Layer 2 security

19 oct 2010

Seguridad en Nivel 2
Por qu es importante la seguridad N2?
Si N2 es atacada el resto de niveles (Ap/TCP/IP) pueden verse afectado.

Posibles vulnerabilidades en una red VLAN?

A nivel de gestin:
Acceso al switch en modo consola (cambio de configuracin)

A nivel de trfico:
MAC floding , Double-Encapsulated 802.1Q VLAN, ARP attack, Private VLAN Attack, Multicast brute force attack, Spanning-tree attack,Random frame attack,

MAC Flooding Attack

Fundamentos:
Las tablas de aprendizaje tienen tamao limitado
Cuando se llenen se envan las tramas a difusin (dentro de su VLAN)
Se facilita capturar trfico de otros usuarios Se facilitan otros ataques (ARP) para suplantar identidad

Prevencin:
Port security: limita el n de MAC en un port 802.1x

802.1Q Nested VLAN Attack

Fundamentos:
Prentenden el acceso a otras VLAN diferentes de las configuradas.

Prevencin: no usa VLAN nativa (sin tag) en puertos trunk. VLAN nativa (no asociada a ninguna etiqueta)

ARP Attacks
En la misma VLAN:
ARP Poisoning or ARP spoofing.
Permiten ataques Man In the Middle

DoS Attack: ARP resp

Con IP Falsa del R Evita salida

Prevencin:
ARP Protection
Port: [un]trusted

Verfica IP-MAC
En puertos untrusted: usando conf manual o info de DHCP. Si es OK lo reenva

DHCP Attack
Los ms usados:
Respuesta a DHCP con IP falsa del Router Solicitud masiva de peticiones (agoto el pool del servidor)

Prevencin: DHCP Snooping

Puertos: Trusted (servidor) y untrusted (para PC)
Cuando recibo DHCPOFFER,DHCPACK,DHCPNACK en un puerto untrusted lo elimino.

DHCP Binding database (MAC-IP-port-VLAN-time)

Tambin usada para prevenir IP Source Address Spoofing. IP origen se usa para autentica (rlogin, rsh,SNMPv2,)

Rapid Spanning Tree Attacks

Flooding: envo masivo de BPDU (el switch est continuamente recalculando). DoS.
CBPDU con TC (cada uno con distinto ID)
CBPDU con TCNotification

CBPDU de nuevas ID solicitando ser root (cost=0)

Se eliminan las entradas de la tabla de forwarding.

Topology Engagement
Una estacin enva CBPDU con ID menor que el root actual: nuevo root!
Puede desestabilidar la red (hello time, max age,), enviar mensajes de TC, Repetir el mismo ID que el raiz

Prevencin: BPDU guard, root guard

Buenas Prcticas
Gestin Segura:
Consola, ssh, filtrado por access-list, vlan gestion

Usar una VLAN dedicada para puertos trunk.

No usar nunca la VLAN 1 (por defecto)

Puertos de usuario: untagged, edge port Activar seguridad de puertos

MAC permitidas Desactivar todos los puertos no utilizados y ponerlos en una VLAN no utilizada.

Proteccin contra ARP, STP y Max difusin. Priorizacin de trfico (para ataques de fuerza bruta) Considerar 802.1x