Asegurando la red de

rea local

Tipos de Ataque
Los switches de capa 2 y capa 3 son susceptibles a muchos de

los mismos ataques de capa 3 para enrutadores.

La mayora de las tcnicas de seguridad para routers tambin se

aplican a switches.
Sin embargo, los switches tienen sus propios tipos de ataque.
Muchos de estos ataques provienen de usuarios con acceso interno a

al red.
Los ataques aprovechan el comportamiento y finalidad de algunos
protocolos de gestin.
Aprovechan la errnea suposicin de que la red LAN es confiable por
defecto.

Asegurar la Infraestructura LAN

Una red debiera mitigar ataques especficos como:
Ataques de falsificacin de direcciones MAC
Ataques de desbordamiento de la tabla de direcciones MAC
Ataques de manipulacin STP
Aatques de tormentas LAN
Ataques a VLAN
Ataques a WLAN

Comportamiento normal de un Switch

Consideraciones ARP
ARP est diseado para mapear direcciones IP a direcciones MAC
Todos los equipos en una LAN deben recibir y procesar una trama de solicitud

ARP, pero slo el equipo con la direccin IP especificada debiera responder

ARP no tienen nocin sobre la propiedad y autenticidad de direcciones

IP
Cualquier direccin MAC puede asociarse con cualquier direccin IP, incluso

la que no le corresponde realmente que puede ser provista por un atacante

Ataque de suplantacin ARP

1. Host A enva una peticin ARP buscando la direccin MAC de C.

2. Router B responde con sus direcciones MAC e IP. B actualiza su cache ARP.
3. Host A agrga la direccin MAC y direccin IP de B en su cache ARP.
4. Host C (atacante) enva mensajes ARP asociando la direccion MAC de C con la direccin IP de B.
5. Host A actualiza su cache ARP con la direccin MAC de C asociada con la direccin IP de B.
6. Host C enva mensajes ARP asociando la direccion MAC de C con la direccin IP de A.
7. Router B actualiza su cache ARP con la direccin MAC de C asociada con la direccin IP de A.
8. Los paquetes son desviados a travs del atacante (C).

Falsificacin de direcciones MAC

Desbordamiento de tablas de direcciones

MAC
Un atacante desea capturar paquetes
destinados a los equipos A y B. Para lograrlo,
lanza un ataque de inundacin MAC.

El atacante genera mltiples

paquetes con la direccin MAC

origen falsificada.
En un perodo corto de tiempo, la
tabla de direcciones MAC se llena
y no permite ms entradas.
Mientras el ataque contine, la tabla

de direcciones MAC se mantiene

llena.
El Switch comienza a re-transmitir

(Broadcast) cada paquete que

recibe por cada puerto,
comportndose como un Hub.
El atacante puede ahora capturar
el trfico destinado hacia los
servidores.

Mitigacin de ataques a direcciones MAC

Tanto los ataques de MAC spoofing y

desbordamiento de la tabla de direcciones

MAC se pueden mitigar mediante la
configuracin de seguridad del puerto en el
switch.

La seguridad de puertos puede:

Especificar estticamente las direcciones

MAC en un puerto en particular de un switch.

Permitir que el switch aprenda
dinmicamente un nmero fijo de direcciones
MAC en un puerto de switch especfico.

Especificar estticamente las direcciones

MAC no es una solucin manejable para un

entorno de produccin.
Permitir que el switch aprenda

dinmicamente un nmero fijo de direcciones

MAC es una solucin escalable
administrativamente.

Seguridad de puertos
La seguridad de puertos permite asociar

estticamente direcciones MAC a un puerto o

para permitir que el Switch aprenda
dinmicamente un nmero limitado de
direcciones MAC.
Una vez que se ha asociado una direccin
MAC a un puerto seguro, dicho puerto no reenva tramas cuya direccin MAC origen no
pertenezca al grupo de direcciones
asociadas establecido.
Limitando el nmero de direcciones MAC

permitidas en un puerto, se puede controlar la

expansin no autorizada de la red.
Las direcciones origen seguras pueden ser:
Configuradas manualmente
Autoconfiguradas (aprendidas)

Seguridad de puertos

Cuando una direccin MAC difiere de la lista de direcciones seguras, el puerto

puede:
Apagarse hasta que sea habilitado administrativamente.
Enviar alertas de violacin mediante SNMP.
Descartar las tramas recibidas de la terminal insegura.

El comportamiento del puerto depende de cmo est configurado para

responder ante una violacin de seguridad.

Se recomienda apagar el puerto ante dicha violacin.

Prevencin de suplantacin ARP con Dynamic

ARP Inspection (DAI)
Descarta y registra los paquetes ARP con asociaciones IP-MAC
invlidas
Los paquetes ARP recibidos por puertos confiables no se verifican y
se re-envan
Los paquetes ARP recibidos por puertos no confiables son
interceptados

Se verifica que provengan de direcciones IP/MAC vlidas antes de re-enviarlos

Tambin permite limitar la tasa de paquetes ARP que pueden recibirse

por una interfaz

Notificacin de direcciones MAC

La notificacin de direcciones MAC enva tramas SNMP a una

estacin de gestin de red (network management station - NMS)

cuando una nueva direccin MAC es agregada o eliminada de la
tabla de re-envo.

Switch(config)#
mac address-table notification

VLANs
Es un mtodo para crear redes lgicas

independientes dentro de una misma red fsica

Varias VLAN pueden coexistir en un nico Switch

fsico o en una nica red fsica

Las VLAN se pueden extender a lo largo de

mltiples Switches utilizando enlaces troncales

(ISL, 802.1Q)
Las VLAN se aslan mutuamente y los paquetes

pueden pasar entre ellas solamente mediante un

router

Tipos de VLAN
VLAN de datos
VLAN nativa
VLAN de administracin
VLAN por defecto
VLAN de voz

Protocolo de Enlace Troncal Dinmico (DTP)

Administra la negociacin para troncalizar el enlace entre dos

Switches, slo si los puertos de ambos Switches admiten DTP

Ataques a VLANs
Intentan obtener acceso a las diferentes VLAN

o atacar a equipos de VLAN determinadas

Los puertos troncales pasan trfico para todas

las VLANs utilizando encapsulacin VLAN

IEEE 802.1Q o ISL.
Un ataque a VLANs (VLAN Hopping) se puede

lanzar de dos maneras:

La introduccin de un switch ficticio/no
autorizado en una red con DTP habilitado.
DTP habilita la troncalizacin para acceder a

todas las VLAN en el switch objetivo.

El ataque de doble etiquetado VLAN

manipulando mensajes BPDU

El atacante entonces puede enviar trfico

etiquetado con la VLAN de destino, y el switch

luego entregar los paquetes al destino.

VLAN Hopping Switch no autorizado/Ficticio

Todos los switches (Cisco) soportan por

defecto Dynamic Trunk Protocol (DTP) para

negociar automticamente los enlaces
troncales.
Un atacante podra conectar a la red un

switch no autorizado o una terminal que

simula ser un Switch para engaar a los
switches de dicha red informando que soporta
ISL o 802.1q y formando enlaces troncales.
Si tiene xito, el atacante tiene acceso a
todas las VLANs soportadas por el enlace
troncal

Ataque VLAN Hopping Doble etiquetado

Implica el envo de tramas con dos etiquetas 802.1q para poder manipular a un switch y

re-enviar tramas hacia VLANs especficas

Aprovecha la forma en que un Switch procesa las etiquetas 802.1Q
Muchos switches realizan solamente un nivel de desencapsulacin 802.1Q, lo que permite que un

atacante incorpore un segundo encabezado no autorizado en la trama.

Despus de quitar el primer encabezado 802.1Q legtimo, el switch reenva la trama a la VLAN

especificada en el encabezado 802.1Q no autorizado.

Mitigando Ataques VLAN Hopping

Todos los puertos no utilizados deben estar apagados y estar

asociados a una VLAN designada slo para puertos no utilizados,

que no transporte datos.
Configurar todos los puertos como puertos de acceso, de forma

que no puedan iniciar ningn tipo de negociacin de

troncalizacin.
Cuando se establece un enlace troncal:
Usar una VLAN nativa dedicada en todos los puertos troncales.
Configure la VLAN nativa que difiera de cualquier VLAN utilizada para

transporte de datos.
Des-habilitar la negociacin de troncalizacin en todos los puertos

troncales.
Especificar el rango de VLANs soportadas por un enlace troncal,
evitar la existencia de VLANs no explcitamente permitidas.

Redundancia en redes LAN

La redundancia de Capa 2 mejora la disponibilidad de la red a travs de rutas

de red alternas.
Si no se maneja adecuadamente presenta algunos inconvenientes
Inconsistencia en las bases de datos de los Switches
Duplicacin de tramas Unicast
Inundacin de Broacasts

Tramas de unicast duplicadas

Las tramas de unicast enviadas a
una red con bucles pueden generar
tramas duplicadas que llegan al
dispositivo de destino.

Ataques de tormenta LAN

Una tormenta LAN se produce cuando se

inunda con paquetes la red, creando un

trfico excesivo y degradando el
rendimiento de la misma
Posibles causas:
Los errores en la implementacin de la pila de

protocolos
Malas configuraciones
Existencia de un ataque DoS

Tambin pueden ocurrir Tormentas de

difusin (Broadcast).
Los Switches siempre re-envan las tramas

de broadcast por todos los puertos.

Algunos protocolos necesarios, como ARP y

DHCP utilizan broadcast; Por lo tanto, los

switches deben ser capaces de reenviar el
trfico de difusin.

Control de Tormentas
Los ataques de tormenta LAN se pueden mitigar usando controles para

monitorear parmetros predefinidos.

Se pueden configurar parmetros de subida y parmetros de bajada de trfico.

Los controles de tormenta usa uno de los siguientes mtodos para medir la

actividad de trfico:
Ancho de banda como porcentaje (%) del ancho de banda total disponible en el puerto.
Tasa de trfico en paquetes/sec o bits/sec de los paquetes recibidos.
Tasa de trfico en paquetes por segundo y para tramas pequeas.

Habilita la proteccin para

tormentas broadcast.

SW1(config-if)# storm-control broadcast level 75.5

SW1(config-if)# storm-control multicast level pps 2k 1k
SW1(config-if)# storm-control action shutdown

Especifica la accin a
realizar cuando se alcance el
parmetro (nivel).

Habilita la proteccin para

tormentas multicast.

Protocolo STP
STP asegura que exista slo una ruta

lgica entre todos los destinos de la

red, al realizar un bloqueo intencional
a aquellas rutas redundantes que
puedan ocasionar un bucle
STP utiliza el algoritmo de spanning

tree (STA) para determinar los

puertos de switch de la red que
deben bloquearse a fin de evitar que
se generen bucles
Todos los switches que participan en

STP intercambian tramas de BPDU

entre ellos para determinar su
funcionamiento

Ataques STP
Un ataque STP involucra la creacin de un switch raz falso.
El atacante propaga avisos STP y BPDUs de cambio de topologa para forzar

a nuevos clculos de spanning-tree.

El BPDU enviado por el atacante anuncia una prioridad de switch inferior en un
intento de ser elegido como el switch raz.
Si tiene xito, la mquina atacante se convierte en el switch raz y accede a
una variedad de tramas que de otra manera no podra observar.

Ataques STP
STP no provee autenticacin en los

BPDUs intercambiados.
Un atacante puede insertar BPDUs

informando de un cambio de topologa o

cambiando el estado de un puerto
Si un atacante logra hacer fallar un puerto

que estaba en estado de re-envo, al

switch generalmente le tomar 30 a 45
segundos el lidiar con la falla y volver a
convergir
Existen varias herramientas para simular

un switch falso que re-enve BPDUs:

Yersinia, brconfig o stp-packet.

PortFast
Provoca que un puerto del switch cambie del estado de bloqueo al estado de

reenvo inmediatamente, sin pasar por los estados de escucha y aprendizaje

Permite que los dispositivos se conecten a la red de inmediato, en lugar de esperar la

convergencia de STP
Se utiliza en los puertos de acceso que se conectan a una sola estacin de trabajo o

servidor
Slo debiera ser usada en puertos de acceso!
Si se habilita PortFast en un puerto que conecta a otro switch, existe el riesgo de

generar un bucle

BPDU Guard y Filtrado BPDU

Mantienen la topologa de red activa controlada y predecible
BPDU Guard
Si un puerto configurado con PortFast y BPDU Guard recibe un BPDU, el switch

deshabilitar dicho puerto

Protege a un switch de la recepcin de mensajes BPDU accidentales o intencionales en

puertos por donde no debiera recibirlos.

Filtrado BPDU
Evita que puertos configurados con PortFast enven o reciban BPDUs
Los puertos negocian su estado normalmente antes de que el Switch comience a filtrar

los BPDU salientes

Root Guard
Root Guard asegura la ubicacin de Switches raz mediante la limitacin de los

puertos en los que el switch puede negociar la eleccin del Switch raz .
se implementa en los puertos que se conectan hacia switches que no deberan

ser puentes raz

Si un atacante enva BPDUs falsos para convertirse en el Switch raz, nuestro

Switch tras la recepcin de tales BPDUs, los ignora y pone el puerto en un

estado de inconsistencia de raz.
El puerto se recupera tan pronto como cese el BPDU infractor.

VTP-Virtual Trunking Protocol

Permite propagar la

configuracin VLAN de un
switch a otros en la red
Servidor VTP. Actualiza la

informacin VLAN del dominio

VTP a los switches cliente
Cliente VTP. Recibe y aplica la
informacin VLAN
VTP Transparente. Deja pasar las
actualizaciones

Ataques VTP
Despus de volverse un
puerto troncal, el atacante
podra enviar mensajes
VTP como si fuera un
Servidor VTP
reconfigurando
o anulando todas las
VLANs existentes

Protocolos de Descubrimiento de Red

Cisco Discovery Protocol (CDP)

Link Layer Discovery Protocol (LLDP)

Visualizando Informacin CDP/LLDP

CDP y LLDP son protocolos que permiten visualizar

informacin de los dispositivos adyacentes que son vistos

en cada puerto
switch# show cdp neighbor
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone,
D - Remote, C - CVTA, M - Two-port Mac Relay
Device ID
Local Intrfce
Holdtme Capability Platform Port ID
c2960-8
Fas 0/8
168
S I
WS-C2960-Fas 0/8

switch(config)# lldp run

switch(config)# end
switch# show lldp neighbor
Capability codes:
(R) Router, (B) Bridge, (T) Telephone, (C) DOCSIS Cable Device
(W) WLAN Access Point, (P) Repeater, (S) Station, (O) Other
Device ID
Local Intf
Hold-time
Capability
Port ID
c2960-8 Fa0/8
120
B
Fa0/8
Total entries displayed: 1

Visualizando Informacin CDP/LLDP

4506# show cdp neighbor detail
----------------------Device ID: TBA03501074(SwitchA-6500)
Entry address(es):
IP address: 10.18.2.137
Platform: WS-C6506, Capabilities: Trans-Bridge Switch IGMP
Interface: FastEthernet3/21, Port ID (outgoing port): 3/36
Holdtime : 170 sec
Version :
WS-C6506 Software, Version McpSW: 7.6(1) NmpSW: 7.6(1)
Copyright 1995-2003 by Cisco Systems
advertisement version: 2
VTP Management Domain: 0
Native VLAN: 1
Duplex: full
----------------------Device ID: SwitchC-4503
Entry address(es):
IP address: 10.18.2.132
Platform: cisco WS-C4503, Capabilities: Router Switch IGMP
Interface: FastEthernet3/27, Port ID (outgoing port): FastEthernet3/14
Holdtime : 130 sec
Version :
Cisco Internetwork Operating System Software
IOS (tm) Catalyst 4000 L3 Switch Software (cat4000-I5S-M), Version 12.1(19)EW,
CISCO ENHANCED PRODUCTION VERSION
Copyright 1986-2003 by cisco Systems, Inc.
Compiled Tue 27-May-03 04:31 by prothero
<output omitted>

Vulnerabilidades CDP
Secuencia de
Eventos

Descripcin

1.

El Administrador de Sistemas usa

CDP para ver la informacin de los
vecinos.

2.

El atacante usa un analizador de

paquetes para interceptar el trfico
CDP.

3.

El atacante analiza la informacin de

los paquetes CDP para lograr
conocer las direcciones de red y los
datos de los equipos.

4.

El atacante formula ataques basados

en las vulnerabilidades conocidas de
las plataformas de red.

Vulnerabilidades con CDP

CDP se propaga sin cifrado, mediante broadcast

Proteccin de puertos
Evita el re-envo de trfico (unicast, multicast o broadcast) entre puertos

protegidos.
Slo se transmite el trfico de control debido a que estos paquetes son

procesados por la CPU y se re-envan por software

Todo el trfico de datos que pasa entre puertos protegidos debe ser enviado a
travs de un dispositivo de Capa 3
Un puerto protegido intercambia trfico solamente con puertos no protegidos

Reflejo de puertos
El reflejo de puertos permite generar una copia del trfico que atraviesa

un puerto determinado en otro puerto del mismo switch

Tambin se puede enviar una copia del trfico a un puerto de un switch

diferente
El reflejo de puertos no mitiga los ataques, pero s permite el monitoreo

de la actividad maliciosa
El reflejo de puertos no interfiere con otros mecanismos (Syslog o SNMP)

Se puede utilizar para reflejar el trfico a otro puerto donde se conecta

una sonda o un sensor IDS.

Los dispositivos IDS necesitan leer todos los paquetes en una o ms redes

VLAN
SW1(config)# no monitor session 1
SW1(config)# monitor session 1 source interface gigabitethernet0/1
SW1(config)# monitor session 1 destination interface gigabitethernet0/2 encapsulation replicate

Amenazas a la seguridad inalmbrica

Mtodos de ataque inalmbrico

Las redes inalmbricas estn expuestas a los mismos ataques de

una red conmutada cableada

Los mtodos de ataque a redes inalmbricas pueden

categorizarse en:
Reconocimiento
Ataques de acceso
Denegacin de servicio (DoS)

Herramientas de ataque inalmbrico

La aplicacin Network Stumbler encuentra

redes inalmbricas.
La aplicacin Kismet muestra redes

inalmbricas que no propagan sus SSID.

La aplicacin AirSnort captura y rompe

contraseas WEP
CoWPAtty rompe WPA-PSK (WPA1).
ASLEAP captura datos de autenticacin.
Wireshark puede analizar datos de

Ethernet inalmbricas y SSID 802.11

Ataques de reconocimiento
Consiste en el descubrimiento no

autorizado y mapeo de sistemas,

servicios o vulnerabilidades
inalmbricas.
Tambin conocido como

Recopilacin de Informacin.
Es considerado ilegal slo en
algunos pases.
Por lo general, precede a un acceso
real o ataque DoS.
A menudo llamado Wardriving
Similar a un ladrn que explora un
barrio de casas no seguras.

Ataques de reconocimiento
Para espiar redes WLAN se pueden utilizar

analizadores de protocolos inalmbricos

Comerciales, como AiroPeek, AirMagnet, o Sniffer

Wireless
Libres, como Ethercap, Wireshark o Tcpdump
Estas herramientas para buscar redes

inalmbricas pueden ser activas o pasivas

Las herramientas pasivas, como Kismet, no

transmiten ninguna informacin mientras estn

detectando las redes inalmbricas.

Ataques de suplantacin ARP

Los ataques de suplantacin ARP y errores de cach ARP se deben a que los

equipos inalmbricos pueden responder a los paquetes de peticin ARP incluso

stos paquetes no con para ellos.
Cuando se produce un ataque de este tipo, todos los paquetes destinados para

los routers, conmutadores u otros dispositivos pasan a travs del atacante.

1.1.1.2

1.1.1.2

Ataque "Evil Twin"

Consiste en suplantar a cualquier punto de acceso Wi-Fi genuino.
El atacante se asegurar de que el AP gemelo malvado sea igual

que el AP de la red, y as engaar a los usuarios, que luego se

conectarn con el AP falso
A partir de all el atacante puede ejecutar numerosos ataques de
tomar ventaja de la vctima inconsciente.

Ataques de DoS en redes inalmbricas

La meta de estos ataques es prevenir que usuarios legtimos

puedan acceder a la red inalmbrica

Dos tipos de ataque
Ataques de radiofrecuencia
Ataques al protocolo 802.11

Ataques de radiofrecuencia
Ataque de capa 1 (Jamming)
El atacante usa algn transmisor de radio que genera ruido en la

frecuencia de 2,4 GHz.

La interrupcin de la transmisin ocurre cuando la relacin seal a ruido

alcanza cierto nivel

El ataque es efectivo pero resulta costoso para el atacante

No es un enfoque de ataque mayor

Ataques al protocolo 802.11

Ataques de capa 2
Aprovecha las vulnerabilidades el protocolo 802.11
Se basa en dos tipos de vulnerabilidad
Vulnerabilidad de identidad
Des-autenticacin
Des-asociacin
Ataque contra el modo de ahorro de energa

Vulnerabilidad de control de acceso al medio

Ataque de des-autenticacin
Durante el proceso de asociacin con el AP

elegido, 802.11 provee un mensaje que

permite a los clientes explcitamente desautenticarse del AP
Un atacante puede falsificar un mensaje de

des-autenticacin del AP a nombre de un

cliente
Obliga al cliente a re-autenticarse con el AP
El ataque puede repetirse indefinidamente
Por cliente, suplantando al cliente y des-

autenticndolo del AP
Todos los clientes, suplantando al AP y desautenticando a todos los clientes
El atacante slo requiere enviar una trama

falsa

Ataque de des-asociacin
Durante el proceso de asociacin con el AP

elegido, 802.11 provee un componente de

des-asociacin que indica al AP que termine
de manejar el trfico del cliente
Un atacante puede falsificar un mensaje de

des-asociacin hacia el AP a nombre de un

cliente
Obliga al cliente a re-asociarse con el AP
El ataque puede repetirse indefinidamente
Similar al ataque de des-autenticacin
El atacante slo requiere enviar una trama

falsa

Mitigacin de ataques de des-asociacin

Se debe autenticar las tramas de gestin
No se puede lograr solamente actualizando el software
Se requiere un marco de autenticacin estndar, lo que puede tomar

tiempo

Retrasar el cumplimiento de la peticin des-autenticacin

Sobre la base del comportamiento observado de los clientes

legtimos, no des-autenticar los datos enviados

Aplicar intervalo de retardo pequeos (5-10 segundos)
Si no se reciben otras tramas del mismo cliente entonces respetar la
peticin

Ataque contra el modo de ahorro de

energa
LA idea es engaar al AP hacindole creer

que el cliente bajo ataque est en modo

ahorro de energa.

Por lo tanto, el AP comenzara a almacenar

las tramas destinadas a dicho cliente

Sin embargo, el cliente, que en realidad no
est en modo de reposo, no sabe que el
AP lo considera as, por lo tanto, no
solicita solicita al AP las tramas
almacenadas que le corresponden
Esto se traduce en una desconexin

parcial del cliente de la red (el cliente

todava puede transmitir tramas).
Genera una desincronizacin entre el

cliente y el AP.

Eventualmente el AP con el tiempo

eliminar las tramas almacenadas para el

cliente

Ataque contra el modo de ahorro de

energa
Se pueden realizar 3 tipos de

ataque
El atacante falsifica la trama de

barrido del cliente, causando que

el AP descarte los paquetes
mientras el cliente duerme
El atacante falsifica la trama TIM,
(Traffic Information Map)
convenciendo al cliente de que
no tiene tramas almacenadas
El atacante puede modificar
informacin clave para la
sincronizacin, como el intervalo
de tramas TIM causandoq ue el
cliente y al AP se desincronicen

Ataque contra el mecanismo de acceso al

medio
802.11 establece mecanismos

para controlar el acceso al medio

y asegurar un canal libre de
colisiones
Combina dos mecanismos para

ello
Deteccin de portadora fsica
Usando CSMA/CA con ventanas de

tiempo
Deteccin de portadora virtual
Usando RTS/CTS con NAV

Se puede atacar cada uno de

estos mecanismos

Ataque a ventanas de tiempo

Cada transmisor debe esperar al

menos el intervalo SIFS o mayor para

transmitir
El atacante puede monopolizar el

canal enviando una seal antes que

finalice cada intervalo SIFS
El ataque es limitado
Consume muchos recursos, SIFS dura

28 s (802.11b), por lo que el atacante

debe generar 50000 paquetes por
segundo para deshabilitar la red

Ataque a NAV

defer access

contention

NAV (Network Allocation Vector) es un indicador de disponibilidad del

canal virtual que se modifica con cada mensaje RTS/CTS

El atacante puede falsificar el campo Duracin de una trama de control

RTS usando valores muy altos, lo que causa que el valor de NAV en el
resto de equipos se incremente y evite su acceso al canal
El valor mximo es de 32767, iguala 32 ms
El atacante necesita transmitir slo 30 veces por segundo

El ataque puede mejorarse falsificando la duracin de RTS, para que los

clientes propaguen el ataque en las tramas CTS

Mitigacin de ataques contra el acceso al

medio
La defensa se basa en el hecho de que los valores de duracin

legtimos son relativamente pequeos

Limitar la duracin mxima de las tramas recibidas
Si una estacin recibe una trama con una duracin mayor al valor de

lmite, truncar la duracin al valor de lmite

Para una estricto control, se requiere de lmites mnimos y

mximos
El valor mnimo debe ser un valor igual a la cantidad de tiempo

necesaria para enviar la trama ACK ms el tiempo promedio de

backoff por trama
El valor mximo usado debiera ser el mximo permitido para la
transmisin de tramas

Vulnerabilidades en redes Ad Hoc

Por lo general poca o ninguna

seguridad
Las terminales corren un riesgo
significativo de conectarse a un
dispositivo no autorizado
Las terminales corren un riesgo
significativo de que su conexin sea
insegura incluso con un dispositivo
autorizado
Riesgo de conectar un dispositivo adhoc inalmbrico no autorizado a una
red segura mediante cable
Vulnerabilidad en algunos sistemas
operativos al momento de trabajar con
redes Ad Hoc (funcin de
configuracin automtica)

Ataques en redes Ad Hoc

Contemplan los mismos ataques que una red

inalmbrica de infraestructura

Ataques de reconocimiento
Ataques de suplantacin
Ataques de repeticin
Distorsin de mensajes

Los ataques se enfocan principalmente a los

protocolos de enrutamiento Ad Hoc (redes

MESH)
Ataque de interrupcin de enrutamiento
El atacante manipula o interrumpe el enrutamiento

de los paquetes de datos entre los nodos

inalmbricas
Ataque de consumo de recursos
El atacante inyecta paquetes en la red para
consumir los recursos de la red o los recursos de
los nodos inalmbricos

Vulnerabilidades en redes MESH

Las redes MESH son vulnerables a ataques debido a la ausencia de una autoridad

central de confianza y la naturaleza abierta del medio inalmbrico.

Pueden introducirse nodos maliciosos fcilmente en la red y lanzar ataques de
interferencia, espiar las comunicaciones e inyectar paquetes maliciosos.
Puede cambiar la relacin de confianza entre los nodos debido a la topologa dinmica y al

enrutamiento multi-hop.
Cuentan con recursos (memoria, capacidad computacional) limitados.
Los nodos que sirven de puertas de enlace proporcionan acceso toda la red y por lo

general se convierten en el objetivo principal de ataque.

Una vez atacada sta puerta de enlace, ya no se puede ofrecer un servicio normal,

comprometiendo el rendimiento de toda la red.

Ataques en redes MESH

Hay diferentes tipos de ataques que se pueden encontrar en una red

MESH.
En la capa PHY, hay bloqueo de la seal y el dispositivo de manipulacin.
En la capa MAC, hay suplantacin de MAC, Jamming virtual y ataque DoS.

En la capa de red, DoS con agujeros negros, grayhole, agujero de gusano.

El ataque DoS es el ms grave y se da en la capa de red y la capa MAC.

Ataque de DoS y DDoS en redes MESH

Mitigando ataques en redes MESH

Los ataques DDoS son difciles de detectar rpidamente con

gran precisin debido a tres factores:

Deteccin precisa
El rendimiento de deteccin ideales es distinguir entre las situaciones de

ataque DDoS y la saturacin de la red debida a las cargas de trfico

pesado.
Es difcil de lograr este objetivo debido a la diversidad ataque. Ataques
usando ICMP, TCP Syn; adems de la falta de mecanismos de control de
congestin.
Deteccin rpida
Un ataque con xito DDoS consiste en miles de vctimas que inundan la red

con altos volmenes de trfico en un perodo de tiempo relativamente corto.

Un buen mecanismo de deteccin debe tener la capacidad de responder
con rapidez y dar la alarma al iniciar el ataque antes de que cause daos
importantes.
Deteccin de baja sobrecarga
El mecanismo de deteccin no debe ocupar demasiado de los recursos de

la red para responder a los ataques. De lo contrario, dar lugar a una alta
sobrecarga adicional a la red haciendo ineficaz el proceso de deteccin.

Mejores prcticas de Seguridad en Capa 2

Administre los switches de forma segura (SSH, gestin out-of-band, ACLs)
Use la seguridad de puertos donde sea posible para los puertos de acceso.
Use CDP slo donde sea necesario.
Configure explcitamente la troncalizacin en los puertos de infraestructura.
Des-habilite la auto-troncalizacin en los puertos que conectan a los usuarios

(DTP off).
Configure PortFast en todos los puertos no troncales.
Configure BPDU Guard en todos los puertos no troncales.
Configure Root Guard en los puertos raz STP.
Deshabilite los puertos no utilizados y pngalos en una VLAN no utilizada.
Use asignaciones diferentes para las VLAN de gestin, nativa, usuario/datos, voz,

agujeros negros, y privada.

No use la VLAN 1 para nada excepto para trfico de control de los protocolos de
Capa 2.

 Consultas .