capitulo 20 llamado securing vlans

Como ya sabemos para tener una red ms estable y segura debemos

configurar distintas polticas de seguridad, para asegurar la continuidad del
servicio. Esto se hace aplicando distintas restrictciones y filtros en distintas
zonas. Los filtros pueden variar dependiendo la capa como por ej. Filtraado IP
en capa , filtrado de puertos en capa 4 o firewalls en la capa 7. En este capitulo
se hbla de la seguridad a nivel de capa 2 y los puntos mas importantes
desarrollados son vlan Access list, vlan privadas y securing vlan trunks

VACL
La caracterstica de un VACL's (vlan access-list) tiene la capacidad de filtro por
dominio de vlan
Las vlan Access list nos permite realizar el filtrado y la redireccin de trfico
para su posterior anlisis . Esta redireccin se refiere a la capacidad de permitir
y denegar paquetes cuando se encuentra una coincidencia con las listas de
acceso creadas
Se necesita filtrar el trfico dentro de la VLAN 99 para que el host al
192.168.99.17 no se le sea permitido comunicarse con otro host en la subred
local. Se crea la lista de acceso local 17para identificar el trfico entre este
host y cualquier otra cosa en su subred local. A continuacin, VLAN Access map
se define: Si la lista de acceso local-17 coincide con la direccin IP, el
paquete se descarta; de lo contrario, el paquete se reenva.
Private Vlans
Normalmente, se permite que el trfico se mueva sin restricciones a travs de
una vlan. Los paquetes enviados desde un host a otro normalmente son
escuchados por el host destino, ya que asi funciona la conmutacin en la capa
2.
Las VLAN tradicionales permiten a los administradores de redes crear
topologas ms seguras y adaptables limitando el tamao de los dominios de
broadcast y as facilitar las tareas de administracin, operacin y seguridad.
Sin embargo, hay situaciones donde la creacin de mltiples VLANs pueden ser
ms un problema que una real solucin y es aqu donde entra a jugar un rol
importante la siguiente parte del capitulo que habla sobre las VLAN privadas
Lo que hacen las vlans privadas bsicamente es permitir aislar los puertos de
switch dentro de un mismo dominio de broadcast, evitando que los dispositivos
conectados en estos puertos se comuniquen entre s, aunque pertenezcan a la
misma VLAN y subred.

Esto se puede explicar de la siguiente manera resumida: una VLAN primaria,

se asocia logicamente con una VLAN Secundaria. Los host que se encuentran
asosciados a la VLAN Secundaria se pueden comunicar con los puertos de la
VLAN Primaria (por ej. un router), pero no con otra VLAN Secundaria
Una VLAN secundaria se configura con uno de los siguientes tipos: Isolated o
Comunnity
Isolated: Cualquier puerto asociado con una VLAN aislada puede alcanzar la
VLAN primaria pero ninguna otra secundaria. Aparte, los host asociados con la
misma VLAN aislada no se pueden comunicar entre si. Ellos estan aislados de
todo excepto la VLAN primaria
COmunnity: : Los puertos en este estado se comunican entre ellos y con la VLAN

primaria. Pero no una vlan secundaria. Este modo se ocupa generalmente en las granjas de
server y los grupos de trabajo.
Por ej. Lo que se desea lograr es que cada uno de los tres servidores puedan tener acceso a
internet pero no comunicarse directamente entre s (a nivel de capa 2). Entonces, lo que se
hace es crear una VLAN primaria (VLAN5) en la que estn los tres puertos de los
servidores; se crean tambin tres VLAN privadas y se asignan cada una de las VLAN
privadas a cada uno de los tres puertos de los servidores. As, la nica forma de que un
servidor se comunique con los dems sera yendo hasta el router y volviendo por l,
quedando aisalado en capa 2 del resto de los servidores.

Cada vlan privada debe estar configurada localmente en cada switch que las interconecta.
Se debe configurar cada puerto de switch que usa una vlan privada con alguno de los
siguientes modos:
Promiscuo: un puerto en este estado puede comunicarse con todos los dems puertos,
incluso en estado Isolated y Community dentro de una PVLAN.
Host: el puerto de switch se conecta a un host regular que see encuentra en una VLAN
isolated o comunnity. Solo se comunica con un puerto promiscuo o puertos en la misma
comunnity vlan

Para configurar una VLAN privada, se parte por definir cualquier vlan
secundaria que se necesite para aislarla. Se crea la vlan y con el comando
private-vlan se define isolated o community.
Ahora se define la vlan primaria, usando el comando private vlan ASSOCIATION
se asocia con la vlan secundaria.

Tambin se debe asociar los puerto del switch con sus respectivas vlan
privadas
Primero, se define la funcion del puerto que participara en la vlan privda
usando el siguiente comando. Si el host conectado a este puerto es un router,
firewall o una puerta de enlace comun para la VLAN, se usa el modo
promiscuo. De lo contrario usar el comando host. Para los puertos host, se
debe asociar el puerto del switch con la apropida vlan primaria y secundaria
utilizando este comando. para los puertos promiscuos se debe usar el
siguiente comando "Mapping". lo que hace esto es mapear el puerto con las
vlan primarias y secundarias

Securing VLAN Trunks

Como los enlaces trunk generalmente estan entre 2 switches, talvez se piense
que son ms o menos seguros. Como cada salida de la troncal esta conectaada
a un dispositivo que conocemos estamos asegurados. Pero algunos de los
ataques o debilidades pueden obtener accesos a las troncales o las VLAN que
estas transportan. Por lo tanto uno debera estar familiarizado como funcionan
los ataques y los pasos para prevenirlos
Switch spoofing
Como sabemos para que 2 switch intercambien informacion entre si, no
necesariamente tiene que existir una troncal entre ellos, los switches pueden
negoaciar a traves de VTP. dtp puede hacer el trabajo de la administrador ms
facil, pero tambien puede exponerlos a que sean vulnerados.
EJEMPLO: Supongamos que un puerto del switch fue dejado con la
configuracin por default, que es auto. Normalmente el puerto del switch
tendria que esperar a otro switch en auto para volverse una troncal. Ahora,
supongamos que un usuario esta conectdo a este puerto, un buen usuario no
usaria DTP, sin embargo un usuario malintencionado, podria explotar la
vulnerabilidad que tiene dtp e intentar negociar una troncal con el puerto. Esto
hace parecer al pc como si fuera un switch.
Una de las soluciones es configurar cada puerto del switch para tener un
comportamiento esperado. Por ej. en vez de dejar un puerto de usuario final en
modo auto, configurarlo en modo de acceso

VLAN Hooping
El atacante trata de inyectar trfico de la VLAN X en la VLAN Y sin que ningn
router intervenga. El hecho de que no haya router involucrado hace que el

ataque se unidireccional, ya que la victima no podr responder a los paquetes

recibidos

Se enva un paquete con dos tags 802.1q, 1 y 10.

El primer tag correponde a la vlan de acceso del atacante.

El segundo tag corresponde a la vlan de la vctima.

El paquete entra en el switch 1; donde es clasificado dentro de la VLAN 1.

Ya que el enlace troncal tiene como VLAN nativa la VLAN 1, el switch 1 quita el
tag 1 y enva el paquete al switch 2.

El switch 2 recibe el paquete con un tag 10, por lo tanto es clasificado como
perteneciente a la VLAN 10.

El paquete es enviado a la vctima en la VLAN 10.

Como se puede ver, el problema de este ataque tiene que ver con el uso VLAN
nativas sin etiqueta.
Crear la VLAN nativa de un trunk con una VLAN id no usada, luego remover la
VLAN nativa desde los 2 extremos del trunk.
Ptra alternativa es forzar todos los trunks 802.1q que agreguen etiquetas a las
tramas de la vlan nativa tambien