Herramientas de usuario
redes:turboresumenexpress
Diferencias
Muestra las diferencias entre dos versiones de la página.
| Ambos lados, revisión anteriorRevisión previaPróxima revisión | Revisión previa | ||
| redes:turboresumenexpress [2025/07/10 13:24] – thejuanvisu | redes:turboresumenexpress [2025/07/10 13:38] (actual) – thejuanvisu | ||
|---|---|---|---|
| Línea 305: | Línea 305: | ||
| * Denegación de servicio totoal | * Denegación de servicio totoal | ||
| ===== 3.5 Medidas de seguridad ===== | ===== 3.5 Medidas de seguridad ===== | ||
| + | ==== 3.5.1 Ataques de capa 2 y contramedidas ==== | ||
| + | * MAC address Flooding: Se puede mitigar usando port security | ||
| + | * VLAN Hopping: Se puede mitigar realizando un control estricto de las configuraciones de troncales y de los puertos no usados. | ||
| + | * Ataques entre dispositivos de la misma VLAN: Private VLANS | ||
| + | * DHCP Starvation y DHCP Spoofing: Se puede solucionar aplicando DHCP Snooping | ||
| + | * Spanning Tree attack: Se mitiga configurando el switch raíz y un backup, así como habilitando root guard | ||
| + | * MAC Spoofing: Se implementa DHSC Snooping y Port Security | ||
| + | * ARP Spoofing: Se usa Dynamic ARP Inspection (DAI), DHCP Snooping y Port Security | ||
| + | * Manipulación de Cisco discovery protocol (CDP): Se desactiva CDP en todos los puertos que no lo necesiten | ||
| + | * Ataques a SSH y Telenet: Usar SSHv2 y usar telnet solo con VTY con ACLS activadas. | ||
| + | ==== 3.5.2 Port Security ==== | ||
| + | Característica de switches cisco que permite restringir las direcciones MAC de un puerto o el número de direcciones MAC que puede aprender. | ||
| + | * Estas direcciones se pueden aprender de forma dinamica o configurarse estáticamente. | ||
| + | * Si se especifica un máximo de MACs, se aprenderan las indicadas en el máximos de direcciones. | ||
| + | * Sticky learning: combian las características del aprendizaje dinámicop y configuración estática de direcciones. | ||
| + | * Port Security no puede ser aplicado a pruertos troncales. | ||
| + | ==== 3.5.3 DHCP Snooping ==== | ||
| + | Característica de los switches cisco que permite deifnir que puertos pueden respnder a peticiones DHCP identificandolos como trusted o untrusted. | ||
| + | * Los puertos trusted puede enviar todo tipo de mensajes DHCP | ||
| + | * Los no fiables solo pueden transmitir peticiones | ||
| + | * Si un dispositivo intenta enviar respuestas DHCP por un puert untrusted, este se desactiva | ||
| + | * Para cada puerto untrusted se construye una binding Table con una entrada por cada dispositivo configurado por el servidor DHCP. | ||
| + | |||
| + | ==== 3.5.4 Dynamic ARP Inspection ==== | ||
| + | El switch ese asegura de que solamente se enviarán respuestas ARP validas. DAI valida todas las peticiones y respuestas ARP. Se verifican la dirección IP y MAc asociadas a cada respuesta | ||
| + | |||
| + | ==== 3.5.5 Portección de STP ==== | ||
| + | |||
| + | * BPDU guard: Protege una red conmutada de problemas generados por recepción de BPDUs por puertos que no lsa debería recibir. | ||
| + | * BPDU filtering: Evita que el switch envíe BPDUs innecesarias por los puertos de acceso. | ||
| + | * Root Guard: evita que los switches conectados a puertos de acceso se conviertan en switch raíz. | ||
redes/turboresumenexpress.1752153840.txt.gz · Última modificación: 2025/07/10 13:24 por thejuanvisu
Herramientas de la página
