Seguridad en capa2
– Ataques. – Contramedidas. – Buenas prácticas.
Contenidos
• • • • • • • Porqué asegurar la capa 2? Mitos de la capa 2 Ataques basados en MAC y ARP Ataques basados en VLAN Ataques basados en STP Contramedidas Buenas Prácticas
Porqué asegurar la capa 2?
• Según el FBI el 80% de los ataques provienen del interior de la organización. • 99% de los puertos (o bocas) delas redes LAN corporativas están “desprotegidos”. Es decir, cualquiera puede conectarse a ellos. • La mayoría de las empresas está desplegando redes inhalámbricas (aunque no lo sepan). • Las herramientas diseñadas para simplificar el trabajo de los administradores de red perjudican seriamente la seguridad de la red corporativa.
Porqué asegurar la capa 2?
• El modelo OSI está pensado para quecada capa opere independiente de las demás.
Porqué asegurar la capa 2?
• Esto significa que una capa puede ser comprometida sin que las demás lo noten.
Mitos de la capa 2
• Las direcciones MAC no pueden ser falsificadas. • Un switch no permite hacer sniffing. • Las VLANs están completamente aisladas unas de otras.
Ataques basados en MAC y ARP
• CAM Table Overflow. • ARP Spoofing •Ataques que emplean ARP Spoofing.
CAM Table Overflow
• Los switchs guardan las asociaciones MACPuerto e información de VLAN a medida que las “aprenden” en un tabla llamada tabla CAM. • La tabla CAM de un switch tiene un tamaño fijo y finito. • Cuando la tabla CAM no tiene espacio para almacenar más asociaciones MAC-Puerto envía a todos los puertos las tramas que tengan una dirección MAC destinono almacenada en la tabla CAM. (Actúa como un HUB para cualquier MAC que no haya aprendido)
CAM Table Overflow
• Existe un ataque teórico desde Mayo de 1999. • Se basa en el tamaño limitado de la tabla CAM. • Para realizar el ataque sólo hace falta enviar gran número de tramas con direcciones MAC distintas (usualmente generadas al azar) a cualquier puerto del switch hasta que se llene latabla CAM. • Se desarrolló una herramienta para tal fin llamada macof en Mayo de 1999. Actualmente es parte del paquete Dsniff (GNU/Linux).
CAM Table Overflow
Antes del ataque
Luego del ataque
Captura en el puerto (no trunk) de la maquina 10.1.1.13
10.1.1.22 -> (broadcast) ARP C Who is 10.1.1.1, 10.1.1.1 ? 10.1.1.22 -> (broadcast) ARP C Who is 10.1.1.19, 10.1.1.19 ? 10.1.1.26 ->10.1.1.25 ICMP Echo request (ID: 256 Sequence number: 7424) 10.1.1.25 -> 10.1.1.26 ICMP Echo reply (ID: 256 Sequence number: 7424) OOPS!!! OOPS!!!
Address Resolution Protocol
La solicitud ARP se coloca en una trama broadcast y se envía. Todas las estaciones reciben la trama y examinan el pedido. La estación mencionada en el pedido contesta y todas las demas estaciones procesan la misma.Solicitudes ARP Gratuitas
Las solicitudes ARP gratuitas son empleadas por dispositivos para “anunciar” su dirección IP a los demás dispositivos. Los demás dispositivos de red utilizan las solicitudes ARP gratuitas para actualizar su caché ARP. Se colocan en tramas broadcast al igual que las solicitudes ARP.
Host W: “Soy 1.2.3.4 y mi MAC es 12:34:56:78:9A:BC”
ARP Spoofing
ARP no proporcionaseguridad o algún mecanismo para reservar direcciones IP o MAC. Qué ocurriría en este caso?
• Host W: “Soy 1.2.3.1 y mi MAC es 12:34:56:78:9A:BC” • Eperar unos segundos • Host W: “Soy 1.2.3.1 y mi MAC es 12:34:56:78:9A:BC”
ARP Spoofing
El Host X y el Host Y probablemente ignoren la trama a menos que tengan una entrada para 1.2.3.1 en su caché ARP.
• Cuando uno de los hosts pida la MAC de1.2.3.1 el router va a responder y esta MAC va a permanecer hasta que el Host W transmita otra solicitud ARP gratuita. • En algunos SO inclusive las entradas ARP estáticas son sobreescritas por las solicitudes ARP gratuitas.
Ataques que usan ARP Spoofing
Switch Port Stealing (Sniffing): Utilizando ARP Spoofing el atacante consigue que todas las tramas dirigidas hacia otro puerto del switch...
Regístrate para leer el documento completo.