Segmentación de redes II (URJCx)

universidadurjc
29 Feb 201606:08

Summary

TLDREl guion habla sobre la configuración de switches en redes VLAN, destacando la utilidad de la aplicación MvRP y el protocolo MRP para la propagación de información. Se recomienda desactivar VTP por seguridad y configurar manualmente para evitar ataques. Se discute la necesidad de enrutar tráfico entre VLAN a nivel 3 y el uso de reglas ACL tanto a nivel 2 como 3 para filtrar paquetes. Se menciona la importancia de proteger contra ataques como la inundación MAC y la segmentación de red con firewalls y SDW para micro-segmentación avanzada.

Takeaways

  • 🔄 Para configurar switches con información de VLANs, se puede hacer manualmente o utilizar la aplicación MvRP que emplea el protocolo M-RP para propagar la información.
  • ⚠️ Se recomienda desactivar VTP debido a los riesgos de seguridad, como la propagación de información falsa que puede causar un ataque de denegación de servicio.
  • 🚫 No se deben enviar datos por VLAN 1, y se sugiere asignar puertos a una VLAN especial para el tráfico de usuario.
  • 🔄 Para enviar datos de una VLAN a otra, es necesario enrutar el tráfico a nivel de red (capa 3) ya que a nivel de enlace (capa 2) las VLANs están separadas.
  • 🔌 Se pueden usar routers con soporte para puertos trunk y subinterfaces o switches de nivel 3 para conectar VLANs y enrutar tráfico entre ellas.
  • 🛡️ Se emplean listas de reglas ACL (Access Control Lists) para filtrar paquetes dentro de una VLAN y también se añaden reglas a nivel 3 para filtrar tráfico entre VLANs.
  • 🚫 Se debe evitar el uso de Dynamic Trunking Protocol (DTP) para prevenir que un atacante salte de una VLAN a otra.
  • 🔒 Se recomienda realizar la asignación de puertos MAC de forma manual o estática y autenticar los equipos para protegerse de ataques de inundación MAC.
  • 🔒 Es importante proteger los equipos de red frente a accesos remotos mediante contraseñas y control de acceso basado en roles.
  • 📚 Se deben conocer bien los procesos de negocio y la información intercambiada para segmentar la red de manera efectiva siguiendo la regla de mínimos privilegios.
  • 🌐 Las Software Defined Networks (SDN) ofrecen posibilidades para la micro-segmentación de redes, permitiendo analizar y filtrar tráfico de extremo a extremo siguiendo políticas específicas.

Q & A

  • ¿Cómo se pueden configurar los switches con información de VLANs?

    -Se pueden configurar manualmente o utilizando la aplicación MvRP, que emplea el protocolo MvRP para propagar la información de VLANs a través de la red desde un switch.

  • ¿Por qué se recomienda desactivar el protocolo VTP de Cisco?

    -Se recomienda desactivar VTP debido al riesgo de que un atacante utilice ese protocolo para propagar información falsa, lo que podría provocar un fallo generalizado de la red y una denegación de servicio.

  • ¿Cuál es la práctica recomendada para la asignación de puertos en un switch?

    -Se recomienda no enviar datos por VLAN 1 y asignar todos los puertos a diferentes VLANs. Los puertos que se utilicen deben asignarse a una VLAN específica, como por ejemplo la VLAN 99.

  • ¿Cómo se realiza la comunicación entre VLANs a nivel de red?

    -Para comunicar entre VLANs a nivel de red, se requiere enrutar el tráfico a nivel de capa 3, utilizando un router que soporte el puerto trunk y subinterfaces o un switch de nivel 3.

  • ¿Qué es un router que soporte subinterfaces y cómo se utiliza?

    -Un router que soporte subinterfaces permite crear múltiples interfaces virtuales y asignarlas a las subredes VLAN. La tabla de enrutamiento del router dirigirá el tráfico entre estas subinterfaces.

  • ¿Qué son las listas de reglas ACL y cómo se aplican en las VLANs?

    -Las listas de reglas ACL son iguales a las ACL vistas previamente pero se aplican para el tráfico dentro de una determinada VLAN, permitiendo el filtrado de paquetes.

  • ¿Cómo se pueden proteger las VLANs de ataques que buscan saltar de una VLAN a otra?

    -Se puede proteger configurando inicialmente todos los puertos como de acceso y manualmente asignando los puertos trunk, deshabilitando el uso de DTP para evitar que un atacante salte de una VLAN a otra.

  • ¿Qué ataque es la inundación MAC y cómo se defiende?

    -La inundación MAC es un ataque que genera una gran cantidad de tráfico con MACs falsificadas, llenando la tabla del switch. Se defiende realizando la asignación de puertos MAC de forma manual o estática y autenticando los equipos que se conecten.

  • ¿Por qué es importante proteger los equipos de red frente a accesos remotos?

    -Es importante proteger los equipos de red para evitar que se realicen cambios no autorizados en la configuración y para mantener la seguridad de la información, utilizando contraseñas y un control de acceso basado en roles.

  • ¿Qué son las guías de mejores prácticas y por qué son importantes al segmentar una red?

    -Las guías de mejores prácticas son recomendaciones y normas que se deben cumplir al segmentar una red, especialmente cuando se manejan datos sensibles, para garantizar la seguridad y la conformidad con la legislación vigente.

  • ¿Qué es la microsegmentación de redes y cómo se puede lograr con las software defined networks?

    -La microsegmentación de redes es la capacidad de analizar y filtrar el tráfico extremo a extremo entre dos puntos, siguiendo una política determinada. Las software defined networks permiten lograr esto, lo que no solo segmenta la red de una sede sino que también puede extender esa segmentación a todas las sedes de la organización.

Outlines

00:00

🔌 Configuración de Switches y Seguridad de Red

El primer párrafo trata sobre cómo configurar switches en una red y la importancia de la seguridad. Se menciona la aplicación MV RP que utiliza el protocolo M RP para propagar información, y se compara con VTP, recomendando la desactivación de este último debido a riesgos de ataques. También se discute la asignación de puertos a VLANs y la necesidad de enrutamiento de nivel 3 para comunicar diferentes VLANs, utilizando routers o switches de nivel 3. Se sugiere el uso de listas de reglas de control de lista (ACL) para filtrar tráfico dentro de una VLAN y entre VLANs en el nivel 3. Además, se menciona la protección contra ataques como el salto de VLAN y la inundación MAC, y la importancia de seguir prácticas recomendadas y normativas al segmentar redes, especialmente con datos sensibles.

05:00

🚧 Segmentación de Redes con Firewalls y Soluciones SDN

El segundo párrafo se enfoca en alternativas a la segmentación de redes mediante VLANs. Se habla de la posibilidad de usar firewalls para separar áreas de la red, lo que podría incrementar el número de dispositivos y desafíos relacionados. Sin embargo, también se presenta la virtualización de firewalls como una solución para implementar múltiples firewalls con un solo equipo. Finalmente, se destaca la revolución en segmentación de redes por medio de las Soluciones Definidas por Software (SDN), las cuales permiten una micro-segmentación y el análisis y filtrado de tráfico de extremo a extremo, facilitando la segmentación en todas las sedes de una organización, algo que no es factible con VLANs.

Mindmap

Keywords

💡Switches

Los switches son dispositivos de red que administran el tráfico de datos en una red local de área (LAN). En el video, se discute cómo configurar switches para la segmentación de redes utilizando VLANs, lo cual es fundamental para la seguridad y la organización de la información en una red.

💡VLAN (Virtual Local Area Network)

Las VLANs son redes virtuales dentro de una infraestructura de switch, permitiendo la separación lógica de la red en segmentos para diferentes propósitos o grupos de usuarios. En el script, se menciona que los switches pueden configurarse manualmente o utilizando aplicaciones como la MV RP para la propagación de información de VLANs.

💡MV RP (Multicast VLAN Registration Protocol)

MV RP es un protocolo utilizado para registrar y propagar información de VLANs a través de la red. Aunque no se describe detalladamente en el script, se sugiere que es una alternativa al VTP de Cisco para la gestión de VLANs.

💡VTP (VLAN Trunking Protocol)

VTP es un protocolo de Cisco que automatiza la propagación de información de VLANs a través de la red. Sin embargo, el script recomienda su desactivación debido a los riesgos de seguridad, como la propagación de información falsa por un atacante.

💡Denegación de Servicio (DoS)

La denegación de servicio es un ataque en el que un atacante intenta hacer que un servicio o red no esté disponible a sus usuarios legítimos. En el contexto del script, se menciona que la propagación de información falsa por VTP podría causar un fallo generalizado de la red, resultando en un DoS.

💡Puertos de acceso y de troncal

En el script, se habla sobre la configuración de puertos en switches como puertos de acceso o de troncal. Los puertos de acceso se asignan a una única VLAN, mientras que los de troncal permiten el tráfico entre varias VLANs. Es importante configurar estos puertos correctamente para evitar vulnerabilidades.

💡Router

Un router es un dispositivo de red que enruta el tráfico entre redes. En el video, se sugiere usar un router para conectar VLANs a nivel de red capas 3, ya que las VLANs están separadas a nivel de enlace (capa 2).

💡Subinterfaces

Las subinterfaces son configuraciones en un router que permiten tratar cada VLAN como si fuera una red independiente con su propia configuración de enrutamiento. El script menciona la asignación de subinterfaces a cada VLAN para enrutar el tráfico entre ellas.

💡Filtrado de paquetes

El filtrado de paquetes es el proceso de permitir o denegar el tráfico de red en función de ciertas reglas. En el script, se habla de utilizar listas de reglas ACL (Access Control Lists) tanto a nivel 2 como a nivel 3 para controlar el tráfico dentro y entre VLANs.

💡DTP (Dynamic Trunking Protocol)

DTP es un protocolo que permite la negociación automática de los modos de enlace entre switches. Sin embargo, el script recomienda deshabilitar DTP para evitar que un atacante utilice este protocolo para saltar de una VLAN a otra.

💡Inundación MAC (MAC Flooding)

La inundación MAC es un ataque en el que un atacante envía una gran cantidad de tráfico con direcciones MAC falsificadas para llenar la tabla de aprendizaje de un switch. Esto puede llevar a que el switch elimine entradas válidas y el atacante pueda suplantar una dirección MAC. El script sugiere prevenir esto mediante la asignación manual de MACs.

💡SDN (Software Defined Networking)

SDN es una tecnología de red que permite un control centralizado y programable de la red a través de software. En el script, se menciona que SDN está abriendo posibilidades para la micro-segmentación de redes, lo que permite un filtrado de tráfico más detallado y preciso.

Highlights

Configuración de switches con información de VLAN manual o a través de la aplicación Mv RP que utiliza el protocolo M RP.

Cisco tiene su propio protocolo VTP para la gestión de VLAN, pero se recomienda desactivarlo por seguridad.

Riesgo de ataques que usan protocolos para propagar información falsa y causar fallos en la red.

Asignación de puertos en un curso IT's a VLAN nativo, normalmente VLAN 1, pero se sugiere no utilizarlo para el tráfico.

Necesidad de enrutar tráfico a nivel de red capa 3 cuando se envían datos entre VLANs.

Uso de un router o switch de nivel 3 para conectar VLANs a través de subinterfaces.

Filtrado de paquetes en VLANs utilizando listas de reglas ACL que se aplican dentro de una VLAN específica.

Añadiendo reglas ACL a nivel 3 para filtrar tráfico entre VLANs en routers o switches.

Protección contra ataques que saltan de una VLAN a otra desactivando el protocolo Dynamic Trunking Protocol (DTP).

Inundación MAC como ataque para llenar la tabla de un switch y suplantar direcciones MAC.

Defensa contra ataques de inundación MAC mediante la asignación manual o estática de puertos y autenticación de equipos.

Importancia de proteger equipos de red con contraseñas y control de acceso basado en roles.

Seguimiento de cambios en la configuración de red y cumplimiento de guías de prácticas recomendadas y normativas.

Análisis de la legislación vigente para segmentar red en casos de datos sensibles como tarjetas de crédito o datos sanitarios.

Conocimiento de los procesos de negocio para segmentar la red y aplicar el principio de mínimos privilegios.

Propuesta de una segmentación típica de red con diferentes VLANs para servicios públicos, accesos remotos, correo electrónico, servidores de aplicaciones, red corporativa y centro de datos.

Uso de firewalls para segmentar redes en lugar de VLANs, lo que podría aumentar el número de dispositivos y dificultar la administración.

Ventajas de la virtualización de firewalls para implementar múltiples firewalls con un solo equipo.

Oportunidades de las software defined networks (SDN) en la microsegmentación de redes para analizar y filtrar tráfico extremo a extremo.

Transcripts

play00:01

i

play00:21

como configuramos todos los switches con

play00:23

la información de las v land se podría

play00:26

hacer manualmente pero también se

play00:28

dispone de la aplicación mv rp que

play00:30

emplea el protocolo m rp para propagar

play00:33

por la red desde un switch los

play00:36

identificadores de la sub el an cisco

play00:39

por ejemplo tiene su propio protocolo

play00:41

vtp para esta labor pero recomienda

play00:44

desactivarlo

play00:45

y hacer la configuración manualmente

play00:47

debido al riesgo de que un atacante

play00:49

emplee ese protocolo para propagar

play00:51

información falsa que provoque un fallo

play00:53

generalizado de la red y por tanto una

play00:56

denegación de servicio por defecto los

play00:59

puertos en un curso it's vienen

play01:01

asignados a la ub la nativa normalmente

play01:03

v land 1 pero se recomienda no enviar

play01:06

datos por eso velan por lo que una vez

play01:09

asignados todos los puertos a diferentes

play01:11

sub velan los puertos que nos emplean se

play01:14

deben asignar a una vela en especial por

play01:16

ejemplo la ub la 99 y cuando queremos

play01:19

enviar datos de una vela a otra como lo

play01:22

hacemos

play01:23

necesitaremos enrutar el tráfico a nivel

play01:26

de red la capa 3 ya que a nivel de

play01:28

enlace en la capa 2 la sube land están

play01:31

separadas esto lo podremos hacer

play01:33

mediante un router que soporte el puerto

play01:35

tranca y sub interfaces o mediante un

play01:38

switch de nivel 3 con el router

play01:40

simplemente lo conectaremos por el

play01:42

puerto tranca al q switch y asignaremos

play01:45

a cada uve lan una sub interfaz y será

play01:48

la tabla de enrutamiento del propio

play01:49

router la que se encarga de dirigir el

play01:51

tráfico entre las sub interfaces o

play01:53

balance si empleamos un curso de nivel 3

play01:57

crearemos múltiples interfaces virtuales

play02:00

que asignaremos a las subredes v lanz y

play02:03

con esa tabla de tratamiento de nivel 3

play02:06

del switch podremos enrutar el tráfico

play02:08

entre v lands

play02:10

por tanto ahora para el filtrado de

play02:12

paquetes en las v land se emplean listas

play02:15

de reglas cl que son iguales que las ya

play02:18

vistas a cl pero que se aplican para el

play02:21

tráfico dentro de una determinada vela

play02:23

también añadiremos reglas a cl pero a

play02:26

nivel 3 para filtrar el tráfico entre v

play02:28

lanz en el router o en el switch según

play02:31

lo que empleemos para conectarlas a

play02:34

pesar de estas medidas de seguridad un

play02:36

atacante podría saltar de una o velan a

play02:38

otra con relativa facilidad si se

play02:40

encuentra habilitado el dynamics ranking

play02:42

protocolo que permite configurar los

play02:44

puertos como puertos de acceso o puertos

play02:47

tram de forma dinámica se aconseja por

play02:50

tanto configurar inicialmente todos los

play02:52

puertos como de acceso y manualmente

play02:54

poner los que sean necesarios como

play02:56

puertos tranco deshabilitando el uso de

play02:59

dtp

play03:00

otro de los ataques que intentan saltar

play03:02

la segmentación con nube lanz es la

play03:04

inundación mack de un switch de forma

play03:07

que el atacante genera una gran cantidad

play03:09

de tráfico desde máx falsificadas lo que

play03:12

va llenando la tabla del switch que

play03:14

tiene que ir borrando las entradas

play03:16

válidas para dar paso a las nuevas

play03:17

el atacante aprovecha para suplantar la

play03:20

dirección mac de alguno de los equipos

play03:22

validados para defenderse de ese ataque

play03:24

bastaría con realizar la asignación de

play03:26

puertos amac de forma manual o estática

play03:28

y autenticar los equipos que se conecten

play03:32

no debemos olvidar proteger nuestros

play03:34

equipos de red frente a accesos remotos

play03:37

mediante contraseñas y con un control de

play03:39

acceso basado en roles de forma que

play03:41

quede registrado en todo momento que

play03:44

administración ha realizado qué cambios

play03:46

en la configuración de un curso por

play03:48

ejemplo

play03:50

existen guías de mejores prácticas

play03:52

recomendaciones incluso normativas que

play03:54

se deben cumplir al segmentar nuestra

play03:56

red en determinados casos como por

play03:58

ejemplo con los datos de las tarjetas de

play04:00

crédito o con los datos sanitarios

play04:03

también es importante analizar con

play04:05

detenimiento la legislación vigente

play04:07

cuando manejemos datos con información

play04:09

sensible

play04:11

para definir las zonas en las que vamos

play04:13

a segmentar nuestra red necesitamos

play04:15

conocer muy bien los procesos de negocio

play04:18

y qué información se intercambian de

play04:20

esta forma podremos dar a los usuarios

play04:22

acceso a los datos que necesitan para

play04:24

trabajar y nosotros siguiendo siempre la

play04:28

regla de mínimos privilegios otorgando

play04:30

siempre el mínimo privilegio al usuario

play04:32

e ir dando acceso según vaya necesitando

play04:34

una segmentación típica sería la

play04:37

propuesta en la figura donde se dispone

play04:40

de una de mz con los servicios públicos

play04:42

básicos principalmente la web otra para

play04:45

los accesos remotos por vpn otra para el

play04:48

correo electrónico otra para los

play04:50

servidores de aplicaciones otra para la

play04:52

red corporativa y otra para el centro de

play04:55

datos donde cada servidor de datos

play04:57

tendrá su propia zona por ejemplo los

play05:00

datos de tarjetas de crédito en la zona

play05:02

pc y otra forma de segmentar redes en

play05:05

lugar de utilizar velan es directamente

play05:07

con firewalls separando cada zona del

play05:10

resto con un firewall esto podría

play05:12

incrementar enormemente el número de

play05:14

dispositivos lo que repercute no sólo en

play05:16

lo estrictamente económico sino

play05:18

en espacio en el cpd aumento de

play05:20

temperatura etcétera y dificultar su

play05:23

administración aunque al gestionar zonas

play05:25

más reducidas también se simplifica a la

play05:27

sugestión la alternativa es emplear la

play05:30

virtualización de fireworks que con un

play05:32

único equipo podemos implementar varios

play05:35

firewalls para varias zonas por último

play05:37

destacar las posibilidades que las

play05:39

software defined works están abriendo en

play05:42

cuanto a micro segmentación de redes

play05:43

pudiendo analizar y filtrar el tráfico

play05:46

extremo a extremo entre dos puntos

play05:49

cualquiera siguiendo una política

play05:50

determinada esto permite no solo

play05:53

segmentar la red de una organización en

play05:56

una sede sino extender esa segmentación

play05:58

a todas las sedes por toda la web de la

play06:01

organización algo imposible de llevar a

play06:03

cabo con nube land

Voir Plus de Vidéos Connexes

Segmentación de redes I (URJCx)

Seguridad perimetral: Firewalls y DMZ (URJCx)

Enrutamiento VLAN-Subinterfaces, Vlans (Configuración Instituto)

Diseño de Redes Seguras | Gestión de la seguridad Informática | Wild IT Academy

IDS/IPS Fundamentals | Gestión de la Seguridad Informática | Wild IT Academy

Riesgos de la información

Rate This

5.0 / 5 (0 votes)

Summary
Outlines
Mindmap
Keywords
Highlights
Transcripts
Étiquettes Connexes
Seguridad de RedVLANConfiguraciónProtocolo MRPVTPDenegación de ServicioSegmentación de RedRouterSwitch de Nivel 3Control de AccesoLegislación de Datos
Besoin d'un résumé en anglais ?