Cisco Catalyst y Aironet, red wifi segura

Un característica propietaria de mejora para las VLAN son las VLAN privadas soportadas por los conmutadores Catalyst 6000 de Cisco. Imagine que tiene las celdas inalámbricas A, B, C y D en alguna VLAN, pero desea restringir la movilidad entre las celdas para que los usuarios sólo puedan moverse entre las celdas A y B, o entre las celdas C y D y sólo puedan acceder a la red de cable si están asociados con la celda A. De esta manera se puede segmentar la WLAN entre los diversos departamentos de la empresa y distintas ubicaciones físicas sin introducir redes VLAN y encaminadores adicionales, ni complicar más la estructura de la red lógica en la capa 3. Todas estas maravillas son posibles con las VLAN privadas, que permiten establecer restricciones sobre .la capa 2: redes VLAN dentro de redes VLAN.
Existen tres tipos de puertos para redes VLAN privadas:


• Puertos promiscuos que se comunican con el resto de los puertos de las VLAN privadas. Estos puertos suelen utilizarse para conectarse con la pasarela o el encaminados
•    Puertos aislados que sólo pueden comunicarse con el puerto promiscuo
•    Puertos comunitarios que pueden comunicarse con los puertos de la misma comunidad y con el puerto promiscuo.


No resultará sorprendente que existan tres tipos de redes VLAN privadas Las VLAN primarias llevan datos desde los puertos promiscuos hacia puertos aislados, comunitarios u otros puertos promiscuos. Las VLAN aisladas llevan datos desde los puertos aislados a los promiscuos. Por último, las VLAN C0 munitarias transportan datos entre los puertos de una misma comunidad y los puertos promiscuos.
Además de la seguridad que proporciona la segmentación de las VLAN privadas, existe también la opción de crear listas de control de acceso a la VLAN (VACL) diseñadas independientemente para redes VLAN primarias o secundarias. No es necesario un encaminador para implementar estas listas VACL; bastaría con tener una tarjeta con característica de política (PFC, Policy Feature Card) para el conmutador Catalyst. Para aprender más acerca de las redes VLAN privadas y la configuración de las listas VACL en los conmutadores Cisco 6000 Catalyst, debería consultar http://www.cisco.com/en/US/ products/hw/switches/ps700/products_tech_note09186a008013565f.shtml y http://www.cisco.com/en/US/products/hw/switches/ps700/products_ configuration_guide_chapter09186a008007f4ba.html.
Resulta interesante que las entradas ARP descubiertas en las interfaces VLAN privadas de la capa 3 sean entradas ARP "pegajosas" que no caducan y no pueden alterarse. Imagine un punto de acceso enchufado en un puerto de un conmutador de una VLAN privada que se conecta a la pasarela a través del puerto promiscuo. Un atacante consigue asociarse con la WLAN y lanza un ataque de falsificación ARP contra la pasarela. Si se están utilizando las entradas ARP "pegajosas", un ataque de este tipo no modificará la tabla CAM y se generará un mensaje de registro.
Fíjese en que para evitar el uso de Mobile IP y conseguir la movilidad, hemos cometido intencionadamente un terrible error de despliegue en la red inalámbrica con respecto a la seguridad. Enchufamos el punto de acceso al conmutador, no a una pasarela inalámbrica segura o, al menos, a un encaminador decente con prestaciones de cortafuego. Las entradas ARP pegajosas corrigen este problema al evitar ataques de intermediario basados en ARP y ataques de desbordamiento de la tabla CAM. Sin embargo, esta característica está limitada a una marca de conmutadores en particular, de las caras.
En otros conmutadores habrá que configurar el filtrado de direcciones MAC y la seguridad de puertos, lo que significa codificar directamente las direcciones MAC y limitar el número de máquinas que puede conectarse a un puerto.
 
Dése cuenta de que en la seguridad de puertos el filtrado de direcciones MAC de un conmutador y el filtrado de direcciones MAC de un punto de acceso son medidas similares, pero no la misma. El filtrado de direcciones MAC en ambos tipos de dispositivos puede sortearse sacando de la red a la máquina inalámbrica legítima y usurpando su dirección MAC. Sin embargo, la seguridad de puertos del conmutador proporciona una capa adicional de defensa al proteger contra bombardeos ARP con direcciones MAC falsificadas. Nos gustan los conmutadores Catalyst de Cisco porque es fácil trastear con ellos (configurarlos), por lo que vamos a ofrecerle un ejemplo de configuración de seguridad de puertos de conmutador utilizando dispositivos Catalyst.
En los conmutadores con una interfaz de línea de comandos (CLI) de tipo IOS, como Catalyst 1900, utilice entradas MAC permanentes para construir una tabla CAM de conmutación:


abrvalk(config)#mac-address-table permanent 0040.1337.1337 ethernet 0/4
Escriba todas las direcciones que necesita (digamos que usará 20). A conti¬nuación, enlace la cantidad de conexiones permitida con el número de las direc¬ciones MAC permanentes y defina la acción a emprender si se excede ese número:
 

abrvalk(config)#port security action trap 
abrvalk(config)#port security max-mac-count 20 
abrvalk(config)#address-violation suspend

Con una configuración como ésta, se desactivará el puerto cuando se reciba un marco con una dirección MAC no válida y se reactivará cuando se reciba un marco con una dirección correcta. Se enviaría una indicación trap SNMP informando de esta violación de la regla. Por supuesto, un atacante puede provocar un ataque de denegación de servicio bombardeando constantemente el puerto con direcciones MAC aleatorias, pero es mejor sufrir desconexiones temporales que permitir que entren los crackers, y se dispararán alarmas. El número de direcciones MAC que puede utilizar por puerto en los conmutadores Catalyst con CLI de tipo IOS es de 132.
En los conmutadores con CLI de tipo Set/Clear, como el Catalyst 5000, puede utilizar el comando set port security:


ebleo(enable)set port security 2/1 enable
ebleo(enable)set port security 2/1 enable 0040.1337.1337
Escriba las 20 direcciones MAC que desea permitir y fije ese número con:
ebleo(enable)set port security 2/1 maximum 20
Defina la acción a emprender en caso de que se produzca una violación de seguridad!
 
ebleo(enable)set port security 2/1 violation restrict
Este comando indica al conmutador que tire los paquetes que provengan de máquinas con direcciones MAC ilícitas, pero el puerto seguirá estando disponible. Por eso, es imposible un ataque de denegación de servicio mediante bombardeo con direcciones MAC contra estos conmutadores, si se configuran correctamente. Puede comprobar la configuración y las estadísticas de seguridad de puertos con:
ebleo(enable)show port security 2/1
La cantidad de entradas estáticas ("seguras", en el dialecto de Cisco) de la tabla CAM en los conmutadores con CLI Set/Clear de Cisco es de 1024 más una dirección MAC segura adicional por puerto. Esta pila de direcciones MAC estáticas la comparten todos los puertos del conmutador, por lo que si hay 1024 entradas MAC estáticas en un único puerto, el resto de los puertos tendrán que utilizar una única entrada MAC estática. Si usara 512 entradas, el resto de los puertos tendrían que compartir las restantes 512 además de una dirección adicional por cada puerto restante.
Otro aspecto interesante de los equipos de Cisco para la configuración y funcionamiento de redes VLAN es el despliegue de WEP o TKIP por VLAN en los puntos de acceso de Cisco. Sí, es cierto, puede configurar distintas claves WEP o TKIP y definir diferentes intervalos de rotación de claves de difusión TKIP para distintas redes VLAN. Por ejemplo, para configurar el uso de una clave WEP de 128 bits en un punto de acceso Cisco Aironet 1200 sólo para la VLAN 13, debería utilizar esta serie de sentencias:

aironet#configure terminal
aironet(config)#configure interface dotllradio 0 aironet(config-if)#encryption vían 13 mode cipher wepl28 aironet(config-ssid)#end
Al dividir la red inalámbrica entre distintas VLAN y asignar múltiples cla¬ves WEP, puede disminuir la cantidad de tráfico cifrado mediante una sola clave WEP, con lo que conseguirá que sea más difícil romper el protocolo WEP. Sin embargo, le recomendamos encarecidamente que en su lugar utilice TKIP. El siguiente ejemplo configura un punto de acceso Cisco Aironet 1200 para utilizar el protocolo WPA TKIP, que comentaremos más adelante en este mismo capítulo, y para rotar la clave de difusión o broadcast cada 150 segundos sólo para la VLAN 13:
aironet#configure terminal
aironet(config)#configure interface dotllradio 0 aironet(config-if)#encryption vían 13 mode cipher tkip
 
aironet(config-if)#broadcast-key vían 13 change 150 aironet(config-ssid)#end
La oportunidad de tener varias claves en redes VLAN inalámbricas y modificarlas a distintos intervalos proporciona una mejor separación y segmentación de las VLAN y permite una flexibilidad adicional al diseñador de redes inalámbricas preocupado por la seguridad.

 

 

Buscar manual o tutorial


Tienda kefir

Artículo al azar

cqure.net
cqure.net
estrellaestrellaestrellaestrellaestrella
www.cqure.net/wp/?id=03

Contenido Destacado

>>> Manual Tutorial de aircrack-ng
>>> Descarga iso WifiSlax 2.0
>>> Manual airodump
>>> Antena WiFi pringles
>>> Antena WiFi USB
>>> Tarjeta wifi
>>> Atheros Linux
>>> Manual Wifiway (pdf)
>>> KisMac
>>> Crackear WPA con Pyrit
>>> Claves WEP
>>> Instalar Backtrack disco duro
>>> Fabricar antena WiFi
>>> Backtrack Linux
>>> Crackear WEP (1 de 3)
>>> Descifrar claves de redes WLAN_XX con Airodump
>>> wlandecrypter
>>> Manual Kismet
>>> Flashear WRT54GL con DD-WRT
>>> Descargar Wifislax 3.1
>>> Piratear Redes WiFi
>>> Kismet
>>> WifiSlax 3.1 en Windows Vista con WMware
>>> Backtrack
>>> Antenas Wifi caseras
>>> robar wifi como?
>>> Tarjeta Inalámbrica
>>> driver atheros ar5007e
>>> Manual básico de configuración WEP en Windows XP SP2
>>> driver atheros ar5006x
>>> Contraseña WiFi, Video Tutorial Ubuntu
>>> Descargar Wifislax 3.1 LiveCD versión reducida
>>> Wireless wep key password spy
>>> Instalar Backtrack en USB ( Pendrive, Memory Key )
>>> Antenas WiFi, Conectores
>>> mario kart wii wifi pdf manual
>>> Wii WiFi manual
>>> Descifrar claves wifi
>>> Crackear WPA. Kismet, Airodump, Aireplay, Aircrack
>>> NetworkStumbler
+ Más