Estudiante
Páginas: 10 (2368 palabras)
Publicado: 28 de abril de 2013
Seguridad en Capa 2
– Ataques.
–
Contramedidas.
– Buenas
prácticas.
Contenidos
•
•
•
•
•
•
•
Porqué asegurar la capa 2?
Mitos de la capa 2
Ataques basados en MAC y ARP
Ataques basados en VLAN
Ataques basados en STP
Contramedidas
Buenas Prácticas
Porqué asegurar la capa 2?
• Según el FBI el 80% de los ataques provienen del
interior de la organización.
• 99% de lospuertos (o bocas) de las redes LAN
corporativas están “desprotegidos”. Es decir,
cualquiera puede conectarse a ellos.
• La mayoría de las empresas está desplegando
redes inhalámbricas (aunque no lo sepan).
• Las herramientas diseñadas para simplificar el
trabajo de los administradores de red perjudican
seriamente la seguridad de la red corporativa.
Porqué asegurar la capa 2?
• El modeloOSI está pensado para que cada capa
opere independiente de las demás.
Porqué asegurar la capa 2?
• Esto significa que una capa puede ser
comprometida sin que las demás lo noten.
Mitos de la capa 2
• Las direcciones MAC no pueden ser
falsificadas.
• Un switch no permite hacer sniffing.
• Las VLANs están completamente
aisladas unas de otras.
Ataques basados en
MAC y ARP
• CAMTable Overflow.
• ARP Spoofing
• Ataques que emplean
ARP Spoofing.
CAM Table Overflow
• Los switchs guardan las asociaciones MACPuerto e información de VLAN a medida que las
“aprenden” en un tabla llamada tabla CAM.
• La tabla CAM de un switch tiene un tamaño fijo
y finito.
• Cuando la tabla CAM no tiene espacio para
almacenar más asociaciones MAC-Puerto envía
a todos los puertos lastramas que tengan una
dirección MAC destino no almacenada en la
tabla CAM. (Actúa como un HUB para cualquier
MAC que no haya aprendido)
CAM Table Overflow
• Existe un ataque teórico desde Mayo de 1999.
• Se basa en el tamaño limitado de la tabla CAM.
• Para realizar el ataque sólo hace falta enviar
gran número de tramas con direcciones MAC
distintas (usualmente generadas al azar) acualquier puerto del switch hasta que se llene la
tabla CAM.
• Se desarrolló una herramienta para tal fin
llamada macof en Mayo de 1999. Actualmente
es parte del paquete Dsniff (GNU/Linux).
CAM Table Overflow
Antes del ataque
Luego del ataque
Captura en el puerto (no trunk) de la maquina 10.1.1.13
10.1.1.22 -> (broadcast) ARP C Who is 10.1.1.1, 10.1.1.1 ?
10.1.1.22 -> (broadcast)ARP C Who is 10.1.1.19, 10.1.1.19 ?
10.1.1.26 -> 10.1.1.25 ICMP Echo request (ID: 256 Sequence number: 7424)
10.1.1.25 -> 10.1.1.26 ICMP Echo reply (ID: 256 Sequence number: 7424)
OOPS!!!
OOPS!!!
Address Resolution Protocol
La solicitud ARP se coloca
en una trama broadcast y
se envía.
Todas las estaciones
reciben la trama y
examinan el pedido.
La estación mencionada
en el pedidocontesta y
todas las demas
estaciones procesan la
misma.
Solicitudes ARP Gratuitas
Las solicitudes ARP gratuitas son empleadas por
dispositivos para “anunciar” su dirección IP a los
demás dispositivos. Los demás dispositivos de red
utilizan las solicitudes ARP gratuitas para actualizar su
caché ARP.
Se colocan en tramas broadcast al igual que las
solicitudes ARP.
Host W: “Soy1.2.3.4 y mi MAC es 12:34:56:78:9A:BC”
ARP Spoofing
ARP no proporciona seguridad o algún mecanismo
para reservar direcciones IP o MAC.
Qué ocurriría en este caso?
• Host W: “Soy 1.2.3.1 y mi MAC es 12:34:56:78:9A:BC”
• Eperar unos segundos
• Host W: “Soy 1.2.3.1 y mi MAC es 12:34:56:78:9A:BC”
ARP Spoofing
El Host X y el Host Y probablemente ignoren la trama
a menos que tengan unaentrada para 1.2.3.1 en su
caché ARP.
• Cuando uno de los hosts pida la MAC de 1.2.3.1 el router
va a responder y esta MAC va a permanecer hasta que el
Host W transmita otra solicitud ARP gratuita.
• En algunos SO inclusive las entradas ARP estáticas son
sobreescritas por las solicitudes ARP gratuitas.
Ataques que usan ARP Spoofing
Switch Port Stealing (Sniffing):
Utilizando ARP...
– Ataques.
–
Contramedidas.
– Buenas
prácticas.
Contenidos
•
•
•
•
•
•
•
Porqué asegurar la capa 2?
Mitos de la capa 2
Ataques basados en MAC y ARP
Ataques basados en VLAN
Ataques basados en STP
Contramedidas
Buenas Prácticas
Porqué asegurar la capa 2?
• Según el FBI el 80% de los ataques provienen del
interior de la organización.
• 99% de lospuertos (o bocas) de las redes LAN
corporativas están “desprotegidos”. Es decir,
cualquiera puede conectarse a ellos.
• La mayoría de las empresas está desplegando
redes inhalámbricas (aunque no lo sepan).
• Las herramientas diseñadas para simplificar el
trabajo de los administradores de red perjudican
seriamente la seguridad de la red corporativa.
Porqué asegurar la capa 2?
• El modeloOSI está pensado para que cada capa
opere independiente de las demás.
Porqué asegurar la capa 2?
• Esto significa que una capa puede ser
comprometida sin que las demás lo noten.
Mitos de la capa 2
• Las direcciones MAC no pueden ser
falsificadas.
• Un switch no permite hacer sniffing.
• Las VLANs están completamente
aisladas unas de otras.
Ataques basados en
MAC y ARP
• CAMTable Overflow.
• ARP Spoofing
• Ataques que emplean
ARP Spoofing.
CAM Table Overflow
• Los switchs guardan las asociaciones MACPuerto e información de VLAN a medida que las
“aprenden” en un tabla llamada tabla CAM.
• La tabla CAM de un switch tiene un tamaño fijo
y finito.
• Cuando la tabla CAM no tiene espacio para
almacenar más asociaciones MAC-Puerto envía
a todos los puertos lastramas que tengan una
dirección MAC destino no almacenada en la
tabla CAM. (Actúa como un HUB para cualquier
MAC que no haya aprendido)
CAM Table Overflow
• Existe un ataque teórico desde Mayo de 1999.
• Se basa en el tamaño limitado de la tabla CAM.
• Para realizar el ataque sólo hace falta enviar
gran número de tramas con direcciones MAC
distintas (usualmente generadas al azar) acualquier puerto del switch hasta que se llene la
tabla CAM.
• Se desarrolló una herramienta para tal fin
llamada macof en Mayo de 1999. Actualmente
es parte del paquete Dsniff (GNU/Linux).
CAM Table Overflow
Antes del ataque
Luego del ataque
Captura en el puerto (no trunk) de la maquina 10.1.1.13
10.1.1.22 -> (broadcast) ARP C Who is 10.1.1.1, 10.1.1.1 ?
10.1.1.22 -> (broadcast)ARP C Who is 10.1.1.19, 10.1.1.19 ?
10.1.1.26 -> 10.1.1.25 ICMP Echo request (ID: 256 Sequence number: 7424)
10.1.1.25 -> 10.1.1.26 ICMP Echo reply (ID: 256 Sequence number: 7424)
OOPS!!!
OOPS!!!
Address Resolution Protocol
La solicitud ARP se coloca
en una trama broadcast y
se envía.
Todas las estaciones
reciben la trama y
examinan el pedido.
La estación mencionada
en el pedidocontesta y
todas las demas
estaciones procesan la
misma.
Solicitudes ARP Gratuitas
Las solicitudes ARP gratuitas son empleadas por
dispositivos para “anunciar” su dirección IP a los
demás dispositivos. Los demás dispositivos de red
utilizan las solicitudes ARP gratuitas para actualizar su
caché ARP.
Se colocan en tramas broadcast al igual que las
solicitudes ARP.
Host W: “Soy1.2.3.4 y mi MAC es 12:34:56:78:9A:BC”
ARP Spoofing
ARP no proporciona seguridad o algún mecanismo
para reservar direcciones IP o MAC.
Qué ocurriría en este caso?
• Host W: “Soy 1.2.3.1 y mi MAC es 12:34:56:78:9A:BC”
• Eperar unos segundos
• Host W: “Soy 1.2.3.1 y mi MAC es 12:34:56:78:9A:BC”
ARP Spoofing
El Host X y el Host Y probablemente ignoren la trama
a menos que tengan unaentrada para 1.2.3.1 en su
caché ARP.
• Cuando uno de los hosts pida la MAC de 1.2.3.1 el router
va a responder y esta MAC va a permanecer hasta que el
Host W transmita otra solicitud ARP gratuita.
• En algunos SO inclusive las entradas ARP estáticas son
sobreescritas por las solicitudes ARP gratuitas.
Ataques que usan ARP Spoofing
Switch Port Stealing (Sniffing):
Utilizando ARP...
Leer documento completo
Regístrate para leer el documento completo.