Preview only show first 10 pages with watermark. For full document please download

Seguridad.capa.2

Descripción: Seguridad en Capa 2

   EMBED

Share

Transcript

 Asegurando la red de  As área local Tipos de Ataque • Los switches de capa 2 y capa 3 son susceptibles a muchos de los mismos ataques de capa 3 para enrutadores. • La mayoría de las técnicas de seguridad para routers también se aplican a switches. • Sin embargo, los switches tienen sus propios tipos de ataque. • Muchos de estos ataques provienen de usuarios con acceso interno a al red. • Los ataques aprovechan el comportamiento y finalidad de algunos protocolos de gestión. •  Aprovechan la errónea suposición de que la red LAN es confiable por defecto. Tipos de Ataque • Los switches de capa 2 y capa 3 son susceptibles a muchos de los mismos ataques de capa 3 para enrutadores. • La mayoría de las técnicas de seguridad para routers también se aplican a switches. • Sin embargo, los switches tienen sus propios tipos de ataque. • Muchos de estos ataques provienen de usuarios con acceso interno a al red. • Los ataques aprovechan el comportamiento y finalidad de algunos protocolos de gestión. •  Aprovechan la errónea suposición de que la red LAN es confiable por defecto.  As  A segurar la Infraestructura LAN • Una red debiera mitigar ataques específicos como: •  Ataques de falsificación de direcciones MAC desbordamiento de la tabla tabla de direcciones MAC •  Ataques de desbordamiento •  Ataques de manipulación STP •  Aatques de tormentas LAN •  Ataques a VLAN •  Ataques a WLAN Comportamiento normal de un Switch Consideraciones ARP •  ARP está diseñado para mapear direcciones IP a direcciones MAC • Todos los equipos en una LAN deben recibir y procesar una trama de solicitud  ARP, pero sólo el equipo con la dirección IP especificada debiera responder •  ARP no tienen noción sobre la propiedad y autenticidad de direcciones IP • Cualquier dirección MAC puede asociarse con cualquier dirección IP, incluso la que no le corresponde realmente que puede ser provista por un atacante  Ataque de suplantación ARP 1. Host A envía una petición ARP buscando la dirección MAC de C. 2. Router B responde con sus direcciones MAC e IP. B actualiza su cache ARP. 3. Host A agrga la dirección MAC y dirección IP de B en su cache ARP. 4. Host C (atacante) envía mensajes ARP asociando la direccion MAC de C con la dirección IP de B. 5. Host A actualiza su cache ARP con la dirección MAC de C asociada con la dirección IP de B. 6. Host C envía mensajes ARP asociando la direccion MAC de C con la dirección IP de A. 7. Router B actualiza su cache ARP con la dirección MAC de C asociada con la dirección IP de A. 8. Los paquetes son desviados a través del atacante (C). Falsificación de direcciones MAC Desbordamiento de tablas de direcciones MAC Un atacante desea capturar paquetes destinados a los equipos A y B. Para lograrlo, lanza un ataque de inundación MAC. • El atacante genera múltiples paquetes con la dirección MAC origen falsificada. • En un período corto de tiempo, la tabla de direcciones MAC se llena y no permite más entradas. • Mientras el ataque continúe, la tabla de direcciones MAC se mantiene llena. • El Switch comienza a re-transmitir (Broadcast) cada paquete que recibe por cada puerto, comportándose como un Hub. • El atacante puede ahora capturar el tráfico destinado hacia los servidores. Mitigación de ataques a direcciones MAC • Tanto los ataques de MAC spoofing y desbordamiento de la tabla de direcciones MAC se pueden mitigar mediante la configuración de seguridad del puerto en el switch. • La seguridad de puertos puede: • Especificar estáticamente las direcciones MAC en un puerto en particular de un switch. • Permitir que el switch aprenda dinámicamente un número fijo de direcciones MAC en un puerto de switch específico. • Especificar estáticamente las direcciones MAC no es una solución manejable para un entorno de producción. • Permitir que el switch aprenda dinámicamente un número fijo de direcciones MAC es una solución escalable administrativamente. Seguridad de puertos • La seguridad de puertos permite asociar estáticamente direcciones MAC a un puerto o para permitir que el Switch aprenda dinámicamente un número limitado de direcciones MAC. • Una vez que se ha asociado una dirección MAC a un puerto seguro, dicho puerto no reenvía tramas cuya dirección MAC origen no pertenezca al grupo de direcciones asociadas establecido. • Limitando el número de direcciones MAC permitidas en un puerto, se puede controlar la expansión no autorizada de la red. • Las direcciones origen seguras pueden ser: • Configuradas manualmente •  Autoconfiguradas (aprendidas) Seguridad de puertos • Cuando una dirección MAC difiere de la lista de direcciones seguras, el puerto puede: •  Apagarse hasta que sea habilitado administrativamente. • Enviar alertas de violación mediante SNMP. • Descartar las tramas recibidas de la terminal insegura. • El comportamiento del puerto depende de cómo esté configurado para responder ante una violación de seguridad. • Se recomienda apagar el puerto ante dicha violación. Prevención de suplantación ARP con Dynamic  ARP Inspection (DAI) Descarta y registra los paquetes ARP con asociaciones IP-MAC inválidas • Los paquetes ARP recibidos por puertos confiables no se verifican y se re-envían • Los paquetes ARP recibidos por puertos no confiables son interceptados • Se verifica que provengan de direcciones IP/MAC válidas antes de re-enviarlos • También permite limitar la tasa de paquetes ARP que pueden recibirse por una interfaz Notificación de direcciones MAC • La notificación de direcciones MAC envía tramas SNMP a una estación de gestión de red (network management station - NMS) cuando una nueva dirección MAC es agregada o eliminada de la tabla de re-envío. Switch(config)#  mac address-table notification VLANs     Es un método para crear redes lógicas independientes dentro de una misma red física Varias VLAN pueden coexistir en un único Switch físico o en una única red física Las VLAN se pueden extender a lo largo de múltiples Switches utilizando enlaces troncales (ISL, 802.1Q) Las VLAN se aíslan mutuamente y los paquetes pueden pasar entre ellas solamente mediante un router Tipos de VLAN • VLAN de datos • VLAN nativa • VLAN de administración • VLAN por defecto • VLAN de voz Protocolo de Enlace Troncal Dinámico (DTP) •  Administra la negociación para troncalizar el enlace entre dos Switches, sólo si los puertos de ambos Switches admiten DTP  Ataques a VLANs • Intentan obtener acceso a las diferentes VLAN o atacar a equipos de VLAN determinadas • Los puertos troncales pasan tráfico para todas las VLANs utilizando encapsulación VLAN IEEE 802.1Q o ISL. • Un ataque a VLANs (VLAN Hopping) se puede lanzar de dos maneras: • La introducción de un switch ficticio/no autorizado en una red con DTP habilitado. • DTP habilita la troncalización para acceder a todas las VLAN en el switch objetivo. • El ataque de doble etiquetado VLAN manipulando mensajes BPDU • El atacante entonces puede enviar tráfico etiquetado con la VLAN de destino, y el switch luego entregará los paquetes al destino. VLAN Hopping – Switch no autorizado/Ficticio • Todos los switches (Cisco) soportan por defecto Dynamic Trunk Protocol (DTP) para negociar automáticamente los enlaces troncales. • Un atacante podría conectar a la red un switch no autorizado o una terminal que simula ser un Switch para engañar a los switches de dicha red informando que soporta ISL o 802.1q y formando enlaces troncales. • Si tiene éxito, el atacante tiene acceso a todas las VLANs soportadas por el enlace troncal  Ataque VLAN Hopping – Doble etiquetado • Implica el envío de tramas con dos etiquetas 802.1q para poder manipular a un switch y re-enviar tramas hacia VLANs específicas •  Aprovecha la forma en que un Switch procesa las etiquetas 802.1Q • Muchos switches realizan solamente un nivel de desencapsulación 802.1Q, lo que permite que un atacante incorpore un segundo encabezado no autorizado en la trama. • Después de quitar el primer encabezado 802.1Q legítimo, el switch reenvía la t rama a la VLAN especificada en el encabezado 802.1Q no autorizado. Mitigando Ataques VLAN Hopping • Todos los puertos no utilizados deben estar apagados y estar asociados a una VLAN designada sólo para puertos no utilizados, que no transporte datos. • Configurar todos los puertos como puertos de acceso, de forma que no puedan iniciar ningún tipo de negociación de troncalización. • Cuando se establece un enlace troncal: • Usar una VLAN nativa dedicada en todos los puertos troncales. • Configure la VLAN nativa que difiera de cualquier VLAN utilizada para transporte de datos. • Des-habilitar la negociación de troncalización en todos los puertos troncales. • Especificar el rango de VLANs soportadas por un enlace troncal, evitar la existencia de VLANs no explícitamente permitidas. Redundancia en redes LAN • La redundancia de Capa 2 mejora la disponibilidad de la red a través de rutas de red alternas. • Si no se maneja adecuadamente presenta algunos inconvenientes • Inconsistencia en las bases de datos de los Switches • Duplicación de tramas Unicast • Inundación de Broacasts Tramas de unicast duplicadas Las tramas de unicast enviadas a una red con bucles pueden generar tramas duplicadas que llegan al dispositivo de destino.  Ataques de tormenta LAN • Una tormenta LAN se produce cuando se inunda con paquetes la red, creando un tráfico excesivo y degradando el rendimiento de la misma • Posibles causas: • Los errores en la implementación de la pila de protocolos • Malas configuraciones • Existencia de un ataque DoS • También pueden ocurrir Tormentas de difusión (Broadcast). • Los Switches siempre re-envían las tramas de broadcast por todos los puertos. •  Algunos protocolos necesarios, como ARP y DHCP utilizan broadcast; Por lo tanto, los switches deben ser capaces de reenviar el tráfico de difusión. Control Contr ol de de Tormen Tormentas tas • Los ataques de tormenta LAN se pueden mitigar usando controles para monitorear parámetros predefinidos. • Se pueden configurar parámetros de subida y parámetros de bajada de tráfico. para medir la • Los controles de tormenta usa uno de los siguientes métodos para actividad de tráfico: •  Ancho de banda como porcentaje (%) del ancho de banda banda total disponible en el puerto. puerto. • Tasa de tráfico en paquetes/sec o bits/sec de los paquetes recibidos. • Tasa de tráfico en paquetes por segundo y para tramas pequeñas. Habilita la protección para tormentas broadcast. SW1(config-if)# storm-control broadcast level 75.5 SW1(config-if)# storm-control multicast level pps 2k 1k SW1(config-if)# storm-control action shutdown Especifica la acción a realizar cuando se alcance el parámetro (nivel). Habilita la protección para tormentas multicast. Protocolo STP • STP asegura que exista sólo una ruta lógica entre todos los destinos de la red, al realizar un bloqueo intencional a aquellas rutas redundantes que puedan ocasionar un bucle • STP utiliza el algoritmo de spanning tree (STA) (STA) para determinar los puertos de switch de la red que deben bloquearse a fin de evitar que se generen bucles • Todos los switches que qu e participan en STP intercambian tramas de BPDU entre ellos para determinar su funcionamiento  Attaques STP  A • Un ataque STP involucra la creación de un switch raíz falso. • El atacante propaga avisos STP y BPDUs de cambio de topología para forzar a nuevos cálculos de spanning-tree. • El BPDU enviado por el atacante anuncia una prioridad de switch inferior en un intento de ser elegido como el switch raíz. • Si tiene éxito, la máquina atacante se convierte en el switch raíz y accede a una variedad de tramas que de otra manera no podría observar. observar.  Ataques STP • STP no provee autenticación en los BPDUs intercambiados. • Un atacante puede insertar BPDUs informando de un cambio de topología o cambiando el estado de un puerto • Si un atacante logra hacer fallar un puerto que estaba en estado de re-envío, al switch generalmente le tomará 30 a 45 segundos el lidiar con la falla y volver a convergir • Existen varias herramientas para simular un switch falso que re-envíe BPDUs: • Yersinia, brconfig o stp-packet. PortFast • Provoca que un puerto del switch cambie del estado de bloqueo al estado de reenvío inmediatamente, sin pasar por los estados de escucha y aprendizaje • Permite que los dispositivos se conecten a la red de inmediato, en lugar de esperar la convergencia de STP • Se utiliza en los puertos de acceso que se conectan a una sola estación de trabajo o servidor • ¡Sólo debiera ser usada en puertos de acceso! • Si se habilita PortFast en un puerto que conecta a otro switch, existe el riesgo de generar un bucle BPDU Guard y Filtrado BPDU Mantienen la topología de red activa controlada y predecible BPDU Guard • Si un puerto configurado con PortFast y BPDU Guard recibe un BPDU, el switch deshabilitará dicho puerto • Protege a un switch de la recepción de mensajes BPDU acc identales o intencionales en puertos por donde no debiera recibirlos. Filtrado BPDU • Evita que puertos configurados con PortFast envíen o reciban BPDUs • Los puertos negocian su estado normalmente antes de que el Switch comience a filtrar los BPDU salientes Root Guard • Root Guard asegura la ubicación de Switches raíz mediante la limitación de los puertos en los que el switch puede negociar la elección del Switch raíz . • se implementa en los puertos que se conectan hacia switches que no deberían ser puentes raíz • Si un atacante envía BPDUs falsos para convertirse en el Switch raíz, nuestro Switch tras la recepción de tales BPDUs, los ignora y pone el puerto en un estado de inconsistencia de raíz. • El puerto se recupera tan pronto como cese el BPDU infractor. VTP-Virtual Trunking Protocol • Permite propagar la configuración VLAN de un switch a otros en la red • Servidor VTP. Actualiza la información VLAN del dominio VTP a los switches cliente • Cliente VTP. Recibe y aplica la información VLAN • VTP Transparente. Deja pasar las actualizaciones  Ataques VTP Después de volverse un puerto troncal, el atacante podría enviar mensajes VTP como si fuera un Servidor VTP reconfigurando o anulando todas las VLANs existentes Protocolos de Descubrimiento de Red • Cisco Discovery Protocol (CDP) • Link Layer Discovery Protocol (LLDP) Visualizando Información CDP/LLDP • CDP y LLDP son protocolos que permiten visualizar información de los dispositivos adyacentes que son vistos en cada puerto switch# show cdp neighbor Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone, D - Remote, C - CVTA, M - Two-port Mac Relay Device ID Local Intrfce Holdtme Capability Platform Port ID c2960-8 Fas 0/8 168 S I WS-C2960-Fas 0/8 switch(config)# lldp run switch(config)# end switch# show lldp neighbor Capability codes: (R) Router, (B) Bridge, (T) Telephone, (C) DOCSIS Cable Device (W) WLAN Access Point, (P) Repeater, (S) Station, (O) Other Device ID Local Intf Hold-time Capability Port ID c2960-8 Fa0/8 120 B Fa0/8 Total entries displayed: 1 Visualizando Información CDP/LLDP 4506# show cdp neighbor detail ----------------------Device ID: TBA03501074(SwitchA-6500) Entry address(es): IP address: 10.18.2.137 Platform: WS-C6506, Capabilities: Trans-Bridge Switch IGMP Interface: FastEthernet3/21, Port ID (outgoing port): 3/36 Holdtime : 170 sec Version : WS-C6506 Software, Version McpSW: 7.6(1) NmpSW: 7.6(1) Copyright © 1995-2003 by Cisco Systems advertisement version: 2 VTP Management Domain: ‘0’ Native VLAN: 1 Duplex: full ----------------------Device ID: SwitchC-4503 Entry address(es): IP address: 10.18.2.132 Platform: cisco WS-C4503, Capabilities: Router Switch IGMP Interface: FastEthernet3/27, Port ID (outgoing port): FastEthernet3/14 Holdtime : 130 sec Version : Cisco Internetwork Operating System Software IOS (tm) Catalyst 4000 L3 Switch Software (cat4000-I5S-M), Version 12.1(19)EW, CISCO ENHANCED PRODUCTION VERSION Copyright © 1986-2003 by cisco Systems, Inc. Compiled Tue 27-May-03 04:31 by prothero Vulnerabilidades CDP Secuencia de Eventos Descripción 1. El Administrador de Sistemas usa CDP para ver la información de los vecinos. 2. El atacante usa un analizador de paquetes para interceptar el tráfico CDP. 3. El atacante analiza la información de los paquetes CDP para lograr conocer las direcciones de red y los datos de los equipos. 4. El atacante formula ataques basados en las vulnerabilidades conocidas de las plataformas de red. Vulnerabilidades con CDP • CDP se propaga sin cifrado, mediante broadcast Protección de puertos • Evita el re-envío de tráfico (unicast, multicast o broadcast) entre puertos protegidos. • Sólo se transmite el tráfico de control debido a que estos paquetes son procesados por la CPU y se re-envían por software • Todo el tráfico de datos que pasa entre puertos protegidos debe ser enviado a través de un dispositivo de Capa 3 • Un puerto protegido intercambia tráfico solamente con puertos no protegidos Reflejo de puertos • El reflejo de puertos permite generar una copia del tráfico que atraviesa un puerto determinado en otro puerto del mismo switch • También se puede enviar una copia del tráfico a un puerto de un switch diferente • El reflejo de puertos no mitiga los ataques, pero sí permite el monitoreo de la actividad maliciosa • El reflejo de puertos no interfiere con otros mecanismos (Syslog o SNMP) • Se puede utilizar para reflejar el tráfico a otro puerto donde se conecta una sonda o un sensor IDS. • Los dispositivos IDS necesitan leer todos los paquetes en una o más redes VLAN SW1(config)# no monitor session 1 SW1(config)#  monitor session 1 source interface gigabitethernet0/1 SW1(config)#  monitor session 1 destination interface gigabitethernet0/2 encapsulation replicate  Amenazas a la seguridad inalámbrica Métodos de ataque inalámbrico • Las redes inalámbricas están expuestas a los mismos ataques de una red conmutada cableada • Los métodos de ataque a redes inalámbricas pueden categorizarse en: • Reconocimiento •  Ataques de acceso • Denegación de servicio (DoS) Herramientas de ataque inalámbrico • La aplicación Network Stumbler encuentra redes inalámbricas. • La aplicación Kismet muestra redes inalámbricas que no propagan sus SSID. • La aplicación AirSnort captura y rompe contraseñas WEP • CoWPAtty rompe WPA-PSK (WPA1). •  ASLEAP captura datos de autenticación. • Wireshark puede analizar datos de Ethernet inalámbricas y SSID 802.11  Ataques de reconocimiento • Consiste en el descubrimiento no autorizado y mapeo de sistemas, servicios o vulnerabilidades inalámbricas. • También conocido como Recopilación de Información. • Es considerado ilegal sólo en algunos países. • Por lo general, precede a un acceso real o ataque DoS. •  A menudo llamado Wardriving • Similar a un ladrón que explora un barrio de casas no seguras.  Ataques de reconocimiento • Para espiar redes WLAN se pueden utilizar analizadores de protocolos inalámbricos • Comerciales, como AiroPeek, AirMagnet, o Sniffer Wireless • Libres, como Ethercap, Wireshark o Tcpdump • Estas herramientas para buscar redes inalámbricas pueden ser activas o pasivas • Las herramientas pasivas, como Kismet, no transmiten ninguna información mientras están detectando las redes inalámbricas.  Ataques de suplantación ARP • Los ataques de suplantación ARP y errores de caché ARP se deben a que los equipos inalámbricos pueden responder a los paquetes de petición ARP incluso éstos paquetes no con para ellos. • Cuando se produce un ataque de este tipo, todos los paquetes destinados para los routers, conmutadores u otros dispositivos pasan a través del atacante. 1.1.1.2 1.1.1.2  Ataque "Evil Twin" • Consiste en suplantar a cualquier punto de acceso Wi-Fi genuino. • El atacante se asegurará de que el AP “gemelo malvado” sea igual que el AP de la red, y así engañar a los usuarios, que luego se conectarán con el AP falso •  A partir de allí el atacante puede ejecutar numerosos ataques de tomar ventaja de la víctima inconsciente.  Ataques de DoS en redes inalámbricas • La meta de estos ataques es prevenir que usuarios legítimos puedan acceder a la red inalámbrica • Dos tipos de ataque •  Ataques de radiofrecuencia •  Ataques al protocolo 802.11  Ataques de radiofrecuencia •  Ataque de capa 1 (Jamming) • El atacante usa algún transmisor de radio que genera ruido en la frecuencia de 2,4 GHz. • La interrupción de la transmisión ocurre cuando la relación señal a ruido alcanza cierto nivel • El ataque es efectivo pero resulta costoso para el atacante • No es un enfoque de ataque mayor  Ataques al protocolo 802.11 •  Ataques de capa 2 •  Aprovecha las vulnerabilidades el protocolo 802.11 • Se basa en dos tipos de vulnerabilidad • Vulnerabilidad de identidad • Des-autenticación • Des-asociación •  Ataque contra el modo de ahorro de energía • Vulnerabilidad de control de acceso al medio  Ataque de des-autenticación • Durante el proceso de asociación con el AP elegido, 802.11 provee un mensaje que permite a los clientes explícitamente desautenticarse del AP • Un atacante puede falsificar un mensaje de des-autenticación del AP a nombre de un cliente • Obliga al cliente a re-autenticarse con el AP • El ataque puede repetirse indefinidamente • Por cliente, suplantando al cliente y des- autenticándolo del AP • Todos los clientes, suplantando al AP y desautenticando a todos los clientes • El atacante sólo requiere enviar una trama falsa  Ataque de des-asociación • Durante el proceso de asociación con el AP elegido, 802.11 provee un componente de des-asociación que indica al AP que termine de manejar el tráfico del cliente • Un atacante puede falsificar un mensaje de des-asociación hacia el AP a nombre de un cliente • Obliga al cliente a re-asociarse con el AP • El ataque puede repetirse indefinidamente • Similar al ataque de des-autenticación • El atacante sólo requiere enviar una trama falsa Mitigación de ataques de des-asociación • Se debe autenticar las tramas de gestión • No se puede lograr solamente actualizando el software • Se requiere un marco de autenticación estándar, lo que puede tomar tiempo • Retrasar el cumplimiento de la petición des-autenticación • Sobre la base del comportamiento observado de los clientes legítimos, no des-autenticar los datos enviados •  Aplicar intervalo de retardo pequeños (5-10 segundos) • Si no se reciben otras tramas del mismo cliente entonces respetar la petición  Ataque contra el modo de ahorro de energía • LA idea es engañar al AP haciéndole creer que el cliente bajo ataque está en modo ahorro de energía. • Por lo tanto, el AP comenzara a almacenar las tramas destinadas a dicho cliente • Sin embargo, el cliente, que en realidad no está en modo de reposo, no sabe que el  AP lo considera así, por lo tanto, no solicita solicita al AP las tramas almacenadas que le corresponden • Esto se traduce en una desconexión parcial del cliente de la red (el cliente todavía puede transmitir tramas). • Genera una desincronización entre el cliente y el AP. • Eventualmente el AP con el tiempo eliminará las tramas almacenadas para el cliente  Ataque contra el modo de ahorro de energía • Se pueden realizar 3 tipos de ataque • El atacante falsifica la trama de barrido del cliente, causando que el AP descarte los paquetes mientras el cliente duerme • El atacante falsifica la trama TIM, (Traffic Information Map) convenciendo al cliente de que no tiene tramas almacenadas • El atacante puede modificar información clave para la sincronización, como el intervalo de tramas TIM causandoq ue el cliente y al AP se desincronicen  Ataque contra el mecanismo de acceso al medio • 802.11 establece mecanismos para controlar el acceso al medio y asegurar un canal libre de colisiones • Combina dos mecanismos para ello • Detección de portadora física • Usando CSMA/CA con ventanas de tiempo • Detección de portadora virtual • Usando RTS/CTS con NAV • Se puede atacar cada uno de estos mecanismos  Ataque a ventanas de tiempo • Cada transmisor debe esperar al menos el intervalo SIFS o mayor para transmitir • El atacante puede monopolizar el canal enviando una señal antes que finalice cada intervalo SIFS • El ataque es limitado • Consume muchos recursos, SIFS dura 28 µs (802.11b), por lo que el atacante debe generar 50000 paquetes por segundo para deshabilitar la red  Ataque a NAV defer access contention • NAV (Network Allocation Vector) es un indicador de disponibilidad del canal virtual que se modifica con cada mensaje RTS/CTS • El atacante puede falsificar el campo “Duración” de una trama de control RTS usando valores muy altos, lo que causa que el valor de NAV en el resto de equipos se incremente y evite su acceso al canal • El valor máximo es de 32767, iguala 32 ms • El atacante necesita transmitir sólo 30 veces por segundo • El ataque puede mejorarse falsificando la duración de RTS, para que los clientes propaguen el ataque en las tramas CTS Mitigación de ataques contra el acceso al medio • La defensa se basa en el hecho de que los valores de duración legítimos son relativamente pequeños • Limitar la duración máxima de las tramas recibidas • Si una estación recibe una trama con una duración mayor al valor de límite, truncar la duración al valor de límite • Para una estricto control, se requiere de límites mínimos y máximos • El valor mínimo debe ser un valor igual a la cantidad de tiempo necesaria para enviar la trama ACK más el tiempo promedio de backoff por trama • El valor máximo usado debiera ser el máximo permitido para la transmisión de tramas Vulnerabilidades en redes Ad Hoc • Por lo general poca o ninguna • • • • seguridad Las terminales corren un riesgo significativo de conectarse a un dispositivo no autorizado Las terminales corren un riesgo significativo de que su conexión sea insegura incluso con un dispositivo autorizado Riesgo de conectar un dispositivo adhoc inalámbrico no autorizado a una red segura mediante cable Vulnerabilidad en algunos sistemas operativos al momento de trabajar con redes Ad Hoc (función de configuración automática)  Ataques en redes Ad Hoc • Contemplan los mismos ataques que una red inalámbrica de infraestructura •  Ataques de reconocimiento •  Ataques de suplantación •  Ataques de repetición • Distorsión de mensajes • Los ataques se enfocan principalmente a los protocolos de enrutamiento Ad Hoc (redes MESH) •  Ataque de interrupción de enrutamiento • El atacante manipula o interrumpe el enrutamiento de los paquetes de datos entre los nodos inalámbricas •  Ataque de consumo de recursos • El atacante inyecta paquetes en la red para consumir los recursos de la red o los recursos de los nodos inalámbricos Vulnerabilidades en redes MESH • Las redes MESH son vulnerables a ataques debido a la ausencia de una autoridad central de confianza y la naturaleza abierta del medio inalámbrico. • Pueden introducirse nodos maliciosos fácilmente en la red y lanzar ataques de interferencia, espiar las comunicaciones e inyectar paquetes maliciosos. • Puede cambiar la relación de confianza entre los nodos debido a la topología dinámica y al enrutamiento multi-hop. • Cuentan con recursos (memoria, capacidad computacional) limitados. • Los nodos que sirven de puertas de enlace proporcionan acceso toda la red y por lo general se convierten en el objetivo principal de ataque. • Una vez atacada ésta puerta de enlace, ya no se puede ofrecer un servicio normal, comprometiendo el rendimiento de toda la red.  Ataques en redes MESH • Hay diferentes tipos de ataques que se pueden encontrar en una red MESH. • En la capa PHY, hay bloqueo de la señal y el dispositivo de manipulación. • En la capa MAC, hay suplantación de MAC, Jamming virtual y ataque DoS. • En la capa de red, DoS con agujeros negros, grayhole, agujero de gusano. • El ataque DoS es el más grave y se da en la capa de red y la capa MAC.  Ataque de DoS y DDoS en redes MESH Mitigando ataques en redes MESH • Los ataques DDoS son difíciles de detectar rápidamente con gran precisión debido a tres factores: • Detección precisa • El rendimiento de detección ideales es distinguir entre las situaciones de ataque DDoS y la saturación de la red debida a las cargas de tráfico pesado. • Es difícil de lograr este objetivo debido a la diversidad ataque. Ataques usando ICMP, TCP Syn; además de la falta de mecanismos de control de congestión. • Detección rápida • Un ataque con éxito DDoS consiste en miles de víctimas que inundan la red con altos volúmenes de tráfico en un período de tiempo relativamente corto. • Un buen mecanismo de detección debe tener la capacidad de responder con rapidez y dar la alarma al iniciar el ataque antes de que cause daños importantes. • Detección de baja sobrecarga • El mecanismo de detección no debe ocupar demasiado de los recursos de la red para responder a los ataques. De lo contrario, dará lugar a una alta sobrecarga adicional a la red haciendo ineficaz el proceso de detección. Mejores prácticas de Seguridad en Capa 2 •  Administre los switches de forma segura (SSH, gestión out-of-band, ACLs) • Use la seguridad de puertos donde sea posible para los puertos de acceso. • Use CDP sólo donde sea necesario. • Configure explícitamente la troncalización en los puertos de infraestructura. • Des-habilite la auto-troncalización en los puertos que conectan a los usuarios (DTP off). • Configure PortFast en todos los puertos no troncales. • Configure BPDU Guard en todos los puertos no troncales. • Configure Root Guard en los puertos raíz STP. • Deshabilite los puertos no utilizados y póngalos en una VLAN no utilizada. • Use asignaciones diferentes para las VLAN de gestión, nativa, usuario/datos, voz, agujeros negros, y privada. • No use la VLAN 1 para nada excepto para tráfico de control de los protocolos de Capa 2.