Seguridad en Capa 2

Ataques.

Contramedidas.
Buenas
prcticas.
Contenidos
Porqu asegurar la capa 2?
Mitos de la capa 2
Ataques basados en MAC y AP
Ataques basados en !"A#
Ataques basados en $%P
Contramedidas
Buenas Prcticas
Porqu asegurar la capa 2?
$eg&n el 'B( el )*+ de los ataques pro,ienen del
interior de la organi-aci.n.
//+ de los puertos 0o bocas1 de las redes "A#
corporati,as estn 2desprotegidos3. 4s decir5
cualquiera puede conectarse a ellos.
"a mayor6a de las empresas est desplegando
redes in7almbricas 0aunque no lo sepan1.
"as 7erramientas dise8adas para simpli9icar el
traba:o de los administradores de red per:udican
seriamente la seguridad de la red corporati,a.
Porqu asegurar la capa 2?
4l modelo ;$( est pensado para que cada capa
opere independiente de las dems.
Porqu asegurar la capa 2?
4sto signi9ica que una capa puede ser
comprometida sin que las dems lo noten.
Mitos de la capa 2
"as direcciones MAC no pueden ser
9alsi9icadas.
<n s=itc7 no permite 7acer sni99ing.
"as !"A#s estn completamente
aisladas unas de otras.
Ataques basados en
MAC y ARP
CAM %able ;,er9lo=.
AP $poo9ing
Ataques que emplean
AP $poo9ing.
CAM Table Overflo
"os s=itc7s guardan las asociaciones MAC>
Puerto e in9ormaci.n de !"A# a medida que las
2aprenden3 en un tabla llamada tabla CAM.
"a tabla CAM de un s=itc7 tiene un tama8o 9i:o
y 9inito.
Cuando la tabla CAM no tiene espacio para
almacenar ms asociaciones MAC>Puerto en,6a
a todos los puertos las tramas que tengan una
direcci.n MAC destino no almacenada en la
tabla CAM. 0Act&a como un ?<B para cualquier
MAC que no 7aya aprendido1
CAM Table Overflo
4@iste un ataque te.rico desde Mayo de A///.
$e basa en el tama8o limitado de la tabla CAM.
Para reali-ar el ataque s.lo 7ace 9alta en,iar
gran n&mero de tramas con direcciones MAC
distintas 0usualmente generadas al a-ar1 a
cualquier puerto del s=itc7 7asta que se llene la
tabla CAM.
$e desarroll. una 7erramienta para tal 9in
llamada macof en Mayo de A///. Actualmente
es parte del paquete Bsni99 0C#<D"inu@1.
CAM Table Overflo
Antes del ataque Luego del ataque
10.1.1.22 -> (broadcast) ARP C Who is 10.1.1.1, 10.1.1.1 ?
10.1.1.22 -> (broadcast) ARP C Who is 10.1.1.19, 10.1.1.19 ?
10.1.1.26 -> 10.1.1.25 ICMP cho r!"#!st (I$% 256 &!"#!'c! '#(b!r% )*2*) ++P&,,,
10.1.1.25 -> 10.1.1.26 ICMP cho r!-./ (I$% 256 &!"#!'c! '#(b!r% )*2*) ++P&,,,
Captura en el puerto !no trun"# de la $aquina %&'%'%'%(
Address Resolution Protocol
"a solicitud AP se coloca
en una trama broadcast y
se en,6a.
%odas las estaciones
reciben la trama y
e@aminan el pedido.
"a estaci.n mencionada
en el pedido contesta y
todas las demas
estaciones procesan la
misma.
Solicitudes ARP )ratuitas
"as solicitudes AP gratuitas son empleadas por
dispositi,os para 2anunciar3 su direcci.n (P a los
dems dispositi,os. "os dems dispositi,os de red
utili-an las solicitudes AP gratuitas para actuali-ar su
cac7 AP.
$e colocan en tramas broadcast al igual que las
solicitudes AP.
?ost EF 2$oy A.2.G.H y mi MAC es A2FGHFIJFK)F/AFBC3
ARP Spoofing
AP no proporciona seguridad o alg&n mecanismo
para reser,ar direcciones (P o MAC.
Lu ocurrir6a en este caso?
?ost EF 2$oy A.2.G.A y mi MAC es A2FGHFIJFK)F/AFBC3
4perar unos segundos
?ost EF 2$oy A.2.G.A y mi MAC es A2FGHFIJFK)F/AFBC3
ARP Spoofing
4l ?ost M y el ?ost N probablemente ignoren la trama
a menos que tengan una entrada para A.2.G.A en su
cac7 AP.
Cuando uno de los 7osts pida la MAC de A.2.G.A el router
,a a responder y esta MAC ,a a permanecer 7asta que el
?ost E transmita otra solicitud AP gratuita.
4n algunos $; inclusi,e las entradas AP estticas son
sobreescritas por las solicitudes AP gratuitas.
Ataques que usan ARP Spoofing
$=itc7 Port $tealing 0$ni99ing1F
<tili-ando AP $poo9ing el atacante consigue que
todas las tramas dirigidas 7acia otro puerto del s=itc7
lleguen al puerto del atacante para luego re>en,iarlos
7acia su destinatario y de esta manera poder ,er el
tr9ico que ,ia:a desde el remitente 7acia el
destinatario 0<na especie de sni99ig 7al9>duple@1.
Man in t7e Middle 0$ni99ing1F
<tili-ando AP $poo9ing el atacante logra que todas
las tramas que intercambian las ,6ctimas pasen
primero por su equipo 0(nclusi,e en ambientes
s=itc7eados1.
Ataques que usan ARP Spoofing
Benial o9 ser,ice 0Bo$1F
<tili-ando AP $poo9ing el atacante puede 7acer que
un equipo cr6tico de la red tenga una direcci.n MAC
ine@istente. Con esto se logra que las tramas dirigidas
a la (P de este dispositi,o se pierdan.
$ecuestro 0?i:acOing1F
<tili-ando AP $poo9ing el atacante puede lograr
redirigir el 9lu:o de tramas entre dos dispositi,os 7acia
su equipo. As6 puede lograr colocarse en cualquiera de
los dos e@tremos de la comunicaci.n 0pre,ia
des7abilitaci.n del correspondiente dispositi,o1 y
secuestrar la sesi.n.
Ataques basados en *+A,
Binamic %runOing protocol.
!"A# ?opping AttacO.
Bouble 4ncapsulated !"A#
?opping AttacO.
!"A# %runOing Protocol
Puertos Trun"
"os puertos trunO por de9ault tienen acceso a todas
las !"A#s.
$e los emplea para transmitir tr9ico de m&ltiples
!"A#s a tra,s del mismo enlace 96sico 0generalmente
empleado para conectar s=itc7es1.
"a encapsulaci.n puede ser (444 )*2.AL o ($".
-ina$ic Trun" Protocol !-TP#
Automati-a la con9iguraci.n de los trunO )*2.ALD($".
$incroni-a el modo de trunOing en los e@tremos.
?ace innecesaria la inter,enci.n administrati,a en
ambos e@tremos.
4l estado de B%P en un puerto trunO puede ser
2Auto35 2;n35 2;9935 2Besirable35 o 2#on>#egotiate3.
Por de9ault en la mayor6a de los s=itc7s es 2Auto3.
*+A, .opping Attac"
<n equipo puede 7acerse pasar como un s=itc7 con
)*2.ALD($" y B%P5 o bien se puede emplear un s=itc7.
4l equipo se ,uel,e miembro de todas las !"A#.
equiere que el puerto este con9igurado con trunOing
automtico.
-ouble Tagged *+A, .opping Attac"
$e en,ian una trama )*2.AL de la !"A# de la
,6ctima dentro de otra trama )*2.AL de nuestra !"A#.
"os s=itc7s reali-an un solo ni,el de
desencapsulado.
$olo permite tr9ico en una sola direcci.n.
$.lo 9unciona si la !"A# nati,a del trunO es la misma
a la que pertenece el atacante.
'unciona aunque el puerto del atacante tenga
desacti,ado el trunOing.
Protocolos de Control Cisco
$e los emplea para negociar el estado de los
puertos trunO5 intercambiar in9ormaci.n de
!"A#5 etc.
Cisco Bisco,ery Protocol 0CBP1 y !"A#
%runOing Protocol 0!%P15 dos protocolos de
control de cisco com&nmente usados5 se
transmiten por la !"A# A. $i la !"A# A es
quitada de un puerto trunO5 a pesar que no se
transmite tr9ico de los usuarios5 el s=itc7
contin&a usndola para transmitir cierta
in9ormaci.n de control.
*+A, Trun"ing Protocol !*TP#
$e lo emplea para distribuir con9iguraciones de !"A#
a tra,s de m&ltiples dispositi,os.
!%P se emplea &nicamente en puertos trunO.
!%P puede causar muc7os incon,enientes.
!%P emplea autenticaci.n considere usar MBI.
$i un atacante logra que su puerto se con,ierta en
trunO5 puede en,iar mensa:es !%P como si 9uera un
ser,idor !%P sin !"A#s con9iguradas. Cuando los
demas s=itc7es reciban el mensa:e eliminarn todas
sus !"A#s.
Ataques basados en STP
Spanning Tree Protocol
Creado para lograr topolog6as libres de bucles en
in9restructuras de capa 2 redundantes.
4,itar bucles asegura que el tra9ico broadcast no se
,uel,a una tormenta 0broadcast storm1.
Pro,ee ser,icios de recuperaci.n de rutas.
Ataques basados en STP
4l atacante en,6a mensa:es
BPB< 9or-ando reclculos $%P.
4l atacante en,6a mensa:es
BPB< para con,ertirse en root.
4l atacante se con,ierte en
root con lo cual puede ,er
tramas que no deber6a 0esto
permite ataques MiM5 Bo$5
etc1
?ace 9alta que el atacante
este conectado a dos s=itc7es
simultneamente.
Ataques basados en STP
4l atacante en,6a mensa:es
BPB< anuncindose como
bridge con prioridad *.
4l atacante se ,uel,e root.
4l bacObone pasa de ser C4
a ser '4.
$i se lo combina con MAC
9looding este ataque puede
permitir capturar ms tramas.
Contra$edidas
Ataques MAC y AP

Storm Control.

Protected Ports.

Port Security.
Ataques !"A#
Ataques $%P
Stor$ Control
<na tormenta de paquetes ocurre cuando se
reciben en un puerto gran n&mero de paquetes
broadcast5 unicast o multicast. een,iar esos
paquetes puede causar una reducci.n de la
per9ormance de la red e incluso la interrupci.n
del ser,icio.
$torm Control usa umbrales para bloquear y
restaurar el reen,6o de paquetes broadcast5
unicast o multicast.
<sa un mtodo basado en anc7o de banda. "os
umbrales se e@presan como un procenta:e del
total de anc7o de banda que puede ser
empleado para cada tipo de tr9ico.
Stor$ Control !/0e$plo#
Beseamos con9igurar el puerto AI del s=itc7 para que si el
tr9ico broadcast supere el HI+ del anc7o de banda
disponible en,6e una alerta.
&0itch> !'ab.!
&0itch1 co'2i3#r! t!r(i'a.
&0itch(co'2i3)1 i't!r2ac! 4astth!r'!t 0515
($!'tro d!. (odo co'2i3#raci6' d! i't!r2ac! d!. -#!rto a co'2i3#rar)
&0itch(co'2i3-i2)1 stor(-co'tro. broadcast .!7!. *5
&0itch(co'2i3-i2)1 stor(-co'tro. actio' tra-
&0itch(co'2i3-i2)1 !'d

"as opciones completas sonF

($!'tro d!. (odo co'2i3#raci6' d! i't!r2ac! d!. -#!rto a co'2i3#rar)
stor(-co'tro. {broadcast | (#.ticast | #'icast} .!7!. level [level-low]
stor(-co'tro. actio' {sh#tdo0' | tra-}
Protected Ports
Ciertas aplicaciones requieren que nos se
reen,6e tr9ico entre puertos en un mismo
s=itc7 de manera que un equipo no ,e el tr9ico
generado por otro 0inclusi,e tr9ico broadcast y
multicast1.
#o se puede reen,iar tr9ico entre puertos
protegidos a ni,el de capa 2. 4l tr9ico entre
puertos protegidos debe ser reen,iado a tra,s
de un dispositi,o de capa G.
4l reen,io de tr9ico entre puertos protegidos y
no protegidos se reali-a de manera normal.
Protected Ports

Para con9igurar un puerto como protegidoF

($!'tro d!. (odo co'2i3#raci6' d! i't!r2ac! d!. -#!rto a co'2i3#rar)
&0itch(co'2i3-i2)1 s0itch-ort -rot!ct!d
&0itch(co'2i3-i2)1 !'d
Port Security
Con:unto de medidas de seguridad a ni,el de
puertos disponibles en la mayor6a de los s=itc7s
de gama media y alta.
"a 9unciones pro,istas dependen de la marca5 el
modelo y la ,ersi.n de 9irm=are del s=itc7 en
cuesti.n.
Permite entre otras cosasF
estringir el acceso a los puertos seg&n la MAC.
estringir el numero de MACs por puerto.
eaccionar de di9erentes maneras a ,iolaciones de las
restricciones anteriores.
4stablecer la duraci.n de las asociaciones MAC>Puerto.
Port Security !/0e$plo#
Beseamos con9igurar el puerto AI del s=itc7 para
que no acepte ms de dos direcciones MAC.
&0itch> !'ab.!
&0itch1 co'2i3#r! t!r(i'a.
&0itch(co'2i3)1 i't!r2ac! 4astth!r'!t 0515
($!'tro d!. (odo co'2i3#raci6' d! i't!r2ac! d!. -#!rto a co'2i3#rar)
&0itch(co'2i3-i2)1 s0itch-ort (od! acc!ss
&0itch(co'2i3-i2)1 s0itch-ort -ort-s!c#rit/
&0itch(co'2i3-i2)1 s0itch-ort -ort-s!c#rit/ (a8i(#( 2

#o se puede acti,ar port security en puertos dynamic

access o trunO.

Port $ecurity est desacti,ado por de9ault.

Por de9ault port security s.lo almacena una sola MAC

por puerto.
Port Security !/0e$plo#
Adems podemos especi9icar qu 7acer si ese
n&mero de direcciones MAC es superado 0por
de9ault des7abilitar el puerto1F
&0itch(co'2i3-i2)1 s0itch-ort -ort-s!c#rit/ 7io.atio' -rot!ct
&0itch(co'2i3-i2)1 s0itch-ort -ort-s!c#rit/ 7io.atio' r!strict

Lue en,6e una alerta administrati,a

&0itch(co'2i3-i2)1 s0itch-ort -ort-s!c#rit/ 7io.atio' sh#tdo0'

Lue que des7abilite el puerto

Lue de:e de aprender

Port Security !/0e$plo#
%ambin permiten agregar una lista esttica de
direcciones MAC autori-adas a conectarse a ese
puerto5 para esto se usar6an estos comandosF
($!'tro d!. (odo co'2i3#raci6' d! i't!r2ac! d!. -#!rto a co'2i3#rar)
&0itch(co'2i3-i2)1 s0itch-ort -ort-s!c#rit/ (ac-addr!ss stic9/
&0itch(co'2i3-i2)1 s0itch-ort -ort-s!c#rit/ (ac-addr!ss (ac-addr!ss 000a.5!5a.1:1b

Con la primera linea le digo que agregue las MACs que

,a aprendiendo a la lista de MACs seguras.

Con la segunda que agregue la MAC **F*aFIeFIaFA)FAb

a la lista de MACs seguras.

$i no agrego una segunda MAC5 la primera MAC que

escuc7e distinta a **F*aFIeFIaFA)FAb ser agregada a
la lista de MACs seguras.
Port Security !/0e$plo#
4s posible adems establecer el tiempo en que se
,a a conser,ar una MAC en la lista de MACs
segurasF
($!'tro d!. (odo co'2i3#raci6' d! i't!r2ac! d!. -#!rto a co'2i3#rar)
s0itch-ort -ort-s!c#rit/ a3i'3 {static ; ti(! time | t/-! {abso.#t! ; i'acti7it/}}

%ipo absolutoF "as direcciones MAC seguras son

borradas de la lista luego de # minutos.

%ipo inacti,ityF "as direcciones MAC seguras son

borradas de la lista luego de # minutos de inacti,idad.

Aging staticF elimina o no las direcciones MAC

ingresadas de manera esttica al cumplirse el pla-o.

Aging timeF de9ine el numero de minutos.

Port Security !/0e$plo#
?agamos que las direcciones MAC que el puerto
AI aprende de manera dinmica no duren ms de
2 minutos si la estaci.n no genera tr9icoF
($!'tro d!. (odo co'2i3#raci6' d! i't!r2ac! d!. -#!rto a co'2i3#rar)
&0itch(co'2i3-i2)1 'o s0itch-ort -ort-s!c#rit/ a3i'3 static
&0itch(co'2i3-i2)1 s0itch-ort -ort-s!c#rit/ a3i'3 ti(! 2
&0itch(co'2i3-i2)1 s0itch-ort -ort-s!c#rit/ a3i'3 t/-! i'acti7it/

Con la primera linea le digo que no elimine las MACs

agregadas de manera esttica.

Con la segunda estable-co el tiempo en dos minutos.

Por &ltimo5 le digo que deben transcurrir dos minutos de

inacti,idad antes de eliminar la direcci.n MAC.
Ataques *+A,
Bes7abilitar auto trunOing para todas las
inter9acesF
($!'tro d!. (odo co'2i3#raci6' d! i't!r2ac! d!. -#!rto a co'2i3#rar)
&0itch(co'2i3-i2)1 s0itch-ort (od! acc!ss
Bes7abilitar !%PF
($!'tro d!. (odo co'2i3#raci6' 3.oba.)
&0itch(co'2i3)1 7t- (od! tra's-ar!'t
$i es realmente necesario5 usar la ,ersi.n 2F
($!'tro d!. (odo co'2i3#raci6' 3.oba.)
&0itch(co'2i3)1 7t- 7!rsio' 2
&0itch(co'2i3)1 7t- -ass0ord password-value
Ataques *+A,
$iempre utili-ar una !"A# dedicada para los
puertos trunO.
Bes7abilitar los puertos no utili-ados y
colocarlos en una !"A# no utili-ada.
#o utili-ar la !"A# A para nada.
Colocar todos los puertos de los usuarios como
non>trunOing 0Bes7abilitar B%P1F
($!'tro d!. (odo co'2i3#raci6' d! i't!r2ac! d!. -#!rto a co'2i3#rar)
&0itch(co'2i3-i2)1 s0itch-ort (od! acc!ss
&0itch(co'2i3-i2)1 s0itch-ort 'o'!3otiat!
Ataques STP
#o des7abilitar $%P 0introducir un loop puede
con,ertirse en una 9orma de ataque1.
?abilitar BPB< CuardF
($!'tro d!. (odo co'2i3#raci6' 3.oba.)
&0itch(co'2i3)1 s-a''i'3-tr!! -ort2ast b-d#3#ard d!2a#.t
($!'tro d!. (odo co'2i3#raci6' d! i't!r2ac! d!. -#!rto a co'2i3#rar)
&0itch(co'2i3-i2)1 s-a''i'3-tr!! b-d#3#ard !'ab.!
o
&0itch(co'2i3-i2)1 s-a''i'3-tr!! -ort2ast
?abilitar oot CuardF
($!'tro d!. (odo co'2i3#raci6' d! i't!r2ac! d!. -#!rto a co'2i3#rar)
&0itch(co'2i3-i2)1 s-a''i'3-tr!! 3#ard root
1uenas pr2cticas
Administre los s=itc7es de la manera ms
segura posible 0$$?5 ;;B5 listas de acceso1
$iempre utili-ar una !"A# dedicada para los
puertos trunO.
Bes7abilitar los puertos no utili-ados y
colocarlos en una !"A# no utili-ada.
#o utili-ar la !"A# A para nada.
Bes7abilitar B%P y !%P a menos que sean
necesarios.
<se Port $ecurity para los puertos de los
usuarios siempre que sea posible
1uenas pr2cticas
<se $#MP s.lo si es necesario5 en caso de
usarlo aplique a las contrase8as de comunidad
las mismas pol6ticas que a sus contrase8as de
administrador.
Cree un plan para tratar los problemas de
seguridad relacionados con AP.
?abilite mecanismos para mitigar los ataques
basados en $%P 0BPB< Cuard5 oot Cuard1.
<se !"A#s pri,adas 0protected ports1 cuando
sea apropiado para di,idir redes en capa 2.
Consultas?
(ng. Cabriel Arellano
arellanog@frcu.utn.edu.ar
<%#>'C<
AJD*KD2**I