Capítulo 11: Cambiar

configuración de seguridad
Switching, Routing and
Wireless Essentials v7.0
(SRWE)
Objetivos del Capítulo
Título del Capítulo: Cambiar configuración de seguridad

Objetivo del Capítulo: Configurar la seguridad del switch para mitigar los ataques LAN

Título del tema Objetivo del tema

Implementar seguridad de Implemente la seguridad del puerto para mitigar los ataques de la
puertos tabla de direcciones MAC.
Explicar cómo configurar DTP y VLAN nativa para mitigar los
Mitigar los ataques de VLAN
ataques de VLAN.
Explicar cómo configurar la inspección DHCP para mitigar los
Mitigar ataques DHCP
ataques DHCP.
Explicar cómo configurar la inspección ARP para mitigar los ataques
Mitigar los ataques ARP
ARP.
Explicar cómo configurar PortFast y BPDU Guard para mitigar los
Mitigar los ataques STP
ataques STP.
11.1 Implementar seguridad
de puertos

© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3
Implement Port Security
Puertos seguros no utilizados
Los ataques de capa 2 son algunos de los más fáciles de implementar para los piratas
informáticos, pero estas amenazas también pueden mitigarse con algunas soluciones
comunes de capa 2.

 Todos los puertos del switch (interfaces) deben asegurarse antes de que el switch se
implemente para uso de producción. Cómo se asegura un puerto depende de su función.

 Un método simple que utilizan muchos administradores para ayudar a proteger la red del
acceso no autorizado es deshabilitar todos los puertos no utilizados en un switch. Navegue
a cada puerto no utilizado y emita el comando shutdown Cisco IOS. Si un puerto debe
reactivarse más tarde, se puede habilitar con el comando no shutdown.

Para configurar un rango de puertos, use el comando de interface range.

Switch(config)# interface range type module/first-number – last-number

Implement Port Security
Mitigue los ataques de la tabla de direcciones MAC
El método más simple y efectivo para prevenir ataques de desbordamiento de la
tabla de direcciones MAC es habilitar la seguridad del puerto.
• La seguridad del puerto limita la cantidad de direcciones MAC válidas permitidas
en un puerto. Permite a un administrador configurar manualmente las
direcciones MAC para un puerto o permitir que el switch aprenda dinámicamente
un número limitado de direcciones MAC. Cuando un puerto configurado con
seguridad de puerto recibe un marco, la dirección MAC de origen del marco se
compara con la lista de direcciones MAC de origen seguro que se configuraron
manualmente o se aprendieron dinámicamente en el puerto.
• Al limitar el número de direcciones MAC permitidas en un puerto a uno, la
seguridad del puerto se puede utilizar para controlar el acceso no autorizado a la
red.
Implement Port Security
Activar seguridad de puertos
La seguridad del puerto se habilita con el comando de configuración de la interfaz switchport
port-security.

Observe que, en el ejemplo, el comando switchport port-security fue rechazado. Esto se debe a
que la seguridad del puerto solo se puede configurar en puertos de acceso configurados
manualmente o puertos troncales configurados manualmente. De manera predeterminada, los
puertos del switch de capa 2 están configurados en automático dinámico (conexión activada). Por
lo tanto, en el ejemplo, el puerto se configura con el comando de configuración de la interfaz
switchport mode access.

Nota: la seguridad del puerto troncal está más allá del alcance de este curso.
Implement Port Security
Activar seguridad de puertos (Cont.)
Use el comando show port-security interface para
mostrar la configuración de seguridad del puerto actual
para FastEthernet 0/1.

 Observe cómo se habilita la seguridad del puerto, el

modo de violación se cierra y cómo el número máximo
de direcciones MAC es 1.

 Si un dispositivo está conectado al puerto, el switch

agregará automáticamente la dirección MAC del
dispositivo como una MAC segura. En este ejemplo,
ningún dispositivo está conectado al puerto.

Nota: Si un puerto activo está configurado con

el comando switchport port-security y más de un
dispositivo está conectado a ese puerto, el puerto
pasará al estado de error desactivado.
Implement Port Security
Activar seguridad de puertos (Cont.)
Después de habilitar la seguridad del puerto, se pueden configurar otros detalles de
seguridad del puerto, como se muestra en el ejemplo.
Implement Port Security
Limite y aprendizaje de direcciones MAC
Para establecer la cantidad máxima de direcciones MAC permitidas en un puerto,
use el siguiente comando:
Switch(config-if)# switchport port-security maximum value

• El valor de seguridad del puerto predeterminado es 1.

• El número máximo de direcciones MAC seguras que se pueden configurar
depende del switch y del IOS.
• En este ejemplo, el máximo es 8192.
Implement Port Security
Limite y aprendizaje de direcciones MAC (Cont.)
El switch se puede configurar para obtener información sobre las direcciones MAC en
un puerto seguro de una de estas tres maneras:
1. Configuración manual: el administrador configura manualmente una dirección MAC
estática mediante el siguiente comando para cada dirección MAC segura en el puerto:
Switch(config-if)# switchport port-security mac-address mac-address
2. Aprendizaje dinámico: cuando se ingresa el comando switchport port-security, la
fuente MAC actual para el dispositivo conectado al puerto se asegura automáticamente
pero no se agrega a la configuración en ejecución. Si se reinicia el switch, el puerto
tendrá que volver a aprender la dirección MAC del dispositivo.
3. Aprendizaje dinámico: permanente: el administrador puede habilitar el switch para
aprender dinámicamente la dirección MAC y "adherirla" a la configuración en ejecución
mediante el siguiente comando::
Switch(config-if)# switchport port-security mac-address sticky

Guardar la configuración en ejecución confirmará la dirección

MAC aprendida dinámicamente en NVRAM.
Implement Port Security
Limite y aprendizaje de direcciones MAC (Cont.)
El ejemplo muestra una configuración de
seguridad de puerto completa para
FastEthernet 0/1.
• El administrador especifica un
máximo de 4 direcciones MAC,
configura manualmente una dirección
MAC segura y luego configura el puerto
para aprender dinámicamente
direcciones MAC seguras adicionales
hasta el máximo de 4 direcciones MAC
seguras.
• Use los comandos show port-
security interface y show port-
security address para verificar la
configuración.
Implement Port Security
Vencimiento de Seguridad de puertos
El envejecimiento de la seguridad de los puertos se puede usar para establecer el
tiempo de envejecimiento de las direcciones seguras estáticas y dinámicas en un
puerto y se admiten dos tipos de envejecimiento por puerto:
Absoluta: las direcciones seguras en el puerto se eliminan después del tiempo de
caducidad especificado.
Inactividad: las direcciones seguras en el puerto se eliminan si están inactivas durante
un tiempo específico.
Use el envejecimiento para eliminar las direcciones MAC seguras en un puerto seguro
sin eliminar manualmente las direcciones MAC seguras existentes.
• El envejecimiento de las direcciones seguras configuradas estáticamente se puede
habilitar o deshabilitar por puerto.
Switch(config-if)# switchport port-security aging {static | time time | type {absolute | inactivity}}

Use switchport port-security aging para habilitar o deshabilitar el envejecimiento

estático para el puerto seguro, o para establecer el tiempo o el tipo de vencimiento.
Implement Port Security
Vencimiento de Seguridad de puertos (Cont.)
El ejemplo muestra a un
administrador configurando el
tipo de envejecimiento a 10
minutos de inactividad.
El comando show port-
security confirma los cambios.
.
Implement Port Security
Modos de infracción de seguridad de puerto
Si la dirección MAC de un dispositivo conectado a un puerto difiere de la lista de direcciones
seguras, se produce una violación del puerto y el puerto entra en estado de error desactivado.
• Para configurar el modo de violación de seguridad del puerto, use el siguiente comando:
Switch(config-if)# switchport port-security violation {shutdown | restrict | protect}

La siguiente tabla muestra cómo reacciona un switch en función del modo de infracción
configurado..
Modo Descripción
El puerto pasa al estado de error desactivado de inmediato, apaga el LED del puerto y envía un mensaje de
Shutdown registro del sistema. Incrementa el contador de violaciones. Cuando un puerto seguro está en estado de error
(defecto) desactivado, un administrador debe volver a habilitarlo ingresando los comandos de shutdown y no
shutdown.
El puerto descarta paquetes con direcciones de origen desconocidas hasta que elimine un número suficiente
restringir de direcciones MAC seguras para colocar por debajo del valor máximo o aumentar el valor máximo. Este
modo hace que el contador de Infracción de seguridad se incremente y genera un mensaje de syslog.
Este es el menos seguro de los modos de violación de seguridad. El puerto descarta paquetes con
direcciones de origen MAC desconocidas hasta que elimine un número suficiente de direcciones MAC
proteger
seguras para colocar por debajo del valor máximo o aumentar el valor máximo. No se envía ningún mensaje
de syslog.
Implement Port Security
Modos de infracción de seguridad de puerto (Cont.)
El ejemplo muestra a un administrador
cambiando la violación de seguridad a
"Restringir".

El resultado del comando show port-

security interface confirma que se ha
realizado el cambio.
Implement Port Security
Puertos en estado de error desactivado
Cuando un puerto se apaga y se coloca en estado de error desactivado, no se
envía ni recibe tráfico en ese puerto.
Una serie de mensajes relacionados con la seguridad del puerto se muestran en la
consola, como se muestra en el siguiente ejemplo.
Nota: El protocolo del puerto y el estado del enlace se cambian a inactivo y el LED
del puerto se apaga.
Implement Port Security
Puertos en estado de error desactivado (Cont.)
 En el ejemplo, el comando show
interface identifica el estado del puerto como err-
disabled . El resultado del comando show port-
security interface ahora muestra el estado del
puerto como secure-shutdown. El contador de
Infracción de seguridad aumenta en 1.

 El administrador debe determinar qué causó la

violación de seguridad Si un dispositivo no
autorizado está conectado a un puerto seguro, la
amenaza de seguridad se elimina antes de volver
a habilitar el puerto.

 Para volver a habilitar el puerto, primero use

el comando shutdown, luego, use el comando no
shutdown.
Implement Port Security
Verificar seguridad de puertos
Después de configurar la seguridad del puerto en un switch, verifique cada interfaz
para verificar que la seguridad del puerto esté configurada correctamente y asegúrese
de que las direcciones MAC estáticas se hayan configurado correctamente.
Para mostrar la configuración de seguridad del puerto para el switch, use el comando
show port-security.

• El ejemplo indica que las 24 interfaces

están configuradas con el comando
switchport port-security porque el
máximo permitido es 1 y el modo de
violación está apagado.
• No hay dispositivos conectados, por lo
tanto, el CurrentAddr (Count) es 0 para
cada interfaz.
Implement Port Security
Verificar seguridad de puertos (Cont.)
Use el comando show port-
security interface para ver
detalles de una interfaz
específica, como se muestra
anteriormente y en este ejemplo.
Implement Port Security
Verificar seguridad de puertos (Cont.)

Para verificar que las direcciones

MAC están "pegadas" a la
configuración, use el comando
show run como se muestra en el
ejemplo de FastEthernet 0/19.
Implement Port Security
Verificar seguridad de puertos (Cont.)

Para mostrar todas las

direcciones MAC seguras que se
configuran manualmente o se
aprenden dinámicamente en
todas las interfaces del switch,
use el comando show port-
security address como se
muestra en el ejemplo.
Implement Port Security
Packet Tracer – Implement Port Security
En este Packet Tracer, completará los siguientes objetivos:
• Parte 1: configurar la seguridad del puerto
• Parte 2: verificar la seguridad del puerto
11.2 Mitigar los ataques de
VLAN

© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 23
Mitigate VLAN Attacks
Revisión de los ataques de VLAN
Un ataque de salto de VLAN se puede iniciar de una de tres maneras:
• La suplantación de mensajes DTP del host atacante hace que el switch entre en
modo de enlace troncal. Desde aquí, el atacante puede enviar tráfico etiquetado
con la VLAN de destino, y el switch luego entrega los paquetes al destino.
• Presentamos un switch no autorizado y habilitamos el enlace troncal. El atacante
puede acceder a todas las VLAN en el switch de la víctima desde el switch no
autorizado.
• Otro tipo de ataque de salto de VLAN es un ataque de doble etiquetado (o doble
encapsulado). Este ataque aprovecha la forma en que funciona el hardware en
la mayoría de los switches.
Mitigate VLAN Attacks
Pasos para mitigar los ataques de salto de VLAN
Utilice los siguientes pasos para mitigar los ataques de salto de VLAN:

Paso 1 : Deshabilite las negociaciones DTP (enlace automático) en los

puertos que no son enlaces mediante el comando de configuración de
la interfaz switchport mode access .

Paso 2: deshabilite los puertos no utilizados y colóquelos en una VLAN no

utilizada.

Paso 3: habilite manualmente el enlace troncal en un puerto de enlace

mediante el comando switchport mode trunk.

Paso 4 : Deshabilite las negociaciones de DTP (enlace automático) en los

puertos de enlace mediante el comando switchport nonegotiate .

Paso 5: establezca la VLAN nativa en una VLAN que no sea la VLAN 1

mediante el comando switchport trunk native vlan vlan_number .
11.3 Mitigar los ataques
DHCP

© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 26
Mitigate DHCP Attacks
Revisión de ataques DHCP
El objetivo de un ataque de hambre DHCP es que una herramienta de ataque como
Gobbler cree una Denegación de servicio (DoS) para conectar clientes.
Recuerde que los ataques de hambre DHCP pueden mitigarse efectivamente
mediante el uso de la seguridad del puerto porque Gobbler usa una dirección MAC
de origen única para cada solicitud DHCP enviada. Sin embargo, mitigar los
ataques de suplantación de identidad de DHCP requiere más protección.
Gobbler podría configurarse para usar la dirección MAC de la interfaz real como la
dirección Ethernet de origen, pero especifique una dirección Ethernet diferente en la
carga útil de DHCP. Esto haría que la seguridad del puerto sea ineficaz porque la
dirección MAC de origen sería legítima.
Los ataques de suplantación de identidad de DHCP pueden mitigarse mediante la
detección de DHCP en puertos de confianza.
Mitigate DHCP Attacks
DHCP Snooping
La indagación DHCP filtra los mensajes DHCP y limita el tráfico DHCP en puertos no
confiables.
• Los dispositivos bajo control administrativo (por ejemplo, switches, enrutadores y
servidores) son fuentes confiables.
• Las interfaces confiables (p. Ej., Enlaces troncales, puertos del servidor) deben
configurarse explícitamente como confiables.
• Los dispositivos fuera de la red y todos los puertos de acceso generalmente se
tratan como fuentes no confiables.
Se crea una tabla DHCP que incluye la dirección MAC de origen de un dispositivo en
un puerto no confiable y la dirección IP asignada por el servidor DHCP a ese
dispositivo.
• La dirección MAC y la dirección IP están unidas.
• Por lo tanto, esta tabla se denomina tabla de enlace de indagación DHCP.
Mitigate DHCP Attacks
Pasos para implementar DHCP Snooping
Utilice los siguientes pasos para habilitar la inspección DHCP:

Paso 1. Habilite la inspección DHCP mediante el comando de configuración

global ip dhcp snooping.

Paso 2. En puertos confiables, use el comando de configuración de interfaz ip dhcp

snooping trust.

Paso 3: En las interfaces que no son de confianza, limite la cantidad de mensajes de

descubrimiento de DHCP que se pueden recibir mediante el comando de
configuración de interfaz ip dhcp snooping limit rate packets-per-second.

Paso 4. Habilite la inspección DHCP por VLAN, o por un rango de VLAN, utilizando
el comando de configuración global ip dhcp snooping vlan.
Mitigate DHCP Attacks
Ejemplo de configuración de DHCP Snooping
Consulte la topología de ejemplo de indagación DHCP con puertos confiables y no
confiables.

• DHCP snooping se habilita primero en S1.

• La interfaz ascendente al servidor DHCP es
explícitamente confiable.
• F0/5 a F0/24 no son de confianza y, por lo
tanto, su velocidad se limita a seis paquetes
por segundo.
• Finalmente, la inspección DHCP está
habilitada en VLAN 5, 10, 50, 51 y 52.
Mitigate DHCP Attacks
Ejemplo de configuración de DHCP Snooping (Cont.)
Use el comando EXEC
privilegiado show ip dhcp
snooping para verificar la
configuración de DHCP
snooping.
Use el comando show ip dhcp
snooping binding para ver los
clientes que han recibido
información de DHCP.
Nota: La inspección dinámica de
ARP (DAI) también requiere la
inspección DHCP.
11.4 Mitigar los ataques ARP

© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 32
Mitigate ARP Attacks
Inspección dinámica ARP
En un ataque ARP típico, un actor de amenaza puede enviar respuestas ARP no
solicitadas a otros hosts en la subred con la dirección MAC del actor de amenaza y la
dirección IP de la puerta de enlace predeterminada. Para evitar la suplantación de ARP
y el envenenamiento por ARP resultante, un switch debe garantizar que solo se
transmitan las Solicitudes y Respuestas de ARP válidas.
La inspección dinámica de ARP (DAI) requiere la inspección DHCP y ayuda a prevenir
ataques de ARP al:
• No retransmitir ARP inválido o gratuito Responde a otros puertos en la misma VLAN.
• Interceptar todas las solicitudes y respuestas ARP en puertos no confiables.
• Verificación de cada paquete interceptado para un enlace válido de IP a MAC.
• Dejar caer y registrar ARP Las respuestas provienen de inválidos para prevenir el
envenenamiento por ARP.
• Error al deshabilitar la interfaz si se excede el número DAI configurado de paquetes
ARP.
Mitigate ARP Attacks
Pautas de implementación de DAI
Para mitigar las posibilidades de falsificación de
ARP y envenenamiento por ARP, siga estas
pautas de implementación de DAI:
• Habilite la inspección DHCP a nivel
mundial.
• Habilite la inspección DHCP en las VLAN
seleccionadas.
• Habilite DAI en las VLAN seleccionadas.
• Configure interfaces confiables para la
inspección DHCP y ARP.
En general, es aconsejable configurar todos los
puertos del switch de acceso como no
confiables y configurar todos los puertos de
enlace ascendente que están conectados a
otros switches como confiables.
Mitigate ARP Attacks
Ejemplo de configuración DAI
En la topología anterior, S1 está conectando dos usuarios en la VLAN 10.
• DAI se configurará para mitigar contra la falsificación de ARP y los ataques de
envenenamiento por ARP.
• La inspección DHCP está habilitada
porque DAI requiere que funcione la
tabla de enlace de inspección DHCP.
• A continuación, la inspección DHCP y
ARP se habilitan para las PC en
VLAN10.
• El puerto de enlace ascendente al
enrutador es confiable y, por lo tanto,
está configurado como confiable para la
inspección DHCP y ARP.
Mitigate ARP Attacks
Ejemplo de configuración DAI (Cont.)
DAI también se puede configurar para verificar las direcciones MAC e IP de destino
o de origen:
MAC de destino: comprueba la dirección MAC de destino en el encabezado de
Ethernet con la dirección MAC de destino en el cuerpo ARP.
MAC de origen: comprueba la dirección MAC de origen en el encabezado de
Ethernet con la dirección MAC del remitente en el cuerpo ARP.
Dirección IP: busca en el cuerpo ARP direcciones IP no válidas e inesperadas,
incluidas las direcciones 0.0.0.0, 255.255.255.255 y todas las direcciones IP de
multidifusión.
Mitigate ARP Attacks
Ejemplo de configuración DAI (Cont.)
El comando de configuración global ip arp inspection validate {[src-mac] [dst-mac] [ip]} se
utiliza para configurar DAI para descartar paquetes ARP cuando las direcciones IP no son válidas.

• Se puede usar cuando las direcciones MAC en el cuerpo de los paquetes ARP no coinciden con
las direcciones que se especifican en el encabezado Ethernet.

• Observe en el siguiente ejemplo cómo solo se puede configurar un comando.

• Por lo tanto, al ingresar múltiples comandos ip arp

inspection validate sobrescribe el comando
anterior.

• Para incluir más de un método de validación,

ingréselos en la misma línea de comando como se
muestra en la salida.
11.5 Mitigar los ataques STP

© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 38
Mitigate STP Attacks
PortFast and BPDU Guard
Recuerde que los atacantes de red pueden manipular el Protocolo de árbol de
expansión (STP) para realizar un ataque falsificando el puente raíz y cambiando la
topología de una red.
Para mitigar los ataques STP, use PortFast y la unidad de datos de protocolo de puente
(BPDU) Guard:
PortFast
• PortFast lleva inmediatamente un puerto al estado de reenvío desde un estado de
bloqueo, sin pasar por los estados de escucha y aprendizaje.
• Aplicar a todos los puertos de acceso de usuario final.
Guardia BPDU
• El error de protección de BPDU deshabilita inmediatamente un puerto que recibe
una BPDU.
• Al igual que PortFast, la protección BPDU solo debe configurarse en interfaces
conectadas a dispositivos finales.
Mitigate STP Attacks
Configurar PortFast
PortFast omite los estados de escucha y aprendizaje de STP para minimizar el tiempo
que los puertos de acceso deben esperar a que STP converja.
• Solo habilite PortFast en los puertos de acceso.
• PortFast en los enlaces entre switches puede crear un bucle de árbol de
expansión.
PortFast se puede habilitar:

• En una interfaz: utilice el comando de

configuración de la interfaz spanning-tree
portfast.

• Globalmente: use el comando de

configuración global spanning-tree
portfast default para habilitar PortFast en
todos los puertos de acceso.
Mitigate STP Attacks
Configurar PortFast (Cont.)
Para verificar si PortFast está habilitado globalmente, puede usar:
• show running-config | begin span
• show spanning-tree summary
Para verificar si PortFast tiene habilitada una interfaz, use show running-config
tipo / número.
El comando show spanning-tree interface type/number detail también se puede
utilizar para la verificación.
Mitigate STP Attacks
Configure BPDU Guard
Un puerto de acceso podría recibir un BPDU inesperado accidentalmente o porque un usuario conectó un
switch no autorizado al puerto de acceso.

 Si se recibe una BPDU en un puerto de acceso habilitado para BPDU Guard, el puerto se pone en estado
de error desactivado.

 Esto significa que el puerto se cierra y debe volver a habilitarse manualmente o recuperarse
automáticamente a través del comando global errdisable recovery cause psecure violation.

BPDU Guard se puede habilitar:

 En una interfaz: use el comando spanning-tree bpduguard

enable

 Globalmente: utilice el comando de configuración

global spanning-tree portfast bpduguard default para
habilitar BPDU Guard en todos los puertos de acceso.
11.6 Práctica y cuestionario

© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 43
Module Practice and Quiz
Packet Tracer – Switch Security Configuration
En esta actividad de Packet Tracer, usted:
• Asegure los puertos no utilizados
• Implementar seguridad de puertos
• Mitigar los ataques de salto de VLAN
• Mitigar los ataques de DHCP
• Mitigar los ataques ARP
• Mitigar los ataques STP
• Verifique la configuración de seguridad del switch
Module Practice and Quiz
Lab – Switch Security Configuration
En este laboratorio, usted:
• Asegure los puertos no utilizados
• Implementar seguridad de puertos
• Mitigar los ataques de salto de VLAN
• Mitigar los ataques de DHCP
• Mitigar los ataques ARP
• Mitigar los ataques STP
• Verifique la configuración de seguridad del switch
Module Practice and Quiz
¿Qué aprendí en este Capítulo?
• Todos los puertos del switch (interfaces) deben asegurarse antes de que el switch se
implemente para uso de producción.
• De manera predeterminada, los puertos del switch de capa 2 están configurados en
automático dinámico (conexión activada).
• El método más simple y efectivo para prevenir ataques de desbordamiento de la tabla de
direcciones MAC es habilitar la seguridad del puerto.
• El switch se puede configurar para obtener información sobre las direcciones MAC en un
puerto seguro de una de estas tres formas: configurado manualmente, aprendido
dinámicamente y aprendido dinámicamente, fijo.
• Si la dirección MAC de un dispositivo conectado al puerto difiere de la lista de direcciones
seguras, se produce una violación del puerto. Por defecto, el puerto ingresa al estado de
error deshabilitado. Cuando un puerto se coloca en estado de error desactivado, no se
envía ni recibe tráfico en ese puerto.
• Mitigue los ataques de salto de VLAN deshabilitando las negociaciones DTP,
deshabilitando los puertos no utilizados, configurando manualmente el enlace troncal
donde sea necesario y usando una VLAN nativa que no sea la VLAN 1.
Module Practice and Quiz
¿Qué aprendí en este Capítulo? (Cont.)
• El objetivo de un ataque de hambre DHCP es crear una Denegación de servicio
(DoS) para conectar clientes. Los ataques de suplantación de identidad de DHCP
pueden mitigarse mediante la detección de DHCP en puertos de confianza.
• La inspección DHCP determina si los mensajes DHCP provienen de una fuente
confiable o no confiable configurada administrativamente. Luego filtra los mensajes
DHCP y limita el tráfico DHCP de fuentes no confiables.
• La inspección dinámica de ARP (DAI) requiere la inspección DHCP y ayuda a
prevenir ataques de ARP al verificar el tráfico de ARP.
• Implemente la inspección dinámica de ARP para mitigar la falsificación de ARP y el
envenenamiento por ARP.
• Para mitigar los ataques de manipulación del Protocolo de árbol de expansión
(STP), use PortFast y la Unidad de datos de protocolo de puente (BPDU) Guard.
Module 11: LAN Security Concepts
New Terms and Commands
• interface range • switchport trunk native vlan #

• switchport port-security • ip dhcp snooping

• switchport port-security interface • ip dhcp snooping vlan #

• switchport port-security maximum • ip dhcp snooping limit rate
• switchport port-security mac-address
• show ip dhcp snooping
• switchport port-security mac-address sticky
• ip arp inspection vlan #
• switchport port-security aging time #
• ip dhcp snooping trust
• switchport port-security aging type
• ip arp inspection trust
• switchport port-security violation
• ip arp inspection validate
• show switchport port-security
• spanning-tree portfast {default}
• switchport mode access|trunk
• spanning-tree bpduguard enable
• switchport nonegotiate
• spanning-tree porfast bpduguard default