Documentos de Académico
Documentos de Profesional
Documentos de Cultura
S6 - REDES Y SEG - Contenido PDF
S6 - REDES Y SEG - Contenido PDF
REDES Y SEGURIDAD
SEMANA 6
IACC-2019
1
SEMANA 6 – REDES Y SEGURIDAD
APRENDIZAJES ESPERADOS
Elaborar políticas de seguridad en
relación a los tipos de ataques y/o
amenazas asociados a una red LAN.
IACC-2019
2
SEMANA 6 – REDES Y SEGURIDAD
INTRODUCCIÓN ................................................................................................................................... 4
1. SEGURIDAD DE DISPOSITIVOS FINALES ........................................................................................... 5
1.1 INTRODUCCIÓN A LA SEGURIDAD DE DISPOSITIVOS FINALES .............................................. 5
1.2 PROTECCIÓN ANTIMALWARE................................................................................................ 7
1.3 CONTROLANDO EL ACCESO A LA RED ................................................................................... 9
2. CONSIDERACIÓN DE SEGURIDAD EN CAPA 2 ................................................................................ 11
2.1 AMENAZAS DE SEGURIDAD DE LA CAPA 2 .......................................................................... 11
2.2 ATAQUE DE TABLAS CAM O MAC FLOODING ..................................................................... 11
2.3 ATAQUE DE VLAN O VLAN HOPPING ATTACK ..................................................................... 12
2.4 ATAQUE DHCP ..................................................................................................................... 13
2.5 ATAQUE ARP........................................................................................................................ 14
3. MITIGACIÓN DE ATAQUES DE CAPA 2........................................................................................... 15
3.1 MITIGACIÓN DE ATAQUES DE TABLAS CAM ....................................................................... 15
3.2 MITIGACIÓN DE ATAQUES DE VLAN ................................................................................... 16
3.3 MITIGACIÓN DE ATAQUES DE DHCP ................................................................................... 18
3.4 MITIGACIÓN DE ATAQUES DE ARP ...................................................................................... 18
COMENTARIO FINAL.......................................................................................................................... 19
REFERENCIAS ..................................................................................................................................... 20
IACC-2019
3
SEMANA 6 – REDES Y SEGURIDAD
INTRODUCCIÓN
Los dispositivos finales son el origen y pilares fundamentales para la protección de
destino de un mensaje transmitido a través las redes siendo el primer y último eslabón
de la red. Para distinguir estos dispositivos, de defensa ante las amenazas existentes en
cada host en la red se identifica por una internet. Estos son los que manejan muchas
dirección; así, cuando un host inicia la de las tareas que los usuarios hacen a diario,
comunicación, utiliza la dirección del host de haciendo que la seguridad de estos sea
destino para especificar a dónde se debe crítica y que se deban tomar todas medidas
enviar el mensaje (Cisco.com, s. f.). necesarias para garantizar la funcionalidad y
disponibilidad de los mismos. (Incibe.es,
Para proteger estos mensajes, la seguridad 2018).
de los dispositivos finales es uno de los
“El término dispositivos finales se refiere a una parte del equipamiento que puede ser el origen o
el destino de un mensaje en una red. Estos pueden ser computadoras, celulares, cámaras y
dispositivos IOT”
Taniacatracha100 (2014).
IACC-2019
4
SEMANA 6 – REDES Y SEGURIDAD
El término dispositivos finales, se refiere a “una parte del equipamiento que puede ser el origen o
el destino de un mensaje en una red. Los usuarios de red normalmente solo ven y tocan un
dispositivo final, que casi siempre es una computadora” (taniacatracha100.wordpress.com, 2014).
Otro término genérico que se le utiliza para un dispositivo final que envía o recibe mensajes es
Host, el que puede ser una de varias piezas de equipamiento que ejecuta una amplia variedad de
funciones.
IACC-2019
5
SEMANA 6 – REDES Y SEGURIDAD
PUERTOS E INTERFACES Los dispositivos finales suelen contar con más de un interfaz
de acceso físico (RJ45, WIFI, Zigbee, CAN, USB, etc.) y,
generalmente, alguno de ellos proporciona acceso al
firmware. Estos interfaces deben estar controlados tanto
físicamente con protección anti-tampering, como
lógicamente deshabilitando aquellos que no son utilizados y
proporcionando un mecanismo de control de acceso a
usuarios unívocos.
IACC-2019
6
SEMANA 6 – REDES Y SEGURIDAD
conocido como malware, que pudiera afectarles, es decir, estas herramientas detectan y
El software malicioso tiene como objetivo dañar o modificar el dispositivo para controlarlo
multitud de técnicas, como la ingeniería social; y utilizarán distintas vías de entrada, como
etc.
IACC-2019
7
SEMANA 6 – REDES Y SEGURIDAD
IACC-2019
8
SEMANA 6 – REDES Y SEGURIDAD
Network Access Control (NAC) es una tecnología que permite controlar de forma muy
gestión de dispositivos, tanto físicos como móviles, e integrar estas estas políticas con
otras amenazas que pueden dañar la infraestructura y dejar su empresa vulnerable a los
ataques y pérdidas de datos. La solución de NAC propuesta permite el control del propio
En tanto, Cisco.com (s. f.) indica que los casos de uso más comunes son:
IACC-2019
9
SEMANA 6 – REDES Y SEGURIDAD
empleados.
Para BYOD - Bring Your Own El crecimiento exponencial de los dispositivos móviles
Device ( Trae tu propio ha liberado a la fuerza laboral de sus escritorios y les
dispositivo) ha dado a los empleados la libertad de trabajar de
forma remota desde sus dispositivos móviles. NAC para
BYOD garantiza el cumplimiento de todos los
dispositivos de los empleados antes de acceder a la
red.
Para IOT (Internet de las cosas) Los dispositivos de IoT, ya sea en manufactura, salud u
otras industrias, están creciendo exponencialmente y
sirven como puntos de entrada adicionales para que
los atacantes ingresen a la red. NAC puede reducir
estos riesgos en dispositivos de IoT aplicando políticas
definidas de creación de perfiles y acceso para varias
categorías de dispositivos.
IACC-2019
10
SEMANA 6 – REDES Y SEGURIDAD
La dirección MAC de un equipo es física por lo tanto no puede ser cambiada o falsificada.
El switch no es vulnerable a Sniffing de tráfico.
Si creo una VLAN aíslo completamente el tráfico ente equipos.
Switch Envía los paquetes de los datos recibidos solo a una dirección MAC específica, la
cual está indicada en las cabeceras de los paquetes de datos.
Un switch guarda la asociación entre MAC y el puerto físico donde está conectado un equipo en
una tabla que se llama CAM, la cual tiene un tamaño fijo.
ATAQUE
El ataque “consiste en inundar con direcciones MAC falsa la tabla CAM hasta sobrepasar su
almacenamiento y así conseguir que el conmutador se comporte como un hub e inunde todos los
puertos del conmutador con tráfico” (Networkingbasico.blogspot.com, 2011).
Este tipo de ataque se realiza para poder capturar tráfico de la red o incluso llegar a tirar el
sistema de red de una empresa.
IACC-2019
11
SEMANA 6 – REDES Y SEGURIDAD
Es una configuración de canal para puertos de switch que estén en una red Ethernet, que
posibilita que se pueda pasar varias VLAN (Virtual Local Area Network) por un único link, o
sea, un link de troncal es un canal que puede ser switch-switch o switch-router, por donde
se pasan informaciones originadas y con destino a más de una VLAN. Así, el link de la
De la creación de un puerto Trunk que tiene acceso a todas las VLANs, este puerto se usa
para transmitir tráfico de múltiples VLAN en un mismo enlace físico. Para la administración
se usa el protocolo DTP, el cual por defecto se encuentra configurado de manera “Auto”.
Cualquier equipo de cómputo que soporte los protocolos 802.1Q/ISL o DTP, puede
convertirse en miembro de todas las VLAN, y por lo tanto tener acceso a servicios y/o
IACC-2019
12
SEMANA 6 – REDES Y SEGURIDAD
ATAQUE
Según Guedez (2018), el VLAN Hopping o salto de VLAN :
Consiste en ingresar al flujo informático de redes virtuales restringidas con el fin de atacar
cualquier recurso que esté dentro de esos sistemas. En otras palabras, los hosts atacantes
tratan de pasar de VLAN en VLAN sin levantar sospechas para robar información sensible,
eliminar datos, implantar spyware, instalar cualquier tipo de malwares, propagar virus,
entre otras actividades criminales. En este caso, existen dos formas principales de obtener
IACC-2019
13
SEMANA 6 – REDES Y SEGURIDAD
ATAQUE
El protocolo DHCP supone que, únicamente, responderá a la petición el servidor DHCP y el
responde antes a esa petición? Pues que el nuevo cliente se auto configurará con los
parámetros que le haya enviado dicho equipo malicioso (el cliente no conoce la red así que
no puede saber a priori quién es el servidor DHCP). Esta técnica es conocida como DHCP
Spoofing.
En resumen, consiste en suplantar al servidor de DHCP de una red y modificar los parámetros de
red que reciben los equipos conectados al renovar o solicitar una nueva dirección IP.
Respuesta
DHCP
Atacante
IACC-2019
14
SEMANA 6 – REDES Y SEGURIDAD
Solicitud ARP
Respuesta ARP
ATAQUE
Los ataques ARP Poisoning están basados en el envío de mensajes ARP modificados (spoofing)
hacia la tarjeta de red ya que al conectarse a la red local, “suplantemos la identidad de otro de los
dispositivos conectados a ella, por ejemplo, la puerta de enlace. Esto se logra asociando la MAC del
sistema atacante a la IP del nodo atacado, recibiendo todos los paquetes tanto emitidos desde el
host de la víctima como destinados a él”. Redeszone.net (2016).
IACC-2019
15
SEMANA 6 – REDES Y SEGURIDAD
direcciones MAC permitidas en un puerto, la seguridad de puerto puede ser utilizada para
Una vez que las direcciones MAC son asignadas a un puerto seguro, dicho puerto no
direcciones definidas. Cuando un puerto configurado con seguridad recibe una trama, se
direcciones seguras, el puerto puede apagarse hasta ser habilitado nuevamente por un
administrador (modo por defecto) o bien puede descartar las tramas provenientes de
El VLAN Hopping se puede evitar desde la prevención, lo que implica reforzar la seguridad
trabajo bien estructurado que permita la detección de eventos amenazantes durante las
IACC-2019
16
SEMANA 6 – REDES Y SEGURIDAD
Esta vulnerabilidad se puede eliminar con una estrategia temprana que combine la fuerza
instancia, el equipo de IT debe comprender cuáles son los métodos e intenciones de los
usuario o equipo y las claves para corregirlo, de modo que los proveedores puedan probar
IACC-2019
17
SEMANA 6 – REDES Y SEGURIDAD
El DHCP snooping es una funcionalidad que es capaz de diferenciar entre dos tipos de
puertos en un entorno conmutado: por una lado puertos confiables (trusted port) y, por
otro, puertos no confiables (untrusted host). Los primeros no tendrán restricciones de cara
al tipo de mensajes DHCP que puedan recibir, puesto que serán aquellos conectados a un
entorno controlado (en este caso a los servidor/servidores DHCP). Sin embargo, los
DHCPRequest, DHCPRelease). Los untrusted port por tanto serán configurados en aquellos
puertos conectados a los usuarios finales y en el caso de que dicho puerto reciba un
IACC-2019
18
SEMANA 6 – REDES Y SEGURIDAD
COMENTARIO FINAL
Esta semana hemos revisado como los sistemas finales son la piedra fundamental en la seguridad
de una red ya que son los dispositivos que intervienen directamente con los usuarios y la red de
datos.
Es por esto que se deben tomar las medidas necesarias para asegurar que los datos trasmitidos
cumplan con 3 características fundamentales Integridad, confidencialidad y disponibilidad.
IACC-2019
19
SEMANA 6 – REDES Y SEGURIDAD
REFERENCIAS
Cantone.com.ar (2018). Seguridad capa 2. Recuperado de: http://bit.ly/2vKWTm4.
Cisco.com (s. f.). What Is Network Access Control? Recuperado de: http://bit.ly/2vLYE25.
Computerhoy.com. (2016). Cuáles son las diferencias entre Hub, Switch y Router. Recuperado de:
http://bit.ly/2PR90qK.
Guedez, A. (2018). VLAN Hopping: ¿Cómo defenderse de ataques a una LAN virtual? Recuperado
de: http://bit.ly/2Yaxxdh.
Iesharia.org (s. f.). Ataques y contra medidas al protocolo DHCP. Recuperado de:
http://bit.ly/2Q0R3q1.
Incibe-cert.es (2016). Seguridad desde abajo: dispositivos finales a escena. Recuperado de:
http://bit.ly/2DTURV3.
Incibe.es (2018). Protegiendo nuestra empresa con productos anti-malware. Recuperado de:
http://bit.ly/2H1CiyR.
http://bit.ly/2DTlfhS.
de: http://bit.ly/2LuOfCJ.
Redeszone.net (2016). Cómo hacer un ataque ARP Poisoning con Kali Linux. Recuperado de:
http://bit.ly/2WdSQxl
IACC-2019
20
SEMANA 6 – REDES Y SEGURIDAD
Sánchez, E. (s. f.). Reflexiones de seguridad en capa 2 (Modelo OSI). Magazcitum.com. Recuperado
de: http://bit.ly/2Jol3uq.
Secureit.es (s. f.). Network Access Control (NAC). Recuperado de: http://bit.ly/2WqVi0c.
IACC-2019
21
SEMANA 6 – REDES Y SEGURIDAD
IACC-2019
22