SPANNING TREE 802.

1D En comunicaciones, STP (del ingls Spanning Tree Protocol) es un protocolo de red de nivel 2 del modelo OSI (capa de enlace de datos). Su funcin es la de gestionar la presencia de bucles en topologas de red debido a la existencia de enlaces redundantes (necesarios en muchos casos para garantizar la disponibilidad de las conexiones). El protocolo permite a los dispositivos de interconexin activar o desactivar automticamente los enlaces de conexin, de forma que se garantice la eliminacin de bucles. STP es transparente a las estaciones de usuario. FUNCIONAMIENTO El algoritmo transforma una red fsica con forma de malla, en la que existen bucles, por una red lgica en forma de rbol (libre de bucles). Los puentes se comunican mediante mensajes de configuracin llamados Bridge Protocol Data Units (BPDU). El protocolo establece identificadores por puente y elige el que tiene la prioridad ms alta (el nmero ms bajo de prioridad numrica), como el puente raz (Root Bridge). Este puente raz establecer el camino de menor coste para todas las redes; cada puerto tiene un parmetro configurable: el Span path cost. Despus, entre todos los puentes que conectan un segmento de red, se elige un puente designado, el de menor coste (en el caso que haya el mismo coste en dos puentes, se elige el que tenga el menor identificador "direccion MAC"), para transmitir las tramas hacia la raz. En este puente designado, el puerto que conecta con el segmento, es el puerto designado y el que ofrece un camino de menor coste hacia la raz, el puerto raz. Todos los dems puertos y caminos son bloqueados, esto es en un estado ya estacionario de funcionamiento. RAPID SPANNING TREE PROTOCOL 802.1W Rapid Spanning Tree Protocol (RSTP) es un protocolo de red de la segunda capa OSI, (nivel de enlace de datos), que gestiona enlaces redundantes. Especificado en IEEE 802.1w, es una evolucin del Spanning tree Protocol (STP), reemplazndolo en la edicin 2004 del 802.1d. RSTP reduce significativamente el tiempo de convergencia de la topologa de la red cuando ocurre un cambio en la topologa. Roles de los puertos RSTP: Raz Es un puerto de envo elegido para la topologa Spanning Tree. Designado Un puerto de envo elegido para cada segmento de la red. Alternativo Un camino alternativo hacia el Puente Raz. Este camino es distinto al que usan los puertos raz. Respaldo Un camino de respaldo/redundante (de mayor costo) a un segmento donde hay otro puerto ya conectado.

Deshabilitado Un puerto que no tiene un papel dentro de la operacin de Spanning Tree. Estados de los puertos RSTP: Learning - Escucha BPDUs y guarda informacin relevante. Forwarding - Una vez ejecutado el algoritmo para evitar bucles, los puertos activos pasan a este estado. Discarding - No recibe BPDUs por lo cual no se encuentra participando en la instancia activa de STP Los puertos raz y designado forman parte de la topologa activa. Los puertos alternativo y de respaldo no estn incluidos en la topologa activa RSTP monitorea el estado de todas las trayectorias: Si una direccin activa se cae, RSTP activa las direcciones redundantes. Configura de nuevo la topologa de la red adecuadamente. RSTP se ha convertido en el protocolo preferido para prevenir ciclos de capa 2 en topologas que incluyen redundancia. Adems de que el 802.1w contiene mejoras, retiene compatibilidad con su antecesor 802.1D dejando algunos parmetros sin cambiar. Por ejemplo, RSTP mantiene el mismo formato de BPDU que STP slo que cambia el campo de versin, el cual se le asigna el valor de 2. RSTP tambin define el concepto de edge-port, el cual tambin se menciona en STP como PortFast, en donde el puerto se configura como tal cuando se sabe que nunca ser conectado hacia otro switch de manera que pasa inmediatamente al estado de direccionamiento sin esperar los pasos intermedios del algoritmo etapas de escucha y aprendizaje- los cuales consumen tiempo. Los puertos que no son edge-ports pueden ser punto a punto o compartidos. El tipo de enlace es detectado automticamente, pero puede ser configurado explcitamente para hacer ms rpida la convergencia. Objetivos del RSTP Disminuir el tiempo de convergencia cuando un enlace falla. De 30 60 s a milisegundos. Soporta redes extendidas. 2048 conexiones o 4096 puertos interconectados en comparacin con 256 puertos conectados en STP. Compatibilidad con STP.

MULTIPLE SPANNING TREES 802.1S IEEE 802 redes de rea local (LAN) de todo tipo pueden ser conectados entre s con control de acceso de medios (MAC) puentes. IEEE Std 802.1Q especifica el funcionamiento de la red (VLAN) puentes virtuales de rea local, que apoyan la operacin de VLAN en un puente IEEE 802 LAN. Este Suplemento IEEE Std 802.1Q aade la facilidad para VLAN puentes utilizar varios rboles de expansin, que prev el trfico perteneciente a diferentes VLAN para fluir potencialmente sobre los diferentes caminos dentro de los puentes virtuales LAN ATAQUE POR SUSTITUCIN Y/O SIMULACIN (SPOOFING) Podemos distinguir entre: DHCP Spoofing. ARP Spoofing. STP Spoofing. DHCP SPOOFING Como sabemos un servidor DHCP permite obtener una direccin IP de forma rpida y dinmica Tambin puede asignar adems default gateway, DNS, WINs, etc. Uno de los modos que un atacante puede tener acceso al trfico de la red es "envenenando" las respuestas que podra enviar un servidor DHCP vlido. El dispositivo DHCP spoofing responde a consultas de clientes DHCP. El servidor legtimo puede responder tambin, pero si el dispositivo spoofing est en el mismo segmento que el cliente, su respuesta al cliente puede llegar primero, ofreciendo direcciones como default gateway o DNS errneas.

Los PCs envan un DHCP DISCOVER. El atacante trata de ganar la carrera contra el servidor DHCP. La respuesta del atacante hace que quede como gateway por defecto del PC de la vctima, enrutando todo el trfico hacia l. En el caso del gateway, los clientes enviarn paquetes al dispositivo atacante en lugar que al router correspondiente. Esto se conoce como un ataque "manin-the-middle", y es muy difcil de detectar.

Otro tipo de ataque contra DHCP se conoce como Agotamiento DHCP, consiste en que un dispositivo atacante pueda consumir el espacio de direcciones disponibles de los servidores DHCP durante un perodo de tiempo. La solucin para estos ataques de "envenenamiento" o "agotamiento" se denomina DHCP snooping. Esta es una caracterstica de los switchers Cisco que determina que puertos del switch pueden o no responder a consultas DHCP. Los puertos van a ser identificados como trusted (seguros) y untrusted (no seguros). Trusted ports, que pueden ser orgen de todos los mensajes DHCP. Untrusted ports, que pueden ser origen slo a consultas DHCP. Si un dispositivo conectado a un untrusted port intenta enviar una respuesta DHCP a la red, el puerto se cierra.

MITIGANDO ATAQUES DE DHCP SPOOFING UTILIZANDO SNOOPING

Snooping Como muchos de ustedes saben, una de las formas que tienen los administradores de red, de entregar direccionamiento ip es mediante un servidor DHCP. El servidor DHCP escucha los broadcast generados por los host e inicia un ciclo de conversacin hasta que finalmente entrega la direccin ip. Hasta aqu todo bien. Quizs muchas de las personas que lean este artculo les habr pasado que en la red local aparece un segundo DHCP causando estragos en nuestra red LAN. Esto se conoce como el DHCP SPOOFING, en palabras simples un servidor DHCP que suplanta o interfiere con el verdadero DHCP corporativo. Si nuestra red local no cuenta con la proteccin adecuada es bastante dificil contener este tipo de ataques, donde tendremos constantes cadas de la red local. En los Switches Cisco se cuenta con una solucin que se llama Snooping, que es una funcin del equipo que sirve para repeler este tipo de ataques. Es muy simple el funcionamiento. Slo hay que declarar el puerto al cual est conectado el DHCP corporativo(Trust) y ya est funcionando. Primero se activa Snooping en el Switch Switch(config)#ip dhcp snooping Luego se entra a la interfaz o interfaces(que es donde va estar nuestro DHCP corporativo) y se aplica el comando que declara el puerto como trust. Por defecto cuando se activa snooping todos los puertos pasan a ser puertos untrust.

Switch(config-if)#ip dhcp snooping trust Tambin hay que considerar si nuestro switch tiene VLANS asociadas a estos puertos, en ese caso se aplica: Switch(config)#ip dhcp snooping vlan 10,20 .etc. segn necesitemos. Con esto, nuestro Switch nos ayudar a contener el ataque o en caso que alguien levante un segundo servidor DHCP en nuestra red lan. Vern que este servidor DHCP Malicioso no afectar nuestra red.