Seguridad en VLANs. II

Ataque de suplantación del switch

Uno de los ataques comunes en VLANs suele ser el ataque de suplantación de switch y este se basa en que el atacante conecta un cable en un puerto del switch, que este configurado de manera predeterminada como dynamic desirable y en el extremo opuesto del cable simule un enlace troncal (802.1q) y de esta manera poder acceder a todos los paquetes de las distintas VLANs. Es por ello que se recomienda que los puertos no utilizados estén apagados con el comando shutdown y además tengan un modo acceso predefinido por el usuario, que no sea dynamic desirable.

Sigue leyendo “Seguridad en VLANs. II”

Creando y administrando VLANs. I

En algunos entornos a veces es necesario la creación de VLANs (Virtual Local Area Networks), ya que es muy común el tener varias redes separadas pero en el mismo sitio físicamente. Es decir utilizar el mismo switch, y la misma salida a Internet para las redes existentes. Cuando creamos VLANs, estamos reduciendo costos ya que las nuevas redes que creemos utilizaran los mismos segmentos de red, obtenemos un mejor rendimiento ya que en cierta medida estamos reduciendo el numero de equipos por red, y con ello conseguimos reducir los dominios de difusión (Recordemos que cuando un dispositivo de una red desea enviar un paquete en la capa 2 por broadcast, este paquete llega a todos los equipos que haya en el switch, esto se denomina Dominio de Difusión).

Tipos de VLAN

Existen distintos tipos de VLAN, estas son utilizadas en diferentes ambitos:

  • VLAN de datos: Es la vlan común utilizada por los usuarios para transportar datos; esta VLAN también es llamada VLAN de usuarios.
  • VLAN predeterminada: De manera predeterminada en todos los switch Cisco, cuando este arranca todas las interfaces del mismo pasan a formar parte de la VLAN predeterminada.
  • VLAN nativa: Esta VLAN se asigna a un puerto troncal, el cual esta designado a transportar datos de varias VLAN. Esta VLAN admite trafico con y sin etiquetado. Este etiquetado hace referencia a un campo de 4bytes en la cabecera del paquete que indica la VLAN a la cual pertenece. Cuando llega un paquete sin etiquetar se coloca en la VLAN 1, que es la VLAN predeterminada.
  • VLAN de administración: Esta puede ser cualquier VLAN que se configure para el acceso a la administración de los dispositivos. De manera predeterminada la VLAN 1, suele ser la VLAN de administración. A esta se le asigna una dirección IP y una máscara para poder acceder mediante algún protocolo de control remoto. Si se desea acceder desde fuera de la LAN habría que asignarle un Gateway.
  • VLAN de voz:  Se suele utilizar una VLAN separada para la transmisión de datos VOIP.

Sigue leyendo “Creando y administrando VLANs. I”