Professional Documents
Culture Documents
Ataques.
Contramedidas.
Buenas
prcticas.
Contenidos
Mitos de la capa 2
Las direcciones MAC no pueden ser
falsificadas.
Un switch no permite hacer sniffing.
Las VLANs estn completamente
aisladas unas de otras.
Ataques basados en
MAC y ARP
CAM Table Overflow.
ARP Spoofing
Ataques que emplean
ARP Spoofing.
OOPS!!!
OOPS!!!
ARP Spoofing
ARP no proporciona seguridad o algn mecanismo
para reservar direcciones IP o MAC.
Qu ocurrira en este caso?
ARP Spoofing
El Host X y el Host Y probablemente ignoren la trama
a menos que tengan una entrada para 1.2.3.1 en su
cach ARP.
Puertos Trunk
Los
switchs
desencapsulado.
realizan
un
solo
nivel
de
Contramedidas
Ataques MAC y ARP
Storm Control.
Protected Ports.
Port Security.
Ataques VLAN
Ataques STP
Storm Control
Una tormenta de paquetes ocurre cuando se
reciben en un puerto gran nmero de paquetes
broadcast, unicast o multicast. Reenviar esos
paquetes puede causar una reduccin de la
performance de la red e incluso la interrupcin
del servicio.
Storm Control usa umbrales para bloquear y
restaurar el reenvo de paquetes broadcast,
unicast o multicast.
Usa un mtodo basado en ancho de banda. Los
umbrales se expresan como un procentaje del
total de ancho de banda que puede ser
empleado para cada tipo de trfico.
Protected Ports
Ciertas aplicaciones requieren que nos se
reenve trfico entre puertos en un mismo
switch de manera que un equipo no ve el trfico
generado por otro (inclusive trfico broadcast y
multicast).
No se puede reenviar trfico entre puertos
protegidos a nivel de capa 2. El trfico entre
puertos protegidos debe ser reenviado a travs
de un dispositivo de capa 3.
El reenvio de trfico entre puertos protegidos y
no protegidos se realiza de manera normal.
Protected Ports
Port Security
Conjunto de medidas de seguridad a nivel de
puertos disponibles en la mayora de los switchs
de gama media y alta.
La funciones provistas dependen de la marca, el
modelo y la versin de firmware del switch en
cuestin.
Permite entre otras cosas:
Restringir el acceso a los puertos segn la MAC.
Restringir el numero de MACs por puerto.
Reaccionar de diferentes maneras a violaciones de las
restricciones anteriores.
Establecer la duracin de las asociaciones MAC-Puerto.
Ataques VLAN
Deshabilitar auto trunking para todas las
interfaces:
(Dentro del modo configuracin de interface del puerto a configurar)
Switch(config-if)# switchport mode access
Deshabilitar VTP:
(Dentro del modo configuracin global)
Switch(config)# vtp mode transparent
Ataques VLAN
Siempre utilizar una VLAN dedicada para los
puertos trunk.
Deshabilitar los puertos no utilizados y
colocarlos en una VLAN no utilizada.
No utilizar la VLAN 1 para nada.
Colocar todos los puertos de los usuarios como
non-trunking (Deshabilitar DTP):
(Dentro del modo configuracin de interface del puerto a configurar)
Switch(config-if)# switchport mode access
Switch(config-if)# switchport nonegotiate
Ataques STP
No deshabilitar STP (introducir un loop puede
convertirse en una forma de ataque).
Habilitar BPDU Guard:
(Dentro del modo configuracin global)
Switch(config)# spanning-tree portfast bpduguard default
(Dentro del modo configuracin de interface del puerto a configurar)
Switch(config-if)# spanning-tree bpduguard enable
o
Switch(config-if)# spanning-tree portfast
Buenas prcticas
Administre los switches de la manera ms
segura posible (SSH, OOB, listas de acceso)
Siempre utilizar una VLAN dedicada para los
puertos trunk.
Deshabilitar los puertos no utilizados y
colocarlos en una VLAN no utilizada.
No utilizar la VLAN 1 para nada.
Deshabilitar DTP y VTP a menos que sean
necesarios.
Use Port Security para los puertos de los
usuarios siempre que sea posible
Buenas prcticas
Use SNMP slo si es necesario, en caso de
usarlo aplique a las contraseas de comunidad
las mismas polticas que a sus contraseas de
administrador.
Cree un plan para tratar los problemas de
seguridad relacionados con ARP.
Habilite mecanismos para mitigar los ataques
basados en STP (BPDU Guard, Root Guard).
Use VLANs privadas (protected ports) cuando
sea apropiado para dividir redes en capa 2.
Consultas?
Ing. Gabriel Arellano
arellanog@frcu.utn.edu.ar
UTN-FRCU
16/07/2005