Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
rea local
Tipos de Ataque
Los switches de capa 2 y capa 3 son susceptibles a muchos de
aplican a switches.
Sin embargo, los switches tienen sus propios tipos de ataque.
Muchos de estos ataques provienen de usuarios con acceso interno a
al red.
Los ataques aprovechan el comportamiento y finalidad de algunos
protocolos de gestin.
Aprovechan la errnea suposicin de que la red LAN es confiable por
defecto.
Consideraciones ARP
ARP est diseado para mapear direcciones IP a direcciones MAC
Todos los equipos en una LAN deben recibir y procesar una trama de solicitud
IP
Cualquier direccin MAC puede asociarse con cualquier direccin IP, incluso
Seguridad de puertos
La seguridad de puertos permite asociar
Seguridad de puertos
puede:
Apagarse hasta que sea habilitado administrativamente.
Enviar alertas de violacin mediante SNMP.
Descartar las tramas recibidas de la terminal insegura.
Switch(config)#
mac address-table notification
VLANs
Es un mtodo para crear redes lgicas
Tipos de VLAN
VLAN de datos
VLAN nativa
VLAN de administracin
VLAN por defecto
VLAN de voz
Ataques a VLANs
Intentan obtener acceso a las diferentes VLAN
transporte de datos.
Des-habilitar la negociacin de troncalizacin en todos los puertos
troncales.
Especificar el rango de VLANs soportadas por un enlace troncal,
evitar la existencia de VLANs no explcitamente permitidas.
protocolos
Malas configuraciones
Existencia de un ataque DoS
difusin (Broadcast).
Los Switches siempre re-envan las tramas
Control de Tormentas
Los ataques de tormenta LAN se pueden mitigar usando controles para
Los controles de tormenta usa uno de los siguientes mtodos para medir la
actividad de trfico:
Ancho de banda como porcentaje (%) del ancho de banda total disponible en el puerto.
Tasa de trfico en paquetes/sec o bits/sec de los paquetes recibidos.
Tasa de trfico en paquetes por segundo y para tramas pequeas.
Especifica la accin a
realizar cuando se alcance el
parmetro (nivel).
Protocolo STP
STP asegura que exista slo una ruta
Ataques STP
Un ataque STP involucra la creacin de un switch raz falso.
El atacante propaga avisos STP y BPDUs de cambio de topologa para forzar
Ataques STP
STP no provee autenticacin en los
BPDUs intercambiados.
Un atacante puede insertar BPDUs
PortFast
Provoca que un puerto del switch cambie del estado de bloqueo al estado de
convergencia de STP
Se utiliza en los puertos de acceso que se conectan a una sola estacin de trabajo o
servidor
Slo debiera ser usada en puertos de acceso!
Si se habilita PortFast en un puerto que conecta a otro switch, existe el riesgo de
generar un bucle
Filtrado BPDU
Evita que puertos configurados con PortFast enven o reciban BPDUs
Los puertos negocian su estado normalmente antes de que el Switch comience a filtrar
Root Guard
Root Guard asegura la ubicacin de Switches raz mediante la limitacin de los
puertos en los que el switch puede negociar la eleccin del Switch raz .
se implementa en los puertos que se conectan hacia switches que no deberan
configuracin VLAN de un
switch a otros en la red
Servidor VTP. Actualiza la
Ataques VTP
Despus de volverse un
puerto troncal, el atacante
podra enviar mensajes
VTP como si fuera un
Servidor VTP
reconfigurando
o anulando todas las
VLANs existentes
Vulnerabilidades CDP
Secuencia de
Eventos
Descripcin
1.
2.
3.
4.
Proteccin de puertos
Evita el re-envo de trfico (unicast, multicast o broadcast) entre puertos
protegidos.
Slo se transmite el trfico de control debido a que estos paquetes son
Reflejo de puertos
El reflejo de puertos permite generar una copia del trfico que atraviesa
diferente
El reflejo de puertos no mitiga los ataques, pero s permite el monitoreo
de la actividad maliciosa
El reflejo de puertos no interfiere con otros mecanismos (Syslog o SNMP)
VLAN
SW1(config)# no monitor session 1
SW1(config)# monitor session 1 source interface gigabitethernet0/1
SW1(config)# monitor session 1 destination interface gigabitethernet0/2 encapsulation replicate
categorizarse en:
Reconocimiento
Ataques de acceso
Denegacin de servicio (DoS)
redes inalmbricas.
La aplicacin Kismet muestra redes
contraseas WEP
CoWPAtty rompe WPA-PSK (WPA1).
ASLEAP captura datos de autenticacin.
Wireshark puede analizar datos de
Ataques de reconocimiento
Consiste en el descubrimiento no
Recopilacin de Informacin.
Es considerado ilegal slo en
algunos pases.
Por lo general, precede a un acceso
real o ataque DoS.
A menudo llamado Wardriving
Similar a un ladrn que explora un
barrio de casas no seguras.
Ataques de reconocimiento
Para espiar redes WLAN se pueden utilizar
Wireless
Libres, como Ethercap, Wireshark o Tcpdump
Estas herramientas para buscar redes
1.1.1.2
1.1.1.2
Ataques de radiofrecuencia
Ataque de capa 1 (Jamming)
El atacante usa algn transmisor de radio que genera ruido en la
Ataque de des-autenticacin
Durante el proceso de asociacin con el AP
autenticndolo del AP
Todos los clientes, suplantando al AP y desautenticando a todos los clientes
El atacante slo requiere enviar una trama
falsa
Ataque de des-asociacin
Durante el proceso de asociacin con el AP
falsa
tiempo
cliente y el AP.
ataque
El atacante falsifica la trama de
ello
Deteccin de portadora fsica
Usando CSMA/CA con ventanas de
tiempo
Deteccin de portadora virtual
Usando RTS/CTS con NAV
estos mecanismos
Ataque a NAV
defer access
contention
RTS usando valores muy altos, lo que causa que el valor de NAV en el
resto de equipos se incremente y evite su acceso al canal
El valor mximo es de 32767, iguala 32 ms
El atacante necesita transmitir slo 30 veces por segundo
mximos
El valor mnimo debe ser un valor igual a la cantidad de tiempo
seguridad
Las terminales corren un riesgo
significativo de conectarse a un
dispositivo no autorizado
Las terminales corren un riesgo
significativo de que su conexin sea
insegura incluso con un dispositivo
autorizado
Riesgo de conectar un dispositivo adhoc inalmbrico no autorizado a una
red segura mediante cable
Vulnerabilidad en algunos sistemas
operativos al momento de trabajar con
redes Ad Hoc (funcin de
configuracin automtica)
inalmbrica de infraestructura
Ataques de reconocimiento
Ataques de suplantacin
Ataques de repeticin
Distorsin de mensajes
enrutamiento multi-hop.
Cuentan con recursos (memoria, capacidad computacional) limitados.
Los nodos que sirven de puertas de enlace proporcionan acceso toda la red y por lo
MESH.
En la capa PHY, hay bloqueo de la seal y el dispositivo de manipulacin.
En la capa MAC, hay suplantacin de MAC, Jamming virtual y ataque DoS.
la red para responder a los ataques. De lo contrario, dar lugar a una alta
sobrecarga adicional a la red haciendo ineficaz el proceso de deteccin.
(DTP off).
Configure PortFast en todos los puertos no troncales.
Configure BPDU Guard en todos los puertos no troncales.
Configure Root Guard en los puertos raz STP.
Deshabilite los puertos no utilizados y pngalos en una VLAN no utilizada.
Use asignaciones diferentes para las VLAN de gestin, nativa, usuario/datos, voz,
Consultas .