Está en la página 1de 2

Saturacin de direcciones MAC

Un switch cuando recibe una trama busca en su tabla de direcciones MAC la direccin MAC de
destino.Una vez llegados a este punto pueden ocurrir dos cosas que la direccin MAC destino est
en la tabla o que no exista dicha direccin en la tabla:

Si la direccin MAC est en la tabla, el switch reenva la trama al puerto correspondiente.Si por el
contrario la direccin MAC no existe en la tabla de direcciones MAC, el switch satura todos los
puertos con la trama, es decir, enva la trama por todos los puertos, excepto por el puerto en el cual
la recibi.

Este comportamiento del switch por el cual aprende las direcciones MAC se puede usar para
atacarlo, bsicamente lo que tiene que hacer el atacante es enviar tramas que contengan
direcciones MAC falsas.

Una forma de mitigar estos ataques MAC es configurar la seguridad de los puertos:

Limitando en cada puerto del switch la cantidad de direcciones MAC vlidas permitidas.
Asignando manualmente a los puertos direcciones MAC estticas.
Deshabilitar manualmente los puertos que no se usen.
Habilitar en el switch el aprendizaje de direcciones MAC persistentes, esto es, en el momento
que se conecta un dispositivo a un puerto, dicho puerto aprende la direccin MAC del
dispositivo y slo va a aceptar dicha MAC, de manera que si se desconecta el dispositivo y se
pone otro (que tendr una MAC diferente), el swicth no detectara al nuevo dispositivo y por
tanto este no podr interactuar en al red.
Habilitar diferentes modos de violaciones de seguridad, por ejemplo, en cuanto el switch
detecte alguna incidencia que no cumple con los requisitos programados en la seguridad los
puertos en los que ha sido detectada dicha anomala se apaguen automticamente.

Suplantacion de identidad DHCP

En los ataques de suplantacin de identidad de DHCP, un atacante configura un servidor de DHCP


falso en la red para emitir direcciones de DHCP para los clientes. El motivo comn de este ataque
es obligar a los clientes a que usen servidores de Sistema de nombres de dominios (DNS) o de
Servicio de nombres Internet de Windows (WINS) falsos y hacer que los clientes usen al atacante,
o una mquina controlada por el atacante, como gateway predeterminado.

Para mitigar los ataques de DHCP, se usan las caractersticas de deteccin de DHCP y de seguridad
de puertos de los switches Cisco Catalyst

El atancante se situa en un segmente de la red estableciendo un servidor DHCP intruso con los
parmetros de gateway o DNS alterados. El servidor DHCP intruso responde antes a los clientes
DHCP que estn en su mismo segmento. Suelen servir direcciones con el gateway del propio
equipo atacante. De esta forma todo el trfico de salida pasa por l que lo gestiona y lo enva al
cliente con lo que este no lo nota. El ataque lgicamente tiene como fin hacerse con el trfico de
salida del atacado para poderlo analizar y/o almacenar. La solucin es el snooping de DHCP. que
sonsiste en establecer que puertos son confiables y, por tanto, pueden enviar acuses de recibo
DHCP (en los que est el servidor DHCP legtimo). El resto de los puertos no puede hacer acuses
de recibo de solicitudes DHCP y, si lo intentan, se deshabilidad.

El protocolo de descubrimiento de Cisco (CDP) es un protocolo de capa 2 propietario que puede


configurar los dispositivos de Cisco. Descubre nuevos dispositivos, simplificando la configuracin,
configurando sus conexiones de forma automtica. Los mensajes CDP no estn encriptados y el
protocolo no tiene autenticacin. De manera predeterminada los switches y routers de Cisco lo
llevan habilitado. CDP enva periodicamente mensajes de broadcast para actualizar la informacin
de CDP: Mediante Wirechark cualquier atancante puede per si est activado y ver la versin del
IOS que utilizan los dispositivos por lo que puede buscar vulnerabilidades para atacarlos. La
solucin es deshabilitar el uso de CDP en los dispositivos que no necesitan utilizarlo.