Académique Documents
Professionnel Documents
Culture Documents
Contenidos
Porqu asegurar la capa 2? Mitos de la capa 2 Ataques basados en MAC y ARP Ataques basados en VLAN Ataques basados en STP Contramedidas Buenas Prcticas
Mitos de la capa 2
Las direcciones MAC no pueden ser falsificadas. Un switch no permite hacer sniffing. Las VLANs estn completamente aisladas unas de otras.
ARP Spoofing
ARP no proporciona seguridad o algn mecanismo para reservar direcciones IP o MAC. Qu ocurrira en este caso?
Host W: Soy 1.2.3.1 y mi MAC es 12:34:56:78:9A:BC Eperar unos segundos Host W: Soy 1.2.3.1 y mi MAC es 12:34:56:78:9A:BC
ARP Spoofing
El Host X y el Host Y probablemente ignoren la trama a menos que tengan una entrada para 1.2.3.1 en su cach ARP.
Cuando uno de los hosts pida la MAC de 1.2.3.1 el router va a responder y esta MAC va a permanecer hasta que el Host W transmita otra solicitud ARP gratuita. En algunos SO inclusive las entradas ARP estticas son sobreescritas por las solicitudes ARP gratuitas.
Puertos Trunk
Los puertos trunk por default tienen acceso a todas las VLANs. Se los emplea para transmitir trfico de mltiples VLANs a travs del mismo enlace fsico (generalmente empleado para conectar switches). La encapsulacin puede ser IEEE 802.1Q o ISL.
Automatiza la configuracin de los trunk 802.1Q/ISL. Sincroniza el modo de trunking en los extremos. Hace innecesaria la intervencin administrativa en ambos extremos. El estado de DTP en un puerto trunk puede ser Auto, On, Off, Desirable, o Non-Negotiate. Por default en la mayora de los switchs es Auto.
Un equipo puede hacerse pasar como un switch con 802.1Q/ISL y DTP, o bien se puede emplear un switch. El equipo se vuelve miembro de todas las VLAN. Requiere que el puerto este configurado con trunking automtico.
Se envian una trama 802.1Q de la VLAN de la vctima dentro de otra trama 802.1Q de nuestra VLAN. Los switchs desencapsulado. realizan un solo nivel de
Solo permite trfico en una sola direccin. Slo funciona si la VLAN nativa del trunk es la misma a la que pertenece el atacante. Funciona aunque el puerto del atacante tenga desactivado el trunking.
Se lo emplea para distribuir configuraciones de VLAN a travs de mltiples dispositivos. VTP se emplea nicamente en puertos trunk. VTP puede causar muchos inconvenientes. VTP emplea autenticacin considere usar MD5. Si un atacante logra que su puerto se convierta en trunk, puede enviar mensajes VTP como si fuera un servidor VTP sin VLANs configuradas. Cuando los demas switches reciban el mensaje eliminarn todas sus VLANs.
Creado para lograr topologas libres de bucles en infrestructuras de capa 2 redundantes. Evitar bucles asegura que el trafico broadcast no se vuelva una tormenta (broadcast storm). Provee servicios de recuperacin de rutas.
Contramedidas
Ataques MAC y ARP
Storm Control. Protected Ports. Port Security.
Storm Control
Una tormenta de paquetes ocurre cuando se reciben en un puerto gran nmero de paquetes broadcast, unicast o multicast. Reenviar esos paquetes puede causar una reduccin de la performance de la red e incluso la interrupcin del servicio. Storm Control usa umbrales para bloquear y restaurar el reenvo de paquetes broadcast, unicast o multicast. Usa un mtodo basado en ancho de banda. Los umbrales se expresan como un procentaje del total de ancho de banda que puede ser empleado para cada tipo de trfico.
(Dentro del modo configuracin de interface del puerto a configurar) storm-control {broadcast | multicast | unicast} level level [level-low] storm-control action {shutdown | trap}
Protected Ports
Ciertas aplicaciones requieren que nos se reenve trfico entre puertos en un mismo switch de manera que un equipo no ve el trfico generado por otro (inclusive trfico broadcast y multicast). No se puede reenviar trfico entre puertos protegidos a nivel de capa 2. El trfico entre puertos protegidos debe ser reenviado a travs de un dispositivo de capa 3. El reenvio de trfico entre puertos protegidos y no protegidos se realiza de manera normal.
Protected Ports
(Dentro del modo configuracin de interface del puerto a configurar) Switch(config-if)# switchport protected Switch(config-if)# end
Port Security
Conjunto de medidas de seguridad a nivel de puertos disponibles en la mayora de los switchs de gama media y alta. La funciones provistas dependen de la marca, el modelo y la versin de firmware del switch en cuestin. Permite entre otras cosas:
Restringir el acceso a los puertos segn la MAC. Restringir el numero de MACs por puerto. Reaccionar de diferentes maneras a violaciones de las restricciones anteriores. Establecer la duracin de las asociaciones MAC-Puerto.
No se puede activar port security en puertos dynamic access o trunk. Port Security est desactivado por default. Por default port security slo almacena una sola MAC por puerto.
Con la primera linea le digo que agregue las MACs que va aprendiendo a la lista de MACs seguras. Con la segunda que agregue la MAC 00:0a:5e:5a:18:1b a la lista de MACs seguras. Si no agrego una segunda MAC, la primera MAC que escuche distinta a 00:0a:5e:5a:18:1b ser agregada a la lista de MACs seguras.
Tipo absoluto: Las direcciones MAC seguras son borradas de la lista luego de N minutos. Tipo inactivity: Las direcciones MAC seguras son borradas de la lista luego de N minutos de inactividad. Aging static: elimina o no las direcciones MAC ingresadas de manera esttica al cumplirse el plazo. Aging time: define el numero de minutos.
Con la primera linea le digo que no elimine las MACs agregadas de manera esttica. Con la segunda establezco el tiempo en dos minutos. Por ltimo, le digo que deben transcurrir dos minutos de inactividad antes de eliminar la direccin MAC.
Ataques VLAN
Deshabilitar auto trunking para todas las interfaces:
(Dentro del modo configuracin de interface del puerto a configurar) Switch(config-if)# switchport mode access
Deshabilitar VTP:
(Dentro del modo configuracin global) Switch(config)# vtp mode transparent
Ataques VLAN
Siempre utilizar una VLAN dedicada para los puertos trunk. Deshabilitar los puertos no utilizados y colocarlos en una VLAN no utilizada. No utilizar la VLAN 1 para nada. Colocar todos los puertos de los usuarios como non-trunking (Deshabilitar DTP):
(Dentro del modo configuracin de interface del puerto a configurar) Switch(config-if)# switchport mode access Switch(config-if)# switchport nonegotiate
Ataques STP
No deshabilitar STP (introducir un loop puede convertirse en una forma de ataque). Habilitar BPDU Guard:
(Dentro del modo configuracin global) Switch(config)# spanning-tree portfast bpduguard default (Dentro del modo configuracin de interface del puerto a configurar) Switch(config-if)# spanning-tree bpduguard enable o Switch(config-if)# spanning-tree portfast
Buenas prcticas
Administre los switches de la manera ms segura posible (SSH, OOB, listas de acceso) Siempre utilizar una VLAN dedicada para los puertos trunk. Deshabilitar los puertos no utilizados y colocarlos en una VLAN no utilizada. No utilizar la VLAN 1 para nada. Deshabilitar DTP y VTP a menos que sean necesarios. Use Port Security para los puertos de los usuarios siempre que sea posible
Buenas prcticas
Use SNMP slo si es necesario, en caso de usarlo aplique a las contraseas de comunidad las mismas polticas que a sus contraseas de administrador. Cree un plan para tratar los problemas de seguridad relacionados con ARP. Habilite mecanismos para mitigar los ataques basados en STP (BPDU Guard, Root Guard). Use VLANs privadas (protected ports) cuando sea apropiado para dividir redes en capa 2.
Consultas?
Ing. Gabriel Arellano
arellanog@frcu.utn.edu.ar
UTN-FRCU 16/07/2005