Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Objetivos: Explicar cmo configurar las VLANs para mitigar los ataques de salto entre VLANs. Explicar cmo prevenir la manipulacin del STP. Describir cmo utilizar DHCP snooping para mitigar los man-in-the-middle. Explicar cmo mitigar el ARP spoofing con DAI. Explicar cmo los ataques inundan la CAM de un switch. Describir cmo funciona un ataque de falsificacin de direccin MAC. Describir port security para defendernos de los ataques de capa 2. Numerar las mejores prcticas para mitigar los ataques de capa 2.
1. Mitigar los ataques de salto entre VLANs. Por regla, el trfico de una VLAN slo puede llegar a otra VLAN a travs de un router. El salto de VLAN permite a un atacante obtener el trfico de cualquier VLAN si que este pase por el router. Existen dos mtodos para saltar entre VLANs: falsificando un switch o utilizando doble etiquetado. - Falsificando un switch: consiste en aprovechar que por defecto todos los puertos de un switch estan en un estado de trunking auto, es decir, que todos ellos pueden llegar a ser puertos de trunk. Por lo tanto, un atacante puede conectar un switch fsico o enviar unos paquetes DTP (Dynamic Trunking Protocol) para habilitar el puerto como trunk y acceder a todas las VLANs. La primera medida de seguridad para evitar estos ataques consiste en deshabilitar este estado de trunking auto en los puertos que no vayan a ser de trunk. - Utilizando doble etiquetado: La VLAN nativa se utiliza en los puertos de trunk. Esta VLAN no etiqueta sus tramas pero s etiqueta las tramas de las dems VLANs. Este ataque es unidireccional (no recibe respuesta) y slo puede utilizarse si el atacante se encuentra en la misma VLAN nativa que el puerto de trunk. Este ataque funciona aunque el puerto del atacante tenga el estado de trunking off. Consiste en etiquetar dos veces una trama, primero con la etiqueta de la VLAN destino y despus con la VLAN nativa. El atacante enva esta trama al primer switch y este al ver que se dirige a la VLAN nativa, desencapsula esta etiqueta y inunda la trama por todos los puertos de la VLAN nativa (en el caso que desconozca el destinatario). Por lo tanto, la trama tambin es inundada por el puerto de trunk manteniendo el etiquetado de la VLAN destino. Cuando llega al segundo switch, este observa que se dirige a la VLAN de destino e inunda la trama por todos los puertos de esta VLAN destino (en el caso que desconozca el destinatario). La mejor forma de mitigar estos saltos consiste en fijar los puertos de usuario como puertos de acceso y los puertos de trunk sin negociacin. Adems ningn puerto de usuario puede pertener a la VLAN nativa y los puertos no utilizados deben deshabilitarse.
http://hacktracking.blogspot.com/2008/10/32-mitigando-los-ataques-de-la-capa-2.html
http://hacktracking.blogspot.com/2008/10/32-mitigando-los-ataques-de-la-capa-2.html
http://hacktracking.blogspot.com/2008/10/32-mitigando-los-ataques-de-la-capa-2.html
http://hacktracking.blogspot.com/2008/10/32-mitigando-los-ataques-de-la-capa-2.html