*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.

547: e4:b3:18:7c:30:58 Received EAPOL-key in

PTK_START state (message 2) from mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.548: e4:b3:18:7c:30:58 Successfully computed PTK from
PMK!!!
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.548: e4:b3:18:7c:30:58 Received valid MIC in EAPOL Key
Message M2!!!!!
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.548: e4:b3:18:7c:30:58 Not Flex client. Do not distribute
PMK Key cache.
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.548: e4:b3:18:7c:30:58 Stopping retransmission timer for
mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.548: e4:b3:18:7c:30:58 key Desc Version FT - 0
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.548: e4:b3:18:7c:30:58 Sending EAPOL-Key Message to
mobile e4:b3:18:7c:30:58
state PTKINITNEGOTIATING (message 3), replay counter 00.00.00.00.00.00.00.01
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.548: e4:b3:18:7c:30:58 Reusing allocated memory for
EAP Pkt for retransmission to mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.555: e4:b3:18:7c:30:58 Received EAPOL-Key from mobile
e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.555: e4:b3:18:7c:30:58 Ignoring invalid EAPOL version (1)
in EAPOL-key message from mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.555: e4:b3:18:7c:30:58 key Desc Version FT - 0
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.555: e4:b3:18:7c:30:58 Received EAPOL-key in
PTKINITNEGOTIATING state (message 4) from mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.555: e4:b3:18:7c:30:58 Stopping retransmission timer for
mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.555: e4:b3:18:7c:30:58 Freeing EAP Retransmit Bufer for
mobile e4:b3:18:7c:30:58
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.555: e4:b3:18:7c:30:58 apfMs1xStateInc
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.555: e4:b3:18:7c:30:58 apfMsPeapSimReqCntInc
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.555: e4:b3:18:7c:30:58 apfMsPeapSimReqSuccessCntInc
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.555: e4:b3:18:7c:30:58 0.0.0.0 8021X_REQD (3) Change
state to L2AUTHCOMPLETE (4) last state 8021X_REQD (3)
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.555: e4:b3:18:7c:30:58 Mobility query, PEM State:
L2AUTHCOMPLETE
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.555: e4:b3:18:7c:30:58 Building Mobile Announce :
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.556: e4:b3:18:7c:30:58 Building Client Payload:
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.556: e4:b3:18:7c:30:58 Client Ip: 0.0.0.0
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.556: e4:b3:18:7c:30:58 Client Vlan Ip: 172.16.0.134,
Vlan mask : 255.255.255.224
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.556: e4:b3:18:7c:30:58 Client Vap Security: 16384
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.556: e4:b3:18:7c:30:58 Virtual Ip: 7.7.7.7
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.556: e4:b3:18:7c:30:58 ssid: ise-ssid
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.556: e4:b3:18:7c:30:58 Building VlanIpPayload.
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.556: e4:b3:18:7c:30:58 Not Using WMM Compliance code
qosCap 00
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.556: e4:b3:18:7c:30:58 0.0.0.0 L2AUTHCOMPLETE (4)
Plumbed mobile LWAPP rule on AP 00:c8:8b:26:2c:d0 vapId 2 apVapId 2 flex-acl-name:
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.556: e4:b3:18:7c:30:58 0.0.0.0 L2AUTHCOMPLETE (4)
Change state to DHCP_REQD (7) last state L2AUTHCOMPLETE (4)
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.556: e4:b3:18:7c:30:58 0.0.0.0 DHCP_REQD (7)
pemAdvanceState2 6677, Adding TMP rule

SOPORTE ACADÉMICO | info@sistemasdelsur.edu.pe

 *Dot1x_NW_MsgTask_0: Nov 24 04:30:44.556: e4:b3:18:7c:30:58 0.0.0.0 DHCP_REQD (7) Adding
Fast Path rule
type = Airespace AP - Learn IP address
on AP 00:c8:8b:26:2c:d0, slot 0, interface = 1, QOS = 0
IPv4 ACL ID = 255, IPv
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.556: e4:b3:18:7c:30:58 0.0.0.0 DHCP_REQD (7) Fast
Path rule (contd...) 802.1P = 0, DSCP = 0, TokenID = 15206, IntfId = 12 Local Bridging Vlan = 2400,
Local Bridging intf id = 0
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.556: e4:b3:18:7c:30:58 0.0.0.0 DHCP_REQD (7) Fast
Path rule (contd...) AVC Ratelimit: AppID = 0 ,AppAction = 0, AppToken = 15206 AverageRate = 0,
BurstRate = 0
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.556: e4:b3:18:7c:30:58 0.0.0.0 DHCP_REQD (7)
Successfully plumbed mobile rule (IPv4 ACL ID 255, IPv6 ACL ID 255, L2 ACL ID 255,URL ACL ID
255)
*Dot1x_NW_MsgTask_0: Nov 24 04:30:44.556: e4:b3:18:7c:30:58 Successfully Plumbed PTK
session Keysfor mobile e4:b3:18:7c:30:58
*spamApTask2: Nov 24 04:30:44.556: e4:b3:18:7c:30:58 Successful transmission of LWAPP Add-
Mobile to AP 00:c8:8b:26:2c:d0
*pemReceiveTask: Nov 24 04:30:44.557: e4:b3:18:7c:30:58 0.0.0.0 Added NPU entry of type 9,
dtlFlags 0x0
*apfReceiveTask: Nov 24 04:30:44.557: e4:b3:18:7c:30:58 0.0.0.0 DHCP_REQD (7) mobility role
update request from Unassociated to Local
Peer = 0.0.0.0, Old Anchor = 0.0.0.0, New Anchor = 172.16.0.3
*apfReceiveTask: Nov 24 04:30:44.557: e4:b3:18:7c:30:58 0.0.0.0 DHCP_REQD (7) State Update
from Mobility-Incomplete to Mobility-Complete, mobility role=Local, client
state=APF_MS_STATE_ASSOCIATED
*apfReceiveTask: Nov 24 04:30:44.557: e4:b3:18:7c:30:58 0.0.0.0 DHCP_REQD (7)
pemAdvanceState2 6315, Adding TMP rule
*apfReceiveTask: Nov 24 04:30:44.557: e4:b3:18:7c:30:58 0.0.0.0 DHCP_REQD (7) Replacing Fast
Path rule
IPv4 ACL ID = 255,
*apfReceiveTask: Nov 24 04:30:44.557: e4:b3:18:7c:30:58 0.0.0.0 DHCP_REQD (7) Fast Path rule
(contd...) 802.1P = 0, DSCP = 0, TokenID = 15206, IntfId = 12 Local Bridging Vlan = 2400, Local
Bridging intf id = 0
*apfReceiveTask: Nov 24 04:30:44.557: e4:b3:18:7c:30:58 0.0.0.0 DHCP_REQD (7) Fast Path rule
(contd...) AVC Ratelimit: AppID = 0 ,AppAction = 0, AppToken = 15206 AverageRate = 0, BurstRate
=0
*apfReceiveTask: Nov 24 04:30:44.557: e4:b3:18:7c:30:58 0.0.0.0 DHCP_REQD (7) Successfully
plumbed mobile rule (IPv4 ACL ID 255, IPv6 ACL ID 255, L2 ACL ID 255,URL ACL ID 255)
*pemReceiveTask: Nov 24 04:30:44.557: e4:b3:18:7c:30:58 Sent an XID frame
*dtlArpTask: Nov 24 04:30:47.932: e4:b3:18:7c:30:58 Static IP client associated to interface vlan2404
which can support client subnet.
*dtlArpTask: Nov 24 04:30:47.933: e4:b3:18:7c:30:58 apfMsRunStateInc
*dtlArpTask: Nov 24 04:30:47.933: e4:b3:18:7c:30:58 172.16.0.151 DHCP_REQD (7) Change state
to RUN (20) last state DHCP_REQD (7)

3. Ataque a la Tabla de Direcciones MAC

SOPORTE ACADÉMICO | info@sistemasdelsur.edu.pe

La seguridad básica del switch no evita los ataques malintencionados. La seguridad es un
proceso en capas que, básicamente, nunca está completo. Cuanto más consciente sea el
equipo de profesionales de redes de una organización sobre los ataques de seguridad y los
peligros que presentan, mejor. Algunos tipos de ataques de seguridad se describen aquí,
pero los detalles sobre cómo funcionan algunos de estos ataques exceden el ámbito de este
curso. Encontrará información más detallada en los cursos de tecnologías WAN y de
seguridad de CCNA.

Saturación de direcciones MAC

La tabla de direcciones MAC de un switch contiene las direcciones MAC relacionadas con
cada puerto físico y la VLAN asociada para cada puerto. Cuando un switch de la Capa 2
recibe una trama, el switch busca en la tabla de direcciones MAC la dirección MAC de
destino. Todos los modelos de switches Catalyst utilizan una tabla de direcciones MAC para
la conmutación en la Capa 2. A medida que llegan las tramas a los puertos del switch, se
registran las direcciones MAC de origen en la tabla de direcciones MAC. Si la dirección MAC
tiene una entrada en la tabla, el switch reenvía la trama al puerto correspondiente. Si la
dirección MAC no existe en la tabla de direcciones MAC, el switch satura todos los puertos
con la trama, excepto el puerto en el cual se la recibió.

El comportamiento de un switch de saturar direcciones MAC para las direcciones

desconocidas se puede usar para atacar un switch. Este tipo de ataque se denomina “ataque
de desbordamiento de la tabla de direcciones MAC”. En ocasiones, los ataques de
desbordamiento de la tabla de direcciones MAC se denominan “ataques de saturación MAC”
y “ataques de desbordamiento de la tabla CAM”. En las ilustraciones, se muestra cómo
funciona este tipo de ataque.

En la figura 1, el host A envía tráfico al host B. El switch recibe las tramas y busca la dirección
MAC de destino en la tabla de direcciones MAC. Si el switch no puede encontrar una MAC
de destino en la tabla de direcciones MAC, este copia la trama y satura todos los puertos del
switch con esta (la difunde), excepto el puerto en el cual se la recibió.

En la figura 2, el host B recibe la trama y envía una respuesta al host A. A continuación, el

switch descubre que la dirección MAC del host B está ubicada en el puerto 2 y registra esa
información en la tabla de direcciones MAC.

El host C también recibe la trama que va del host A al host B, pero debido a que la dirección
MAC de destino de la trama es el host B, el host C la descarta.

Como se muestra en la figura 3, cualquier trama que envíe el host A (o cualquier otro host)
al host B se reenvía al puerto 2 del switch y no se difunde por todos los puertos.

Las tablas de direcciones MAC poseen límite de tamaño. Los ataques de saturación MAC
usan esta limitación para sobrecargar al switch con direcciones MAC de origen falsas hasta
que la tabla de direcciones MAC del switch esté completa.

SOPORTE ACADÉMICO | info@sistemasdelsur.edu.pe

 Como se muestra en la figura 4, un atacante en el host C puede enviar tramas al switch con
direcciones MAC de origen y destino falsas y generadas aleatoriamente. El switch actualiza
la tabla de direcciones MAC con la información de las tramas falsas. Cuando la tabla de
direcciones MAC está llena de direcciones MAC falsas, el switch entra en un modo que se
conoce como modo “fail-open”. En este modo, el switch transmite todas las tramas a todas
las máquinas en la red. Como resultado, el atacante puede ver todas las tramas.

Algunas herramientas de ataques de red pueden generar hasta 155 000 entradas de MAC
por minuto en un switch. El tamaño máximo de la tabla de direcciones MAC varía en función
del switch.

Como se muestra en la figura 5, mientras la tabla de direcciones MAC en el switch esté llena,
el switch difunde todas las tramas recibidas por cada puerto. En este ejemplo, las tramas
enviadas del host A al host B también se difunden por el puerto 3 del switch, y el atacante
en el host C las puede ver.

Una forma de mitigar los ataques de desbordamiento de la tabla de direcciones MAC es

configurar la seguridad de puertos.

4. Ataques LAN

ATAQUES DE ESCANEO: Los ataques de escaneo se realizan para la recopilación de

información sobre posibles puertas de acceso a la red. Consisten en recopilar la información de
que puertos están escuchando en la red para posteriormente acceder a los recursos a través de
ellos.

Ataques de escaneo: TCP: El protocolo TCP/IP utiliza puertos virtuales para realizar el envío
y recepción de los datos por la red adoptando la estrategia cliente/servidor, escucha
permanente por determinados puertos para recibir los datos que se van a transmitir de un
equipo a otro.

Ataque por Fragmentación: Como su nombre indica, consiste en fragmentar los paquetes de
ataques SYN y FIN para que los filtros de la red no puedan detectarlos. Es poco efectivo ya que
genera tal cantidad de pequeños paquetes que son enviados a la víctima, que pueden llegar a
bloquear tanto los recursos del atacante como saturar las colas de los posibles filtros de la red
(firewalls).

Snnifing: El ataque Snnifing se considera un ataque pasivo, porque realmente sólo recopila y
almacena la información que circula por la red. Estas herramientas se pueden instalar tanto en
quipos de la red como en equipos de comunicaciones de la red.

Snooping: Este tipo de ataque también es pasivo, también escucha en la red todo el trafico,
pero a diferencia del anterior, este ataque permite acceder a datos e incluso descargar los
mismos para una manipulación posterior

SOPORTE ACADÉMICO | info@sistemasdelsur.edu.pe

ATAQUES DE MODIFICACIÓN-DAÑO: Este tipo de ataques son los más peligrosos porque
actúan sobre los datos o los programas instalados, modificando o borrando los archivos. Estos
ataques necesitan primero de los anteriores para obtener la información necesaria de la red y
normalmente es el objetivo final de un intruso.

Tampering o Data Diddling: Con este tipo de ataques se puede hacer mucho daño a entidades
como bancos, ya que al acceder al sistema, si se han conseguido los permisos oportunos, deja
libre al atacante para crear por ejemplo cuentas falsas o modificar las existentes y desviar
dinero de una a otra. El uso de virus en sistemas, también es considerado como un ataque de
modificación o daño, por ejmplo los troyanos ocultos en programas que efectúan operaciones
de modificación y borrado sin el control del usuario que los está usando.

Obtención de passwords Cracking: Consiste en obtener las claves de acceso a los equipos a
través de herramientas que realizan todas las combinaciones posibles, hasta dar con la
correcta. Este tipo de ataques son conocidos como ataques por fuerza bruta. Poner passwords
demasiado evidentes, o no cambiar nunca la palabra de paso hace más sencillo este tipo de
ataque.

SOPORTE ACADÉMICO | info@sistemasdelsur.edu.pe

XII. CONFIGURACION DE SEGURIDAD SWITCH

1. Implementar Port Security

Port Security se basa en crear una política de Seguridad de capa 2, es decir, tendremos en
cuenta la dirección MAC de los dispositivos, para evitar conexiones no deseadas a los equipos
o puertos en cuestión ejecutando una acción en el momento que esta violación de seguridad
ocurra.
La activación de Port Security se debe realizar a nivel de interfaz y, para ello, deberemos
deshabilitar el modo “dynamic auto” que viene configurado por defecto en todos los puertos de
un switch y configurar estos puertos como “access” o “trunk” dependiendo de las necesidades
de nuestra red.
Vamos a realizar un ejemplo sencillo para que se pueda ver su funcionamiento. Veamos un
escenario donde tengamos un switch y un PC directamente conectados.

Configuraremos port-security en la interfaz fa0/1 del switch que es donde está conectado el PC
y permitiremos única y exclusivamente la dirección MAC de ese PC.
Por lo tanto, entraremos a la interfaz donde queremos habilitar port-security y configuraremos
dicha interfaz como “access”.

Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport mode access
Una vez tengamos esto configurado, deberemos habilitar port-security y empezar a configurar
sus características ya que, por defecto, viene deshabilitado. En este caso, como hemos dicho,
configuraremos que solo permita el acceso de una única dirección MAC.
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security maximum 1
Ahora, llega el momento de configurar el tipo de acción que querremos que ocurra cuando
nuestro switch detecte una violación de seguridad. Veamos los diferentes modos que tenemos:
Switch(config-if)#switchport port-security violation ?

SOPORTE ACADÉMICO | info@sistemasdelsur.edu.pe

protect Security violation protect mode
restrict Security violation restrict mode
shutdown Security violation shutdown mode
Como veis, utilizando el “?” para que nos muestre las diferentes opciones que podemos elegir,
el switch nos muestra:

• Protect: sólo se permite tráfico de las MAC permitidas en la configuración descartando el

tráfico del resto, no se notifica sobre la intrusión.

• Restrict: se envía una notificación SNMP al administrador y el tráfico del puerto se permite
únicamente a las MAC especificadas, del resto se descarta.

• Shutdown: el puerto se deshabilita.

En este ejemplo vamos a configurar la opción “shutdown“, para que, en el momento que
detecte una violación de seguridad, el puerto quede deshabilitado completamente. Por lo
tanto, vamos a configurarlo como “shutdown” y vamos a indicarle al switch que dirección
MAC queremos permitir.
Switch(config-if)#switchport port-security violation shutdown
Switch(config-if)#switchport port-security mac-address 0090.21B4.6498
La detección de la dirección MAC permitida, se puede configurar de varios modos. En este
caso hemos utilizado la manual ya que solo tenemos un dispositivo conectado y no lleva
mucho trabajo configurar esa sola dirección. Los modos de detección de dirección MAC
son:

• Dynamic: configuramos el número de MACs que podrán accede al mismo tiempo sin
indicar las MACs específicamente.

• Static: configuramos específicamente la o las MACs que queremos que puedan acceder.

• Combination: una mezcla de dynamic y static donde configuraremos el número de MACs

que podrán acceder pero indicaremos alguna o todas las MACs que queremos que puedan
acceder específicamente.

• Sticky learning: aprende la dirección MAC cuando te conectas y la configurara en el

dispositivo como si la hubiéramos puesto de modo static.

Llegados a este punto, ya tenemos configurado nuestro port-security básico para permitir la
conexión de ese dispositivo en cuestión. Ahora, ¿que pasaría si colocáramos un switch
nuevo entre el PC0 y el switch y conectáramos un nuevo PC a el primer switch para tener
conexión en ese nuevo PC?
Opción a) permitiría la conexión del nuevo PC hacia ese primer switch.
Opción b) deshabilitaría el puerto fa0/1 donde hemos configurado port-security.
¡Correcto! Todos aquellos que hayáis pensado en la opción b) estáis en lo cierto, ya que,
en ese momento, tendremos 3 direcciones MACs conectadas al switch y de estas, solo
estamos permitiendo la del PC0 original. El escenario nos quedaría de la siguiente manera:

SOPORTE ACADÉMICO | info@sistemasdelsur.edu.pe

 Tenemos la conexión entre switches deshabilitada, con lo que, hemos perdido conexión a
nuestra red. Si queremos monitorear el comportamiento que ha tenido el switch al detectar
esta violación de seguridad, podemos utilizar los siguientes comandos y obtendremos los
siguientes outputs:

Switch#show port-security interface fastEthernet 0/1

Port Security: Enabled
Port Status: Secure-shutdown
Violation Mode: Shutdown
Aging Time: 0 mins
Aging Type: Absolute
SecureStatic Address Aging: Disabled
Maximum MAC Addresses: 1
Total MAC Addresses: 1
Configured MAC Addresses: 1
Sticky MAC Addresses: 0
Last Source Address:Vlan: 0002.16D6.9403:1
Security Violation Count: 1

Como vess tenemos un contador que especifica el número de veces que se ha producido
una violación de la política de seguridad, indicando también la última MAC de origen
conectada al puerto.
Si quisiéramos permitir la conectividad total en ese nuevo escenario, deberíamos permitir
las direcciones MAC del switch3 y del PC1 y aumentar el máximo de conexiones
permitidas hasta 3 como mínimo.

2. Mitigar ataques LAN

1. Introducción
Se presenta una propuesta de políticas de seguridad basadas en la normativa ISO 27002
que permiten mitigar los ataques VLAN HOPPING a nivel de capa de enlace de datos en
redes LAN, pues se evidencia que los administradores de red ponen mayor atención en
políticas para asegurar las capas superiores del modelo OSI, por lo que usuarios internos
con ciertos privilegios pueden aprovechar estas vulnerabilidades para acceder a información
valiosa de la organización. Para este propósito se determinó una infraestructura de red base
de las empresas de la ciudad de Riobamba Ecuador como caso de estudio, en este
escenario se realizó un Pentesting estándar de cuatro fases para probar ataques VLAN
HOPPING (Switch Spoofing y Double Tagging)

2. Metodología
Metodología Las fases de la metodología para realizar Pentesting en sistemas informáticos
aplicado, se presentan en el Figura 1 [10].

SOPORTE ACADÉMICO | info@sistemasdelsur.edu.pe

2.1. Fase de Rastreo y Exploración
La recopilación de la información se realizó mediante encuestas y entrevistas a los
administradores de red de 30 organizaciones públicas y privadas de pequeño y mediano
tamaño de la ciudad Riobamba-Ecuador, ya que cumplen con el parámetro de poseer una
infraestructura de red con VLANs y es de donde se derivó el caso de estudio.

2.2. Fase de Enumeración

En esta fase se buscó determinar las vulnerabilidades tecnológicas y operativas, los
huecos de seguridad que un atacante como usuario con privilegios y permisos puede
aprovechar para tener acceso no autorizado a la red es posible gracias a las potenciales
vulnerabilidades tecnológicas causadas debido a una pobre configuración, esto evidenció
tras una revisión directa de la configuración de los equipos de capa 2. Siendo el usuario
interno la principal amenaza para vulnerar una infraestructura de red por la incorrecta
asignación de privilegios y permisos que tienen dentro de la organización, se deben
establecer medidas y normas Organizacionales, Operacionales y Físicas, que ayuden a
mitigar ataques VLAN HOPPING. DOI 10.18502/keg.v3i9.3649 Page 114 SIIPRIN-
CITEGC

2.3. Fase de Explotación de Vulnerabilidades

Para la explotación de VLAN Hopping se aplicó los ataques: Switch Spoofing
(Suplantación de Switch), donde un atacante configura un equipo para simular que es un
switch emulando 802.1Q y señalización DTP [11] y Double Tagging, donde se intenta
enviar datos de un switch a otro enviando paquetes con dos encabezados 802.1Q, uno
para el switch de la víctima y el otro para el switch de ataque [12]. Se realizaron 10 veces
los mismos ataques para descartar fallas en las herramientas utilizadas o fallas humanas.

2.4. Fase de Informes

En esta fase se detallaron las pruebas que se realizaron, se incluyó el listado de fallas y
vulnerabilidades descubiertas, además, se presentaron las políticas de seguridad
propuestas tanto tecnológicas como organizacionales, operacionales y físicas.

2.5. Caso de estudio

La fase de Rastreo y Exploración definió el escenario de estudio en una configuración
estándar de red con equipos de capa 2 y capa 3 CISCO con configuraciones para

SOPORTE ACADÉMICO | info@sistemasdelsur.edu.pe

 tecnología VLAN. Para la creación del escenario se utilizó la herramienta de simulación
GNS3, ya que permite incluir equipos de diferentes fabricantes y se integra con otras
herramientas como VMWARE para virtualizar sistemas operativos Linux y otras
plataformas. La máquina atacante se configuró con Kali Linux, un sistema operativo
especializado para realizar pruebas de penetración; los ataques de switch spoofing y
double tagging se realizaron con la herramienta Yersinia especializada en ataques a
dispositivos capa 2 y se analizó el tráfico con Wireshark.

2.6. Definición de políticas

Una vez realizadas las cuatro etapas de Pentesting y generados los informes finales con
los resultados obtenidos, se procedió a la creación de las respectivas políticas de
seguridad utilizando como base la normativa ISO: 27002, la aplicación de dichas políticas
ayudará a los administradores de red a mitigar de una manera eficiente los ataques de
VLAN Hopping, tanto a nivel tecnológico como organizacional.

3. Mitigar ataques DHCP

Los switches Catalyst pueden usar las características de DHCP snooping (fisgar DHCP) para
ayudar a mitigar el tipo de ataque llamado DHCP spoofing que consiste en configurar un
servidor DHCP para capturar tráfico (una especie de man in the middle) y poder responder
a las peticiones de DHCP.

Una vez DHCP snooping está activado, cada interface del switch puede estar como de
confianza o no confianza (por defecto). Es lógico que los servidores DHCP legítimos estén
en interfaces de confianza mientras que el resto de servidores/ordenadores (puertos de
acceso) estarán en los de no confianza.

La interface intercepta todo el tráfico DHCP de una interface de no confianza descartando

todas las respuestas DHCP ya que asume que vienen de un server que no es confiable.
Además, la interface (que detecta que hay un posible servidor DHCP no confiable) se pone
en estado Errdisable lo cual la deja en shutdown.

Para configurar DHCP snooping primero debemos habilitarlo globalmente en el switch:

switch(config)# ip dhcp snooping

Después debemos indicar la(s) VLAN(s) que DHCP snooping se implementará:

switch(config)# ip dhcp snooping vlan vlan-id [vlan-id]

También se pueden indicar rangos de vlans indicando la vlan inicial y final separadas por un
guión.

Por defecto todas las interfaces asumen que son de no confianza (untrust) por lo que las
respuestas DHCP no están permitidas (ni se espera recibirlas). Así que debemos indicar que
interfaces son de confianza y hay un servidor DHCP válido y de confianza con los siguientes
comandos:

switch(config)# interface type mod/num

SOPORTE ACADÉMICO | info@sistemasdelsur.edu.pe