Herramientas de usuario
redes:segether
Diferencias
Muestra las diferencias entre dos versiones de la página.
| Ambos lados, revisión anteriorRevisión previaPróxima revisión | Revisión previa | ||
| redes:segether [2024/10/18 16:07] – thejuanvisu | redes:segether [2024/10/25 16:12] (actual) – thejuanvisu | ||
|---|---|---|---|
| Línea 60: | Línea 60: | ||
| La VLAN 1 siempre está habilitada, el tráfico de servicio va por la VLAN 1, aunque se trate de deshabilitar el switch no va a obedecer. | La VLAN 1 siempre está habilitada, el tráfico de servicio va por la VLAN 1, aunque se trate de deshabilitar el switch no va a obedecer. | ||
| + | {{drawio> | ||
| + | |||
| + | ===== Vulnerabilidades mitigables en capa 2 ===== | ||
| + | * Análisis Pasivo: Recopilación de información sin inyección de tráfico | ||
| + | * Escucha el tráfico recibido en un puerto, es posible utilizar herramientas para descubrir información sin hacer mucho ruido (arpin, netdiscover, | ||
| + | * Análisis Activo: Se inyecta tráfico a nivel de capa 3 en la red, pero el ataque puede ser detectado más facilmente (ping, fping, hping3, nmap, metasploit...) | ||
| + | |||
| + | ===== Ataques comunes ===== | ||
| + | ==== Accesos no autorizados desde dispositivos falsos ==== | ||
| + | * Conexión de un punto de acceso no autorizado a la infraestructura de red: Brecha de seguridad ya que puede crear un punto de entrada tras el firewall. | ||
| + | * Esta vulnerabilidad se abrava debido a que no suelen configurarse las medidas de seguridad en estos dispositivos | ||
| + | * Acceso inalámbrico a redes abiertas: Ataque de suplantación | ||
| + | * Dispositivos de capa 2: Un tacante con acceso físisco puede colocar un switch para alterar el funcionamiento STP para provocar saltos de VLANS, snifar el tráfico, etc... Para evitar la manipulación de STP se portege para que no acepte BPDUs falsas y fijar la ubicación del switch raiz. | ||
| + | |||
| + | ==== MAC flooding attack (Saturación de la Tabla de Envío) ==== | ||
| + | Consiste en sobrecargar la tabla CAM para que las tramas convencionales se envíen por todos los puertos en vez de solo por el puerto que esté conectado al dispositivo de destino, esto permite recibir todo el tráfico que circula por una red y hacer ataques DDOS. | ||
| + | Las tablas CAM tienen un tamaño limitado, por lo que si se introducen un número muy alto de direcciones MAC en esta tabla, este no podrá aprenderse las direcciones mac correctas asignadas a cada puerto, por lo que cada vez que se deba enviar tráfico a un dispositvo, se enviará por todos los puertos menos por el que entró ya que el switch no tendrá el dispositivo en cuestión en su tabla mac. | ||
| + | Algunos efectos adeversos de esto son que el sitch envía tráfico de forma ineficiente y que un intruso podría recibir información a la que normalmente no podría acceder. | ||
| + | |||
| + | Si el ataque se realiza una sola vez, cuando expiren las entradas no válidas de la tabla CAM el switch podrá aprender las direcciones correctas, por lo que desaparecerá el flooding y el intruso no será detectado. Se recomienda la siguiente contramedida: | ||
| + | * Configuración de Port Security: Define un numero máximo de MACS que se pueden aprender por puerto y se define que direcciones MAC están permitidas en el puerto | ||
| + | |||
| + | ==== ARP Spoofing Attach ==== | ||
| + | Consiste en utilizar " | ||
| + | {{drawio> | ||
| + | |||
| + | ==== DHCP Spoofing ==== | ||
| + | |||
| + | Suplantamos un servidor DHCP. | ||
| + | {{drawio> | ||
| + | |||
| + | |||
| + | ===== Medidas de seguridad ===== | ||
| + | Un método de prevención es la creación de VLANS anidadas o vlans privadas, lo que consiste en crear VLANs dentro de otras VLANs. | ||
| + | ==== Port Security ==== | ||
| + | La idea es limitar el número de mac simultáneas aprendidas por puerto, cuando se habilita, un puerto solo puede aprender una dirección MAC simultánea. El problema viene cuando se usan máquinas virtuales, ahí lo que se hace es permitir el aprendizaje de varias direcciones mac: | ||
| + | < | ||
| + | switchport port security maximum | ||
| + | </ | ||
| + | Si un puerto alcanza el número máximo de MAC pasa a estado de error disable: para reactivarlo hay que entrar en el puerto, hacer un shutdown y un no-shutdown (Básicamente, | ||
| + | Estas configuraciones van siempre a puertos de acceso. | ||
| + | < | ||
| + | switch(config-if)# | ||
| + | switch(config-if)# | ||
| + | switch(config-ig)# | ||
| + | </ | ||
redes/segether.1729267657.txt.gz · Última modificación: 2024/10/18 16:07 por thejuanvisu
Herramientas de la página
