Segmentación de redes II (URJCx)
Summary
TLDREl guion habla sobre la configuración de switches en redes VLAN, destacando la utilidad de la aplicación MvRP y el protocolo MRP para la propagación de información. Se recomienda desactivar VTP por seguridad y configurar manualmente para evitar ataques. Se discute la necesidad de enrutar tráfico entre VLAN a nivel 3 y el uso de reglas ACL tanto a nivel 2 como 3 para filtrar paquetes. Se menciona la importancia de proteger contra ataques como la inundación MAC y la segmentación de red con firewalls y SDW para micro-segmentación avanzada.
Takeaways
- 🔄 Para configurar switches con información de VLANs, se puede hacer manualmente o utilizar la aplicación MvRP que emplea el protocolo M-RP para propagar la información.
- ⚠️ Se recomienda desactivar VTP debido a los riesgos de seguridad, como la propagación de información falsa que puede causar un ataque de denegación de servicio.
- 🚫 No se deben enviar datos por VLAN 1, y se sugiere asignar puertos a una VLAN especial para el tráfico de usuario.
- 🔄 Para enviar datos de una VLAN a otra, es necesario enrutar el tráfico a nivel de red (capa 3) ya que a nivel de enlace (capa 2) las VLANs están separadas.
- 🔌 Se pueden usar routers con soporte para puertos trunk y subinterfaces o switches de nivel 3 para conectar VLANs y enrutar tráfico entre ellas.
- 🛡️ Se emplean listas de reglas ACL (Access Control Lists) para filtrar paquetes dentro de una VLAN y también se añaden reglas a nivel 3 para filtrar tráfico entre VLANs.
- 🚫 Se debe evitar el uso de Dynamic Trunking Protocol (DTP) para prevenir que un atacante salte de una VLAN a otra.
- 🔒 Se recomienda realizar la asignación de puertos MAC de forma manual o estática y autenticar los equipos para protegerse de ataques de inundación MAC.
- 🔒 Es importante proteger los equipos de red frente a accesos remotos mediante contraseñas y control de acceso basado en roles.
- 📚 Se deben conocer bien los procesos de negocio y la información intercambiada para segmentar la red de manera efectiva siguiendo la regla de mínimos privilegios.
- 🌐 Las Software Defined Networks (SDN) ofrecen posibilidades para la micro-segmentación de redes, permitiendo analizar y filtrar tráfico de extremo a extremo siguiendo políticas específicas.
Q & A
¿Cómo se pueden configurar los switches con información de VLANs?
-Se pueden configurar manualmente o utilizando la aplicación MvRP, que emplea el protocolo MvRP para propagar la información de VLANs a través de la red desde un switch.
¿Por qué se recomienda desactivar el protocolo VTP de Cisco?
-Se recomienda desactivar VTP debido al riesgo de que un atacante utilice ese protocolo para propagar información falsa, lo que podría provocar un fallo generalizado de la red y una denegación de servicio.
¿Cuál es la práctica recomendada para la asignación de puertos en un switch?
-Se recomienda no enviar datos por VLAN 1 y asignar todos los puertos a diferentes VLANs. Los puertos que se utilicen deben asignarse a una VLAN específica, como por ejemplo la VLAN 99.
¿Cómo se realiza la comunicación entre VLANs a nivel de red?
-Para comunicar entre VLANs a nivel de red, se requiere enrutar el tráfico a nivel de capa 3, utilizando un router que soporte el puerto trunk y subinterfaces o un switch de nivel 3.
¿Qué es un router que soporte subinterfaces y cómo se utiliza?
-Un router que soporte subinterfaces permite crear múltiples interfaces virtuales y asignarlas a las subredes VLAN. La tabla de enrutamiento del router dirigirá el tráfico entre estas subinterfaces.
¿Qué son las listas de reglas ACL y cómo se aplican en las VLANs?
-Las listas de reglas ACL son iguales a las ACL vistas previamente pero se aplican para el tráfico dentro de una determinada VLAN, permitiendo el filtrado de paquetes.
¿Cómo se pueden proteger las VLANs de ataques que buscan saltar de una VLAN a otra?
-Se puede proteger configurando inicialmente todos los puertos como de acceso y manualmente asignando los puertos trunk, deshabilitando el uso de DTP para evitar que un atacante salte de una VLAN a otra.
¿Qué ataque es la inundación MAC y cómo se defiende?
-La inundación MAC es un ataque que genera una gran cantidad de tráfico con MACs falsificadas, llenando la tabla del switch. Se defiende realizando la asignación de puertos MAC de forma manual o estática y autenticando los equipos que se conecten.
¿Por qué es importante proteger los equipos de red frente a accesos remotos?
-Es importante proteger los equipos de red para evitar que se realicen cambios no autorizados en la configuración y para mantener la seguridad de la información, utilizando contraseñas y un control de acceso basado en roles.
¿Qué son las guías de mejores prácticas y por qué son importantes al segmentar una red?
-Las guías de mejores prácticas son recomendaciones y normas que se deben cumplir al segmentar una red, especialmente cuando se manejan datos sensibles, para garantizar la seguridad y la conformidad con la legislación vigente.
¿Qué es la microsegmentación de redes y cómo se puede lograr con las software defined networks?
-La microsegmentación de redes es la capacidad de analizar y filtrar el tráfico extremo a extremo entre dos puntos, siguiendo una política determinada. Las software defined networks permiten lograr esto, lo que no solo segmenta la red de una sede sino que también puede extender esa segmentación a todas las sedes de la organización.
Outlines
🔌 Configuración de Switches y Seguridad de Red
El primer párrafo trata sobre cómo configurar switches en una red y la importancia de la seguridad. Se menciona la aplicación MV RP que utiliza el protocolo M RP para propagar información, y se compara con VTP, recomendando la desactivación de este último debido a riesgos de ataques. También se discute la asignación de puertos a VLANs y la necesidad de enrutamiento de nivel 3 para comunicar diferentes VLANs, utilizando routers o switches de nivel 3. Se sugiere el uso de listas de reglas de control de lista (ACL) para filtrar tráfico dentro de una VLAN y entre VLANs en el nivel 3. Además, se menciona la protección contra ataques como el salto de VLAN y la inundación MAC, y la importancia de seguir prácticas recomendadas y normativas al segmentar redes, especialmente con datos sensibles.
🚧 Segmentación de Redes con Firewalls y Soluciones SDN
El segundo párrafo se enfoca en alternativas a la segmentación de redes mediante VLANs. Se habla de la posibilidad de usar firewalls para separar áreas de la red, lo que podría incrementar el número de dispositivos y desafíos relacionados. Sin embargo, también se presenta la virtualización de firewalls como una solución para implementar múltiples firewalls con un solo equipo. Finalmente, se destaca la revolución en segmentación de redes por medio de las Soluciones Definidas por Software (SDN), las cuales permiten una micro-segmentación y el análisis y filtrado de tráfico de extremo a extremo, facilitando la segmentación en todas las sedes de una organización, algo que no es factible con VLANs.
Mindmap
Keywords
💡Switches
💡VLAN (Virtual Local Area Network)
💡MV RP (Multicast VLAN Registration Protocol)
💡VTP (VLAN Trunking Protocol)
💡Denegación de Servicio (DoS)
💡Puertos de acceso y de troncal
💡Router
💡Subinterfaces
💡Filtrado de paquetes
💡DTP (Dynamic Trunking Protocol)
💡Inundación MAC (MAC Flooding)
💡SDN (Software Defined Networking)
Highlights
Configuración de switches con información de VLAN manual o a través de la aplicación Mv RP que utiliza el protocolo M RP.
Cisco tiene su propio protocolo VTP para la gestión de VLAN, pero se recomienda desactivarlo por seguridad.
Riesgo de ataques que usan protocolos para propagar información falsa y causar fallos en la red.
Asignación de puertos en un curso IT's a VLAN nativo, normalmente VLAN 1, pero se sugiere no utilizarlo para el tráfico.
Necesidad de enrutar tráfico a nivel de red capa 3 cuando se envían datos entre VLANs.
Uso de un router o switch de nivel 3 para conectar VLANs a través de subinterfaces.
Filtrado de paquetes en VLANs utilizando listas de reglas ACL que se aplican dentro de una VLAN específica.
Añadiendo reglas ACL a nivel 3 para filtrar tráfico entre VLANs en routers o switches.
Protección contra ataques que saltan de una VLAN a otra desactivando el protocolo Dynamic Trunking Protocol (DTP).
Inundación MAC como ataque para llenar la tabla de un switch y suplantar direcciones MAC.
Defensa contra ataques de inundación MAC mediante la asignación manual o estática de puertos y autenticación de equipos.
Importancia de proteger equipos de red con contraseñas y control de acceso basado en roles.
Seguimiento de cambios en la configuración de red y cumplimiento de guías de prácticas recomendadas y normativas.
Análisis de la legislación vigente para segmentar red en casos de datos sensibles como tarjetas de crédito o datos sanitarios.
Conocimiento de los procesos de negocio para segmentar la red y aplicar el principio de mínimos privilegios.
Propuesta de una segmentación típica de red con diferentes VLANs para servicios públicos, accesos remotos, correo electrónico, servidores de aplicaciones, red corporativa y centro de datos.
Uso de firewalls para segmentar redes en lugar de VLANs, lo que podría aumentar el número de dispositivos y dificultar la administración.
Ventajas de la virtualización de firewalls para implementar múltiples firewalls con un solo equipo.
Oportunidades de las software defined networks (SDN) en la microsegmentación de redes para analizar y filtrar tráfico extremo a extremo.
Transcripts
i
como configuramos todos los switches con
la información de las v land se podría
hacer manualmente pero también se
dispone de la aplicación mv rp que
emplea el protocolo m rp para propagar
por la red desde un switch los
identificadores de la sub el an cisco
por ejemplo tiene su propio protocolo
vtp para esta labor pero recomienda
desactivarlo
y hacer la configuración manualmente
debido al riesgo de que un atacante
emplee ese protocolo para propagar
información falsa que provoque un fallo
generalizado de la red y por tanto una
denegación de servicio por defecto los
puertos en un curso it's vienen
asignados a la ub la nativa normalmente
v land 1 pero se recomienda no enviar
datos por eso velan por lo que una vez
asignados todos los puertos a diferentes
sub velan los puertos que nos emplean se
deben asignar a una vela en especial por
ejemplo la ub la 99 y cuando queremos
enviar datos de una vela a otra como lo
hacemos
necesitaremos enrutar el tráfico a nivel
de red la capa 3 ya que a nivel de
enlace en la capa 2 la sube land están
separadas esto lo podremos hacer
mediante un router que soporte el puerto
tranca y sub interfaces o mediante un
switch de nivel 3 con el router
simplemente lo conectaremos por el
puerto tranca al q switch y asignaremos
a cada uve lan una sub interfaz y será
la tabla de enrutamiento del propio
router la que se encarga de dirigir el
tráfico entre las sub interfaces o
balance si empleamos un curso de nivel 3
crearemos múltiples interfaces virtuales
que asignaremos a las subredes v lanz y
con esa tabla de tratamiento de nivel 3
del switch podremos enrutar el tráfico
entre v lands
por tanto ahora para el filtrado de
paquetes en las v land se emplean listas
de reglas cl que son iguales que las ya
vistas a cl pero que se aplican para el
tráfico dentro de una determinada vela
también añadiremos reglas a cl pero a
nivel 3 para filtrar el tráfico entre v
lanz en el router o en el switch según
lo que empleemos para conectarlas a
pesar de estas medidas de seguridad un
atacante podría saltar de una o velan a
otra con relativa facilidad si se
encuentra habilitado el dynamics ranking
protocolo que permite configurar los
puertos como puertos de acceso o puertos
tram de forma dinámica se aconseja por
tanto configurar inicialmente todos los
puertos como de acceso y manualmente
poner los que sean necesarios como
puertos tranco deshabilitando el uso de
dtp
otro de los ataques que intentan saltar
la segmentación con nube lanz es la
inundación mack de un switch de forma
que el atacante genera una gran cantidad
de tráfico desde máx falsificadas lo que
va llenando la tabla del switch que
tiene que ir borrando las entradas
válidas para dar paso a las nuevas
el atacante aprovecha para suplantar la
dirección mac de alguno de los equipos
validados para defenderse de ese ataque
bastaría con realizar la asignación de
puertos amac de forma manual o estática
y autenticar los equipos que se conecten
no debemos olvidar proteger nuestros
equipos de red frente a accesos remotos
mediante contraseñas y con un control de
acceso basado en roles de forma que
quede registrado en todo momento que
administración ha realizado qué cambios
en la configuración de un curso por
ejemplo
existen guías de mejores prácticas
recomendaciones incluso normativas que
se deben cumplir al segmentar nuestra
red en determinados casos como por
ejemplo con los datos de las tarjetas de
crédito o con los datos sanitarios
también es importante analizar con
detenimiento la legislación vigente
cuando manejemos datos con información
sensible
para definir las zonas en las que vamos
a segmentar nuestra red necesitamos
conocer muy bien los procesos de negocio
y qué información se intercambian de
esta forma podremos dar a los usuarios
acceso a los datos que necesitan para
trabajar y nosotros siguiendo siempre la
regla de mínimos privilegios otorgando
siempre el mínimo privilegio al usuario
e ir dando acceso según vaya necesitando
una segmentación típica sería la
propuesta en la figura donde se dispone
de una de mz con los servicios públicos
básicos principalmente la web otra para
los accesos remotos por vpn otra para el
correo electrónico otra para los
servidores de aplicaciones otra para la
red corporativa y otra para el centro de
datos donde cada servidor de datos
tendrá su propia zona por ejemplo los
datos de tarjetas de crédito en la zona
pc y otra forma de segmentar redes en
lugar de utilizar velan es directamente
con firewalls separando cada zona del
resto con un firewall esto podría
incrementar enormemente el número de
dispositivos lo que repercute no sólo en
lo estrictamente económico sino
en espacio en el cpd aumento de
temperatura etcétera y dificultar su
administración aunque al gestionar zonas
más reducidas también se simplifica a la
sugestión la alternativa es emplear la
virtualización de fireworks que con un
único equipo podemos implementar varios
firewalls para varias zonas por último
destacar las posibilidades que las
software defined works están abriendo en
cuanto a micro segmentación de redes
pudiendo analizar y filtrar el tráfico
extremo a extremo entre dos puntos
cualquiera siguiendo una política
determinada esto permite no solo
segmentar la red de una organización en
una sede sino extender esa segmentación
a todas las sedes por toda la web de la
organización algo imposible de llevar a
cabo con nube land
浏览更多相关视频
Segmentación de redes I (URJCx)
Seguridad perimetral: Firewalls y DMZ (URJCx)
Enrutamiento VLAN-Subinterfaces, Vlans (Configuración Instituto)
Diseño de Redes Seguras | Gestión de la seguridad Informática | Wild IT Academy
IDS/IPS Fundamentals | Gestión de la Seguridad Informática | Wild IT Academy
Riesgos de la información
5.0 / 5 (0 votes)