Segmentación de redes II (URJCx)

universidadurjc

29 Feb 201606:08

Summary

TLDREl guion habla sobre la configuración de switches en redes VLAN, destacando la utilidad de la aplicación MvRP y el protocolo MRP para la propagación de información. Se recomienda desactivar VTP por seguridad y configurar manualmente para evitar ataques. Se discute la necesidad de enrutar tráfico entre VLAN a nivel 3 y el uso de reglas ACL tanto a nivel 2 como 3 para filtrar paquetes. Se menciona la importancia de proteger contra ataques como la inundación MAC y la segmentación de red con firewalls y SDW para micro-segmentación avanzada.

Takeaways

🔄 Para configurar switches con información de VLANs, se puede hacer manualmente o utilizar la aplicación MvRP que emplea el protocolo M-RP para propagar la información.
⚠️ Se recomienda desactivar VTP debido a los riesgos de seguridad, como la propagación de información falsa que puede causar un ataque de denegación de servicio.
🚫 No se deben enviar datos por VLAN 1, y se sugiere asignar puertos a una VLAN especial para el tráfico de usuario.
🔄 Para enviar datos de una VLAN a otra, es necesario enrutar el tráfico a nivel de red (capa 3) ya que a nivel de enlace (capa 2) las VLANs están separadas.
🔌 Se pueden usar routers con soporte para puertos trunk y subinterfaces o switches de nivel 3 para conectar VLANs y enrutar tráfico entre ellas.
🛡️ Se emplean listas de reglas ACL (Access Control Lists) para filtrar paquetes dentro de una VLAN y también se añaden reglas a nivel 3 para filtrar tráfico entre VLANs.
🚫 Se debe evitar el uso de Dynamic Trunking Protocol (DTP) para prevenir que un atacante salte de una VLAN a otra.
🔒 Se recomienda realizar la asignación de puertos MAC de forma manual o estática y autenticar los equipos para protegerse de ataques de inundación MAC.
🔒 Es importante proteger los equipos de red frente a accesos remotos mediante contraseñas y control de acceso basado en roles.
📚 Se deben conocer bien los procesos de negocio y la información intercambiada para segmentar la red de manera efectiva siguiendo la regla de mínimos privilegios.
🌐 Las Software Defined Networks (SDN) ofrecen posibilidades para la micro-segmentación de redes, permitiendo analizar y filtrar tráfico de extremo a extremo siguiendo políticas específicas.

Q & A

¿Cómo se pueden configurar los switches con información de VLANs?
-Se pueden configurar manualmente o utilizando la aplicación MvRP, que emplea el protocolo MvRP para propagar la información de VLANs a través de la red desde un switch.
¿Por qué se recomienda desactivar el protocolo VTP de Cisco?
-Se recomienda desactivar VTP debido al riesgo de que un atacante utilice ese protocolo para propagar información falsa, lo que podría provocar un fallo generalizado de la red y una denegación de servicio.
¿Cuál es la práctica recomendada para la asignación de puertos en un switch?
-Se recomienda no enviar datos por VLAN 1 y asignar todos los puertos a diferentes VLANs. Los puertos que se utilicen deben asignarse a una VLAN específica, como por ejemplo la VLAN 99.
¿Cómo se realiza la comunicación entre VLANs a nivel de red?
-Para comunicar entre VLANs a nivel de red, se requiere enrutar el tráfico a nivel de capa 3, utilizando un router que soporte el puerto trunk y subinterfaces o un switch de nivel 3.
¿Qué es un router que soporte subinterfaces y cómo se utiliza?
-Un router que soporte subinterfaces permite crear múltiples interfaces virtuales y asignarlas a las subredes VLAN. La tabla de enrutamiento del router dirigirá el tráfico entre estas subinterfaces.
¿Qué son las listas de reglas ACL y cómo se aplican en las VLANs?
-Las listas de reglas ACL son iguales a las ACL vistas previamente pero se aplican para el tráfico dentro de una determinada VLAN, permitiendo el filtrado de paquetes.
¿Cómo se pueden proteger las VLANs de ataques que buscan saltar de una VLAN a otra?
-Se puede proteger configurando inicialmente todos los puertos como de acceso y manualmente asignando los puertos trunk, deshabilitando el uso de DTP para evitar que un atacante salte de una VLAN a otra.
¿Qué ataque es la inundación MAC y cómo se defiende?
-La inundación MAC es un ataque que genera una gran cantidad de tráfico con MACs falsificadas, llenando la tabla del switch. Se defiende realizando la asignación de puertos MAC de forma manual o estática y autenticando los equipos que se conecten.
¿Por qué es importante proteger los equipos de red frente a accesos remotos?
-Es importante proteger los equipos de red para evitar que se realicen cambios no autorizados en la configuración y para mantener la seguridad de la información, utilizando contraseñas y un control de acceso basado en roles.
¿Qué son las guías de mejores prácticas y por qué son importantes al segmentar una red?
-Las guías de mejores prácticas son recomendaciones y normas que se deben cumplir al segmentar una red, especialmente cuando se manejan datos sensibles, para garantizar la seguridad y la conformidad con la legislación vigente.
¿Qué es la microsegmentación de redes y cómo se puede lograr con las software defined networks?
-La microsegmentación de redes es la capacidad de analizar y filtrar el tráfico extremo a extremo entre dos puntos, siguiendo una política determinada. Las software defined networks permiten lograr esto, lo que no solo segmenta la red de una sede sino que también puede extender esa segmentación a todas las sedes de la organización.