Capítulo 5: Seguridad y monitoreo de red

Una red segura es tan sólida como su eslabón más débil; la capa 2 puede ser el eslabón más débil. Los ataques comunes a la capa 2 incluyen reconocimiento de CDP, explotación de Telnet, saturación de tabla de direcciones MAC, ataques por VLAN y ataques relacionados con DHCP. Los administradores de redes deben saber cómo mitigar estos ataques y cómo proteger el acceso administrativo con AAA y cómo proteger el acceso al puerto con 802.1X.

Supervisar una red en funcionamiento puede proporcionar información a un administrador de red para administrar la red de forma proactiva e informar estadísticas de uso de la red a otros. La actividad de los enlaces, las tasas de error y el estado de los enlaces son algunos de los factores que contribuyen a que un administrador de red determine el estado y el uso de una red. Recopilar y revisar esta información en el transcurso del tiempo permite que un administrador de red vea y proyecte el crecimiento, y puede contribuir a que el administrador detecte y reemplace una parte defectuosa antes de que falle por completo. SNMP suele usarse para recopilar información sobre dispositivos.

El tráfico de red debe monitorearse para detectar el tráfico malicioso. Los administradores de redes usan analizadores de puertos y dispositivos IPS para contribuir a esta tarea. Sin embargo, la infraestructura conmutada no permite la replicación de puertos de manera predeterminada. Se debe implementar Cisco SPAN para habilitar la replicación de puertos. Esto permite que el switch envíe el tráfico duplicado a los analizadores de puertos o dispositivos IPS para monitorear el tráfico malicioso o sospechoso.

Este capítulo detalla las amenazas de seguridad por LAN más comunes y cómo mitigar el riesgo. Además, describe SNMP y cómo usarlo para monitorear una red, y cómo implementar SPAN local para capturar y monitorear el tráfico con analizadores de puertos o dispositivos de IPS.