Professional Documents
Culture Documents
Cna Part7
Cna Part7
Cna Part7
La tabla de direcciones MAC de un switch contiene las direcciones MAC relacionadas con
cada puerto físico y la VLAN asociada para cada puerto. Cuando un switch de la Capa 2
recibe una trama, el switch busca en la tabla de direcciones MAC la dirección MAC de
destino. Todos los modelos de switches Catalyst utilizan una tabla de direcciones MAC para
la conmutación en la Capa 2. A medida que llegan las tramas a los puertos del switch, se
registran las direcciones MAC de origen en la tabla de direcciones MAC. Si la dirección MAC
tiene una entrada en la tabla, el switch reenvía la trama al puerto correspondiente. Si la
dirección MAC no existe en la tabla de direcciones MAC, el switch satura todos los puertos
con la trama, excepto el puerto en el cual se la recibió.
En la figura 1, el host A envía tráfico al host B. El switch recibe las tramas y busca la dirección
MAC de destino en la tabla de direcciones MAC. Si el switch no puede encontrar una MAC
de destino en la tabla de direcciones MAC, este copia la trama y satura todos los puertos del
switch con esta (la difunde), excepto el puerto en el cual se la recibió.
El host C también recibe la trama que va del host A al host B, pero debido a que la dirección
MAC de destino de la trama es el host B, el host C la descarta.
Como se muestra en la figura 3, cualquier trama que envíe el host A (o cualquier otro host)
al host B se reenvía al puerto 2 del switch y no se difunde por todos los puertos.
Las tablas de direcciones MAC poseen límite de tamaño. Los ataques de saturación MAC
usan esta limitación para sobrecargar al switch con direcciones MAC de origen falsas hasta
que la tabla de direcciones MAC del switch esté completa.
Algunas herramientas de ataques de red pueden generar hasta 155 000 entradas de MAC
por minuto en un switch. El tamaño máximo de la tabla de direcciones MAC varía en función
del switch.
Como se muestra en la figura 5, mientras la tabla de direcciones MAC en el switch esté llena,
el switch difunde todas las tramas recibidas por cada puerto. En este ejemplo, las tramas
enviadas del host A al host B también se difunden por el puerto 3 del switch, y el atacante
en el host C las puede ver.
4. Ataques LAN
Ataques de escaneo: TCP: El protocolo TCP/IP utiliza puertos virtuales para realizar el envío
y recepción de los datos por la red adoptando la estrategia cliente/servidor, escucha
permanente por determinados puertos para recibir los datos que se van a transmitir de un
equipo a otro.
Ataque por Fragmentación: Como su nombre indica, consiste en fragmentar los paquetes de
ataques SYN y FIN para que los filtros de la red no puedan detectarlos. Es poco efectivo ya que
genera tal cantidad de pequeños paquetes que son enviados a la víctima, que pueden llegar a
bloquear tanto los recursos del atacante como saturar las colas de los posibles filtros de la red
(firewalls).
Snnifing: El ataque Snnifing se considera un ataque pasivo, porque realmente sólo recopila y
almacena la información que circula por la red. Estas herramientas se pueden instalar tanto en
quipos de la red como en equipos de comunicaciones de la red.
Snooping: Este tipo de ataque también es pasivo, también escucha en la red todo el trafico,
pero a diferencia del anterior, este ataque permite acceder a datos e incluso descargar los
mismos para una manipulación posterior
Tampering o Data Diddling: Con este tipo de ataques se puede hacer mucho daño a entidades
como bancos, ya que al acceder al sistema, si se han conseguido los permisos oportunos, deja
libre al atacante para crear por ejemplo cuentas falsas o modificar las existentes y desviar
dinero de una a otra. El uso de virus en sistemas, también es considerado como un ataque de
modificación o daño, por ejmplo los troyanos ocultos en programas que efectúan operaciones
de modificación y borrado sin el control del usuario que los está usando.
Obtención de passwords Cracking: Consiste en obtener las claves de acceso a los equipos a
través de herramientas que realizan todas las combinaciones posibles, hasta dar con la
correcta. Este tipo de ataques son conocidos como ataques por fuerza bruta. Poner passwords
demasiado evidentes, o no cambiar nunca la palabra de paso hace más sencillo este tipo de
ataque.
Port Security se basa en crear una política de Seguridad de capa 2, es decir, tendremos en
cuenta la dirección MAC de los dispositivos, para evitar conexiones no deseadas a los equipos
o puertos en cuestión ejecutando una acción en el momento que esta violación de seguridad
ocurra.
La activación de Port Security se debe realizar a nivel de interfaz y, para ello, deberemos
deshabilitar el modo “dynamic auto” que viene configurado por defecto en todos los puertos de
un switch y configurar estos puertos como “access” o “trunk” dependiendo de las necesidades
de nuestra red.
Vamos a realizar un ejemplo sencillo para que se pueda ver su funcionamiento. Veamos un
escenario donde tengamos un switch y un PC directamente conectados.
Configuraremos port-security en la interfaz fa0/1 del switch que es donde está conectado el PC
y permitiremos única y exclusivamente la dirección MAC de ese PC.
Por lo tanto, entraremos a la interfaz donde queremos habilitar port-security y configuraremos
dicha interfaz como “access”.
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport mode access
Una vez tengamos esto configurado, deberemos habilitar port-security y empezar a configurar
sus características ya que, por defecto, viene deshabilitado. En este caso, como hemos dicho,
configuraremos que solo permita el acceso de una única dirección MAC.
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security maximum 1
Ahora, llega el momento de configurar el tipo de acción que querremos que ocurra cuando
nuestro switch detecte una violación de seguridad. Veamos los diferentes modos que tenemos:
Switch(config-if)#switchport port-security violation ?
• Restrict: se envía una notificación SNMP al administrador y el tráfico del puerto se permite
únicamente a las MAC especificadas, del resto se descarta.
En este ejemplo vamos a configurar la opción “shutdown“, para que, en el momento que
detecte una violación de seguridad, el puerto quede deshabilitado completamente. Por lo
tanto, vamos a configurarlo como “shutdown” y vamos a indicarle al switch que dirección
MAC queremos permitir.
Switch(config-if)#switchport port-security violation shutdown
Switch(config-if)#switchport port-security mac-address 0090.21B4.6498
La detección de la dirección MAC permitida, se puede configurar de varios modos. En este
caso hemos utilizado la manual ya que solo tenemos un dispositivo conectado y no lleva
mucho trabajo configurar esa sola dirección. Los modos de detección de dirección MAC
son:
• Dynamic: configuramos el número de MACs que podrán accede al mismo tiempo sin
indicar las MACs específicamente.
• Static: configuramos específicamente la o las MACs que queremos que puedan acceder.
Llegados a este punto, ya tenemos configurado nuestro port-security básico para permitir la
conexión de ese dispositivo en cuestión. Ahora, ¿que pasaría si colocáramos un switch
nuevo entre el PC0 y el switch y conectáramos un nuevo PC a el primer switch para tener
conexión en ese nuevo PC?
Opción a) permitiría la conexión del nuevo PC hacia ese primer switch.
Opción b) deshabilitaría el puerto fa0/1 donde hemos configurado port-security.
¡Correcto! Todos aquellos que hayáis pensado en la opción b) estáis en lo cierto, ya que,
en ese momento, tendremos 3 direcciones MACs conectadas al switch y de estas, solo
estamos permitiendo la del PC0 original. El escenario nos quedaría de la siguiente manera:
Como vess tenemos un contador que especifica el número de veces que se ha producido
una violación de la política de seguridad, indicando también la última MAC de origen
conectada al puerto.
Si quisiéramos permitir la conectividad total en ese nuevo escenario, deberíamos permitir
las direcciones MAC del switch3 y del PC1 y aumentar el máximo de conexiones
permitidas hasta 3 como mínimo.
1. Introducción
Se presenta una propuesta de políticas de seguridad basadas en la normativa ISO 27002
que permiten mitigar los ataques VLAN HOPPING a nivel de capa de enlace de datos en
redes LAN, pues se evidencia que los administradores de red ponen mayor atención en
políticas para asegurar las capas superiores del modelo OSI, por lo que usuarios internos
con ciertos privilegios pueden aprovechar estas vulnerabilidades para acceder a información
valiosa de la organización. Para este propósito se determinó una infraestructura de red base
de las empresas de la ciudad de Riobamba Ecuador como caso de estudio, en este
escenario se realizó un Pentesting estándar de cuatro fases para probar ataques VLAN
HOPPING (Switch Spoofing y Double Tagging)
2. Metodología
Metodología Las fases de la metodología para realizar Pentesting en sistemas informáticos
aplicado, se presentan en el Figura 1 [10].
Los switches Catalyst pueden usar las características de DHCP snooping (fisgar DHCP) para
ayudar a mitigar el tipo de ataque llamado DHCP spoofing que consiste en configurar un
servidor DHCP para capturar tráfico (una especie de man in the middle) y poder responder
a las peticiones de DHCP.
Una vez DHCP snooping está activado, cada interface del switch puede estar como de
confianza o no confianza (por defecto). Es lógico que los servidores DHCP legítimos estén
en interfaces de confianza mientras que el resto de servidores/ordenadores (puertos de
acceso) estarán en los de no confianza.
También se pueden indicar rangos de vlans indicando la vlan inicial y final separadas por un
guión.
Por defecto todas las interfaces asumen que son de no confianza (untrust) por lo que las
respuestas DHCP no están permitidas (ni se espera recibirlas). Así que debemos indicar que
interfaces son de confianza y hay un servidor DHCP válido y de confianza con los siguientes
comandos: