– Root guard
– BPDU guard
• PortFast
– La función de PortFast causa que una interfaz configurada como un puerto de
acceso de capa 2 transite desde el estado de bloqueo al estado de envío de
inmediato, sin pasar por los estados de escucha y aprendizaje.
– Debido a que el propósito de PortFast es minimizar el tiempo que los puertos de
acceso deben esperar para que STP pueda converger, se debe utilizar sólo en los
puertos de acceso.
– Si PortFast está habilitado en un puerto de conexión a otro switch, hay un riesgo
de crear un bucle de STP.

48
 CCNAS

Configurando Portfast, BPDU Guard and Root Guard

49
 CCNAS

Configurando Portfast, BPDU Guard and Root Guard

• BPDU Guard
– La función de Guardián BPDU permite a los diseñadores de red mantener una
topología de red predecible.
– Proteger la red conmutada de los problemas causados por recibir BPDUs en los
puertos en los que no se deben recibir.
– La recepción inesperada de BPDUs puede ser accidental o parte de un intento no
autorizado de añadir un switch a la red.
– Si un puerto, configurado con PortFast, recibe un BPDU, STP puede poner el
puerto en el estado deshabilitado mediante el uso del Guardián BPDU.
– Switch# show spanning-tree summary
• Permite ver un resumen de la configuración de STP, en la cual se puede
comprobar si bpduguard está habilitado.

50
 CCNAS

Configurando Portfast, BPDU Guard and Root Guard

• Root Guard
– Esta funcionalidad de los conmutadores Cisco proporciona una manera de hacer
cumplir la colocación de los puentes de raíz en la red.
– Limita los puertos del switch, en los cuales se puede negociar el puente raíz.
– Si un puerto habilitado con Root Guard recibe BPDUs que son superiores a las
que el puente raíz actual está enviando, este puerto se mueve a un root-
inconsistent, que es efectivamente igual a un estado de escucha STP, en el que no es
posible enviar tráfico de datos a través de ese puerto.
– Debido a que un administrador puede configurar manualmente la prioridad de puente
de un swtich a cero, entonces root guard puede parecer innecesario.
– Establecer la prioridad del switch a cero no es garantía de que el switch será
elegido como el puente raíz, porque puede haber otro switch con una prioridad de
cero y una dirección MAC inferior.
– El mejor lugar para desplegar Root Guard es en puertos de switches que no sean
el puente raíz.
– Con Root Guard, si una máquina atacante envía BPDUs falsas en un esfuerzo por
convertirse en el puente raíz, el switch, tras la recepción de una BPDU, ignora la BPDU
y pone el puerto en un estado inconsistente.
– El puerto se recupera tan pronto como se dejan de inyectar BPDUs.

51
 CCNAS

Configurando Portfast, BPDU Guard and Root Guard

52
 CCNAS

Configurando Portfast, BPDU Guard and Root Guard

• BPDU Guard y Root Guard son similares, pero su impacto es diferente.
• BPDU Guard
– El Guardián BPDU deshabilita el puerto a la recepción BPDU si está habilitado
PortFast en el puerto. Esto provoca que los dispositivos detrás de estos puertos
no participen en STP.
– El administrador de forma manual debe volver a habilitar el puerto, en estado
errdisable, o configurar un tiempo de espera para el estado errdisable.
• Root Guard
– Root Guard permite que el dispositivo participe en STP, siempre que el dispositivo
no trate de convertirse en el puente raíz. Si Root Guard bloquea el puerto, la
recuperación posterior es automática.
– La recuperación se produce tan pronto como el dispositivo deje de enviar BPDUs
superiores.

53
 CCNAS

Configurando Control de Tormentas

• El control de tormentas usa uno de estos métodos para medir la actividad de tráfico:
– El ancho de banda que puede ser usado por el tráfico broadcast, multicast o unicast
como un porcentaje del ancho de banda total disponible en el puerto.
– La media de tráfico en paquetes por segundo en el cual se reciben paquetes
unicast, broadcast o multicast .
– La media de tráfico en bits por segundo en el cual se reciben paquetes unicast,
broadcast o multicast .
– La media de tráfico en paquetes por segundo y para pequeñas tramas. Este
funcionalidad se configura globalmente. El umbral para tramas pequeñas se configura
por interfaz.
• Con cada método, el puerto bloquea el tráfico cuando el umbral creciente definido es
alcanzado. El puerto permanece bloqueado hasta que la media de tráfico cae por
debajo del umbral decreciente si éste está especificado, y luego reanuda el reenvío
normal. Si el umbral decreciente no está especificado, el switch bloquea todo el
tráfico hasta que la media de tráfico cae por debajo del umbral creciente.
• El umbral, o el nivel de supresión, se refiere al número de paquetes permitidos antes
de que la acción sea tomada. En general, cuanto más alto el nivel de supresión, menos
eficaz será la protección contra tormentas de broadcast.
54
 CCNAS

Configurando Control de Tormentas

• Cuando el nivel de supresión de tráfico es especificado como un porcentaje del ancho de

banda total, el nivel puede ser de 0.00 a 100.00. Un valor de umbral del 100 % supone
que ningún límite es colocado en el tipo especificado de tráfico (broadcast, multicast o
unicast). Un valor de 0.0 que todo el tráfico, sea del tipo que sea, en un puerto es
bloqueado.
• El control de tormentas es soportado en interfaces físicas. Con Cisco IOS 12.2 (25), el
control también puede ser configurado en EtherChannels. Configurando el control en
un EtherChannel, los ajustes se propagan a las interfaces físicos que forman el
EtherChannel.
55
 CCNAS

Configurando Control de Tormentas

• Si la acción shutdown es configurada, el puerto entra error-disable durante una

tormenta, y la orden de configuración de interfaz no shutdown debe ser usada para sacar
a la interfaz de ese estado.
• Cuando una tormenta ocurre y la acción es filtrar el tráfico, si el umbral decreciente no
está especificado, el switch bloquea todo el tráfico hasta que la media de tráfico cae
por debajo del umbral creciente. Si el umbral decreciente es especificado, el tráfico
se bloquea hasta que la media del tráfico cae por debajo de ese nivel.

56
 CCNAS

Configurando Control de Tormentas

57
 CCNAS

Configurando la Seguridad de VLAN Trunking

• El mejor modo de mitigar los ataques de salto de VLAN es asegurar que el trunking
sólo se permite en puertos que requieren trunking. Además debemos inhabilitar las
negociaciones DTP y habilitar el trunking de forma manual.
• La Mitigación de ataques de salto de VLAN que usan doble etiqueta 802.1Q requiere
varias modificaciones a la configuración de VLANs.
• Uno de los elementos más importantes es usar una VLAN nativa dedicado para todos
los puertos de tronco y no asignar esta VLAN a ningún otro puerto del switch .
• Además se debe deshabilitar todos los puertos del switch no usados y colocarlos en
una VLAN no usada.

58
 CCNAS

Configurando la Seguridad de VLAN Trunking

59
 CCNAS

Configurando Switch Port Analyzer

• El tráfico de red que pasa por puertos o VLANs puede ser analizado usando el analizador
de puertos de switch (SPAN) o el analizador remoto de puertos de switch (RSPAN).
• SPAN puede enviar una copia de tráfico de un puerto a otro puerto en el mismo
switch, donde un analizador de red o un dispositivo de monitorización están
conectados.
• SPAN copia el tráfico recibido, el enviado o ambos en los puertos o VLANs origen del
tráfico y lo envía a un puerto de destino para el análisis.
• SPAN no afecta la conmutación del tráfico de red en los puertos origen o VLANs.
• Los puertos de destino no reciben o envían tráfico excepto aquel que es requerido para
una sesión SPAN o RSPAN.
• Las interfaces deberían ser supervisadas en ambas direcciones, mientras que las
VLANs deberían ser supervisadas en una única dirección.
• SPAN no es necesario para syslog o SNMP. SPAN es usado para reflejar el tráfico,
mientras syslog y SNMP son configurados para enviar datos directamente al servidor
apropiado.
• SPAN no mitiga ataques, pero permite la escucha de actividad malévola.

60
 CCNAS

Configurando Switch Port Analyzer

• Todo el tráfico bidireccional que tiene como origen el puerto Gigabit Ethernet 0/1 es
reflejado en el puerto destino Gigabit Ethernet 0/2, manteniendo el método de
encapsulación.
– Switch(config)# no monitor session 1
– Switch(config)# monitor session 1 source interface gigabitethernet0/1
– Switch(config)# monitor session 1 destination interface gigabitethernet0/2 encapsulation
replicate
– Switch(config)# end
• Otro ejemplo ilustra la captura del tráfico de las VLANs 10 y 20 reflejándolo en el
puerto FastEthernet 3/4.
– Switch(config)# monitor session 1 source vlan 10 rx
– Switch(config)# monitor session 1 source vlan 20 tx
– Switch(config)# monitor session 1 destination interface FastEthernet 3/4
• Para verificar la configuración del SPAN:
– show monitor session session-number

61
 CCNAS

Configurando Switch Port Analyzer

• Un IDS tiene la capacidad de descubrir el mal uso, el abuso, y el acceso no autorizado a los
recursos de una red.
• SPAN puede ser usado para reflejar el tráfico a otro puerto donde una sonda o un
sensor IDS están conectados.
• Cuando un sensor IDS descubre a un intruso, el sensor puede enviar un “TCP reset”, lo que
provoca la desconexión inmediata del intruso, quitando al intruso de la red.
• Los dispositivos IDS tienen que leer todos los paquetes en una o varias VLANs, y el
SPAN puede ser usado para que los dispositivos IDS consigan los paquetes.

62
 CCNAS

Configurando Remote Switch Port Analyzer

• RSPAN tiene todas las características de SPAN, además permite que los puertos origen
y destino sean distribuidos a través de múltiples switches.
• RSPAN puede ser usado para enviar el tráfico a un IDS que se encarga de analizarlo.
– Si el objetivo es el descubrimiento de una intrusión, el IDS examina el tráfico
enviado por todos los dispositivos origen. Si un atacante compromete la red
interna a través de un router perimetral, una copia del tráfico del intruso es
enviada al IDS para el examen.
• Como con SPAN, RSPAN no es necesario para syslog o SNMP y sólo es usado para
reflejar el tráfico.
• RSPAN no mitiga ataques, pero permite la escucha de actividad malévola.
• Para configurar RSPAN:
– Se crea la VLAN 100 y se configura como una VLAN RSPAN.
• 2960-1(config)# vlan 100
• 2960-1(config-vlan)# remote-span
• 2960-1(config-vlan)# exit

63
 CCNAS

Configurando Remote Switch Port Analyzer

• A continuación, es necesario configurar los puertos y VLANs origen para RSPAN.
• El tráfico capturado en el puerto origen es copiado a un puerto reflector, que
simplemente actúa como un interfaz loopback en la cual se refleja el tráfico
capturado a la VLAN RSPAN.
– 2960-1(config)# monitor session 1 source interface FastEthernet 0/1
– 2960-1(config)# monitor session 1 destination remote vlan 100 reflector-port FastEthernet 0/24
– 2960-1(config)# interface FastEthernet 0/2
– 2960-1(config-if)# switchport mode trunk
• Finalmente, configurar el tráfico de RSPAN que se origine en la VLAN 100 y que será
enviado a través de la interface Fast Ethernet 0/2 hacia un IDS.
– 2960-2(config)# monitor session 2 source remote vlan 100
– 2960-2(config)# monitor session 2 destination interface FastEthernet 0/3
– 2960-2(config)# interface FastEthernet 0/2
– 2960-2(config-if)# switchport mode trunk

64
 CCNAS

Verificando Remote Switch Port Analyzer

65
 CCNAS

Prácticas Recomendadas para la Capa 2

• La pautas practicadas en capa 2 son dependientes de la política de seguridad de una
organización.
• Es importante administrar los switches y los routers, usando protocolos seguros o métodos
fuera de banda (permiten administrar dispositivos aunque no están arrancados) si la política
lo permite.
• Desactivar los servicios innecesarios y puertos que no están siendo usados.
• Implementar servicios de seguridad, como seguridad de puerto y las mejoras de STP, si es
necesario y soportado por el hardware.
• Desactivar CDP en todos los puertos, a excepción de los puertos a los que se unen a
teléfonos IP Cisco.

66
 CCNAS

Prácticas Recomendadas para la Capa 2

• Por defecto la VLAN 1 es la VLAN de administración, todos los puertos también son
miembros de esa VLAN. La VLAN1 es la VLAN nativa para todos los puertos de tronco.
• Por esta razón, se recomienda no usar la VLAN 1 para nada.
• Todos los puertos no usados deberían ser deshabilitados y asignados a una VLAN no
usada.
• Todos los puertos de tronco deberían ser configurados manualmente.
• La VLAN de administración debería ser asignada a una VLAN no usada, que no
coincida con la VLAN de ningún usuario, o la VLAN nativa.

67
 CCNAS

Consideraciones de seguridad inalámbrica

• A principios del 2000, el modelo de implementación del punto de acceso autónomo (AP) fue
reemplazado rápidamente por el modelo de despliegue del punto de acceso ligero .
• Los puntos de acceso ligero dependen de los controladores de LAN inalámbrica
(WLCs) para sus configuraciones.
• La solución de controlador de APs ligeros tiene varias ventajas que antes no estaban
disponibles, como la detección y la ubicación de APs fraudulentos.
• WLCs de Cisco son responsables de todas las funciones del sistema inalámbrica,
tales como las políticas de seguridad, prevención de intrusiones, gestión de RF, QoS,
y la movilidad (IP móvil).
• Desde servicios de voz y datos hasta sistemas de localización, el controlador inalámbrico se
encargará del control, escalabilidad, seguridad y fiabilidad para construir redes inalámbricas
seguras desde oficinas remotas a un campus principal.
• Los WLCs deCisco se integran sin problemas en las redes empresariales existentes.
Se comunican con los puntos de acceso ligero a través de cualquier infraestructura
de Capa 2 o Capa 3 usando el protocolo Lightweight Access Point Protocol (LWAPP).

68
 CCNAS

Consideraciones de seguridad inalámbrica

• Debido a que Cisco WLCs soporta las normas IEEE 802.11a/b/g y 802.11n, las
organizaciones pueden implementar la solución que mejor satisfaga sus necesidades
individuales. Las organizaciones pueden ofrecer una cobertura robusta con 802.11a/b/g o
802.11n con mayor fiabilidad y un rendimiento cinco veces mayor.

69
 CCNAS

Consideraciones de seguridad inalámbrica

• La forma más popular de hacking inalámbrico se llama “war driving”, describe a un
hacker que intenta obtener acceso a las redes inalámbricas desde su portátil mientras
conduce en torno a un área metropolitana o suburbana.
• Nunca es seguro conectarse a una red inalámbrica abierta, especialmente en un área
pública, a menos que la conexión inalámbrica sea reforzada por una conexión VPN.
• Muchas organizaciones, como parte de sus políticas de seguridad, no permiten a los
empleados instalar sus propios puntos de acceso en el lugar de trabajo.
• Los hackers de redes inalámbricas tienen una serie de herramientas a su disposición,
en función de su nivel de sofisticación y determinación:
– El software Stumbler busca redes inalámbricas.
– El Software Kismet muestra las redes inalámbricas que no difunden sus SSID.
– El Software AirSnort es un sniffer y crackea claves WEP.
– CoWPAtty crackea WPA-PSK (WPA1).
– ASLEAP recoge los datos de autenticación.
– Wireshark puede escanear los datos inalámbrica 802.11 y los SSID.

70
 CCNAS

Soluciones de seguridad inalámbrica

• Las primeras LAN inalámbricas (WLAN) surgieron en 1990. Estas WLANs son
totalmente abierto, sin autenticación o cifrado.
• La primera opción de seguridad para redes WLAN es un Service Set Identifier (SSID),
implementaciones más desarrolladas permiten el uso de SSIDs aunque los puntos de
acceso no lo transmitan.
• La norma IEEE 802.11b define Wired Equivalent Privacy (WEP), un protocolo de
seguridad para cifrar los datos entre dos sistemas inalámbricos.
• Las debilidades de WEP condujeron al desarrollo de nuevas tecnologías, basadas en
protocolos como Temporal Key Integrity Protocol (TKIP) y sistemas de cifrado como el
Advanced Encryption Standard (AES).
• Wi-Fi Protected Access (WPA) implementa TKIP y es más seguro que WEP.
• WPA2 implementa AES y es más seguro que WPA.
• Dada la evolución de las WLANs, la autenticación se agregó como una opción para
asegurar las WLAN y ahora es un componente fundamental de la política empresarial
inalámbrica.
• La arquitectura de 802.11i especifica la autenticación 802.1X, lo que implica el uso de
EAP y un servidor de autenticación.
71
 CCNAS

Soluciones de seguridad inalámbrica

72
 CCNAS

Soluciones de seguridad inalámbrica

• Al diseñar y utilizar las redes inalámbricas, es una buena idea para los profesionales de la
seguridad mantener un cierto nivel de “paranoia”. Las redes inalámbricas son
extremadamente atractivas para los piratas informáticos.
• Tomando algunas precauciones, los administradores de red pueden reducir el riesgo para
los usuarios inalámbricos. Un administrador de red debe tener varias consideraciones de
seguridad en mente:
– Las redes inalámbricas con WEP o WPA/TKIP no son muy seguras y son vulnerables
a ataques de hackers.
– Las redes inalámbricas utilizando WPA2/AES debe tener una “passphrase” de al
menos 21 caracteres.
– Si una VPN IPSec está disponible, se debe usar en cualquier red inalámbrica
pública.
– Si el acceso inalámbrico no es necesario, desactivar la NIC inalámbrica.
• Como profesional de la seguridad de red , se debería implementar una solución
inalámbrica que exija el uso de WPA2/AES junto con la autenticación, gestionada por
un servidor de autenticación centralizado.

73
 CCNAS

Consideraciones de Seguridad en VoIP

• VoIP tiene un amplio número de ventajas de negocio:
– Menores costos de las llamadas de telecomunicaciones. Proveedores de servicios
VoIP permiten ahorrar hasta el 50 por ciento por el servicio telefónico.
– Los incrementos de productividad con el servicio telefónico de VoIP pueden ser
considerables, permiten la integración con elementos de escritorio.
– Mover, añadir dispositivos a costos mucho más bajos.
– Continuidad del servicio y los costes de mantenimiento puede ser menores.
– Muchos de los sistemas de VoIP requieren poca o ninguna capacitación de los
usuarios.
– Los gastos de teléfono móvil disminuirá a medida que los empleados realizar llamadas
a través de su computadora portátil en lugar de su teléfono móvil, estas llamadas forman
parte de los cargos de la conexión a Internet en sí.
– Gastos de teléfono de teletrabajadores se reducen. La comunicación de voz se lleva a
cabo mediante una conexión de banda ancha.
– VoIP permite la mensajería unificada. Los sistemas de información están integrados.
– El cifrado de las llamadas de voz es compatible.
– Menos personal administrativo es necesario para responder a los teléfonos.

74
 CCNAS

Componentes de una red de paquetes de voz

– Los teléfonos IP - Proporcionar voz IP en el escritorio.
– Gatekeeper - Proporciona Call Admission Control (CAC), control de ancho de banda,
QoS y traducción de direcciones (componente opcional usado habitualmente con
H.323).
– Gateway - Proporciona la traducción entre VoIP y las redes non-VoIP, como PSTN.
– Unidad de control multipunto (MCU) - Proporciona conectividad en tiempo real para
los participantes en la misma videoconferencia localizados en varias ubicaciones.
– El agente de llamadas - Proporciona control de llamadas para teléfonos IP, el CAC, el
control de ancho de banda y de gestión, y la traducción de direcciones.
– Los servidores de aplicaciones - Proporcionar servicios como correo de voz y
mensajería unificada, tales como Cisco Unity.
– La estación de Videoconferencia - Proporciona acceso para usuarios finales
participantes en videoconferencias. La estación de videoconferencia contiene un
dispositivo de captura de vídeo para entrada de vídeo y un micrófono para entrada de
audio. El usuario puede ver secuencias de vídeo y escuchar el audio que se origina en
una estación de usuario remota.

75
 CCNAS

Componentes de una red de paquetes de voz

76
 CCNAS

Protocolos especializados utilizados por VoIP

• H.323 - Protocolo de la UIT para la conferencia interactiva; evolucionado a partir del
estándar RDSI H.320, flexible, complejo. (señalización)
• Media Gateway Control Protocol (MGCP) - Estándar emergente del IETF para el control
de la puerta de enlace PSTN.
• MEGACO/H.248 – Conjunto de estándares de IETF y UIT para el control de puerta de
enlace, evolución del estándar MGCP.
• Session Initiation Protocol (SIP) - protocolo IETF para conferencias interactivas y no
interactivas, más sencillo, pero menos maduro que H.323. (señalización)
• RTP - Protocolo de streaming desarrollado por el IETF. (transmisión)
• Real Time Transport Control Protocol (RTCP) - protocolo IETF que ofrece información de
control para un flujo RTP, detecta situaciones de congestión de red y puede tomar acciones
correctoras.
• Secure Real-time Transport Protocol (SRTP) - protocolo IETF que cifra el tráfico de RTP,
tan pronto como deja el dispositivo de voz.
• Skinny Call Control Protocol (SCCP) - Protocolo propiedad de Cisco usado entre Cisco
Unified Communications Manager y Cisco IP Phones. (señalización)
77
 CCNAS

Amenazas concretas a las redes de VoIP

• Acceso no autorizado a los recursos de voz
– Un hacker que tenga acceso al gateway de voz puede cerrar los puertos de voz o cambiar
parámetros de routing que afectan al acceso de voz dentro y a través de la red.
• Comprometer los recursos de red
– Debido a que la infraestructura de red compartida transporta voz y datos, la seguridad y acceso a
la infraestructura de red son fundamentales en la obtención de funciones de voz.
– Los hackers se aprovechan de la naturaleza abierta y bien conocida de las normas y protocolos que
son utilizados por las redes IP cuando buscan vulnerabilidades en los sistemas de voz IP.
• Reconocimiento
• SPIT (Spam sobre VoIP)
• Eavesdropping y man-in-the-middle
– Consiste en la intercepción no autorizada de paquetes de voz o flujos de streaming de RTP.
• Ataques DOS, tales como:
– La sobrecarga de los recursos de red – el más frecuente es el ancho de banda, dejando a los
usuarios autorizados sin acceso a los recursos.
– Escasez de recursos de host – implica el uso de los recursos críticos de un servidor, cuando esto
sucede ya no puede responder a las solicitudes de servicio legítimo.
– Out-of-bounds attack - implica un uso ilegal de la estructura de los paquetes así como la recepción
de datos inesperados, que pueden causar que el sistema remoto se caiga. Un ejemplo de este tipo
de ataque es usando combinaciones ilegales de Flags TCP

78
 CCNAS

Spam sobre telefonía IP (SPIT) y cómo se puede detener

• Hasta ahora, el spam de VoIP es poco frecuente, pero potencialmente puede convertirse en
un problema importante. SPIT se podría generar de una manera similar al spam
comprometiendo las máquinas de millones de usuarios de VoIP.
• La naturaleza de las llamadas de voz, se producen en tiempo real, hace que el SPIT sea un
desfío mucho más difícil que el spam. Se tienen que inventar nuevos métodos para resolver
los problemas de SPIT.
• Authenticated Transport Layer Security (TLS) detiene la mayoría de los ataques de
SPIT, dado que los sistemas finales sólo aceptan paquetes de dispositivos de confianza.

79
 CCNAS

Tipos de fraude en los sistemas y las vulnerabilidades de VoIP

con SIP y cómo pueden ser mitigados
• Dos tipos comunes de fraude en las redes de VoIP son vishing y el fraude telefónico.
– Vishing (phishing de voz) utiliza la telefonía para recopilar información, como detalles
de la cuenta de los usuarios.
• Las primeras víctimas recibieron un correo electrónico simulando provenir de
PayPal, para pedirles que verificasen su tarjeta de crédito por teléfono.
– El robo y fraude telefónico - El robo de los servicios de telefonía (ataques MITM).
• Vulnerabilidades de SIP
– Secuestro de registro, le permite a un hacker interceptar llamadas entrantes y redirigir
las mismas.
– Mensaje de manipulación, que permite a un hacker modificar los paquetes de datos
que viajan entre direcciones SIP.
– Finalización de la sesión , que permite a un hacker terminar llamadas o llevar a cabo
un ataque DOS destinado a una red VoIP, inundando el sistema con peticiones de cierre
de llamada.
• Mitigación
– Utilizar las funciones de Cisco Unified Communications Manager para protegernos contra
el fraude (permite hacer filtros de llamada …)
80
 CCNAS

Soluciones de Seguridad para VoIP

• Muchos ataques simples pero peligrosos pueden ser iniciados si el dispositivo de ataque
reside en el mismo dominio de difusión (misma VLAN) que el sistema de destino. Por esta
razón, los teléfonos IP, gateways de VoIP, y estaciones de trabajo de gestión de red
debe estar siempre en su propia subred, separada del resto de la red de datos y de
los demás.
• Para garantizar la privacidad y la integridad de las comunicaciones, los flujos de
comunicación de voz deben ser protegidos contra el espionaje (eavesdropping) y la
manipulación (tampering).
• Las tecnologías de redes de datos, tales como las redes VLAN pueden separar el
tráfico de voz del tráfico de datos, impidiendo el acceso a la VLAN de voz desde la
VLAN de datos.
• Al asegurarse de que cada dispositivo se conecta a la red mediante una infraestructura de
conmutación las herramientas de sniffing de paquetes también puede ser menos eficaces
para la captura de tráfico de los usuarios.

81
 CCNAS

Soluciones de Seguridad para VoIP

• Asignación de tráfico de voz a una VLAN específica para segmentar de voz y el tráfico de
datos de forma lógica, es una práctica recomendada por la industria de VoIP.
• Los dispositivos identificados como dispositivos de voz debe limitarse a las VLAN
dedicadas a voz. Este enfoque garantiza que sólo se puede comunicar con otros
dispositivos de voz.
• Tener una VLAN de voz específicos hace que sea más fácil de aplicar listas de
control de acceso de VLAN (VACLs) para proteger el tráfico de voz.
• Los teléfonos IP deben enviar sólo tráfico RTP entre sí, y nunca deben tener una razón
para enviar tráfico TCP o ICMP entre ellos.
• Muchos de los ataques de telefonía IP pueden ser detenidos mediante el uso de VACL en
la VLAN de voz para evitar la desviación de esos principios.

82
 CCNAS

Soluciones de Seguridad para VoIP

83
 CCNAS

Soluciones de Seguridad para VoIP

• Los firewalls inspeccionan paquetes y los comparan contra las reglas configuradas.
• Es difícil especificar por adelantado qué puertos se utilizan en una llamada de voz, porque
los puertos, son negociados dinámicamente, durante la configuración de la llamada.
• Cisco ASA (Adaptive Security Appliances) inspecciona los protocolos de voz para
asegurar que las solicitudes SIP, SCCP, H.323, MGCP se ajusten a las estándares de
voz.
• Cisco ASA también pueden proporcionar otras capacidades para ayudar a proteger el
tráfico de voz:
– Asegurar que las solicitudes SIP, SCCP, H.323, MGCP se ajusten a los estándares.
– Prevenir que métodos inadecuados SIP sean enviados a Cisco Unified
Communications Manager.
– Limitar la tasa de peticiones SIP.
– Reforzar el cumplimiento de la política de llamadas.
– Apertura dinámica de puertos para las aplicaciones de Cisco.
– Habilitar sólo "teléfonos registrados" para hacer llamadas.
– Permitir la inspección de las llamadas telefónicas cifradas.
• Los firewalls Cisco IOS también ofrecen muchas de estas características de seguridad.
84
 CCNAS

Soluciones de Seguridad para VoIP

• Las VPN se utilizan para proporcionar conexiones seguras a la red corporativa. Las
conexiones pueden provenir de una sucursal, una pequeña oficina (SOHO), un
teletrabajador, o un usuario móvil.
• IPsec se puede utilizar para servicios de autenticación y confidencialidad. Para
facilitar el rendimiento, se recomienda que los túneles VPN terminar dentro de un firewall.
• Cuando se despliegue una VPN a través de Internet o una red pública, es importante
tener en cuenta la ausencia de calidad de servicio.
• Cuando sea posible, la calidad de servicio debe acordarse con el proveedor a través
de un acuerdo de nivel de servicio (SLA), este es un documento que detalla los
parámetros esperados de QoS para los paquetes que pasan por la red del proveedor.
• Las comunicaciones de voz no funcionan bien con latencia. Las VPN al cifrar los datos,
pueden crear un cuello de botella de rendimiento cuando se procesan los paquetes a través
de su algoritmo de cifrado.
• El problema generalmente empeora a medida que aumenta la seguridad.

85
 CCNAS

Soluciones de Seguridad para VoIP

86
 CCNAS

Describir las prácticas de seguridad recomendadas para VoIP:

• Proteger los servidores de aplicaciones de voz.
• Las versiones más recientes de Cisco Unified Communications Manager (se instala
sobre Windows o Linux) desactiva los servicios innecesarios, deshabilita nombres de
usuario por defecto, permitir instalar unicamente imágenes firmadas, tienen CSA
instalado, y soportan los protocolos seguros de administración.
• Al combinar la seguridad proporcionada por las LANs, cortafuegos y VPNs con las
características de seguridad disponibles en Cisco Unified Call Manager y teléfonos IP de
Cisco, es posible tener un entorno de alta seguridad de telefonía IP.

87
 CCNAS

Consideraciones de seguridad de las SAN

• Una SAN es una red especializada que permite un acceso rápido y fiable entre los
servidores y recursos de almacenamiento externo.
• En una SAN, un dispositivo de almacenamiento no es propiedad exclusiva de
cualquier servidor. Los dispositivos de almacenamiento son compartidos entre todos
los servidores.
• Así como una LAN se puede utilizar para conectar a los clientes a servidores, una SAN
puede ser utilizada para conectarse a servidores de almacenamiento o para que
servidores de almacenamiento se conecten a otros servidores de almacenamiento.
• Una SAN no necesita ser una red separada físicamente. Puede ser una subred dedicada
que lleva tráfico entre servidores y dispositivos de almacenamiento.
• Las soluciones SAN de Cisco proporcionan un medio privilegiado de acceder, administrar y
proteger los recursos de información a través de una variedad de tecnologías de
transporte SAN. Estas incluyen:
– El consolidado Fiber Channel, Fiber Channel sobre IP (FCIP), Internet Small
Computer System Interface (iSCSI), o Gigabit Ethernet.

88
 CCNAS

Consideraciones de seguridad de las SAN

• Todas las grandes tecnologías de transporte SAN se basan en el modelo de comunicaciones SCSI.
En muchos sentidos, una SAN puede ser descrito como la fusión de SCSI y la red.
• El protocolo de comandos SCSI es el estándar de facto que se utiliza ampliamente en aplicaciones de
almacenamiento de alto rendimiento.
• La parte de comandos de SCSI pueden ser transportado en una SAN Fiber Channel o
encapsulados en IP y transportados a través de redes IP.
• Hay tres principales tecnologías de transporte SAN:
– Fiber Channel - Esta tecnología es la primaria para el transporte SAN en la conectividad de host-
a-SAN. Tradicionalmente, las redes SAN han requerido una infraestructura dedicada
independiente para interconectar ordenadores y sistemas de almacenamiento. El protocolo de
transporte principal para esta interconexión ha sido Fiber Channel.
– iSCSI - Mapas SCSI sobre TCP/IP. Este es otro modelo de concectividad host-a-SAN que se
suele utilizar en la LAN. iSCSI aprovecha la inversión en redes IP existentes para construir y
ampliar las redes SAN. Esto se logra mediante el uso de TCP/IP para el transporte de los
comandos SCSI, los datos, y el estado entre los hosts (iniciadores) y los dispositivos de
almacenamiento, tales como los subsistemas de almacenamiento y dispositivos de cinta.
– FCIP - Modelo de conectividad SAN-a-SAN que se utiliza a menudo en la WAN o MAN (red de
área metropolitana). Los diseñadores de las SAN pueden utilizar el protocolo FCIP (estándar
abierto) para romper la barrera de la distancia de las actuales soluciones de Fiber Channel y permitir
la interconexión SAN a grandes distancias.
89
 CCNAS

Consideraciones de seguridad de las SAN

• Un número de unidad lógica (LUN) es una dirección de 64 bits para una unidad de disco
individual y, por extensión, el dispositivo de disco en sí.
• El término se utiliza en el protocolo SCSI como una forma de diferenciar las unidades
de disco individual dentro de un dispositivo SCSI, como un array de discos.
• El enmascaramiento LUN es un proceso de autorización que hace un LUN esté a
disposición de algunos hosts y no disponible a otros hosts.
• El enmascaramiento LUN se aplica en el adaptador de bus host (HBA), es vulnerable a
cualquier ataque que ponga en peligro el HBA.
• Por ejemplo, los servidores Windows que están conectados a una SAN a veces corrompen
volúmenes de sistemas No-Windows al intentar escribir las etiquetas de volumen de
Windows a ellos. Al ocultar los LUN No-Windows en los servidores Windows, el servidor de
Windows no se da cuenta de la existencia del otro volumen.
• Hoy en día, un LUN no es una unidad de disco individual, sino particiones virtuales
(volúmenes) de un conjunto RAID.

90
 CCNAS

Consideraciones de seguridad de las SAN

• Un WWN (World Wide Name) es una dirección de 64 bits que utilizan las redes Fiber
Channel para identificar cada elemento de una red Fiber Channel.
• La Zonificación puede utilizar WWNs para asignar permisos de seguridad. La
zonificación también puede utilizar servidores de nombres en los switches para permitir o
bloquear el acceso a WWNs concretas.
• El uso de WWNs se considera inseguro, porque los WWNs de un dispositivo son
parámetros configurables por el usuario.
• La Zonificación que utiliza WWNs es susceptible al acceso no autorizado, ya que la zona
puede ser evitada si un atacante es capaz de falsificar WWNs de un adaptador de bus
host (HBA) autorizado (“algo similar a MAC Spoofing”).
• Un HBA es un adaptadorde E/S del que se encuentra entre el bus del host y el loop Fiber
Channel y gestiona la transferencia de información entre los dos canales.

91
 CCNAS

Consideraciones de seguridad de las SAN

• En redes de almacenamiento la zonificación Fiber Channel es la división del
conmutador Fiber Channel en pequeños subconjuntos.
• Si una SAN contiene varios dispositivos de almacenamiento, a un dispositivo no
necesariamente se le debe permitir interactuar con el resto de dispositivos en la SAN.
• La zonificación es a veces confundido con el enmascaramiento LUN, porque ambos
procesos tienen los mismos objetivos. La diferencia es que la zonificación se aplica
en la electrónica de los conmutadores, mientras que enmascaramiento LUN se realiza
en dispositivos finales.
• La zonificación también es potencialmente más seguro. Miembros de la zona sólo
ven los demás miembros de la zona, pero pueden ser miembros de más de una zona.
• Hay algunas reglas sencillas que se deben tener en cuenta para la operación de
zonificación:
– Miembros de la Zona sólo ven los demás miembros de la zona.
– Las zonas pueden ser configurados de forma dinámica sobre la base de WWN.
– Los dispositivos pueden ser miembros de más de una zona.
– La Zonificación pueden tener lugar a nivel el puerto o a nivel de dispositivo,
basado en el puerto de switch físico, WWN del dispositivo, o el LUN ID.
92
 CCNAS

Consideraciones de seguridad de las SAN

93
 CCNAS

Consideraciones de seguridad de las SAN

• Una red virtual de área de almacenamiento (VSAN) es una colección de puertos de un
conjunto de switches Fibre Channel que forman un tejido virtual.
• Los puertos pueden ser divididos dentro de un único conmutador en múltiples VSANs.
• Además, varios conmutadores pueden unir cualquier número de puertos para formar una
única VSAN. De esta manera, las VSANs se parecen mucho a las VLAN. Al igual que las
VLAN, el tráfico pasa a través de los enlaces entre conmutadores etiquetado con el ID
de VSAN.
• Los eventos son aislados por VSAN. VSANs emplean aislamiento basado en hardware , lo
que significa que el tráfico es etiquetado a través de los enlaces entre conmutadores con la
información de miembro de VSAN. Las estadísticas también pueden ser reunidos en un
entorno per-VSAN.
• Las VSANs fueron originalmente inventadas por Cisco, pero ahora se han adoptado como
un estándar ANSI.

94
 CCNAS

Soluciones de seguridad de las SAN

• Para asegurar una SAN, es necesario para asegurar la estructura SAN, cualquier host
conectado, y los discos reales.
• Hay seis áreas críticas a tener en cuenta para asegurar una SAN:
– Administración de la SAN - Asegurar los servicios de gestión que se utilizan para
administrar la SAN.
– Fabric Access - Acceso seguro a la estructura SAN.
– Target access - El acceso seguro a los dispositivos de almacenamiento.
– Los protocolos SAN - Asegurar los protocolos que se utilizan en la comunicación
switch a switch.
– IP storage access - Asegurar FCIP y iSCSI.
– Integridad y privacidad de los datos - Cifrar datos a su paso por las redes, así como
cuando se almacenan en los discos.

95
 CCNAS

Soluciones de seguridad de las SAN

96
 CCNAS

Soluciones de seguridad de las SAN

• Existen varios tipos de herramientas de administración SAN disponibles que pueden
administrar el rendimiento a nivel de los dispositivos y a nivel de aplicación, así como
ofrecer información y supervisión de los servicios.
• Cualquiera que sea la herramienta de administración SAN utilizada, asegúrese de que el
acceso a la herramienta de gestión es seguro. Cuando administramos una SAN, hay
otros problemas a considerar:
– La interrupción del proceso de conmutación - Un ataque DoS puede causar una
carga excesiva en la CPU, haciendo que la CPU no puede reaccionar a los eventos de
la estructura (fabric).
– Compromiso de la estructura (fabric) - configuraciones cambiadas o configuraciones
perdidas puede resultar en cambios en los servicios configurados o los puertos.
– Compromiso de integridad y confidencialidad de datos – La violación de los datos
activos compromete la integridad y la confidencialidad de la información almacenada.

97
 CCNAS

Soluciones de seguridad de las SAN

• Para garantizar la integridad de los datos de las aplicaciones, la integridad de las
LUN, y el rendimiento de las aplicaciones, es necesario para garantizar tanto el acceso
a los datos (discos) como al tejido de conmutadores.
• El acceso no autorizado significa que la integridad y la confidencialidad han sido violados.
• Los datos también puede estar dañados o ser borrados.
• Si una LUN se ve comprometida, ya sea accidentalmente o intencionalmente, se pueden
perder datos y la disponibilidad puede ser amenazada.
• Para prevenir este tipo de cuestiones, se usan VSANs y la zonificación.

98
 CCNAS

Soluciones de seguridad de las SAN

• Las VSANs y las zonas son tecnologías complementarias que funcionan bien juntas.
• El primer paso en la configuración es asociar los puertos físicos con un VSAN, al
igual que asociar puertos de switch con una VLAN, y luego, la división lógica de VSANs en
zonas.
• La zonificación es el principal mecanismo para garantizar el acceso a los objetivos de
la SAN (discos y cintas). Hay dos métodos principales de la zonificación, hard and soft.
• La zonificación Soft restringe los nombres de los servicios de la “fabric”, mostrando a un
dispositivo sólo un subconjunto de los dispositivos autorizados.
– Cuando un servidor mira en el contenido de la “fabric”, ve sólo los dispositivos que le
está permitido ver.
– Sin embargo, cualquier servidor todavía puede intentar ponerse en contacto con otros
dispositivos de la red basándose en sus direcciones (WWNs).
• En contraste, la zonificación hard restringe la comunicación a través de una “fabric”. Esta
zonificación es más comúnmente utilizado porque es la más segura.

99
 CCNAS

Soluciones de seguridad de las SAN

100
 CCNAS

Soluciones de seguridad de las SAN

• Para proteger los datos durante la transmisión, iSCSI aprovecha muchas estrategias
que son comunes en las redes IP.
– Por ejemplo, ACLs son similares a las zonas Fiber Channel, VLAN son similares a
VSANs, la seguridad de puerto 802.1x se asemeja seguridad de puerto Fiber
Channel.
• FCIP aprovecha muchas de las características de seguridad IP en los routers Cisco IOS:
– IPsec para la seguridad sobre redes públicas
– Servicios de cifrado de alta velocidad con hardware especializado
– Firewall de filtrado
• Asegurar una SAN completa el proceso de asegurar la LAN: asegurar los sistemas
finales, los switches, el entorno inalámbrico, la infraestructura de VoIP, y la SAN.

101