Proceso de Arranque del Switch

Secuencia de inicio estándar

1. Ejecución del POST (Power-On Self-Test): Se realiza un diagnóstico completo del hardware del dispositivo.
2. Ejecución del bootstrap o cargador de arranque: Este programa realiza las siguientes operaciones:
   • Inicialización de los registros de la CPU.
   • Inicialización del sistema de ficheros flash.
3. Búsqueda y carga del IOS (Internetwork Operating System):
   • En primer lugar, se comprueba si la variable de entorno BOOT contiene la ubicación del fichero del sistema operativo. Esto se puede verificar con el comando: show bootvar.
   • La variable se modifica con el comando: boot system flash:/ruta/fichero.bin.
   • Si la variable BOOT está vacía, el switch realiza una búsqueda recursiva en profundidad en el sistema de archivos flash para encontrar una imagen del IOS.
4. Búsqueda y carga del Archivo de Configuración Inicial (ACI):
   • Si existe un fichero de configuración en la NVRAM (Memoria de Acceso Aleatorio no Volátil), se ejecutan los comandos que contenga para cargar la configuración guardada.

Procedimiento de recuperación sin IOS

En caso de que la búsqueda del IOS sea infructuosa y no se encuentre ningún sistema operativo, se ejecuta una versión reducida almacenada en la ROM, siguiendo estos pasos:

1. Conectar el switch a un PC mediante el cable de consola.
2. Reiniciar el switch. A los 15 segundos, hay que pulsar el botón Mode y soltarlo solo cuando el LED haya parpadeado en verde, cambie a ámbar y vuelva a ser verde.
3. Cuando aparece la línea de comandos con el prompt switch#, ya se pueden introducir órdenes para, por ejemplo, comprobar el contenido de la memoria flash u obtener un nuevo IOS.

Indicadores LED del Switch

Pulsando sucesivamente el botón Mode, los LEDs del switch van mostrando una información diferente sobre el estado del dispositivo y sus puertos.

Configuración Básica de un Switch

Para una administración remota desde la red local, es necesario proporcionar al switch una dirección IP y una máscara de subred. Si se pretende acceder desde una red remota, hay que configurar, además, un gateway por defecto (para que los paquetes puedan volver al equipo que inició la conexión).

La IP y la máscara no se asocian a un puerto físico, sino a una SVI (Interfaz Virtual del Switch), que no es más que una VLAN (agrupación lógica de puertos físicos que forman un dominio de broadcast).

De manera predeterminada, todos los puertos se encuentran asignados a la VLAN 1, pero conviene configurar la IP en otra distinta por motivos de seguridad.

Pasos para configurar una VLAN de administración

Veamos los pasos para configurar una VLAN cualquiera (por ejemplo, la 99), suponiendo que ya se le ha asignado la IP y la máscara:

1. Asignar un nombre (por ejemplo, vlan_admin):

   S(config)# vlan 99
   S(config-vlan)# name vlan_admin

2. Vincular un puerto (por ejemplo, el Fa0/0) a dicha VLAN:

   S(config)# interface Fa0/0
   S(config-if)# switchport access vlan 99

3. Verificar su configuración (mismo comando que para las interfaces físicas):

   S# show ip interface brief

La Comunicación en un Switch

• Half-duplex: Tecnología antigua que puede producir colisiones de datos.
• Full-duplex: Impide que se produzcan colisiones, permitiendo la transmisión y recepción de datos simultáneamente. Las tecnologías de 1 Gb/s y 10 Gb/s, así como la fibra óptica, requieren que las NIC (Tarjetas de Interfaz de Red) funcionen en modo full-duplex.

Hay que tener cuidado cuando se configura manualmente, puesto que una mala configuración (un extremo en half-duplex y otro en full-duplex) puede provocar problemas en la comunicación. Tanto el modo de comunicación como la velocidad de un puerto se pueden configurar con los comandos duplex y speed en el modo de configuración de interfaz.

Auto-MDIX

Los dispositivos de red antiguos requerían un determinado tipo de cable (directo o cruzado) para conectarlos con otros dispositivos. Los dispositivos modernos, gracias a la característica Auto-MDIX, pueden adaptarse automáticamente según el cable que tengan conectado. Cuando se usa Auto-MDIX, la velocidad y el modo dúplex deben estar configurados también en auto.

Diagnóstico de Problemas en la Capa de Acceso

Los problemas en la capa de acceso se pueden detectar gracias a la información que produce la salida del comando show interfaces.

Interpretación del estado del protocolo de línea

• <puerto> is up; line protocol is up: Indica que la interfaz está funcionando correctamente tanto a nivel físico (Capa 1) como de enlace de datos (Capa 2).
• <puerto> is up; line protocol is down: Indica que la capa 1 funciona correctamente, pero hay fallos en la capa 2 (errores de encapsulación o problemas de hardware, normalmente).
• <puerto> is down; line protocol is down: Indica que la interfaz no está funcionando, debido a errores en la capa 1 (cable desconectado, por ejemplo).
• <puerto> is administratively down; line protocol is down: Indica que la interfaz ha sido desactivada por el administrador mediante el comando shutdown.

Errores comunes de interfaz

• Input errors: Muestra el número total de errores al recibir paquetes desde la red, incluyendo runts (tramas más cortas de lo permitido), giants (tramas más largas de lo permitido) y errores CRC (código de redundancia cíclica).
• Output errors: Muestra el número total de errores al enviar paquetes a la red, debido a colisiones (solo deberían aparecer en modo half-duplex) y colisiones tardías (aquellas que se producen después de haber enviado los primeros 64 bytes de la trama). Estas últimas se deben a una longitud excesiva de los cables o a tener configurado un extremo de un cable con half-duplex y el otro con full-duplex.

Resolución de Problemas y Administración Segura

Configuración de SSH

SSH (Secure Shell) es un protocolo similar a Telnet, pero usa el puerto 22 y, entre otras cosas, cifra la conexión, haciéndola segura. Un dispositivo Cisco soporta SSH si el nombre del fichero IOS contiene la cadena k9 (visible con show version) o bien si reconoce el comando show ip ssh (que muestra la versión y la configuración de SSH).

Es fundamental utilizar la versión 2 de SSH, ya que la versión 1 tiene vulnerabilidades de seguridad conocidas.

Ataques de Seguridad Frecuentes

• Saturación de direcciones MAC: Consiste en enviar tramas con direcciones MAC de origen y destino falsas hasta saturar la memoria del switch. En ese momento, el switch entra en un modo denominado «fail-open», que hace que funcione como un hub, reenviando todo el tráfico por todos sus puertos. Este ataque se puede atajar configurando la seguridad de los puertos.
• Suplantación de identidad DHCP (DHCP Spoofing): El primer paso consiste en agotar las direcciones que ofrece el servidor DHCP autorizado mediante peticiones falsas, consiguiendo así una denegación del servicio (DoS). En un segundo paso, el atacante instalaría un servidor falso para atender las solicitudes de los clientes, para obligarlos a utilizar un servidor DNS falso o incluso un gateway predeterminado del propio atacante. De esta forma, el ataque de suplantación quedaría completado. La contramedida es el DHCP Snooping.
• Ataque a CDP (Cisco Discovery Protocol): Es un protocolo de capa 2 propietario de Cisco, que está activado por defecto y envía información sobre el dispositivo, su configuración IP, la versión del IOS, la plataforma, etc. Esta información se puede utilizar para realizar ataques de denegación de servicio (DoS). Por seguridad, conviene desactivarlo en los puertos que no lo necesitan.
• Ataque a Telnet: Con un sniffer de red se pueden capturar las claves que se envían cuando se utiliza Telnet, ya que no encripta la conexión. Existen herramientas para realizar ataques de descodificación de claves por diccionario y por fuerza bruta. Es conveniente tener claves de suficiente longitud y cambiarlas periódicamente. Por otro lado, versiones antiguas del IOS incluyen una vulnerabilidad que permite hacer DoS a Telnet. Conviene actualizar con parches de seguridad el IOS para corregir este agujero de seguridad.

Medidas de Protección

Inhabilitar puertos en desuso

Para evitar que ciertos usuarios puedan conectar sus equipos a los puertos del switch para acceder a la red, conviene inhabilitar dichos puertos. Para ello se usa el comando shutdown. Si hay que aplicar este comando a varios puertos a la vez, se puede hacer de la forma siguiente para un rango de puertos (por ejemplo, F0/0 a F0/24):

S(config)# interface range f0/0 - 24
S(config-if-range)# shutdown

Snooping de DHCP

Consiste en identificar qué puertos pueden recibir todos los mensajes DHCP y cuáles solo pueden enviar solicitudes, para configurarlos como confiables o no confiables respectivamente. Si desde un puerto no confiable se envía una oferta DHCP, el puerto se desactiva. Opcionalmente, también se puede limitar la velocidad a la que se envían solicitudes (para evitar ataques de agotamiento de IPs) con el comando ip dhcp snooping limit rate.

Seguridad de Puertos (Port Security)

Los puertos pueden configurarse para que solo puedan utilizarlos un número determinado de direcciones MAC. Existen tres modos de configuración distintos:

• MAC seguras estáticas: Se almacenan en el archivo de configuración y se configuran manualmente con el comando:
  S(config-if)# switchport port-security mac-address <MAC>
• MAC seguras dinámicas: El switch las aprende dinámicamente y no se almacenan en la configuración al reiniciar.
• MAC seguras persistentes (Sticky): El switch aprende las MAC dinámicamente, pero las almacena en el archivo de configuración. Se activa con:
  S(config-if)# switchport port-security mac-address sticky

Acciones por Violación de Seguridad

Cuando el switch detecta que se ha violado la seguridad establecida en los puertos, puede tomar una de las siguientes acciones:

• Protect: Se descartan los paquetes con MACs desconocidas y no se notifica de la situación.
• Restrict: También se descartan los paquetes con MACs desconocidas, pero sí se notifica (envía un mensaje de log y aumenta el contador de violaciones).
• Shutdown: El puerto se inhabilita (estado err-disabled), se apaga el LED y se registra la situación. Para volver a habilitar el puerto, hay que reiniciarlo ejecutando los comandos shutdown y no shutdown.

Para configurar estas acciones, se utiliza el comando:

S(config-if)# switchport port-security violation {protect | restrict | shutdown}

Verificación de la Seguridad de Puertos

Para verificar la configuración establecida en una interfaz (por ejemplo, Fa0/1), se utiliza el comando:

S# show port-security interface Fa0/1

Para visualizar todas las MACs configuradas como seguras, se usa el comando:

S# show port-security address

Protocolo de Hora de Red (NTP)

Es muy importante que los dispositivos de una red tengan la hora correcta y que estén sincronizados entre sí, sobre todo para lo referente a las auditorías y la correlación de eventos de seguridad. Para ello existe el protocolo NTP, que puede hacer funcionar un determinado dispositivo como servidor o como cliente de hora.

• Para configurar un dispositivo como servidor de hora NTP, se ejecuta:
  R1(config)# ntp master 1
• Para asociar un cliente a un servidor NTP con IP 10.0.0.1:
  R2(config)# ntp server 10.0.0.1
• Para ver las asociaciones creadas, se ejecuta:
  R2# show ntp associations
• Para ver el estado de la sincronización, se ejecuta:
  R2# show ntp status