Introducción a la seguridad a nivel de capa 2 y su implementación. Pregunte al Experto

Pregunta respondida
Feb 12th, 2015
User Badges:
  • Purple, 4500 points or more

 

Con los expertos: Julio Carvajal y Gustavo Medina

 

Durante la presentación se hará una introducción a  los requerimientos a  nivel capa 2 en las redes de información, para evitar diferentes ataques y vulnerabilidades que pueden afectar la producción, además se hablará  de las diferentes funcionalidades en los Cisco Switches así como algunos ejemplos de configuración.

 

Agenda:

  • Diferentes Ataques a nivel de Capa 2
  • Prevención a los Diferentes Ataques
  • Sección de Configuración.

Julio Carvajal Segura es uno de los miembros VIP de la comunidad de soporte de Cisco, formó parte del Cisco TAC en Costa Rica por más de 3 años, donde trabajó para el equipo de Seguridad y debido a su alto rendimiento fue colocado como entrenador de personal del TAC en el área de seguridad cubriendo tecnologías como Firewalls, VPN, AAA, entre otras. Julio cuenta con CCIE en Routing & Switching # 42930.

 

Gustavo Medina es ingeniero del TAC en México y ha trabajado en diferentes tecnologías de Seguridad durante más de 5 años en Costa Rica y RTP, en Carolina del Norte colaboró con DMVPN, WebVPN, GETVPN, FlexVPN, entre otras. Tiene varias certificaciones de Cisco incluyendo CCNA, CCNP y actualmente está preparándose para el CCIE en Seguridad.

 

Por favor use las estrellas para calificar las respuestas e indique si la respuesta que ha recibido es la corrrecta.

Puede ser que Julio o Gustavo no puedan  responder cada una de las preguntas debido la cantidad  que   anticipamos  para este evento. Recuerde que usted puede  preguntar o seguir haciendo  preguntas en la comunidad de
Seguridad.

 

Este evento estará disponible del martes 24 de Marzo al 10 de Abril del 2015.

 

   

 

 

 

Correct Answer by Cisco Moderador about hace 2 años 4 meses

P: ­¿Con ISE puedo  autenticar  el ingreso a mis siwtch? ­

Correct Answer by Cisco Moderador about hace 2 años 4 meses

P: ­¿Puede ver más de una vlan primaria? ¿Una de voz y Datos?­

Loading.
angelevazquez Mié, 03/25/2015 - 15:37
User Badges:

Buen dia Ingenieros.

Respecto al uso de Storm-Control, ¿ Este puede ser utilizado para limitar el ancho de banda de una Interfaz a una velocidad especifica ? o requiere de algun otro comando para su funcionamiento.

Saludos!!

Julio Carvajal Sáb, 03/28/2015 - 07:22
User Badges:
  • Purple, 4500 points or more

Buenas Angel,

 

Te respondí en la otra sección.

 

Te recomendaria implementar QoS policing para esto ya que Storm-Control solo trabaja con lapsos de tiempo de un segundo y busca prevenir tormentas de tráfico unicast, multicast y broadcast.

 

Saludos

 

Julio Carvajal
Senior Network Security and Core Specialist
CCIE #42930, 2xCCNP, JNCIS-SEC
 
Julio Carvajal Sáb, 03/28/2015 - 07:29
User Badges:
  • Purple, 4500 points or more

Buenas,

Todas las direcciones MAC son de 48 bits. El formato para todas ellas va a ser el mismo (48 valores hexadecimales).

 

Saludos

 

Julio Carvajal
Senior Network Security and Core Specialist
CCIE #42930, 2xCCNP, JNCIS-SEC
Cisco Moderador Jue, 03/26/2015 - 16:41
User Badges:
  • Silver, 250 points or more

P: ­Cuándo estas en error-dissable y la interface se pone en down/down... ¿pasa esto para todos los que se quieren conectas usando este puerto?­

Julio Carvajal Sáb, 03/28/2015 - 07:30
User Badges:
  • Purple, 4500 points or more

Hola,

 

Sí, el puerto no se puede utilizar en este estado.

 

Saludos

 

Julio Carvajal
Senior Network Security and Core Specialist
CCIE #42930, 2xCCNP, JNCIS-SEC
 
Julio Carvajal Sáb, 03/28/2015 - 07:32
User Badges:
  • Purple, 4500 points or more

Hola,

 

Si hablas de el boot time bueno en este caso no hay ningún comando que mejore este estado ya que el Switch debe pasar por los mismos checks, etc cada vez que el Switch es rebooteado.

 

Saludos

 

Julio Carvajal
Senior Network Security and Core Specialist
CCIE #42930, 2xCCNP, JNCIS-SEC
Julio Carvajal Sáb, 03/28/2015 - 07:30
User Badges:
  • Purple, 4500 points or more

Buenas,

Todas las direcciones MAC son de 48 bits. El formato para todas ellas va a ser el mismo (48 valores hexadecimales).

 

Saludos

 

Julio Carvajal
Senior Network Security and Core Specialist
CCIE #42930, 2xCCNP, JNCIS-SEC
Cisco Moderador Jue, 03/26/2015 - 16:43
User Badges:
  • Silver, 250 points or more

P: ­¿Es posible tener port-segurity y además storm-control en una misma interface­?

Julio Carvajal Sáb, 03/28/2015 - 07:34
User Badges:
  • Purple, 4500 points or more

Buenas,

 

Así es! Ambos pueden funcionar al mismo tiempo.

 

Saludos

 

 
Julio Carvajal
Senior Network Security and Core Specialist
CCIE #42930, 2xCCNP, JNCIS-SEC
Cisco Moderador Jue, 03/26/2015 - 16:45
User Badges:
  • Silver, 250 points or more

P: ­¿El estado para que pase de manera automático a operacional lo hace cada 30 Segundos?­

Julio Carvajal Sáb, 03/28/2015 - 07:33
User Badges:
  • Purple, 4500 points or more

Buenas,

 

Si te refieres a el err-disable recovery tú te encargas de configurar el tiempo.

 

Tú decides cuánto tiempo toma para el recovery ocurra.

 

Saludos

 

 
Julio Carvajal
Senior Network Security and Core Specialist
CCIE #42930, 2xCCNP, JNCIS-SEC
 
Cisco Moderador Jue, 03/26/2015 - 16:49
User Badges:
  • Silver, 250 points or more

P: ­Esta estrategia ayuda a prevenir un DDos Attack? , me refiero a la estrategia de usar storm-control.­

Julio Carvajal Sáb, 03/28/2015 - 07:35
User Badges:
  • Purple, 4500 points or more

Buenas,

 

Por supuesto, SI estamos recibiendo una tormenta de tráfico broadcast, unicast o multicast causa de DoS o DDoS con esta funcionalidad vamos a evitarlo.

 

Saludos

 

 
Julio Carvajal
Senior Network Security and Core Specialist
CCIE #42930, 2xCCNP, JNCIS-SEC
Julio Carvajal Sáb, 03/28/2015 - 07:28
User Badges:
  • Purple, 4500 points or more

Buenas,

 

Para Private VLANs simplemente puede haber una VLAN Primaria.

 

Julio Carvajal
Senior Network Security and Core Specialist
CCIE #42930, 2xCCNP, JNCIS-SEC
Julio Carvajal Sáb, 03/28/2015 - 07:25
User Badges:
  • Purple, 4500 points or more

Buenas,

 

Así es con el Cisco ISE puedes autenticar el ingreso a la red tanto por cable como wireless con 802.1x

 

Saludos

 

Julio Carvajal
Senior Network Security and Core Specialist
CCIE #42930, 2xCCNP, JNCIS-SEC
Julio Carvajal Sáb, 03/28/2015 - 07:24
User Badges:
  • Purple, 4500 points or more

Buenas,

 

Me imagino que estas hablando de Root-Guard.

 

En este caso se implementa en los Downlinks a Switches que no vayan al Primario que no vayan al STP Switch Primario.

 

Julio Carvajal
Senior Network Security and Core Specialist
CCIE #42930, 2xCCNP, JNCIS-SEC
Julio Carvajal Lun, 04/06/2015 - 09:36
User Badges:
  • Purple, 4500 points or more

Hola,

 

No existe tanta restricción en lo que es el tipo de IOS a nivel de Switches. Más bien tienes que tomar en cuanta que la plataforma lo soporte.

 

Por ejemplo Private Vlans no se soporta en los 3550s.

 

Saludos

Cisco Moderador Mar, 03/31/2015 - 13:42
User Badges:
  • Silver, 250 points or more

P: ­¿Qué pasa si se habilita private vlan en un switch capa 3? ¿quién sería el puerto promiscuo?­

Cisco Moderador Mar, 03/31/2015 - 13:43
User Badges:
  • Silver, 250 points or more

P: ­¿Hay alguna estrategia ó recomendación de storm-control para contener posibles infecciones de virus, troyanos, etc­?

Julio Carvajal Lun, 04/06/2015 - 09:37
User Badges:
  • Purple, 4500 points or more

Hola,

 

Viene siendo lo mismo, En Storm-Control lo que tienes que tomar en cuenta es cúanto tráfico Broadcast, Multicast o Unicast es normalmente en tu red.

 

Luego de tener ese baseline puedes configurarlo.

 

Saludos

Julio Carvajal Lun, 04/06/2015 - 09:37
User Badges:
  • Purple, 4500 points or more

Hola,

 

Viene siendo lo mismo, En Storm-Control lo que tienes que tomar en cuenta es cúanto tráfico Broadcast, Multicast o Unicast es normalmente en tu red.

 

Luego de tener ese baseline puedes configurarlo.

 

Saludos

Cisco Moderador Mar, 03/31/2015 - 13:43
User Badges:
  • Silver, 250 points or more

P: ¿Utilizar private vlans ó protected port me pudiera proteger los switches por un evento de loop en la red ?­

Julio Carvajal Lun, 04/06/2015 - 09:40
User Badges:
  • Purple, 4500 points or more

Hola,

 

No, la funcionalidad de ellos es totalmente aparte.

 

Lo que estas buscando es Spanning-Tree. Eso te evita los loops.

Cisco Moderador Mar, 03/31/2015 - 13:44
User Badges:
  • Silver, 250 points or more

P: ­Julio, cuando se habilita STP en un ambiente donde tenemos switches redundantes, es necesario configurar algo más para que no me bloquee alguno de los caminos?­

Julio Carvajal Lun, 04/06/2015 - 09:34
User Badges:
  • Purple, 4500 points or more

Hola,

 

No, STP es el único protocolo que se requiere para evitar este tipo de problemas.

 

Saludos

Cisco Moderador Mar, 03/31/2015 - 13:46
User Badges:
  • Silver, 250 points or more

P: ­¿En un puerto de acceso con el comando Switchport mode access  deshabilitamos dtp?­

Cisco Moderador Mar, 03/31/2015 - 13:47
User Badges:
  • Silver, 250 points or more

P: ­¿Con protector  puedo aislar un servidor del segmento donde está configurado  y ese server no se puede comunicar a los otros del mismo segmento?

Julio Carvajal Lun, 04/06/2015 - 09:30
User Badges:
  • Purple, 4500 points or more

Hola,

 

No, Con Port Protected aislas los puertos que se encuentren configurados de tal manera.

 

Osea si quieres que dos servers en el mismo segmento tienes que configurar ambos como port-protected.

 

Saludos

Cisco Moderador Mar, 03/31/2015 - 13:48
User Badges:
  • Silver, 250 points or more

P: ­Tengo una duda en cuanto a storm control, ¿si quiero controlar loop en mi red, cual es el porcentaje recomendado que se tiene que dar a una interface para que se bloquee si detecta un broadcast alto y cuál sería el porcentaje aceptable para trafico normal­?

Julio Carvajal Lun, 04/06/2015 - 09:28
User Badges:
  • Purple, 4500 points or more

Hola,

Va a depender de el tipo de tráfico que viaje por tú red.

Por ejemplo en una interface Gigabit cúanto porcentaje de uso estás dispuesto a usar para Broadcast? No creo que mucho, cierto?

 Este porcentaje se hace tomando en cuenta el tiempo en el que vas a monitorear. 

 

Saludos