Transcript
Asegurando la red de As área local
Tipos de Ataque • Los switches de capa 2 y capa 3 son susceptibles a muchos de
los mismos ataques de capa 3 para enrutadores. • La mayoría de las técnicas de seguridad para routers también se
aplican a switches. • Sin embargo, los switches tienen sus propios tipos de ataque. • Muchos de estos ataques provienen de usuarios con acceso interno a
al red. • Los ataques aprovechan el comportamiento y finalidad de algunos
protocolos de gestión. • Aprovechan la errónea suposición de que la red LAN es confiable por
defecto.
Tipos de Ataque • Los switches de capa 2 y capa 3 son susceptibles a muchos de
los mismos ataques de capa 3 para enrutadores. • La mayoría de las técnicas de seguridad para routers también se
aplican a switches. • Sin embargo, los switches tienen sus propios tipos de ataque. • Muchos de estos ataques provienen de usuarios con acceso interno a
al red. • Los ataques aprovechan el comportamiento y finalidad de algunos
protocolos de gestión. • Aprovechan la errónea suposición de que la red LAN es confiable por
defecto.
As A segurar la Infraestructura LAN • Una red debiera mitigar ataques específicos como: • Ataques de falsificación de direcciones MAC
desbordamiento de la tabla tabla de direcciones MAC • Ataques de desbordamiento • Ataques de manipulación STP • Aatques de tormentas LAN • Ataques a VLAN • Ataques a WLAN
Comportamiento normal de un Switch
Consideraciones ARP • ARP está diseñado para mapear direcciones IP a direcciones MAC • Todos los equipos en una LAN deben recibir y procesar una trama de solicitud
ARP, pero sólo el equipo con la dirección IP especificada debiera responder • ARP no tienen noción sobre la propiedad y autenticidad de direcciones
IP • Cualquier dirección MAC puede asociarse con cualquier dirección IP, incluso
la que no le corresponde realmente que puede ser provista por un atacante
Ataque de suplantación ARP
1. Host A envía una petición ARP buscando la dirección MAC de C. 2. Router B responde con sus direcciones MAC e IP. B actualiza su cache ARP. 3. Host A agrga la dirección MAC y dirección IP de B en su cache ARP. 4. Host C (atacante) envía mensajes ARP asociando la direccion MAC de C con la dirección IP de B. 5. Host A actualiza su cache ARP con la dirección MAC de C asociada con la dirección IP de B. 6. Host C envía mensajes ARP asociando la direccion MAC de C con la dirección IP de A. 7. Router B actualiza su cache ARP con la dirección MAC de C asociada con la dirección IP de A. 8. Los paquetes son desviados a través del atacante (C).
Falsificación de direcciones MAC
Desbordamiento de tablas de direcciones MAC Un atacante desea capturar paquetes destinados a los equipos A y B. Para lograrlo, lanza un ataque de inundación MAC.
• El atacante genera múltiples
paquetes con la dirección MAC origen falsificada. • En un período corto de tiempo, la tabla de direcciones MAC se llena y no permite más entradas. • Mientras el ataque continúe, la tabla
de direcciones MAC se mantiene llena. • El Switch comienza a re-transmitir
(Broadcast) cada paquete que recibe por cada puerto, comportándose como un Hub. • El atacante puede ahora capturar el tráfico destinado hacia los servidores.
Mitigación de ataques a direcciones MAC • Tanto los ataques de MAC spoofing y
desbordamiento de la tabla de direcciones MAC se pueden mitigar mediante la configuración de seguridad del puerto en el switch.
• La seguridad de puertos puede: • Especificar estáticamente las direcciones
MAC en un puerto en particular de un switch. • Permitir que el switch aprenda dinámicamente un número fijo de direcciones MAC en un puerto de switch específico.
• Especificar estáticamente las direcciones
MAC no es una solución manejable para un entorno de producción. • Permitir que el switch aprenda
dinámicamente un número fijo de direcciones MAC es una solución escalable administrativamente.
Seguridad de puertos • La seguridad de puertos permite asociar
estáticamente direcciones MAC a un puerto o para permitir que el Switch aprenda dinámicamente un número limitado de direcciones MAC. • Una vez que se ha asociado una dirección
MAC a un puerto seguro, dicho puerto no reenvía tramas cuya dirección MAC origen no pertenezca al grupo de direcciones asociadas establecido. • Limitando el número de direcciones MAC
permitidas en un puerto, se puede controlar la expansión no autorizada de la red. • Las direcciones origen seguras pueden ser: • Configuradas manualmente • Autoconfiguradas (aprendidas)
Seguridad de puertos
• Cuando una dirección MAC difiere de la lista de direcciones seguras, el puerto
puede: • Apagarse hasta que sea habilitado administrativamente. • Enviar alertas de violación mediante SNMP. • Descartar las tramas recibidas de la terminal insegura.
• El comportamiento del puerto depende de cómo esté configurado para
responder ante una violación de seguridad. • Se recomienda apagar el puerto ante dicha violación.
Prevención de suplantación ARP con Dynamic ARP Inspection (DAI) Descarta y registra los paquetes ARP con asociaciones IP-MAC inválidas • Los paquetes ARP recibidos por puertos confiables no se verifican y
se re-envían • Los paquetes ARP recibidos por puertos no confiables son
interceptados •
Se verifica que provengan de direcciones IP/MAC válidas antes de re-enviarlos
• También permite limitar la tasa de paquetes ARP que pueden recibirse
por una interfaz
Notificación de direcciones MAC • La notificación de direcciones MAC envía tramas SNMP a una
estación de gestión de red (network management station - NMS) cuando una nueva dirección MAC es agregada o eliminada de la tabla de re-envío.
Switch(config)#
mac address-table notification
VLANs
Es un método para crear redes lógicas independientes dentro de una misma red física Varias VLAN pueden coexistir en un único Switch físico o en una única red física Las VLAN se pueden extender a lo largo de múltiples Switches utilizando enlaces troncales (ISL, 802.1Q) Las VLAN se aíslan mutuamente y los paquetes pueden pasar entre ellas solamente mediante un router
Tipos de VLAN • VLAN de datos • VLAN nativa • VLAN de administración • VLAN por defecto • VLAN de voz
Protocolo de Enlace Troncal Dinámico (DTP) • Administra la negociación para troncalizar el enlace entre dos
Switches, sólo si los puertos de ambos Switches admiten DTP
Ataques a VLANs • Intentan obtener acceso a las diferentes VLAN
o atacar a equipos de VLAN determinadas • Los puertos troncales pasan tráfico para todas
las VLANs utilizando encapsulación VLAN IEEE 802.1Q o ISL. • Un ataque a VLANs (VLAN Hopping) se puede
lanzar de dos maneras: • La introducción de un switch ficticio/no
autorizado en una red con DTP habilitado. • DTP habilita la troncalización para acceder a
todas las VLAN en el switch objetivo. • El ataque de doble etiquetado VLAN
manipulando mensajes BPDU • El atacante entonces puede enviar tráfico
etiquetado con la VLAN de destino, y el switch luego entregará los paquetes al destino.
VLAN Hopping – Switch no autorizado/Ficticio • Todos los switches (Cisco) soportan por
defecto Dynamic Trunk Protocol (DTP) para negociar automáticamente los enlaces troncales. • Un atacante podría conectar a la red un
switch no autorizado o una terminal que simula ser un Switch para engañar a los switches de dicha red informando que soporta ISL o 802.1q y formando enlaces troncales. • Si tiene éxito, el atacante tiene acceso a
todas las VLANs soportadas por el enlace troncal
Ataque VLAN Hopping – Doble etiquetado • Implica el envío de tramas con dos etiquetas 802.1q para poder manipular a un switch y
re-enviar tramas hacia VLANs específicas • Aprovecha la forma en que un Switch procesa las etiquetas 802.1Q • Muchos switches realizan solamente un nivel de desencapsulación 802.1Q, lo que permite que un
atacante incorpore un segundo encabezado no autorizado en la trama. • Después de quitar el primer encabezado 802.1Q legítimo, el switch reenvía la t rama a la VLAN
especificada en el encabezado 802.1Q no autorizado.
Mitigando Ataques VLAN Hopping • Todos los puertos no utilizados deben estar apagados y estar
asociados a una VLAN designada sólo para puertos no utilizados, que no transporte datos. • Configurar todos los puertos como puertos de acceso, de forma
que no puedan iniciar ningún tipo de negociación de troncalización. • Cuando se establece un enlace troncal: • Usar una VLAN nativa dedicada en todos los puertos troncales. • Configure la VLAN nativa que difiera de cualquier VLAN utilizada para
transporte de datos. • Des-habilitar la negociación de troncalización en todos los puertos
troncales. • Especificar el rango de VLANs soportadas por un enlace troncal, evitar la existencia de VLANs no explícitamente permitidas.
Redundancia en redes LAN
• La redundancia de Capa 2 mejora la disponibilidad de la red a través de rutas de red alternas. • Si no se maneja adecuadamente presenta algunos inconvenientes • Inconsistencia en las bases de datos de los Switches • Duplicación de tramas Unicast • Inundación de Broacasts
Tramas de unicast duplicadas Las tramas de unicast enviadas a una red con bucles pueden generar tramas duplicadas que llegan al dispositivo de destino.
Ataques de tormenta LAN • Una tormenta LAN se produce cuando se
inunda con paquetes la red, creando un tráfico excesivo y degradando el rendimiento de la misma • Posibles causas: • Los errores en la implementación de la pila de
protocolos • Malas configuraciones • Existencia de un ataque DoS
• También pueden ocurrir Tormentas de
difusión (Broadcast). • Los Switches siempre re-envían las tramas
de broadcast por todos los puertos. • Algunos protocolos necesarios, como ARP y
DHCP utilizan broadcast; Por lo tanto, los switches deben ser capaces de reenviar el tráfico de difusión.
Control Contr ol de de Tormen Tormentas tas • Los ataques de tormenta LAN se pueden mitigar usando controles para
monitorear parámetros predefinidos. • Se pueden configurar parámetros de subida y parámetros de bajada de tráfico.
para medir la • Los controles de tormenta usa uno de los siguientes métodos para actividad de tráfico: • Ancho de banda como porcentaje (%) del ancho de banda banda total disponible en el puerto. puerto. • Tasa de tráfico en paquetes/sec o bits/sec de los paquetes recibidos. • Tasa de tráfico en paquetes por segundo y para tramas pequeñas.
Habilita la protección para tormentas broadcast.
SW1(config-if)# storm-control broadcast level 75.5 SW1(config-if)# storm-control multicast level pps 2k 1k SW1(config-if)# storm-control action shutdown
Especifica la acción a realizar cuando se alcance el parámetro (nivel).
Habilita la protección para tormentas multicast.
Protocolo STP • STP asegura que exista sólo una ruta
lógica entre todos los destinos de la red, al realizar un bloqueo intencional a aquellas rutas redundantes que puedan ocasionar un bucle
• STP utiliza el algoritmo de spanning
tree (STA) (STA) para determinar los puertos de switch de la red que deben bloquearse a fin de evitar que se generen bucles
• Todos los switches que qu e participan en
STP intercambian tramas de BPDU entre ellos para determinar su funcionamiento
Attaques STP A • Un ataque STP involucra la creación de un switch raíz falso. • El atacante propaga avisos STP y BPDUs de cambio de topología para forzar
a nuevos cálculos de spanning-tree. • El BPDU enviado por el atacante anuncia una prioridad de switch inferior en un
intento de ser elegido como el switch raíz. • Si tiene éxito, la máquina atacante se convierte en el switch raíz y accede a
una variedad de tramas que de otra manera no podría observar. observar.
Ataques STP • STP no provee autenticación en los
BPDUs intercambiados. • Un atacante puede insertar BPDUs
informando de un cambio de topología o cambiando el estado de un puerto • Si un atacante logra hacer fallar un puerto
que estaba en estado de re-envío, al switch generalmente le tomará 30 a 45 segundos el lidiar con la falla y volver a convergir • Existen varias herramientas para simular
un switch falso que re-envíe BPDUs: • Yersinia, brconfig o stp-packet.
PortFast • Provoca que un puerto del switch cambie del estado de bloqueo al estado de
reenvío inmediatamente, sin pasar por los estados de escucha y aprendizaje • Permite que los dispositivos se conecten a la red de inmediato, en lugar de esperar la
convergencia de STP • Se utiliza en los puertos de acceso que se conectan a una sola estación de trabajo o
servidor • ¡Sólo debiera ser usada en puertos de acceso! • Si se habilita PortFast en un puerto que conecta a otro switch, existe el riesgo de
generar un bucle
BPDU Guard y Filtrado BPDU Mantienen la topología de red activa controlada y predecible BPDU Guard • Si un puerto configurado con PortFast y BPDU Guard recibe un BPDU, el switch
deshabilitará dicho puerto • Protege a un switch de la recepción de mensajes BPDU acc identales o intencionales en
puertos por donde no debiera recibirlos.
Filtrado BPDU • Evita que puertos configurados con PortFast envíen o reciban BPDUs • Los puertos negocian su estado normalmente antes de que el Switch comience a filtrar
los BPDU salientes
Root Guard • Root Guard asegura la ubicación de Switches raíz mediante la limitación de los
puertos en los que el switch puede negociar la elección del Switch raíz . • se implementa en los puertos que se conectan hacia switches que no deberían
ser puentes raíz • Si un atacante envía BPDUs falsos para convertirse en el Switch raíz, nuestro
Switch tras la recepción de tales BPDUs, los ignora y pone el puerto en un estado de inconsistencia de raíz. • El puerto se recupera tan pronto como cese el BPDU infractor.
VTP-Virtual Trunking Protocol • Permite propagar la
configuración VLAN de un switch a otros en la red • Servidor VTP. Actualiza la
información VLAN del dominio VTP a los switches cliente • Cliente VTP. Recibe y aplica la
información VLAN • VTP Transparente. Deja pasar las
actualizaciones
Ataques VTP Después de volverse un puerto troncal, el atacante podría enviar mensajes VTP como si fuera un Servidor VTP reconfigurando o anulando todas las VLANs existentes
Protocolos de Descubrimiento de Red
• Cisco Discovery Protocol (CDP) • Link Layer Discovery Protocol (LLDP)
Visualizando Información CDP/LLDP • CDP y LLDP son protocolos que permiten visualizar
información de los dispositivos adyacentes que son vistos en cada puerto switch# show cdp neighbor Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone, D - Remote, C - CVTA, M - Two-port Mac Relay Device ID Local Intrfce Holdtme Capability Platform Port ID c2960-8 Fas 0/8 168 S I WS-C2960-Fas 0/8
switch(config)# lldp run switch(config)# end switch# show lldp neighbor Capability codes: (R) Router, (B) Bridge, (T) Telephone, (C) DOCSIS Cable Device (W) WLAN Access Point, (P) Repeater, (S) Station, (O) Other Device ID Local Intf Hold-time Capability Port ID c2960-8 Fa0/8 120 B Fa0/8 Total entries displayed: 1
Visualizando Información CDP/LLDP 4506# show cdp neighbor detail ----------------------Device ID: TBA03501074(SwitchA-6500) Entry address(es): IP address: 10.18.2.137 Platform: WS-C6506, Capabilities: Trans-Bridge Switch IGMP Interface: FastEthernet3/21, Port ID (outgoing port): 3/36 Holdtime : 170 sec Version : WS-C6506 Software, Version McpSW: 7.6(1) NmpSW: 7.6(1) Copyright © 1995-2003 by Cisco Systems advertisement version: 2 VTP Management Domain: ‘0’
Native VLAN: 1 Duplex: full ----------------------Device ID: SwitchC-4503 Entry address(es): IP address: 10.18.2.132 Platform: cisco WS-C4503, Capabilities: Router Switch IGMP Interface: FastEthernet3/27, Port ID (outgoing port): FastEthernet3/14 Holdtime : 130 sec Version : Cisco Internetwork Operating System Software IOS (tm) Catalyst 4000 L3 Switch Software (cat4000-I5S-M), Version 12.1(19)EW, CISCO ENHANCED PRODUCTION VERSION Copyright © 1986-2003 by cisco Systems, Inc. Compiled Tue 27-May-03 04:31 by prothero