Herramientas de usuario
redes:turboresumenexpress
Diferencias
Muestra las diferencias entre dos versiones de la página.
| Ambos lados, revisión anteriorRevisión previaPróxima revisión | Revisión previa | ||
| redes:turboresumenexpress [2025/07/10 12:30] – thejuanvisu | redes:turboresumenexpress [2025/07/10 13:38] (actual) – thejuanvisu | ||
|---|---|---|---|
| Línea 226: | Línea 226: | ||
| ===== 3.2 Vulnerabilidades mitigables en capa 2 ===== | ===== 3.2 Vulnerabilidades mitigables en capa 2 ===== | ||
| + | * Análisis pasivo: recopilación de información sin inyección de tráfico | ||
| + | * Se escucha el tráfico recibido en un puerto. | ||
| + | * Es posible descubrir info sin hacer mucho ruido con arping, netdiscover y nmap. | ||
| + | * Análisis Activo: Se inyecta tráfico en nivel de capa 3, lo que puede provocar que sea detectado | ||
| + | ===== 3.3 Ataques típicos ===== | ||
| + | ==== 3.3.1 Accesos no autorizados desde dispositivos falsos ==== | ||
| + | * Conexión de un punto de acceso no autorizdo a la infraestructura de red. Esto sería una brecha de seguridad ya que se puede crear un punto de entrada detrás del firewall de la organización. | ||
| + | * Dispositivos de capa 2: Un posible atacante con acceso físico a la red podría coloca run switch con la intención de alterar el funcionamiento STP, provocar saltos de VLAN, snifar tráfico... Una posible solución es proteger el STP para que no acepte BPDUs falsas y fijar la ubicación del swtich raiz. | ||
| + | ==== 3.3.2 Mac flooding ==== | ||
| + | * Consiste en sobrecargar la tabla CAM de forma que las tramas convencionales se envíen a todos los puertos en vez de enviarlo solo por el puerto conectado al dispositivo de destino. | ||
| + | * El objetivo de este ataque puede ser recibir todo el tráfico de red o realizar una denegación de servicios. | ||
| + | * Las tablas CAM tienen un tamaño bastante pequeño, por lo que hay un máximo de entradas que pueden almacenar, si un usuario introduce demasiadas mac invalidas en el switch, este no podrá aprender las direcciones MAC asignadas a los puertos correctos. | ||
| + | * El problema de esto es que el switch envía demasiado tráfico de forma ineficiente | ||
| + | * El intruso puede obtener info de tráfico que normalmente no recibiría. | ||
| + | * Como contramedida se recomienda configurar la Port Security, definiendo un número de MACs máximas que se pueden aprender por puerto, definiendo que direcciones MAC se permiten por puerto. | ||
| + | |||
| + | ==== 3.3.3 ARP Spoofing ==== | ||
| + | * Una respuesta de ARP normalmente contiene la dirección MAC del propio equipo y una respuesta a una petición realizada por otro equipo que conoce su IP, pero no la MAC. | ||
| + | * Cuando se produce ARP Spoofing, un dispositivo atacante usa su dirección MAC para que aparezca como destino de una IP que no le pertenece, provocando que el dispositivo que va a enviar la info lo haga usando como MAC de destino la del atacante en vez de la de un dispositivo válido. | ||
| + | * Esto hace que todo el tráfico destinado a dicha IP vaya al equipo del atacante | ||
| + | * También se pueden usar mensajes " | ||
| + | * Otra forma de realizar el ataque es generando respuestas DHSCP como si el atacante fuera un servidor DHCP válido. Previamente el atacante agota las IP ofertadas por el server legítimo, generando peticiones falsas con direcciones MAC falsas. | ||
| + | * Si el atacante proporciona dirección IP y máscara, también puede proporcionar servidor DNS y pasarela por defecto, permitiendo realizar un ataque man in the middle. | ||
| + | |||
| + | ==== 3.3.4 Ataque de salto de VLAN: Switch Spoofing ==== | ||
| + | Ataques que permiten que un sistema final envie o reciba paquetes de una vlan que no debería ser accesible para dicho equipo. Esto se puede hacer usando Switch Spooging o Double Tagging | ||
| + | |||
| + | === 3.3.4.1 Switch Spoofing === | ||
| + | El atacante configura si sistema para realizar un enlace trunk mediante ISL o IEEE 802.1Q, utilizando Dynamic Trunk Protocol (DTP) que esta habiltiado por defecto en los equipos cisco. La configuración automática permite que después de recibir un paquete DTP generado por el atacante, el puerto se convierta en troncal y por lo tanto envíe y acepte tráfico desde y hacia cualquier VLAN, permitiendo al atacante acceso a los datos de todas las VLANs | ||
| + | |||
| + | === 3.3.4.2 Double Tagging === | ||
| + | Una estación genera tramas con dos cabeceras 802.1Q con el fin de que el switch envíe tramas a una VLAN que en un principio no debería ser accesible al atacante. Para ello el atacante debe estar conectado a un puerto de acceso del switch, el switch tiene que tener un enlace troncal con 802.1Q y el enlace troncola tiene como VLAN nativa la misma VLAN que la del puerto de acceso al que está conectado el atacante. | ||
| + | |||
| + | |||
| + | === 3.3.4.3 Como evitar los ataque de salto de VLAN === | ||
| + | * Se deben configurar todos los puertos no utilizados como puertos de acceso para que no puedan negociar un enlace troncal | ||
| + | * Se colcan todos los puertos no usandos en estado apagado y se asocian con una VLAN no operativa | ||
| + | * Cuando se configura un enlace troncal la VLAN nativa debe ser diferente a cualquier VLAN de datos, se debe configurar el trunking de forma manual y se deben especificar el rango de VLANs soportadas en un enlace troncal, no permitiendo la VLAN nativa. | ||
| + | |||
| + | |||
| + | |||
| + | ===== 3.4 Fundamentos de Spannign Tree Protocol (STP) ===== | ||
| + | La topología redundante ayuda a eliminar puntos únicos de fallo. Para evitar efectos indeseables en capa 2 se usa STP, que bloquea determinados puertos de forma lógica para crear un árbol lógico, mientras existe una estructura de grafo cíclico a nivel físico. | ||
| + | |||
| + | En topología redundante de capa 2 pueden ocurrir los siguientes problemas: | ||
| + | * Tormentas de broadcast: El tráfico de difusión circual de forma indefinida, enviándose a todos los Switches menos al de origen. | ||
| + | * Transmisión de tramas múltiples: Se pueden enviar múltiples copias de una trama a un dispositivo destino, lo que puede producir Unicast MAC Flooding cuando una trama cuya mac unicast de destino es conocida, se reenvíe a todos los puertos menos por el que entró. | ||
| + | * Inestabilidad de las tablas MAC: Es el resultado de recibir mútiples copias de las misma tabla por los mismos puertos | ||
| + | |||
| + | |||
| + | {{drawio> | ||
| + | |||
| + | STP bloquea determinados puertos de forma lógica para crear un árbol: | ||
| + | * Utiliza conceptos como puente raíz, puertos raíz, puertos designados y puertos no designados para establecer rutas a través de la red. | ||
| + | * Obliga a determinados puertos a permanecer bloqueados para que no reenvíen o inunden tramas de datos. | ||
| + | * El objetivo es que solo haya un camino activo apra cada segmento de red | ||
| + | * Si hay un problema con la conectividad, | ||
| + | * Se usa Bridge Data Protocl Unitds (BPDUs) para llevar a cabo estas operaciones | ||
| + | ==== 3.4.1 Estándares de Spanning Tree ==== | ||
| + | * Versión original: estándar 802.1D, desarrollado para entornos de bridges, solo soporta LAN o VLAN. | ||
| + | * Common Spanning Tree (CST): Hay una instancia de spanning tree 802.1D para toda la red conmutada. | ||
| + | * Un solo árbol STP | ||
| + | * El tráfico de todas las VLANS fluye por los mismos enlaces y deca completamente inactivos otros. Soporta múltiples VLAN en un solo árblo | ||
| + | * Convergencia de red lenta. | ||
| + | * Cisco PVST y PVST*: Mejora de STP patentada por Cisco que proporciona una instancia de Spanning-tree 802.1D independiente para cada VLAN configurada en la red, permitiendo mejoras como PortFast, BPDU GUard, BPDU Filter, Root Guard y Loop Guard, permitiendo múltiples árbloes STP y repartiendo el tráfico de las diferentes VLANS | ||
| + | * Multiple Spannign Tree (MST) o IEEE 802.1S: para reducir el número de instanacias que requiere STP, MST asigna múltiples VLANS con los mismso requisitos, en la misma instancia de spanning tree. | ||
| + | * Rapid STP (RSTP) o IEEE 802.1W: es una evolución de STP que proporciona una convergencia más rápida, pero solo tiene una instancia de STP. | ||
| + | * Cisco PVRST+: Mejora de RSTP, proporciona una isntancia independiente de 802.1W por VLAN. | ||
| + | |||
| + | ==== 3.4.2 Vulnerabilidades de STP ==== | ||
| + | * Es un protocolo sin autenticación | ||
| + | * Los swtiches emiten y aceptan BPDUs por todos los puertos, por lo que un atacante podría: | ||
| + | * Convertirse en switch raiz | ||
| + | * Crear bucles | ||
| + | * Rutas incosistente | ||
| + | * Denegación de servicio totoal | ||
| + | ===== 3.5 Medidas de seguridad ===== | ||
| + | ==== 3.5.1 Ataques de capa 2 y contramedidas ==== | ||
| + | * MAC address Flooding: Se puede mitigar usando port security | ||
| + | * VLAN Hopping: Se puede mitigar realizando un control estricto de las configuraciones de troncales y de los puertos no usados. | ||
| + | * Ataques entre dispositivos de la misma VLAN: Private VLANS | ||
| + | * DHCP Starvation y DHCP Spoofing: Se puede solucionar aplicando DHCP Snooping | ||
| + | * Spanning Tree attack: Se mitiga configurando el switch raíz y un backup, así como habilitando root guard | ||
| + | * MAC Spoofing: Se implementa DHSC Snooping y Port Security | ||
| + | * ARP Spoofing: Se usa Dynamic ARP Inspection (DAI), DHCP Snooping y Port Security | ||
| + | * Manipulación de Cisco discovery protocol (CDP): Se desactiva CDP en todos los puertos que no lo necesiten | ||
| + | * Ataques a SSH y Telenet: Usar SSHv2 y usar telnet solo con VTY con ACLS activadas. | ||
| + | ==== 3.5.2 Port Security ==== | ||
| + | Característica de switches cisco que permite restringir las direcciones MAC de un puerto o el número de direcciones MAC que puede aprender. | ||
| + | * Estas direcciones se pueden aprender de forma dinamica o configurarse estáticamente. | ||
| + | * Si se especifica un máximo de MACs, se aprenderan las indicadas en el máximos de direcciones. | ||
| + | * Sticky learning: combian las características del aprendizaje dinámicop y configuración estática de direcciones. | ||
| + | * Port Security no puede ser aplicado a pruertos troncales. | ||
| + | |||
| + | ==== 3.5.3 DHCP Snooping ==== | ||
| + | Característica de los switches cisco que permite deifnir que puertos pueden respnder a peticiones DHCP identificandolos como trusted o untrusted. | ||
| + | * Los puertos trusted puede enviar todo tipo de mensajes DHCP | ||
| + | * Los no fiables solo pueden transmitir peticiones | ||
| + | * Si un dispositivo intenta enviar respuestas DHCP por un puert untrusted, este se desactiva | ||
| + | * Para cada puerto untrusted se construye una binding Table con una entrada por cada dispositivo configurado por el servidor DHCP. | ||
| + | |||
| + | ==== 3.5.4 Dynamic ARP Inspection ==== | ||
| + | El switch ese asegura de que solamente se enviarán respuestas ARP validas. DAI valida todas las peticiones y respuestas ARP. Se verifican la dirección IP y MAc asociadas a cada respuesta | ||
| + | |||
| + | ==== 3.5.5 Portección de STP ==== | ||
| + | |||
| + | * BPDU guard: Protege una red conmutada de problemas generados por recepción de BPDUs por puertos que no lsa debería recibir. | ||
| + | * BPDU filtering: Evita que el switch envíe BPDUs innecesarias por los puertos de acceso. | ||
| + | * Root Guard: evita que los switches conectados a puertos de acceso se conviertan en switch raíz. | ||
redes/turboresumenexpress.1752150645.txt.gz · Última modificación: 2025/07/10 12:30 por thejuanvisu
Herramientas de la página
