Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Seguridad en Capa 2-2005-07-16
Seguridad en Capa 2-2005-07-16
– Ataques.
–
Contramedidas.
– Buenas
prácticas.
Contenidos
La estación mencionada
en el pedido contesta y
todas las demas
estaciones procesan la
misma.
Solicitudes ARP Gratuitas
Secuestro (Hijacking):
Utilizando ARP Spoofing el atacante puede lograr
redirigir el flujo de tramas entre dos dispositivos hacia
su equipo. Así puede lograr colocarse en cualquiera de
los dos extremos de la comunicación (previa
deshabilitación del correspondiente dispositivo) y
secuestrar la sesión.
●
Las opciones completas son:
(Dentro del modo configuración de interface del puerto a configurar)
storm-control {broadcast | multicast | unicast} level level [level-low]
storm-control action {shutdown | trap}
Protected Ports
• Ciertas aplicaciones requieren que nos se
reenvíe tráfico entre puertos en un mismo
switch de manera que un equipo no ve el tráfico
generado por otro (inclusive tráfico broadcast y
multicast).
• No se puede reenviar tráfico entre puertos
protegidos a nivel de capa 2. El tráfico entre
puertos protegidos debe ser reenviado a través
de un dispositivo de capa 3.
• El reenvio de tráfico entre puertos protegidos y
no protegidos se realiza de manera normal.
Protected Ports
●
Para configurar un puerto como protegido:
(Dentro del modo configuración de interface del puerto a configurar)
Switch(config-if)# switchport protected
Switch(config-if)# end
Port Security
• Conjunto de medidas de seguridad a nivel de
puertos disponibles en la mayoría de los switchs
de gama media y alta.
• La funciones provistas dependen de la marca, el
modelo y la versión de firmware del switch en
cuestión.
• Permite entre otras cosas:
– Restringir el acceso a los puertos según la MAC.
– Restringir el numero de MACs por puerto.
– Reaccionar de diferentes maneras a violaciones de las
restricciones anteriores.
– Establecer la duración de las asociaciones MAC-Puerto.
Port Security (Ejemplo)
• Deseamos configurar el puerto 15 del switch para
que no acepte más de dos direcciones MAC.
Switch> enable
Switch# configure terminal
Switch(config)# interface FastEthernet 0/15
(Dentro del modo configuración de interface del puerto a configurar)
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 2
●
No se puede activar port security en puertos dynamic
access o trunk.
●
Port Security está desactivado por default.
●
Por default port security sólo almacena una sola MAC
por puerto.
Port Security (Ejemplo)
• Además podemos especificar qué hacer si ese
número de direcciones MAC es superado (por
default deshabilitar el puerto):
●
Que deje de aprender
Switch(config-if)# switchport port-security violation protect
●
Que envíe una alerta administrativa
Switch(config-if)# switchport port-security violation restrict
●
Que que deshabilite el puerto
Switch(config-if)# switchport port-security violation shutdown
Port Security (Ejemplo)
• También permiten agregar una lista estática de
direcciones MAC autorizadas a conectarse a ese
puerto, para esto se usarían estos comandos:
(Dentro del modo configuración de interface del puerto a configurar)
Switch(config-if)# switchport port-security mac-address sticky
Switch(config-if)# switchport port-security mac-address mac-address 000a.5e5a.181b
●
Con la primera linea le digo que agregue las MACs que
va aprendiendo a la lista de MACs seguras.
●
Con la segunda que agregue la MAC 00:0a:5e:5a:18:1b
a la lista de MACs seguras.
●
Si no agrego una segunda MAC, la primera MAC que
escuche distinta a 00:0a:5e:5a:18:1b será agregada a
la lista de MACs seguras.
Port Security (Ejemplo)
• Es posible además establecer el tiempo en que se
va a conservar una MAC en la lista de MACs
seguras:
(Dentro del modo configuración de interface del puerto a configurar)
switchport port-security aging {static | time time | type {absolute | inactivity}}
●
Tipo absoluto: Las direcciones MAC seguras son
borradas de la lista luego de N minutos.
●
Tipo inactivity: Las direcciones MAC seguras son
borradas de la lista luego de N minutos de inactividad.
●
Aging static: elimina o no las direcciones MAC
ingresadas de manera estática al cumplirse el plazo.
●
Aging time: define el numero de minutos.
Port Security (Ejemplo)
• Hagamos que las direcciones MAC que el puerto
15 aprende de manera dinámica no duren más de
2 minutos si la estación no genera tráfico:
(Dentro del modo configuración de interface del puerto a configurar)
Switch(config-if)# no switchport port-security aging static
Switch(config-if)# switchport port-security aging time 2
Switch(config-if)# switchport port-security aging type inactivity
●
Con la primera linea le digo que no elimine las MACs
agregadas de manera estática.
●
Con la segunda establezco el tiempo en dos minutos.
●
Por último, le digo que deben transcurrir dos minutos de
inactividad antes de eliminar la dirección MAC.
Ataques VLAN
• Deshabilitar auto trunking para todas las
interfaces:
(Dentro del modo configuración de interface del puerto a configurar)
Switch(config-if)# switchport mode access
• Deshabilitar VTP:
(Dentro del modo configuración global)
Switch(config)# vtp mode transparent
UTN-FRCU
16/07/2005