Prevención de ataques de hackers sobre switch

Ing. Higinio Facchini

higinio.facchini@gridtics.frm.utn.edu.ar
1
 ¿POR QUÉ SEGURIDAD?

Porque vivimos en la era de

las Telecomunicaciones
Porque cada día se
desarrollan e integran
nuevos dispositivos a las
redes.
Porque los negocios
dependen de las redes en
un 100%.
.. Y porque seguridad no es
un producto, es una filosofía...

2
 Visión General de Seguridad
 El estado por defecto del
equipamiento de red:
 Firewalls (colocados en los
límites de la organización)
 Default: Seguro y debe
configurse para las
comunicaciones.
 Routers y switches
(colocados en el interior de
la organización)
 Default: No seguros, y
deben configurarse para
seguridad
3
 SEGURIDAD, dónde?

 La atención de la mayoría de la industria está sobre los ataques

de seguridad desde el exterior a la organización.
 Los dispositivos de acceso y de comunicaciones de capa 2 son
dejados sin considerar en la mayoría de las discusiones de
seguridad.
4
 MODELO OSI
El modelo OSI está pensado para que cada
capa opere independiente de las demás

5
 EL EFECTO DOMINÓ
Por desgracia, si una capa es atacada y capturada, se compromete
la comunicación sin que las otras capas se enteren
 La seguridad es tan fuerte como el eslabón más débil
 En redes, la capa 2 puede ser un eslabón MUY débil

6
Porqué asegurar la capa 2?
Según el FBI el 80% de los ataques provienen del
interior de la organización.
99% de los puertos (o bocas) de las redes LAN
corporativas están “desprotegidos”. Es decir,
cualquiera puede conectarse a ellos.
La mayoría de las empresas está desplegando
redes inalámbricas (aunque no lo sepan).
Las herramientas diseñadas para simplificar el
trabajo de los administradores de red perjudican
seriamente la seguridad de la red corporativa.

7
Porqué asegurar la capa 2?
 Si un ataque se lanza en la
capa 2, sobre un dispositivo
de campus interno, el resto
de la red puede quedar
comprometida rápidamente,
y no ser detectado.
 Debido al incremento de la
actividad maliciosa en capa
2, la seguridad sobre los
switches debe estar
ajustada.
 …así como en los routers.

8
Mitos de la capa 2

Las direcciones MAC no pueden ser

falsificadas.
Un switch no permite hacer sniffing.
Las VLANs están completamente aisladas
unas de otras.

9
Categorías de Ataques de Capa2

 Ataques de capa MAC

 Ataques por sustitución y/o simulación
(spoofing)
 Ataques VLAN
 Ataques sobre dispositivos switch

10
Categorías de Ataques de Capa2

 Ataques de capa MAC

 Ataques por sustitución y/o simulación
(spoofing)
 Ataques VLAN
 Ataques sobre dispositivos switch

11
Ataques de capa MAC

• LAN (Local Area Network) – red de computadoras

conectadas a través de un medio cableado o inalámbricos
por dispositivos activos de redes (hubs, switches, routers,
access points) y administrados por una simple organización.
• Ethernet – Una familia de protocolos de capa 2 para LANs .
12
Ataques de capa MAC

 Parte del protocolo Ethernet incluye la MAC (Media

Access Control)
 Cada placa de red (NIC) Ethernet tiene una única
dirección MAC.
 Las direcciones MAC proveen una forma de
comunicación entre las computadoras (una manera de
identificarse).
13
 Ataques de capa MAC

 Las direcciones MAC son:

 48 bits de longitud
 Expresadas como 12 dígitos hexadecimales.
 Las direcciones MAC se llaman a veces burned-in
addresses (BIAs) debido a que son grabadas en la
memoria ROM (memoria de solo lectura) de la NIC y son
copiadas en la memoria RAM de la PC cuando la NIC se
inicializa
14
 Ataques de capa MAC

 El protocolo Ethernet usa direcciones MAC para identificar el

origen de la trama Ethernet y el destino de la trama Ethernet.
 Cuando una computadora envía una trama Ethernet, incluye
en ella la dirección MAC de su NIC como la “dirección origen
MAC”.
 A su vez debe conocer la “dirección destino MAC” para
conocer el destinatario de la trama (después vemos como la
aprende).
15
Ataques de capa MAC

16
Ataques de capa MAC

17
Ataques de capa MAC
MAC Flooding - CAM Table Overflow
Los switchs guardan las asociaciones MAC-Puerto a
medida que las “aprenden” en un tabla llamada tabla
CAM.
La tabla CAM de un switch tiene un tamaño fijo y finito
(de 256 a + de 16.000 direcciones).

Debilidad: Inundación de direcciones MAC

Múltiples Tramas con direcciones MAC inválidas
desde un mismo origen inundan el switch, agotando
su espacio de memoria direccionable (CAM),
impidiendo nuevas entradas de hosts válidos.

18
Ataques de capa MAC
MAC Flooding - CAM Table Overflow
Existe un ataque teórico desde Mayo de 1999.
Se basa en el tamaño limitado de la tabla CAM.
Para realizar el ataque sólo hace falta enviar gran
número de tramas con direcciones MAC distintas
(usualmente generadas al azar) a cualquier puerto
del switch hasta que se llene la tabla CAM.
Se desarrolló una herramienta para tal fin llamada
macof en Mayo de 1999. Actualmente es parte del
paquete Dsniff (GNU/Linux).
Diversas herramientas pueden inundar la tabla
CAM en menos de 1 minuto.
19
Ataques de capa MAC
MAC Flooding - CAM Table Overflow
Si la tabla CAM está llena, no se aceptan nuevas entradas
Cuando la tabla CAM no tiene espacio para almacenar
más asociaciones MAC-Puerto envía a todos los puertos
las tramas que tengan una dirección MAC destino no
almacenada en la tabla CAM.
Actúa como un
HUB para cualquier
MAC que no haya
aprendido

20
Ataques de capa MAC
MAC Flooding - CAM Table Overflow
Esto tiene dos efectos adversos:

Un dispositivo intruso puede conectarse a

cualquier puerto del switch y capturar tráfico
que normalmente no se ve en ese puerto.

El tráfico saliente del switch es ineficiente y

voluminoso y se puede producir un Ataque de
Denegación de Servicio (Denial of Service –
DoS).

21
Ataques de capa MAC
MAC Flooding - CAM Table Overflow
Solución:

Port security

MAC address VLAN access maps

22
Ataques de capa MAC
MAC Flooding - CAM Table Overflow
Solución:

Port security restringe

el acceso al puerto por
dirección MAC.

23
Ataques de capa MAC
MAC Flooding - CAM Table Overflow
Solución: Port security
Conjunto de medidas de seguridad a nivel de puertos
disponibles en la mayoría de los switchs de gama media
y alta. Las funciones provistas dependen de la marca, el
modelo y la versión de firmware del switch en cuestión.
Permite entre otras cosas:
Restringir el acceso a los puertos según la MAC.
Restringir el numero de MACs por puerto.
Reaccionar de diferentes maneras a violaciones de
las restricciones anteriores.
Establecer la duración de las asociaciones MAC-
Puerto

24
Ataques de capa MAC
MAC Flooding - CAM Table Overflow
Solución: Ejemplos de Port security
Deseamos configurar el puerto 15 del switch para que
no acepte más de dos direcciones MAC.

Switch(config-if)# switchport mode access

Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 2

No se puede activar port security en puertos dynamic o

trunk.
Port Security está desactivado por default.

25
Ataques de capa MAC
MAC Flooding - CAM Table Overflow
Solución: Ejemplos de Port security
Además podemos especificar qué hacer si ese número de
direcciones MAC es superado (por default deshabilitar el
puerto):

● Que deje de aprender

Switch(config-if)# switchport port-security violation protect

● Que envíe una alerta administrativa y deje de aprender

Switch(config-if)# switchport port-security violation restrict

● Que deshabilite el puerto

Switch(config-if)# switchport port-security violation shutdown

26
Ataques de capa MAC
MAC Flooding - CAM Table Overflow
Solución: Ejemplos de Port security
También permiten agregar una lista estática de direcciones
MAC autorizadas a conectarse a ese puerto, para esto se
usarían estos comandos:

Switch(config-if)# switchport port-security mac-address sticky

Switch(config-if)# switchport port-security mac-address mac-
address 000a.5e5a.181b
● Con la primera línea le digo que agregue las MACs que va
aprendiendo a la lista de MACs seguras.
● Con la segunda que agregue la MAC 00:0a:5e:5a:18:1b a la lista de
MACs seguras.
● Si no agrego una segunda MAC, la primera MAC que escuche distinta
a 00:0a:5e:5a:18:1b será agregada a la lista de MACs seguras.
27
Ataques de capa MAC
MAC Flooding - CAM Table Overflow
Solución: Ejemplos de Port security

Hagamos que las direcciones MAC que el puerto 15 aprende

de manera dinámica no duren más de 2 minutos si la
estación no genera tráfico:
Switch(config-if)# no switchport port-security aging static
Switch(config-if)# switchport port-security aging time 2
Switch(config-if)# switchport port-security aging type inactivity

● Con la primera línea le digo que no elimine las MACs

agregadas de manera estática.
● Con la segunda establezco el tiempo en dos minutos.
● Por último, le digo que deben transcurrir dos minutos de
inactividad antes de eliminar la dirección MAC.
28
Ataques de capa MAC
MAC Flooding - CAM Table Overflow
Solución:

Mapas de acceso de
Direcciones MAC por
VLAN o por puerto

Se crean filtros o
listas de acceso

29
Categorías de Ataques de Capa2

 Ataques de capa MAC

 Ataques por sustitución y/o simulación
(spoofing)
 Ataques VLAN
 Ataques sobre dispositivos switch

30
Ataques por sustitución y/o engaño
DHCP Spoofing
Un dispositivo atacante puede consumir el espacio
de direcciones disponibles de los servidores
DHCP por un periodo de tiempo, o establecerse
como servidor DHCP en ataques man-in-the-
middle.

ARP Spoofing
Tramas dirigidas a un puerto del switch pasan por
otro puerto
Redirigen tramas

STP Spoofing
Manipulación del protocolo Spanning Tree
31
Ataques por sustitución y/o engaño:
DHCP Spoofing

Direccionamiento IP

Estático Dinámico

32
 Ataques por sustitución y/o engaño:
DHCP Spoofing
Para direccionamiento IP
dinámico
 Dynamic Host
Configuration Protocol
(DHCP)
 Permite obtener una dirección
IP en forma rápida y dinámica
 Usa un rango definido de
direccines IP
 Puede asignar además
default gateway, DNS, WINs,
etc.

33
Ataques por sustitución y/o engaño:
DHCP Spoofing
• Una de los modos que un atacante puede tener acceso al
tráfico de la red es “envenenando” las respuestas que podría
enviar un servidor DHCP válido.
• El dispositivo DHCP spoofing responde a consultas de
clientes DHCP.
• El servidor legítimo puede responder también, pero si el
dispositivo spoofing está en el mismo segmento que el cliente,
su respuesta al cliente puede llegar primero, ofreciendo
direcciones como default gateway o Domain Name System
(DNS) erróneas.
• En el caso del gateway, los clientes enviarán paquetes al
dispositivo atacante en lugar que al router correspondiente.
• Esto se llama ataque “man-in-the-middle”, y es difícil de
detectar.
34
Ataques por sustitución y/o engaño:
DHCP Spoofing

35
Ataques por sustitución y/o engaño:
DHCP Spoofing
 Agotamiento DHCP
 Un dispositivo atacante puede consumir el espacio de
direcciones disponibles de los servidores DHCP por un
periodo de tiempo.

 Solución para “envenenamiento” o “agotamiento”

 DHCP snooping

36
Ataques por sustitución y/o engaño:
Solución: DHCP Snooping
 DHCP snooping es una característica de switchs Cisco que
determina que puertos del swhich pueden responder a consultas
DHCP.
 Los Puertos se identifican como trusted (seguros) y untrusted
(no seguros).
 Trusted ports pueden ser orígen de todos los mensajes DHCP
 Host a DHCP Server
 Uplink port
 Untrusted ports pueden ser origen sólo a consultas DHCP
 Si un dispositivo conectado a un untrusted port intent enviar una
respuesta DHCP a la red, el puerto se cierra.
 Desde la perspectiva DHCP snooping, puertos de acceso
untrusted no envían ninguna respuesta de un servidor DHCP,
como DHCPOFFER, DHCPACK, or DHCPNAK.

37
Ataques por sustitución y/o engaño:
ARP Spoofing

Address Resolution Protocol (ARP)

La solicitud ARP se coloca

en una trama broadcast y
se envía.

Todas las estaciones

reciben la trama y
examinan el pedido.

La estación mencionada
en el pedido contesta y
todas las demás
estaciones procesan la
misma.
38
Ataques por sustitución y/o engaño:
ARP Spoofing

Las solicitudes ARP gratuitas son empleadas por

dispositivos para “anunciar” su dirección IP a los demás
dispositivos.
Los demás dispositivos de red utilizan las solicitudes ARP
gratuitas para actualizar su caché ARP.
Se colocan en tramas broadcast al igual que las
solicitudes ARP.

Host W: “Soy 1.2.3.4 y mi MAC es 12:34:56:78:9A:BC”

39
Ataques por sustitución y/o engaño:
ARP Spoofing
ARP no proporciona seguridad o algún mecanismo para
reservar direcciones IP o MAC.
El envenenamiento ARP ocurre cuando se permiten enviar
respuestas gratuitas ARP sin haber recibido antes una
petición ARP.

• Host W: “Soy 1.2.3.1 y mi MAC es 12:34:56:78:9A:BC”

• Esperar unos segundos
• Host W: “Soy 1.2.3.1 y mi MAC es 12:34:56:78:9A:BC”
40
Ataques por sustitución y/o engaño:
ARP Spoofing
El Host X y el Host Y probablemente ignoren la trama, a
menos que tengan una entrada para 1.2.3.1 en su caché
ARP (en ese caso la reemplazan)

• Cuando uno de los hosts pida la MAC de 1.2.3.1 el router

va a responder y esta MAC va a permanecer hasta que el
Host W transmita otra solicitud ARP gratuita.
• En algunos SO inclusive las entradas ARP estáticas son
sobreescritas por las solicitudes ARP gratuitas.
41
Ataques por sustitución y/o engaño:
ARP Spoofing
Ataques que usan ARP Spoofing:
Switch Port Stealing (Sniffing):
Utilizando ARP Spoofing el atacante consigue que
todas las tramas dirigidas hacia otro puerto del
switch lleguen al puerto del atacante para luego re-
enviarlos hacia su destinatario y de esta manera
poder ver el tráfico que viaja desde el remitente
hacia el destinatario (Una especie de sniffing half-
duplex).
Man in the Middle (Sniffing):
Utilizando ARP Spoofing el atacante logra que todas
las tramas que intercambian las víctimas pasen
primero por su equipo (Inclusive en ambientes
switcheados).
42
Ataques por sustitución y/o engaño:
ARP Spoofing
Ataques que usan ARP Spoofing
Denial of service (DoS):
Utilizando ARP Spoofing el atacante puede hacer que
un equipo crítico de la red tenga una dirección MAC
inexistente. Con esto se logra que las tramas dirigidas
a la IP de este dispositivo se pierdan.
Secuestro (Hijacking):
Utilizando ARP Spoofing el atacante puede lograr
redirigir el flujo de tramas entre dos dispositivos hacia
su equipo. Así puede lograr colocarse en cualquiera
de los dos extremos de la comunicación (previa
deshabilitación del correspondiente dispositivo) y
secuestrar la sesión.
43
Ataques por sustitución y/o engaño:
ARP Spoofing
Solución:
Dynamic ARP Inspection (DAI): utiliza el mismo concepto de
puertos seguros e inseguros. Cuando un paquete ARP llega a un puerto
seguro no se realiza ninguna inspección pero cuando llega a uno inseguro el
paquete es examinado en la tabla de asociaciones DHCP y si la dirección IP
no corresponde con su MAC, el paquete es descartado y el puerto
bloqueado. Cuando se habilita la inspección arp, todos los puertos son
inseguros por defecto.
Switch(config)#ip arp inspection vlan 1
Switch(config)#interface FastEthernet 0/1
Switch(config-if)#ip arp inspection trust

DHCP snooping
Port security
44
Ataques por sustitución y/o engaño:
STP

Spanning tree comprometido

El dispositivo atacante pretende sustituir el

bridge raíz en la topología STP.
Si es existoso, el atacante de la red puede ver
una variedad de tramas.

45
Ataques por sustitución y/o engaño:
STP

STP es un protocolo de prevención de loops

Usa el Spanning Tree Algorithm (árbol de expansión)
STP permite que dispositivos de L2 se comuniquen entre
sí para descubrir lazos físicos en la red, y crear una
topología lógica libre de lazos.
46
Ataques por sustitución y/o engaño:
STP
 Loops (lazos cerrados)
pueden ocurrir en la red
como parte de una
estrategia de diseño de
redundancia.
 STP no es necesario si Two users interconnecting the
switches in their cubicles.
no hay loops en la red.
 Sin embargo, DO NOT
disable STP!
 Loops pueden ocurrir
accidentalmente.

47
Ataques por sustitución y/o engaño:
STP
 Los lazos de capa 3 pueden
ocurrir siempre que exista un
paso redundante o loop en la
red.
 Los switches fluctuarán la
tabla CAM para la estación A
(creando una muy alta
utilización de la CPU).
 Bridge Loops provocan:
 Tormentas Broadcast
 Múltiple copias de tramas
Ethernet
 Inestabilidad en la tabla
CAM en switches
48
Ataques por sustitución y/o engaño:
STP
El atacante envía mensajes
BPDU forzando recálculos STP.
El atacante envía mensajes
BPDU para convertirse en root.
El atacante se convierte en
root con lo cual puede ver
tramas que no debería (esto
permite ataques MiM, DoS,
etc)
Hace falta que el atacante
este conectado a dos switches
simultáneamente.

49
Ataques por sustitución y/o engaño:
STP
El atacante envía mensajes
BPDU anunciándose como
bridge con prioridad 0.
El atacante se vuelve root.
El backbone pasa de ser GE
(1Gbps) a ser FE (100 Mbps).
Si se lo combina con MAC
flooding este ataque puede
permitir capturar más tramas.

50
Ataques por sustitución y/o engaño:
STP
Solución:
Configurar correctamente STP
Definir los dispositivos root primario y
backup.
Definir los límites del dominio de STP
Habilitar Root
guard.
Habilitar BDPU
guard.

51
Ataques por sustitución y/o engaño:
BPDU GUARD

Err-
Disable,
Shutdown
BPDU
| No BPDUs
sent

Portfast &
BPDU
Guard

 Con BPDU guard habilitado, STP cierra las interfaces

con PortFast habilitado que reciben BPDUs (sin BPDU
Guard se bloquean y permiten tráfico STP).

52
Ataques por sustitución y/o engaño:
ROOT GUARD

Prevent from
becoming Root

• Root Guard se usa si se desea prevenir que un switch

(normalmente un access switch) se vuelva root bridge o de
cambiar el camino de STP y meterse en el medio
53
Categorías de Ataques de Capa2

 Ataques de capa MAC

 Ataques por sustitución y/o simulación
(spoofing)
 Ataques VLAN
 Ataques sobre dispositivos switch

54
Ataques VLAN

Default vlan Default

vlan 1 10 vlan 1

 VLANs proveen segmentación basadas en

dominios de broadcast.
 VLAN = Subred
 VLANs pueden segmentar lógicamente las redes
conmutadas basadas en:
 Ubicación física (Ej.: Edificios, oficinas…)
 Organización (Ej: Ventas)
 Función (Ej: Staff)
55
Ataques VLAN

 VLANs se crean para proveer servicios de

segmentación que tradicionalmente se hacía por
routers en configuraciones LAN.
 VLANs proporcionan escalabilidad, seguridad, y
administración de la red.
56
Ataques VLAN

Los puertos trunk por default tienen acceso a todas

las VLANs.
Se los emplea para transmitir tráfico de múltiples
VLANs a través del mismo enlace físico (generalmente
empleado para conectar switches).
La encapsulación puede ser IEEE 802.1Q o ISL.
57
Ataques VLAN

 Dinamic Trunking protocol.

 VLAN Hopping Attack.

 Double Encapsulated VLAN Hopping Attack.

 VLAN Trunking Protocol

58
Ataques VLAN: DTP (Dynamic
Trunking Protocol)

Automatiza la configuración de los trunk 802.1Q/ISL.

Sincroniza el modo de trunking en los extremos.
Hace innecesaria la intervención administrativa en
ambos extremos.
El estado de DTP en un puerto trunk puede ser “Auto”,
“On”, “Off”, “Desirable”, o “Non-Negotiate”.
Por default en la mayoría de los switchs es “Auto”.
59
Ataques VLAN: VLAN Hopping Atack
 Al alterar el VLAN ID en
paquetes encapsulados
para trunking, un
dispositivos atacante
puede transmitir o
recibir paquetes sobre
varias VLANs,
bypaseando las
medidas de seguridad
de capa 3.

60
Ataques VLAN: VLAN Hopping Atack

 Switch spoofing: Un equipo

puede hacerse pasar como
un switch con
 802.1Q/ISL y DTP, o bien se
puede emplear un switch.
 El equipo se vuelve miembro
de todas las VLAN.
 Requiere que el puerto este
configurado con trunking
automático.

61
 Ataques VLAN: VLAN Hopping Atack
 Double tagging: Tagg el tráfico invasivo con un VLAN ID
específico
 Se envian una trama 802.1Q de la VLAN de la víctima dentro de
otra trama 802.1Q de nuestra VLAN.
 Los switchs realizan un solo nivel de desencapsulado.
 Solo permite tráfico en una sola dirección.
 Sólo funciona si la VLAN
nativa del trunk es la misma
a la que pertenece el
atacante.
 Funciona aunque el puerto
del atacante tenga
desactivado el trunking.

62
Ataques VLAN: Soluciones
 Siempre utilizar una VLAN dedicada para los puertos trunk.
 Deshabilitar los puertos no utilizados y colocarlos en una VLAN
no utilizada.
 No utilizar la VLAN 1 para nada.
 Colocar todos los puertos de los usuarios como non-trunking
(Deshabilitar DTP)
 Deshabilitar auto trunking para todas las interfaces

63
Ataques VLAN: Entre dispositivos
sobre una VLAN común
 Ataques entre dispositivos sobre una VLAN común
 Los dispositivos pueden necesitar protección de otros, aunque
ellos estén sobre una VLAN común.
 Esto es especialmente cierto sobre segmentos de proveedores
de servicio que soporten dispositivos desde clientes múltiples.

 Solución
 Private VLANs (PVLANs).

64
Ataques VLAN: Entre dispositivos
sobre una VLAN común
 Private VLANs (pVLAN) son VLANs que proveen aislación entre
puertos dentro de la misma VLAN.
 Esta aislación elimina la necesidad de configurar VLANs distintas y
subredes IP por cliente.
 Provee Seguridad
 Reduce el número de subredes IP
 Reduce la utilización de VLAN
 Usado por ISP para instalar servicios de host y accesos a las redes
donde todos los dispositivos residen en la misma subred pero solo
se comunican con el default gateway, backup servers, u otras
redes.
 Aunque los dispositivos de red están en diferentes pVLANs,
comparten la misma subred.
 Sólo se comunican con el default gateway (que es el mismo para toas
las pVLAN)
65
Categorías de Ataques de Capa2

 Ataques de capa MAC

 Ataques por sustitución y/o simulación
(spoofing)
 Ataques VLAN
 Ataques sobre dispositivos switch

66
Ataques sobre Switchs

 Manipulación del Cisco Discovery Protocol (CDP)

 La información colocada a través de CDP es transmitida en
texto plano y no autenticado, permitiendo ser capturado, y
divulgando la información de la topología de la red.

 Solución
 Deshabilitar CDP sobre todos los puertos donde no es
necesario.

67
Ataques sobre Switchs

 Ataques Secure Shell Protocol (SSH) y Telnet

 Los paquetes Telnet pueden leerse en texto plano.
 SSH es una opción, pero tiene versiones inseguras.

 Solución
 SSH version 2.
 Telnet con virtual type terminal (VTY) ACLs.

68
Ataques sobre Switchs

 Vulnerabilidades Telnet.
 Todos los usernames, passwords, y datos enviados sobre la red
circulan en texto plano (sin cifrado).
 Un usuario con una cuenta en el sistema podría tener privilegios
elevados.

69
Ataques sobre Switchs
•SSH replaces the Telnet session
with an encrypted connection.

Cuando se usa SSH login (en lugar de Telnet), la sesión completa, incluyendo la
transmisión de, está encriptada.
Aunque SSH es seguro, muchas implementaciones de proveedores contienen
vulnerabilidades que permitirían a un atacante remoto ejecutar código arbitrario
con los privilegios de SSH o provocar un DoS.
Se recomienda usar la versión 2 de SSH
70
Ataques sobre Switchs

 Otra Solución:
 Configurar ACLs (filtros)
para cada línea VTY
(acceso remoto).

71
Categorías de Ataques de Capa2

 Ataques de capa MAC

 Ataques por sustitución y/o simulación
(spoofing)
 Ataques VLAN
 Ataques sobre dispositivos switch
 RECOMENDACIONES FINALES

72
Recomendaciones finales

Administre los switches de la manera más segura posible

(SSH, OOB, listas de acceso)
Siempre utilizar una VLAN dedicada para los puertos
trunk.
Deshabilitar los puertos no utilizados y colocarlos en una
VLAN no utilizada.
No utilizar la VLAN 1 para nada.
Deshabilitar DTP y VTP a menos que sean necesarios.
Use Port Security para los puertos de los usuarios
siempre que sea posible

73
Recomendaciones finales

Use SNMP sólo si es necesario, en caso de usarlo

aplique a las contraseñas de comunidad las mismas
políticas que a sus contraseñas de administrador.
Cree un plan para tratar los problemas de seguridad
relacionados con ARP.
Habilite mecanismos para mitigar los ataques basados
en STP (BPDU Guard, Root Guard).
Use VLANs privadas (protected ports) cuando sea
apropiado para dividir redes en capa 2.

74
 Consultas?
Ing. Higinio Facchini
higinio.facchini@gridtics.frm.utn.edu.ar
higiniofac@frm.utn.edu.ar

GRIDTICS – UTN – FRM

www.gridtics.frm.utn.edu.ar
03/09/2009

75