SEGURIDAD DE RED EN

DISPOSITIVOS DE CAPA 2
GUSTAVO ADOLFO HIGUERA CASTRO
 INTRODUCCION

 La seguridad de las redes es ahora una parte integral de

las redes informáticas. Incluye protocolos, tecnologías,
dispositivos, herramientas y técnicas que aseguran los
datos y reducen las amenazas. Las soluciones de seguridad
en redes surgieron en los años 1960 pero no se
convirtieron en un conjunto exhaustivo de soluciones para
redes modernas hasta el principio del nuevo milenio.
INTRODUCCIÓN

 Las políticas de seguridad en redes son creadas por

empresas y organizaciones gubernamentales para proveer
un marco para que los empleados sigan en su trabajo
diario. Los profesionales de la seguridad en redes de nivel
administrativo son responsables de crear y mantener la
política de seguridad de red. Todas las prácticas de
seguridad en redes están relacionadas con y guiadas por la
política de seguridad en redes. Tal como la seguridad en
redes está compuesta de dominios, los ataques a las redes
son clasificados para hacer más fácil el aprender de ellos
y abordarlos apropiadamente.
INTRODUCCIÓN

 Mantener una red segura garantiza la seguridad de los

usuarios de la red y protege los intereses comerciales.
Esto requiere vigilancia de parte de los profesionales de
seguridad en redes de la organización, quienes deberán
estar constantemente al tanto de las nuevas y
evolucionadas amenazas y ataques a las redes, así como
también de las vulnerabilidades delos dispositivos y
aplicaciones.
SEGURIDAD DE RED EN DISPOSITIVOS DE
CAPA 2 Y 3
Contenido
 Fundamentos en Redes TCP/IP
 OSI vs TCP/IP
 TCP/UDP
 Seguridad de Capa 2
 Ataques de Seguridad Comunes
 Routing Capa3 • Aspecto de Seguridad de los Routers
 Protocolos de Enrutamiento
 Protección de los Protocolos de Enrutamiento.
 Control de acceso
 VPN
 Firewall
 Implementación Firewall de Inspección de Estado.
Fundamentos de Seguridad en Redes
TCP/IP
Objetivos:
 Repasar los conceptos Básicos de Networking.
 Componentes de la Red
 Dispositivos Finales e Intermediarios.
 Proceso de Comunicación
 Comparar y contrastar direccionamiento IP con y sin clase
 Protocolos de la Capa de Aplicación.
Fundamentos de Seguridad en Redes
TCP/IP
Componentes de la Red.
 Los dispositivos y los medios son los elementos físicos o
hardware de la red.
 Los servicios y procesos son los programas de
comunicación, llamados software, que se ejecutan en los
dispositivos conectados a la red.
 Los servicios incluyen una gran cantidad de aplicaciones
de red comunes que utilizan las personas a diario, como
los servicios de correo electrónico hosting y los servicios
de Web hosting.
Fundamentos de Seguridad en Redes
TCP/IP
Fundamentos de Seguridad en Redes
TCP/IP
Componentes de la Red.
 En el contexto de una red, se hace referencia a los
dispositivos finales como hosts. Un dispositivo host puede
ser el origen o el destino de un mensaje transmitido a
través de la red. Ejemplos de dispositivos Finales:
Computadoras (estaciones de trabajo, computadoras
portátiles, servidores de archivos, servidores web)
Impresoras de red Teléfonos VoIP, Cámaras de seguridad,
Dispositivos portátiles móviles (tal como los escáner
inalámbricos para códigos de barras y los PDA)
Fundamentos de Seguridad en Redes
TCP/IP
Fundamentos de Seguridad en Redes
TCP/IP
Componentes de La Red.
 las redes dependen de dispositivos intermediarios para
proporcionar conectividad y para trabajar detrás del escenario
y garantizar que los datos fluyan a través de la red. Estos
dispositivos conectan los hosts individuales a la red y pueden
conectar varias redes individuales para formar una
internetwork.
 Ejemplos de dispositivos Intermediarios: Dispositivos de acceso
a la red (hubs, switches y puntos de acceso inalámbrico)
Dispositivos de internetwork (routers) Servidores y módems de
comunicación Dispositivos de seguridad (firewalls)
Fundamentos de Seguridad en Redes
TCP/IP
Fundamentos de Seguridad en Redes
TCP/IP
Proceso de Comunicación .
 Mientras los datos de la aplicación bajan al stack del
protocolo y se transmiten por los medios de la red, varios
protocolos le agregan información en cada nivel. Esto
comúnmente se conoce como proceso de encapsulación.
La forma que adopta una sección de datos en cualquier
capa se denomina Unidad de datos del protocolo (PDU)
Fundamentos de Seguridad en Redes
TCP/IP
Proceso de comunicación.
 Datos: término general que se utiliza en la capa de
aplicación para la PDU
 Segmento: PDU de la capa de transporte • Paquete: PDU
de la capa de internetwork
 Trama: PDU de la capa de acceso de red
 Bits: PDU que se utiliza cuando se transmiten datos
físicamente por el medio
Fundamentos de Seguridad en Redes
TCP/IP
Fundamentos de Seguridad en Redes
TCP/IP
Componentes de la Red.
 Cuando se envían mensajes en una red, el stack de
protocolos de un host opera desde las capas superiores
hacia las capas inferiores.
 Este proceso se invierte en el host receptor. Los datos se
desencapsulan mientras suben al stack hacia la aplicación
del usuario final.
Fundamentos de Seguridad en Redes
TCP/IP
 Fundamentos de Seguridad en Redes
TCP/IP
Direcciones IP:
 Todo Ordenador en una red se identifica con una dirección
IP única compuesta por 32 Bits en IPV4. Esta dirección
puede representarse de muchas maneras, la mas habitual
es mediante números decimales separados por puntos
como 127.0.0.1.
 Otra forma muy importante de representar direcciones IP
es mediante octetos binarios, por ejemplo
00010001.00010101.01101101.10000001
Direcciones IP con clase:
 Las direcciones de clase A empiezan con un bit 0. Por lo
tanto, todas las direcciones de 0.0.0.0 a 127.255.255.255
son clase A.
Fundamentos de Seguridad en Redes
TCP/IP
Fundamentos de Seguridad en Redes
TCP/IP
 Las direcciones de clase B empiezan con un bit 1 y un bit
0. Por lo tanto, todas las direcciones de 128.0.0.0 a
191.255.255.255 pertenecen a la clase B.
 Las direcciones de clase C empiezan con dos bits 1 y un
bit 0. Las direcciones de clase C comprenden de 192.0.0.0
a 223.255.255.255
Fundamentos de Seguridad en Redes
TCP/IP
 Las direcciones restantes se reservaron para multicasting y
futuros usos. Las direcciones multicast empiezan con tres bits 1
y un bit 0. Las direcciones multicast se usan para identificar un
grupo de hosts que son parte de un grupo multicast. Esto ayuda
a reducir la cantidad de procesamientos de paquetes que
realizan los hosts, especialmente en los medios de broadcast.
Los protocolos de enrutamiento RIPv2, EIGRP y OSPF usan
direcciones multicast designada.
 Usar direcciones IP con clase significaba que la máscara de
subred podía determinarse con el valor del primer octeto, o
más precisamente, con los primeros tres bits de la dirección.
Fundamentos de Seguridad en Redes
TCP/IP
Fundamentos de Seguridad en Redes
TCP/IP
Direcciones IP sin clase:
 Creamos las subredes utilizando uno o más de los bits del host
como bits de la red. Esto se hace ampliando la máscara para
tomar prestado algunos de los bits de la porción de host de la
dirección, a fin de crear bits de red adicionales. Cuanto más
bits de host se usen, mayor será la cantidad de subredes que
puedan definirse. Para cada bit que se tomó prestado, se
duplica la cantidad de subredes disponibles. Por ejemplo: si se
toma prestado 1 bit, es posible definir 2 subredes. Si se toman
prestados 2 bits, es posible tener 4 subredes. Sin embargo, con
cada bit que se toma prestado, se dispone de menos
direcciones host por subred.
Fundamentos de Seguridad en Redes
TCP/IP
 Use esta fórmula para calcular la cantidad de subredes:
2^n donde n = la cantidad de bits que se tomaron
prestados
 La cantidad de hosts
 Para calcular la cantidad de hosts por red, se usa la
fórmula 2^n - 2 donde n = la cantidad de bits para hosts.
Fundamentos de Seguridad en Redes
TCP/IP
 Direcciones IP sin clase:
Fundamentos de Seguridad en Redes
TCP/IP
Ejemplo con 3 subredes
Fundamentos de Seguridad en Redes
TCP/IP
En una red IPv4, los hosts pueden comunicarse de tres maneras
diferentes:
 Unicast: el proceso por el cual se envía un paquete de un host a
un host individual.
 Broadcast: el proceso por el cual se envía un paquete de un
host a todos los hosts de la red.
 Multicast: el proceso por el cual se envía un paquete de un host
a un grupo seleccionado de hosts.
 Estos tres tipos de comunicación se usan con diferentes
objetivos en las redes de datos. En los tres casos, se coloca la
dirección IPv4 del host de origen en el encabezado del paquete
como la dirección de origen.
Fundamentos de Seguridad en Redes
TCP/IP

Algunos ejemplos para utilizar una transmisión de broadcast

son:
 Solicitar una dirección IP.
 Intercambiar información de enrutamiento por medio de
protocolos de enrutamiento. Algunos ejemplos de
transmisión de multicast son:
 Intercambio de información de enrutamiento por medio
de protocolos de enrutamiento.
Fundamentos de Seguridad en Redes
TCP/IP

Dirección MAC
 Una dirección Ethernet MAC es un valor binario de 48 bits
que se compone de dos partes y se expresa como 12
dígitos hexadecimales. Los formatos de las direcciones
pueden ser similares a 00-05-9A-3C-78-00,
00:05:9A:3C:78:00 ó 0005.9A3C.7800.
Fundamentos de Seguridad en Redes
TCP/IP
Fundamentos de Seguridad en Redes
TCP/IP
Unicast
 Una dirección MAC unicast es la dirección exclusiva que se
utiliza cuando se envía una trama desde un dispositivo de
transmisión único hacia un dispositivo de destino único.
 En el ejemplo que se muestra en la figura, un host con
una dirección IP 192.168.1.5 (origen) solicita una página
Web del servidor en la dirección IP 192.168.1.200.Para
que se pueda enviar y recibir un paquete unicast, el
encabezado del paquete IP debe contener una dirección IP
de destino.
Fundamentos de Seguridad en Redes
TCP/IP

 Además, el encabezado de la trama de Ethernet también debe

contener una dirección MAC de destino correspondiente. La
dirección IP y la dirección MAC se combinan para enviar datos a
un host de destino específico.
Fundamentos de Seguridad en Redes
TCP/IP

Broadcast
 Con broadcast, el paquete contiene una dirección IP de destino
con todos unos (1) en la porción de host. Esta numeración en la
dirección significa que todos los hosts de esa red local (dominio
de broadcast) recibirán y procesarán el paquete. Una gran
cantidad de protocolos de red utilizan broadcast, como el
Protocolo de configuración dinámica de host (DHCP) y el
Protocolo de resolución de direcciones (ARP). Más adelante en
este capítulo se analizará cómo el ARP utiliza los broadcasts
para asignar direcciones de Capa 2 a direcciones de Capa 3.
Fundamentos de Seguridad en Redes
TCP/IP

 Tal como se muestra en la figura, una dirección IP de

broadcast para una red necesita un dirección MAC de
broadcast correspondiente en la trama de Ethernet. En
redes Ethernet, la dirección MAC de broadcast contiene 48
unos que se muestran como el hexadecimal FF-FF-FF-FF-
FF-FF.
Fundamentos de Seguridad en Redes
TCP/IP
Fundamentos de Seguridad en Redes
TCP/IP

Multicast
 Recuerde que las direcciones multicast le permiten a un
dispositivo de origen enviar un paquete a un grupo de
dispositivos. Una dirección IP de grupo multicast se asigna a los
dispositivos que pertenecen a un grupo multicast. El intervalo
de direcciones multicast es de 224.0.0.0 a 239.255.255.255.
Debido a que las direcciones multicast representan un grupo de
direcciones (a veces denominado un grupo de hosts), sólo
pueden utilizarse como el destino de un paquete. El origen
siempre tendrá una dirección unicast. La dirección MAC
multicast es un valor especial que comienza con 01-00-5E en
hexadecimal.
Fundamentos de Seguridad en Redes
TCP/IP
Fundamentos de Seguridad en Redes
TCP/IP
Direcciones Públicas y Privadas.
 Aunque la mayoría de las direcciones IPv4 de host son
direcciones públicas designadas para uso en redes a las que se
accede desde Internet, existen bloques de direcciones que se
utilizan en redes que requieren o no acceso limitado a Internet.
A estas direcciones se las denomina direcciones privadas.
Direcciones privadas RFC1918
 10.0.0.0 a 10.255.255.255 (10.0.0.0 /8)
 172.16.0.0 a 172.31.255.255 (172.16.0.0 /12)
 192.168.0.0 a 192.168.255.255 (192.168.0.0 /16
Fundamentos de Seguridad en Redes
TCP/IP

Direcciones Públicas
 La amplia mayoría de las direcciones en el rango de host
unicast IPv4 son direcciones públicas. Estas direcciones
están diseñadas para ser utilizadas en los hosts de acceso
público desde Internet. Aun dentro de estos bloques de
direcciones, existen muchas direcciones designadas para
otros fines específicos.
Fundamentos de Seguridad en Redes
TCP/IP
Cuando la red tiene un router a través del cual se
conecta a Internet; este dispositivo no debiera recibir
desde Internet tráfico que se origine en una dirección IP
privada.
Fundamentos de Seguridad en Redes
TCP/IP
Fundamentos de Seguridad en Redes
TCP/IP
UNA MEDIDA A TOMAR: BLOQUEAR DIRECCIONES IP
 El primer paso en este punto es bloquear el posible acceso
a nuestra red de paquetes originados en direcciones IP
que no se consideran legítimas.
 Es frecuente que quienes desean ocultar su identidad
utilicen con este propósito direcciones IP privadas (RFC
1918) u otro tipo de direcciones IP reservadas o
especiales. La siguiente es entonces una lista de redes
que deben ser filtradas con este propósito, ya que nunca
debiéramos recibir en nuestra red un paquete cuya
dirección de origen fuera una de las siguientes:
Fundamentos de Seguridad en Redes
TCP/IP
 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 127.0.0.0/8
224.0.0.0/3 169.254.0.0./16
 Todas estas direcciones corresponden a redes que no
debieran ser enrutadas sobre Internet, o utilizadas para
generar tráfico sobre Internet, por lo que no debieran
llegar hasta nuestro dispositivo de borde. Podemos
asegurar casi con total certeza que todo tráfico con una
dirección de origen perteneciente a alguna de estas redes
es un tráfico que conlleva un cierto grado riesgo para la
seguridad de nuestra red.
PROTOCOLOS DE LA CAPA DE
APLICACIÓN
SERVIDOR DNS
 Utiliza el puerto TCP/UDP 53.
 Los sistemas operativos informáticos también tienen una
utilidad denominada nslookup.
 Transferencias de zona no autorizadas, obedece a un error
de configuración en los propios servidores DNS.
Nslookup
server <ip>
set type=any
ls –d
PROTOCOLOS DE LA CAPA DE
APLICACIÓN
 Realizar consultas al servidor 4.2.2.2
SERVICIO HTTP
 HTTP especifica un protocolo de solicitud/respuesta.
Cuando un cliente, generalmente un explorador Web,
envía un mensaje de solicitud a un servidor, el protocolo
HTTP define los tipos de mensajes que el cliente utiliza
para solicitar la página Web y envía los tipos de mensajes
que el servidor utiliza para responder.
 HTTP. Utiliza el puerto 80
 HTTPS.Utiliza el puerto 443
PROTOCOLOS DE LA CAPA DE
APLICACIÓN
Servicios de E-mail y Protocolos SMTP/POP3
Puertos 25/110
PROTOCOLOS DE LA CAPA DE
APLICACIÓN
DHCP
Puerto UDP 67-68
PROTOCOLOS DE LA CAPA DE
APLICACIÓN
 El servicio Protocolo de configuración dinámica de host
(DHCP) permite a los dispositivos de una red obtener
direcciones IP y demás información de un servidor DHCP.
Este servicio automatiza la asignación de direcciones IP,
máscaras de subred, gateways y otros parámetros de
redes IP.
 DHCP puede representar un riesgo a la seguridad porque
cualquier dispositivo conectado a la red puede recibir una
dirección. Este riesgo hace de la seguridad física un factor
importante a la hora de determinar si se utiliza
direccionamiento manual o dinámico.
SEGURIDAD DE CAPA 2

Ataques de Capa 2:
 Falsificación de direcciones MAC (spoofing).
 Manipulación de STP.
 Desbordamiento de la tabla de direcciones MAC.
 Tormentas de LAN y ataques de VLAN.
SEGURIDAD DE CAPA 2

 El primer paso en la mitigación de ataques como estos es

comprender las amenazas subyacentes impuestas por la
infraestructura de capa 2. La capa 2 puede ser un eslabón
muy débil para las capas OSI superiores, ya que si la capa
2 se ve comprometida, los hackers pueden trabajar luego
hacia arriba. Es importante para el profesional de
seguridad de redes recordar que los ataques de capa 2
suelen requerir acceso desde el interior, ya sea un
empleado o un visitante.
SEGURIDAD DE CAPA 2
SEGURIDAD DE CAPA 2

ATAQUES DE FALSIFICACIÓN DE DIRECCIONES MAC.

 Los switches mantienen tablas de direcciones MAC, Estas
tablas son completadas mediante un proceso de
aprendizaje de direcciones del switch.
 El switch completa la tabla de direcciones MAC
registrando la dirección MAC de origen de una trama, y
asociando dicha dirección con el puerto por el que la
trama fue recibida.
SEGURIDAD DE CAPA 2

 Si un switch recibe una trama de datos y su dirección MAC

de destino no está en la tabla, el switch reenvía la trama
a través de todos sus puertos, excepto el puerto por el
que fue recibida la trama.
 Lo ataques de falsificación de MAC ocurren cuando un
atacante altera la dirección MAC de su host de forma tal
que coincida con la dirección MAC de otro host conocido.
El host atacante envía entonces una trama a través de la
red con la nueva dirección MAC configurada. Cuando el
switch recibe la trama, examina su dirección MAC origen.
SEGURIDAD DE CAPA 2

El switch sobrescribe la entrada correspondiente a dicha

dirección MAC, asignándole un nuevo puerto. A partir de ese
momento, las tramas destinadas al host original son
redirigidas inadvertidamente al host atacante.

 Cuando el switch modifica la tabla de direcciones MAC, el

host original no recibe más tráfico hasta que él mismo
envía tráfico. Cuando el host original envía tráfico, el
switch recibe y examina la trama, resultando en una
nueva modificación de la tabla de direcciones MAC,
volviendo a asociar la dirección MAC al puerto original
SEGURIDAD DE CAPA 2
SEGURIDAD DE CAPA 2
Ataques por desbordamiento de la tabla de direcciones MAC.
 La clave para comprender cómo funcionan los ataques por
desbordamiento de direcciones MAC es saber que las
tablas de direcciones MAC tienen un tamaño limitado. La
inundación MAC se aprovecha de esta limitación
bombardeando al switch con direcciones MAC falsas, hasta
llenar por completo la tabla de direcciones MAC. Si se
ingresan las suficientes entradas en dicha tabla antes de
que expiren las más antiguas, la tabla se llena al punto en
que no pueden aceptarse nuevas direcciones MAC. Cuando
esto ocurre, el switch comienza a inundar todos sus
puertos con todo el tráfico entrante, ya que no puede
aprender más direcciones MAC legítimas.
SEGURIDAD DE CAPA 2

 La herramienta macof inunda el switch con tramas que

con tienen direcciones MAC e IP de origen y destino
generadas en forma aleatoria.
 Tanto los ataques de falsificación de MAC como los
ataques por desborde de la tabla de direcciones MAC
pueden ser mitigados configurando seguridad de puertos
en el switch.
SEGURIDAD DE CAPA 2
SEGURIDAD DE CAPA 2

Ataques de manipulación STP.

 Otra vulnerabilidad en los dispositivos de capa 2 es el
Protocolo de Spanning Tree (STP). STP es un protocolo de
capa 2 que asegura una topología libre de bucles. STP
opera seleccionando un puente raíz y construyendo una
topología de árbol a partir de dicha raíz. STP admite
redundancia, pero al mismo tiempo asegura que sólo un
enlace se encuentra operacional en un momento dado y
no existen bucles.
SEGURIDAD DE CAPA 2

Los atacantes de la red pueden manipular a STP para llevar

adelante su ataque, modificando la topología de la red. Un
atacante puede lograr que su host sea visto como el puente raíz,
falsificando así al puente raíz real. Todo el tráfico del dominio
conmutado inmediato atraviesa entonces el puente raíz falso (el
sistema atacante).
 Para llevar adelante un ataque de manipulación de STP, el host
atacante realiza un broadcast de BPDUs con cambios en la
topología y configuración del STP, forzando la recalculación del
spanning-tree Si tiene éxito, el host atacante se convierte en el
puente raíz y puede observar una variedad de tramas que le
resultarían inaccesibles de otra forma.
SEGURIDAD DE CAPA 2
SEGURIDAD DE CAPA 2

Ataques de tormenta de LAN.

 Los dispositivos de capa 2 son también vulnerables a los
ataques de tormenta de LAN. Una tormenta de LAN ocurre
cuando los paquetes inundan la LAN, creando un exceso
de tráfico y degradando el desempeño de la red. Estas
tormentas pueden ser causadas por errores en la
implementación de la pila de protocolos, errores en la
configuración de la red, o por usuarios realizando ataques
DoS.
SEGURIDAD DE CAPA 2

También pueden ocurrir tormentas de broadcast. Debe

recordar que los switches siempre reenvían las tramas de
broadcast a través de todos sus puertos. Algunos protocolos
necesarios, tales como el Protocolo de Resolución de
Direcciones (ARP) y el Protocolo de Configuración Dinámica
de Hosts (DHCP), utilizan broadcast. Por lo tanto, los
switches deben ser capaces de reenviar el tráfico de
broadcast.
SEGURIDAD DE CAPA 2

 Si bien no es posible prevenir todos los tipos de tormentas

de paquetes y broadcast excesivos, sí es posible
suprimirlos implementando un control de tormentas.
 El switch cuenta el número de paquetes de cada tipo
específico recibidos en un cierto período de tiempo y
compara estas medidas con un umbral de supresión
predefinido. El control de tormentas bloquea el tráfico
cuando el límite definido es alcanzado.
SEGURIDAD DE CAPA 2
SEGURIDAD DE CAPA 2

 Ataques de VLAN.
 Una VLAN es un dominio de broadcast lógico que se
extiende a través de múltiples segmentos LAN. Las VLANs
proveen segmentación y flexibilidad en la organización.
Cada puerto del switch puede ser asignado sólo a una
VLAN, agregando así una capa de seguridad. Los puertos
de una VLAN comparten el broadcast, mientras que los
puertos en diferentes VLAN no comparten broadcasts.
Contener los broadcasts dentro de una VLAN mejora el
desempeño general de la red. Una VLAN puede existir en
un único switch o extenderse a través de múltiples
switches.
SEGURIDAD DE CAPA 2

Las VLANs pueden incluir hosts de un mismo edificio o ser

infraestructuras de múltiples edificios. Las VLANs también
pueden conectarse a través de redes de área metropolitana
(MANs). Existe varios tipos diferentes de ataques de VLAN
que prevalecen en las redes conmutadas modernas. En lugar
de listar todos los tipos de ataques, es importante
comprender la metodología general detrás de estos ataques
y los principales enfoques para mitigarlos.
SEGURIDAD DE CAPA 2

 En un ataque básico de salto de VLAN, el atacante

aprovecha la configuración automática por defecto de los
enlaces troncales de la mayor parte de los switches. El
atacante configura un sistema para que simule ser un
switch. Esta falsificación requiere que el host atacante
pueda emular las señales de ISL o 802.1Q junto con las
señales del protocolo DTP (Dynamic Trunking Protocol)
propietario de Cisco. Engañando al switch para que asuma
que se trata de otro switch con un enlace troncal, el
atacante puede obtener acceso a todas las VLANs
permitidas en dicho enlace.
CONFIGURACION DE LA SEGURIDAD DE
PUERTOS
 Una vez comprendidas las vulnerabilidades de los
dispositivos de capa 2, el próximo paso consiste en
implementar técnicas de mitigación para prevenir los
ataques que se provechan de dichas vulnerabilidades. Por
ejemplo, para prevenir la falsificación de MAC y el
desbordamiento de la tabla de direcciones MAC, debe
habilitarse seguridad de puertos (port security).
CONFIGURACION DE LA SEGURIDAD DE
PUERTOS
 La seguridad de puertos permite a los administradores
especificar en forma estática las direcciones MAC
permitidas en un puerto determinado, o permitir al switch
aprender en forma dinámica un número limitado de
direcciones MAC. Limitando a uno el número de
direcciones MAC permitidas en un puerto, la seguridad de
puerto puede ser utilizada para controlar la expansión no
autorizada de la red.
CONFIGURACION DE LA SEGURIDAD DE
PUERTOS
 Los siguientes son los pasos necesarios para configurar
seguridad de puertos en un puerto de acceso: Paso 1. Configure
una interfaz como interfaz de acceso.
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security mac-address sticky
Switch(config-if)# switchport port-security maximum valor
Switch(config-if)# switchport port-security violation
CONFIGURACION DE BPDU GUARD Y
ROOT GUARD
 Para mitigar la manipulación de STP, es necesario habilitar
PortFast, root guard y BPDU guard, los comandos de
mejora de STP. Estas funciones aseguran la selección de
un puente raíz y hacen valer los límites del dominio STP
 Este comando configura Port BPDU Guard se implementa
mejor sobre puertos de usuario, para prevenir las
extensiones de red clandestinas de un host atacante.
Utilice este comando para habilitar BPDU Guard en todos
los puertos que tengan habilitado PortFast.
 Switch(config)# spanning-tree portfast bpduguard default
Fast en una interfaz. Switch(config-if)# spanning-tree
portfast
CONFIGURACION DE CONTROL DE
TORMENTAS
 Configuración de control de tormentas.
 Los ataques de tormenta de LAN puede ser mitigados
utilizando el control de tormentas para monitorear
umbrales de supresión predefinidos. Al habilitar el control
de tormentas, es posible configurar un umbral superior y
un umbral inferior. El control de tormentas utiliza uno de
los siguientes métodos para medir la actividad del tráfico:
 Ancho de banda como un porcentaje del total de ancho de
banda disponible en el puerto, y que puede utilizarse para
tráfico de broadcast, multicast o unicast.
CONFIGURACION DE CONTROL DE
TORMENTAS
 Tasa de tráfico en paquetes por segundo recibidos como
broadcast, multicast o unicast.
 Tasa de tráfico en bits por segundo recibidos como
broadcast, multicast o unicast.
 Tasa de tráfico en paquetes por segundo y por pequeñas
tramas.
 Con cada método, el puerto bloquea el tráfico una vez
alcanzado el umbral superior.
CONFIGURACION DE CONTROL DE
TORMENTAS
ATAQUES DE SEGURIDAD COMUNES

Ataques de suplantación de identidad

 Una de las formas en que un atacante puede acceder al
tráfico de la red es haciendo spoof sobre las respuestas
enviadas por un servidor de DHCP válido.
 Un atacante activa un servidor de DHCP en un segmento
de red.
 El cliente envía un broadcast de solicitud de información
de configuración de DHCP.
ATAQUES DE SEGURIDAD COMUNES

 El servidor de DHCP malicioso responde antes de que lo

haga el servidor de DHCP legítimo y asigna información de
configuración de IP definida por el atacante.
 Los paquetes de host son redirigidos a la dirección del
atacante, ya que el mismo emula un gateway
predeterminado para la dirección de DHCP errónea
provista al cliente.
ATAQUES DE SEGURIDAD COMUNES

Ataques de suplantación de identidad

Debe estar atento a otro tipo de ataque de DHCP
denominado ataque de inanición de DHCP. La PC atacante
solicita direcciones IP de manera continua a un servidor de
DHCP real cambiando sus direcciones MAC de origen. Si da
resultado, este tipo de ataque de DHCP produce que todos
los arrendamientos del servidor de DHCP real queden
asignados, lo que provoca que los usuarios reales (clientes
de DHCP) no puedan obtener una dirección IP.
Para evitar los ataques de DHCP, se utiliza el snooping DHCP
y las funciones de seguridad de puerto de los switches
Catalyst de Cisco.
ATAQUES DE REDES

Tipos de ataques a redes

 Hay cuatro clases de ataques principales.
1. Reconocimiento: se conoce como recopilación de
información y, en la mayoría de los casos, precede a otro
tipo de ataque.
2. Acceso a los sistemas: es la capacidad de un intruso de
obtener acceso a un dispositivo respecto del cual no tiene
cuenta ni contraseña.
ATAQUES DE REDES

3. Denegación de servicio (DoS): se lleva a cabo cuando un

agresor desactiva o daña redes, sistemas o servicios, con el
propósito de denegar servicios a los usuarios a quienes están
dirigidos.
4. Software malicioso puede ser insertado en un host para
perjudicar o dañar un sistema.
ATAQUES DE REDES
Ataques de Reconocimiento
Los ataques de reconocimiento pueden consistir en uno de
los siguientes:
 Consultas de información en Internet: (Nslookup ,Whois,
Nic, Neotrace) para determinar fácilmente el espacio para
la dirección IP asignado a una empresa o entidad.
 Barridos de Ping: el agresor puede utilizar una
herramienta de barrido de pings, como fping o gping,
NetScanTools que hace ping sistemáticamente a todas las
direcciones de red de un alcance o una subred
determinada.
ATAQUES DE REDES

 Escaneos de puertos: cuando se identifican las direcciones IP

activas, el intruso utiliza un escáner de puertos para
determinar qué puertos o servicios de red están activos en las
direcciones IP en uso. Un escáner de puertos es software, como
Nmap,Netcat, Superscan, diseñado para buscar puertos abiertos
en un host de red.
 Programas detectores de paquetes: Los agresores internos
pueden intentar "infiltrarse" en el tráfico de la red. Un método
común de infiltrarse en las comunicaciones consiste en capturar
TCP/IP u otros paquetes de protocolos y decodificar los
contenidos utilizando un analizador de protocolos o una utilidad
similar. Un ejemplo de dicho programa es Wireshark.
ATAQUES DE REDES

Ataques de acceso
 Los ataques de acceso explotan las vulnerabilidades
conocidas de los servicios de autenticación, los servicios
de FTP y los servicios Web para obtener acceso a cuentas
Web, bases de datos confidenciales y otra información
confidencial.
 Para llevar a cabo un ataque de diccionario, los agresores
pueden utilizar herramientas, como L0phtCrack o Cain.
ATAQUES DE REDES

 Una herramienta de ataque de fuerza bruta es más

sofisticada, porque busca, de manera exhaustiva,
mediante combinaciones de conjuntos de caracteres, para
calcular cada contraseña posible formada por esos
caracteres.
 Hay cinco tipos de ataques de acceso: • Ataques de
contraseña, • Ataque Man in the Middle, • Explotación de
la confianza, • Desbordamiento de buffer, • Explotación
de la confianza