Herramientas de usuario
redes:segether
Diferencias
Muestra las diferencias entre dos versiones de la página.
| Ambos lados, revisión anteriorRevisión previaPróxima revisión | Revisión previa | ||
| redes:segether [2024/10/18 16:29] – thejuanvisu | redes:segether [2024/10/25 16:12] (actual) – thejuanvisu | ||
|---|---|---|---|
| Línea 74: | Línea 74: | ||
| * Dispositivos de capa 2: Un tacante con acceso físisco puede colocar un switch para alterar el funcionamiento STP para provocar saltos de VLANS, snifar el tráfico, etc... Para evitar la manipulación de STP se portege para que no acepte BPDUs falsas y fijar la ubicación del switch raiz. | * Dispositivos de capa 2: Un tacante con acceso físisco puede colocar un switch para alterar el funcionamiento STP para provocar saltos de VLANS, snifar el tráfico, etc... Para evitar la manipulación de STP se portege para que no acepte BPDUs falsas y fijar la ubicación del switch raiz. | ||
| - | ==== MAC flooding | + | ==== MAC flooding |
| Consiste en sobrecargar la tabla CAM para que las tramas convencionales se envíen por todos los puertos en vez de solo por el puerto que esté conectado al dispositivo de destino, esto permite recibir todo el tráfico que circula por una red y hacer ataques DDOS. | Consiste en sobrecargar la tabla CAM para que las tramas convencionales se envíen por todos los puertos en vez de solo por el puerto que esté conectado al dispositivo de destino, esto permite recibir todo el tráfico que circula por una red y hacer ataques DDOS. | ||
| Las tablas CAM tienen un tamaño limitado, por lo que si se introducen un número muy alto de direcciones MAC en esta tabla, este no podrá aprenderse las direcciones mac correctas asignadas a cada puerto, por lo que cada vez que se deba enviar tráfico a un dispositvo, se enviará por todos los puertos menos por el que entró ya que el switch no tendrá el dispositivo en cuestión en su tabla mac. | Las tablas CAM tienen un tamaño limitado, por lo que si se introducen un número muy alto de direcciones MAC en esta tabla, este no podrá aprenderse las direcciones mac correctas asignadas a cada puerto, por lo que cada vez que se deba enviar tráfico a un dispositvo, se enviará por todos los puertos menos por el que entró ya que el switch no tendrá el dispositivo en cuestión en su tabla mac. | ||
| Línea 82: | Línea 82: | ||
| * Configuración de Port Security: Define un numero máximo de MACS que se pueden aprender por puerto y se define que direcciones MAC están permitidas en el puerto | * Configuración de Port Security: Define un numero máximo de MACS que se pueden aprender por puerto y se define que direcciones MAC están permitidas en el puerto | ||
| + | ==== ARP Spoofing Attach ==== | ||
| + | Consiste en utilizar " | ||
| + | {{drawio> | ||
| + | |||
| + | ==== DHCP Spoofing ==== | ||
| + | |||
| + | Suplantamos un servidor DHCP. | ||
| + | {{drawio> | ||
| + | |||
| + | |||
| + | ===== Medidas de seguridad ===== | ||
| + | Un método de prevención es la creación de VLANS anidadas o vlans privadas, lo que consiste en crear VLANs dentro de otras VLANs. | ||
| + | ==== Port Security ==== | ||
| + | La idea es limitar el número de mac simultáneas aprendidas por puerto, cuando se habilita, un puerto solo puede aprender una dirección MAC simultánea. El problema viene cuando se usan máquinas virtuales, ahí lo que se hace es permitir el aprendizaje de varias direcciones mac: | ||
| + | < | ||
| + | switchport port security maximum | ||
| + | </ | ||
| + | Si un puerto alcanza el número máximo de MAC pasa a estado de error disable: para reactivarlo hay que entrar en el puerto, hacer un shutdown y un no-shutdown (Básicamente, | ||
| + | Estas configuraciones van siempre a puertos de acceso. | ||
| + | < | ||
| + | switch(config-if)# | ||
| + | switch(config-if)# | ||
| + | switch(config-ig)# | ||
| + | </ | ||
redes/segether.1729268992.txt.gz · Última modificación: 2024/10/18 16:29 por thejuanvisu
Herramientas de la página
