Seguridad en capa2

Solo disponible en BuenasTareas
  • Páginas : 11 (2543 palabras )
  • Descarga(s) : 0
  • Publicado : 6 de marzo de 2012
Leer documento completo
Vista previa del texto
Seguridad en Capa 2
– Ataques. – Contramedidas. – Buenas prácticas.

Contenidos
• • • • • • • Porqué asegurar la capa 2? Mitos de la capa 2 Ataques basados en MAC y ARP Ataques basados en VLAN Ataques basados en STP Contramedidas Buenas Prácticas

Porqué asegurar la capa 2?
• Según el FBI el 80% de los ataques provienen del interior de la organización. • 99% de los puertos (o bocas) delas redes LAN corporativas están “desprotegidos”. Es decir, cualquiera puede conectarse a ellos. • La mayoría de las empresas está desplegando redes inhalámbricas (aunque no lo sepan). • Las herramientas diseñadas para simplificar el trabajo de los administradores de red perjudican seriamente la seguridad de la red corporativa.

Porqué asegurar la capa 2?
• El modelo OSI está pensado para quecada capa opere independiente de las demás.

Porqué asegurar la capa 2?
• Esto significa que una capa puede ser comprometida sin que las demás lo noten.

Mitos de la capa 2
• Las direcciones MAC no pueden ser falsificadas. • Un switch no permite hacer sniffing. • Las VLANs están completamente aisladas unas de otras.

Ataques basados en MAC y ARP
• CAM Table Overflow. • ARP Spoofing •Ataques que emplean ARP Spoofing.

CAM Table Overflow
• Los switchs guardan las asociaciones MACPuerto e información de VLAN a medida que las “aprenden” en un tabla llamada tabla CAM. • La tabla CAM de un switch tiene un tamaño fijo y finito. • Cuando la tabla CAM no tiene espacio para almacenar más asociaciones MAC-Puerto envía a todos los puertos las tramas que tengan una dirección MAC destinono almacenada en la tabla CAM. (Actúa como un HUB para cualquier MAC que no haya aprendido)

CAM Table Overflow
• Existe un ataque teórico desde Mayo de 1999. • Se basa en el tamaño limitado de la tabla CAM. • Para realizar el ataque sólo hace falta enviar gran número de tramas con direcciones MAC distintas (usualmente generadas al azar) a cualquier puerto del switch hasta que se llene latabla CAM. • Se desarrolló una herramienta para tal fin llamada macof en Mayo de 1999. Actualmente es parte del paquete Dsniff (GNU/Linux).

CAM Table Overflow

Antes del ataque

Luego del ataque

Captura en el puerto (no trunk) de la maquina 10.1.1.13
10.1.1.22 -> (broadcast) ARP C Who is 10.1.1.1, 10.1.1.1 ? 10.1.1.22 -> (broadcast) ARP C Who is 10.1.1.19, 10.1.1.19 ? 10.1.1.26 ->10.1.1.25 ICMP Echo request (ID: 256 Sequence number: 7424) 10.1.1.25 -> 10.1.1.26 ICMP Echo reply (ID: 256 Sequence number: 7424) OOPS!!! OOPS!!!

Address Resolution Protocol
La solicitud ARP se coloca en una trama broadcast y se envía. Todas las estaciones reciben la trama y examinan el pedido. La estación mencionada en el pedido contesta y todas las demas estaciones procesan la misma. Solicitudes ARP Gratuitas
Las solicitudes ARP gratuitas son empleadas por dispositivos para “anunciar” su dirección IP a los demás dispositivos. Los demás dispositivos de red utilizan las solicitudes ARP gratuitas para actualizar su caché ARP. Se colocan en tramas broadcast al igual que las solicitudes ARP.

Host W: “Soy 1.2.3.4 y mi MAC es 12:34:56:78:9A:BC”

ARP Spoofing
ARP no proporcionaseguridad o algún mecanismo para reservar direcciones IP o MAC. Qué ocurriría en este caso?

• Host W: “Soy 1.2.3.1 y mi MAC es 12:34:56:78:9A:BC” • Eperar unos segundos • Host W: “Soy 1.2.3.1 y mi MAC es 12:34:56:78:9A:BC”

ARP Spoofing
El Host X y el Host Y probablemente ignoren la trama a menos que tengan una entrada para 1.2.3.1 en su caché ARP.

• Cuando uno de los hosts pida la MAC de1.2.3.1 el router va a responder y esta MAC va a permanecer hasta que el Host W transmita otra solicitud ARP gratuita. • En algunos SO inclusive las entradas ARP estáticas son sobreescritas por las solicitudes ARP gratuitas.

Ataques que usan ARP Spoofing
Switch Port Stealing (Sniffing): Utilizando ARP Spoofing el atacante consigue que todas las tramas dirigidas hacia otro puerto del switch...
tracking img