Mitigando los ataques de la capa 2.

Objetivos: Explicar cmo configurar las VLANs para mitigar los ataques de salto entre VLANs. Explicar cmo prevenir la manipulacin del STP. Describir cmo utilizar DHCP snooping para mitigar los man-in-the-middle. Explicar cmo mitigar el ARP spoofing con DAI. Explicar cmo los ataques inundan la CAM de un switch. Describir cmo funciona un ataque de falsificacin de direccin MAC. Describir port security para defendernos de los ataques de capa 2. Numerar las mejores prcticas para mitigar los ataques de capa 2.

1. Mitigar los ataques de salto entre VLANs. Por regla, el trfico de una VLAN slo puede llegar a otra VLAN a travs de un router. El salto de VLAN permite a un atacante obtener el trfico de cualquier VLAN si que este pase por el router. Existen dos mtodos para saltar entre VLANs: falsificando un switch o utilizando doble etiquetado. - Falsificando un switch: consiste en aprovechar que por defecto todos los puertos de un switch estan en un estado de trunking auto, es decir, que todos ellos pueden llegar a ser puertos de trunk. Por lo tanto, un atacante puede conectar un switch fsico o enviar unos paquetes DTP (Dynamic Trunking Protocol) para habilitar el puerto como trunk y acceder a todas las VLANs. La primera medida de seguridad para evitar estos ataques consiste en deshabilitar este estado de trunking auto en los puertos que no vayan a ser de trunk. - Utilizando doble etiquetado: La VLAN nativa se utiliza en los puertos de trunk. Esta VLAN no etiqueta sus tramas pero s etiqueta las tramas de las dems VLANs. Este ataque es unidireccional (no recibe respuesta) y slo puede utilizarse si el atacante se encuentra en la misma VLAN nativa que el puerto de trunk. Este ataque funciona aunque el puerto del atacante tenga el estado de trunking off. Consiste en etiquetar dos veces una trama, primero con la etiqueta de la VLAN destino y despus con la VLAN nativa. El atacante enva esta trama al primer switch y este al ver que se dirige a la VLAN nativa, desencapsula esta etiqueta y inunda la trama por todos los puertos de la VLAN nativa (en el caso que desconozca el destinatario). Por lo tanto, la trama tambin es inundada por el puerto de trunk manteniendo el etiquetado de la VLAN destino. Cuando llega al segundo switch, este observa que se dirige a la VLAN de destino e inunda la trama por todos los puertos de esta VLAN destino (en el caso que desconozca el destinatario). La mejor forma de mitigar estos saltos consiste en fijar los puertos de usuario como puertos de acceso y los puertos de trunk sin negociacin. Adems ningn puerto de usuario puede pertener a la VLAN nativa y los puertos no utilizados deben deshabilitarse.

http://hacktracking.blogspot.com/2008/10/32-mitigando-los-ataques-de-la-capa-2.html

Mitigando los ataques de la capa 2.

Switch(config)#interface range FastEthernet 0/1 23 Switch(config-if)#switchport mode access Switch(config)#interface range FastEthernet 0/10 23 Switch(config-if)#shutdown Switch(config)#interface FastEthernet 0/24 Switch(config-if)#switchport mode trunk Switch(config-if)#switchport nonegociate Switch(config-if)#switchport trunk native vlan 10 2. Prevenir la manipulacin del STP. El STP proporciona una topologa redundante sin bucles. Al iniciarse el proceso los switches intercambian BPDU, eligen a un switch raz y deshabilitan las rutas redundantes. La eleccin del switch raz puede variar a lo largo del tiempo. Si introducimos un switch que tiene un identificador (prioridad+MAC) ms pequeo que el identificador del actual switch raz, el introducido ser el nuevo switch raz. Un atacante puede enviar BPDUs falsas para intentar ser el bridge raz y conseguir que gran parte del trfico pase por l. Tenemos dos formas de mitigar este tipo de ataques: - A travs de root guard: todo trfico que indique un nuevo switch raz en puertos donde no debera aparecer uno nuevo se bloquea. Esta medida permite colaborar en STP pero no reenva trfico que pueda alterar la eleccin del switch raz actual. - A travs de BPDU guard: los puertos que no deben intervenir en el STP se fijan en portfast. De modo que si en estos puertos de usuario, aparece alguna BPDU, este puerto se deshabilita y entra en un estado error-disable. Switch(config)#spanning-tree portfast bpduguard Switch(config-if)#spanning-tree guard root 3. DHCP snooping. Los servidores DHCP no legtimos se dedican a contestar peticiones DHCP de los clientes. Estos servidores proporcionan informacin que indica que ellos mismos son la puerta de enlace o el DNS. De esta forma consiguen realizar un man-in-the-middle. Otros de los ataques consiste en agotar (DoS) el pool de direcciones que un servidor DHCP puede proporcionar a los clientes. El DHCP snooping permite especificar qu puertos pueden contestar a solicitudes DHCP. Los puertos que pueden contestar y enviar solicitudes DHCP son los puertos seguros. Los puertos inseguros slo pueden enviar solicitudes DHCP. Por lo tanto, configuraremos como seguros los puertos que contengan servidores legtimos y como inseguros los puertos de usuario. En el momento en el que un puerto inseguro recibe una respuesta (DHCPOFFER, DHCPACK, DHCPNAK) a una solicitud DHCP este puerto se deshabilita automticamente (shutdown). Switch(config)#ip dhcp snooping Switch(config)#interface FastEthernet 0/1 Switch(config-if)#ip dhcp snooping trust Switch(config)#interface range FastEthernet 0/2 23 Switch(config-if)#ip dhcp snooping limit rate 2

http://hacktracking.blogspot.com/2008/10/32-mitigando-los-ataques-de-la-capa-2.html

Mitigando los ataques de la capa 2.

4. Mitigar el ARP spoofing con DAI. Los ataques de spoofing de ARP o ataques de envenenamiento de la cache ARP ocurren cuando se permiten enviar respuestas gratuitas ARP, es decir, sin antes haber recibido una solicitud ARP. DAI (Dynamic ARP Inspection) utiliza el mismo concepto de puertos seguros e inseguros. Cuando un paquete ARP llega a un puerto seguro no se realiza ninguna inspeccin pero cuando llega a uno inseguro el paquete es examinado en la tabla de asociaciones DHCP y si la direccin IP no corresponde con su MAC, el paquete es descartado y el puerto bloqueado. Cuando se habilita la inspeccin arp, todos los puertos son inseguros por defecto. Switch(config)#ip arp inspection vlan 1 Switch(config)#interface FastEthernet 0/1 Switch(config-if)#ip arp inspection trust 5. Inundacin de la CAM de un switch. La memoria CAM de un switch tiene un tamao concreto. La inundacin de direcciones MAC pretende llenar por completo esta memoria con direcciones MAC de origen falsas. En el momento en que el switch contiene nicamente direcciones MAC falsas, el switch se comporta como un hub, es decir, inunda por todos sus puertos todas las tramas. La inundacin de MAC puede realizarse con la herramienta macof de la paquete dsniff. 6. Ataque de falsificacin de direccin MAC. Consiste en modificar una entrada de la CAM de un switch. Supongamos dos puertos, el primero contiene la MAC_A y el segundo la MAC_B. Si el equipo B enva una trama con la direccin MAC_A de origen el switch modifica su CAM para reflejar que tanto el equipo A y B estn en el segundo puerto. En el momento en que el equipo A enva una trama por el primer puerto la CAM se actualiza para reflejar de nuevo el estado inicial y real. 7. Port security para defendernos de los ataques de capa 2. Port security nos permite defendernos antes ataques de inundacin de CAM y falsificaciones de MAC. Con port security podemos especificar direcciones MACs seguras asociaciadas a unos puertos, es decir, solo pueden enviar tramas los equipos con estas MACs de origen. Estas direcciones se configuran manualmente y se aaden al fichero de configuracin activo. Tambin podemos especificar que pueden existir un determinado nmero de direcciones MACs en un puerto. Por ejemplo, podemos tener 2 MACs aadidas manualmente y permitir un mximo de 5 (3 dinmicas). Finalmente si no queremos aadirlas manualmente podemos utilizar la opcin sticky que la introduce automticamenete en el fichero de configuracin activo. Por otro lado, cuando el switch detecta una violacin de las reglas anteriores, por ejemplo, hemos configurado que un puerto solo puede tener las direcciones MAC_A y MAC_B, y aparece un MAC_C podemos asociar una accin. Las acciones pueden ser; protect, restrict y shutdown. Protect se limita a prohibir el trfico de MAC_C pero s permite el de MAC_A y MAC_B. Restrict no permite el trfico de MAC_C, enva un trap SNMP, enva un mensaje al syslog e incrementa el contador, adems sigue permitiendo el trfico de MAC_A y MAC_B. Finalmente, shutdown bloquea el puerto denegando el

http://hacktracking.blogspot.com/2008/10/32-mitigando-los-ataques-de-la-capa-2.html

Mitigando los ataques de la capa 2.

trfico a MAC_A, MAC_B y MAC_C, enva un trap SNMP, enva un mensaje al syslog e incrementa el contador. Por defecto, al habilitar port security, el mximo nmero de direcciones MAC asociadas a un puerto es 1 y la accin cuando se produce una violacin es shutdown. Switch(config)#interface FastEthernet 0/1 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security maximum 2 Switch(config-if)#switchport port-security mac-address 0006.5B75.DD03 Switch(config-if)#switchport port-security aging time 20 8. Las mejores prcticas para mitigar los ataques de capa 2. Restringir el acceso de gestin al switch. Evitar utilizar protocolos de gestin que no utilicen cifrado. Deshabilitar los servicios no utilizados. Utilizar port security para limitar el nmero de direcciones MAC de origen. Utiliar una VLAN nativa dedicada. Protegerse de ataques contra STP. Utilizar DHCP snooping y DAI para evitar los man-in-the-middle.

http://hacktracking.blogspot.com/2008/10/32-mitigando-los-ataques-de-la-capa-2.html