Knoppia

Wiki de Informática y otras historias

Herramientas de usuario

Herramientas del sitio

Estás aquí: inicio » redes » segether
redes:segether

Diferencias

Muestra las diferencias entre dos versiones de la página.

Enlace a la vista de comparación

Ambos lados, revisión anteriorRevisión previa
Próxima revisión		Revisión previa
redes:segether [2024/10/18 16:01] thejuanvisuredes:segether [2024/10/25 16:12] (actual) thejuanvisu
Línea 55: Línea 55:
 Elaces troncales: Elaces troncales:
   * Configurar manualmente todas las acciones trunk y deshabiltiar DTP   * Configurar manualmente todas las acciones trunk y deshabiltiar DTP
-  * Configurar una VLAN nativa que solo esté operativa en los enlaces troncales. +  * Configurar una VLAN nativa (VLAN sin etiqueta) que solo esté operativa en los enlaces troncales. 
 +  * Una VLAN nativa es una propiedad e los enlaces troncales que asigna una vlan sin etiqueta, lo normal es que estas no se utilicen, en switches modernos pueden ser deshabilitadas.
 {{drawio>redes:dibujeteDTP.png}} {{drawio>redes:dibujeteDTP.png}}
 +La VLAN 1 siempre está habilitada, el tráfico de servicio va por la VLAN 1, aunque se trate de deshabilitar el switch no va a obedecer.
 +
 +{{drawio>redes:movidasnativas.png}}
 +
 +===== Vulnerabilidades mitigables en capa 2 =====
 +  * Análisis Pasivo: Recopilación de información sin inyección de tráfico
 +    * Escucha el tráfico recibido en un puerto, es posible utilizar herramientas para descubrir información sin hacer mucho ruido (arpin, netdiscover, nmap)
 +  * Análisis Activo: Se inyecta tráfico a nivel de capa 3 en la red, pero el ataque puede ser detectado más facilmente (ping, fping, hping3, nmap, metasploit...)
 +
 +===== Ataques comunes =====
 +==== Accesos no autorizados desde dispositivos falsos ====
 +  * Conexión de un punto de acceso no autorizado a la infraestructura de red: Brecha de seguridad ya que puede crear un punto de entrada tras el firewall.
 +    * Esta vulnerabilidad se abrava debido a que no suelen configurarse las medidas de seguridad en estos dispositivos
 +    * Acceso inalámbrico a redes abiertas: Ataque de suplantación
 +  * Dispositivos de capa 2: Un tacante con acceso físisco puede colocar un switch para alterar el funcionamiento STP para provocar saltos de VLANS, snifar el tráfico, etc... Para evitar la manipulación de STP se portege para que no acepte BPDUs falsas y fijar la ubicación del switch raiz.
 +
 +==== MAC flooding attack (Saturación de la Tabla de Envío) ====
 +Consiste en sobrecargar la tabla CAM para que las tramas convencionales se envíen por todos los puertos en vez de solo por el puerto que esté conectado al dispositivo de destino, esto permite recibir todo el tráfico que circula por una red y hacer ataques DDOS.
 +Las tablas CAM tienen un tamaño limitado, por lo que si se introducen un número muy alto de direcciones MAC en esta tabla, este no podrá aprenderse las direcciones mac correctas asignadas a cada puerto, por lo que cada vez que se deba enviar tráfico a un dispositvo, se enviará por todos los puertos menos por el que entró ya que el switch no tendrá el dispositivo en cuestión en su tabla mac.
 +Algunos efectos adeversos de esto son que el sitch envía tráfico de forma ineficiente y que un intruso podría recibir información a la que normalmente no podría acceder.
 +
 +Si el ataque se realiza una sola vez, cuando expiren las entradas no válidas de la tabla CAM el switch podrá aprender las direcciones correctas, por lo que desaparecerá el flooding y el intruso no será detectado. Se recomienda la siguiente contramedida:
 +  * Configuración de Port Security: Define un numero máximo de MACS que se pueden aprender por puerto y se define que direcciones MAC están permitidas en el puerto
 +
 +==== ARP Spoofing Attach ====
 +Consiste en utilizar "Gratuitous ARP" que consisten en notificar a los demás cual es la IP y Mac sin haber solicitado, están pensados para reducir el número de peticiones ARP.
 +{{drawio>redes:spooFARM.png}}
 +
 +==== DHCP Spoofing ====
 +
 +Suplantamos un servidor DHCP.
 +{{drawio>redes:dhcpspoofing.png}}
 +
 +
 +===== Medidas de seguridad =====
 +Un método de prevención es la creación de VLANS anidadas o vlans privadas, lo que consiste en crear VLANs dentro de otras VLANs. 
 +==== Port Security ====
 +La idea es limitar el número de mac simultáneas aprendidas por puerto, cuando se habilita, un puerto solo puede aprender una dirección MAC simultánea. El problema viene cuando se usan máquinas virtuales, ahí lo que se hace es permitir el aprendizaje de varias direcciones mac:
 +<code>
 +switchport port security maximum
 +</code>
 +Si un puerto alcanza el número máximo de MAC pasa a estado de error disable: para reactivarlo hay que entrar en el puerto, hacer un shutdown y un no-shutdown (Básicamente, tumbarlo y destumbarlo).
 +Estas configuraciones van siempre a puertos de acceso. 
 +<code>
 +switch(config-if)# switchport port-security
 +switch(config-if)# switchport port-security maximum <value>
 +switch(config-ig)# switchport port-security mac-address <dirección mac>
 +</code>
  
redes/segether.1729267302.txt.gz · Última modificación: 2024/10/18 16:01 por thejuanvisu

Herramientas de la página

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki