Está en la página 1de 105

Cap III: Seguridad en

la Red de Acceso
Docente: Ing. Marco A. Arenas P.

Carrera de Telecomunicaciones
Gestion: 2/2016
Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Temario
1. Introducción
2. Amenazas y Ataques en la red de Acceso
3. Seguridad Integrada a los Dispositivos LAN
4. Seguridad de acceso inalámbrico

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Introducción

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Introducción
 La construcción de una LAN que satisfaga las
necesidades de empresas pequeñas o medianas tiene
más probabilidades de ser exitosa si se utiliza un modelo
de diseño jerárquico.

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Elementos básicos de LAN

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Switch

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Switch
 La redes tienden a ser convergentes

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Múltiples Accesos
 Se tienen varias formas de acceder

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Planificación
 Planificar tipos de usuarios y restricciones

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Características de los Switches

 Clave la identificación apropiada de un tipo de switch

Que Soporta?
• Conmutación L2 o L3
• QoS
• Filtro de Tráfico
• Administrable (CLI, SSH, etc)
• Tipos Sistema Operativo
• Actualizaciones
• Soporte
• otro Estándares (VLANs, etc)

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Amenazas y Ataques en
la red de Acceso

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Introducción

 Cualquier debilidad contribuye a la posibilidad de un ataque

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Amenazas Comunes de la
Seguridad

Vulnerabilidades:
 Hay tres vulnerabilidades o debilidades
principales:
 Debilidades tecnológicas (protocolos, sistemas
operativos y dispositivos de red )
 Debilidades en la configuración (cuentas de usuarios,
contraseñas, servicios, configuraciones por defecto)
 Debilidades en la política de seguridad (falta de
políticas, falta de continuidad, no existe plan de
recuperación ante desastres, instalación de software y
equipos son control)

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Amenazas a la infraestructura física

 Las cuatro clases de amenazas físicas son:


 Amenazas al hardware: daño físico a los servidores, routers,
switches, planta de cableado y estaciones de trabajo
 Amenazas ambientales: temperaturas extremas (calor o frío
extremos) o condiciones extremas de humedad (humedad o
sequedad extremas)
 Amenazas eléctricas: picos de voltaje, voltaje suministrado
insuficiente (apagones), alimentación ilimitada (ruido) y pérdida
total de alimentación
 Amenazas al mantenimiento: manejo deficiente de los
componentes eléctricos clave (descarga electrostática), falta de
repuestos fundamentales, cableado insuficiente y rotulado
incorrecto

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Amenazas a las redes
 En general pueden darse:
 Externas
 Internas Aficionado, imprudente

experto

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
ATAQUES
 Cuantos existen???

Y como los manejamos?????

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Clasificación de ataques a
redes
 Hay cuatro clases de ataques principales.
 Reconocimiento
 Acceso
 Denegación de Servicios
 Código Malicioso

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Ataques de reconocimiento
 Los ataques de reconocimiento pueden consistir en uno de los
siguientes:
 Consultas de información en Internet
 Barridos de ping
 Escaneos de puertos
 Sniffers de paquetes

•nslookup y whois
•ping o gping
•Nmap o Superscan

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Ataques de acceso
 Los ataques de acceso explotan las vulnerabilidades conocidas de
los servicios de autenticación, los servicios de FTP y los servicios
Web para obtener acceso a cuentas Web, bases de datos
confidenciales y otra información confidencial.
 Ataques a las contraseñas (L0phtCrack, LC5, Hydra, Brutus o Cain)
 Explotación de confianza
 Redirección de puertos
 Ataque man-in-the-middle
 Desbordamiento de buffer
 Los hackers utilizan los ataques de acceso en las redes o sistemas
por tres razones: para obtener datos, para ganar acceso y para
escalar privilegios de acceso.
 Los ataques de acceso generalmente emplean ataques de
contraseña para adivinar las contraseñas del sistema. Los ataques
de contraseña pueden ser implementados utilizando varios métodos,
incluyendo ataques de fuerza bruta, programas troyanos,
falsificación de IPs y sniffers de paquetes (contraseñas sin cifrar).
Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Ataques de acceso
 Los ataques man-in-the-middle (MITM) son realizados por
agresores que logran ubicarse entre dos hosts legítimos.
 El agresor puede permitir que se realicen transacciones
normales entre hosts, y manipular la conversación entre
ambos sólo periódicamente.

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Ataques de DoS
 Los ataques de DoS adoptan muchas formas. En definitiva,
impiden que las personas autorizadas utilicen un servicio
consumiendo recursos del sistema. A continuación, se incluyen
algunos ejemplos de amenazas DoS comunes:

ICMP múltiples

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Ataques de DoS - Saturación SYN
 Un ataque de saturación SYN explota el protocolo de enlace
de tres vías TCP. Implica enviar varias peticiones de SYN
(más de 1000) a un servidor objetivo. El servidor responde con
la respuesta habitual SYN-ACK, pero el host malicioso nunca
responde con el ACK final para terminar el protocolo de
enlace.

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Ataques de DoS - DDos
 Entre los ejemplos de ataques DDoS se pueden mencionar los
siguientes:
 Ataque SMURF
 Red de saturación grupal (TFN)
 Stacheldraht
 MyDoom

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Ataques de código malicioso
 Las principales vulnerabilidades de las estaciones de trabajo de los
usuarios finales son los ataques de gusanos, virus y caballos de
Troya.
 Un gusano ejecuta un código e instala copias de sí mismo en la memoria de la
computadora infectada, lo que, a su vez, puede infectar a otros hosts.
 Un virus es software malicioso asociado a otro programa, con el propósito de
ejecutar una función particular no deseada en una estación de trabajo.
 Un caballo de Troya es distinto de un gusano o de un virus sólo en el sentido de
que toda la aplicación fue escrita para que tenga la apariencia de otra cosa,
cuando en realidad es una herramienta de ataque.

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Suplantación de Identidad

 Spoofing
 En términos de seguridad de redes hace referencia al
uso de técnicas de suplantación de identidad
generalmente con usos maliciosos o de investigación.
Se pueden clasificar los ataques de spoofing, en
función de la tecnología utilizada. Entre ellos tenemos
el IP spoofing (quizás el más conocido), ARP
spoofing, DNS spoofing, Web spoofing o email
spoofing
 Aunque en general se puede englobar dentro de
spoofing cualquier tecnología de red susceptible de
sufrir suplantaciones de identidad.

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Ataques Clásicos a la Capa 2

 MAC Flooding
 MAC Spoofing

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Ataques de MAC Address
 MAC Flooding:
 El ataque de MAC Flooding, intenta explotar las
limitaciones de recursos que los switches de
diferentes vendedores poseen, en referencia a la
cantidad de memoria asignada para la MAC
Address Table.
 Típicamente un intruso tratará de inundar el switch
con un gran número de tramas con direcciones
MAC falsas, hasta agotar la MAC Address Table,
por ejemplo utilizando la herramienta macof,
creada en 1999 e incorporada en dsniff.

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Ataques de MAC address
 MAC Spoofing:
 Este tipo de ataque involucra el uso de direcciones
MAC reales, pertenecientes a otros hosts de la red, a
fin de que el switch registre esta MAC en el puerto
donde realmente se encuentra el atacante, para de
esta manera transformarse en el destinatario de las
tramas dirigidas al verdadero host.

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Ataques al protocolo ARP

 Address Resolution Protocol (ARP), es utilizado para obtener una


dirección MAC desconocida a partir de una dirección IP conocida
dentro de una LAN, donde los hosts de la misma subred residen.
 Normalmente una estación enviará para esto una solicitud ARP,
mediante una trama broadcast a todas las demás estaciones y
recibirá una respuesta ARP conteniendo la dirección MAC buscada,
por parte de la estación que tiene la dirección IP conocida.

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Ataques ARP

 Dentro de este esquema, existen respuestas ARP no


solicitadas llamadas ARP gratuitos, que pueden ser
explotados maliciosamente por un atacante para
enmascarar una dirección IP sobre un segmento.
 Típicamente, esta acción es ejecutada para posibilitar un
ataque denominado Man in the Middle (MITM), enviando
su propia dirección MAC mediante ARP gratuitos.

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Ataques de DHCP Spoofing

 Un ataque conocido como DHCP starvation opera


enviando solicitudes DHCP cuyas direcciones MAC
origen son falsas, por ejemplo utilizando la herramienta
denominada gobbler.

Una vez neutralizado el


servidor, un atacante puede
activar un servidor DHCP
clandestino en la red y de
esta manera responder a
las auténticas solicitudes de
direccionamiento que
realizan las estaciones de
trabajo
Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Ataques de VLAN Hopping

 VLAN hopping, es un tipo de ataque donde el agresor


envía tráfico destinado a un host situado en una VLAN
diferente, que normalmente no debería ser alcanzado
por el tráfico originado en la VLAN a la que pertenece
dicho agresor.
 Como:
 Switch Spoofing
 Double Tagging
 Private VLAN
 Ataque Private VLAN Proxy

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Ataques de VLAN Hopping

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Ataques de VLAN Hopping
 Switch Spoofing
 Aquí el atacante configura su sistema para simular
un switch. Esto requiere que su adaptador de red
sea capaz de emular la señalización 802.1
 Usando este método, el atacante puede aparecer
como un switch con un puerto de trunk, si lo logra
podrá conocer todo el tráfico de VLANs que exista,
pudiendo capturar la información contenida en las
diferentes tramas.
 Double Tagging
 Otro tipo de ataque de VLAN hopping, involucra la
trasmisión de tramas con un doble etiquetado
(tagging) 802.1q
Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Ataques de VLAN Hopping
 Private VLAN:
 Consiste en un mecanismo que permite restringir las
comunicaciones entre hosts situados en la misma
subred IP
 Limitan los puertos dentro de una VLAN, que pueden
comunicarse con otros puertos de la misma VLAN.
 Ataque Private VLAN Proxy:
 En este tipo de ataque, se envía tráfico a un host
conectado a un puerto promiscuo, por ejemplo un router.
 El atacante envía un paquete con la direcciones origen
IP y MAC de su propia estación, la dirección IP de
destino de la víctima, pero la dirección MAC de destino
del router.
Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Ataques de Spanning Tree

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Ataques de Spanning Tree

 Otro ataque contra switches, comprende la captura de


tráfico a través del ataque de STP (Spanning Tree
Protocol IEEE 802.1d).
 Se identifica un switch como raíz (root) por cada
dominio de broadcast, de manera de permitir enlaces
activos sólo hacia dicho switch, evitando el resto de los
enlaces redundantes por medio del bloqueo de los
puertos a los cuales estos enlaces se conectan (puertos
redundantes).
 En el ataque de STP, el agresor intenta convertir su
sistema como el switch raíz de la topología. Para hacer
esto se envían BPDU falsas para forzar el recálculo
STP.
Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Ataques de Spanning Tree

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Ataques de seguridad de Acceso

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Seguridad Integrada a
los Dispositivos LAN

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Introducción
 Todos los equipos de la LAN pueden colaborar
para mejorar la seguridad en Profundidad de
toda la RED

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
En la frontera

IP (sumarización, broadcast, etc)


ACL
NAT
Encriptación - VPNs

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Administración Segura:
Hardening
 El hardening (endurecimiento) permite mejorar
los niveles de seguridad del propio equipo
 Configuración Personalizada
 Administración de Usuarios (niveles de acceso)
 Servicios y Aplicaciones necesarias (bloquear)
 Backups y Actualizaciones
 Administración remota segura
 Control de tráfico
 Control de logs, banners
 etc
Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Configuración de las Contraseñas

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Mensajes de Inicio de Sesión

 Configurar un título de inicio de sesión


 El usuario puede definir un mensaje
personalizado para que se muestre antes de los
avisos de inicio de sesión del nombre de usuario
y la contraseña

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Mensajes de Inicio de Sesión

 Configurar un título de MOTD


 El mensaje MOTD se muestra en todos los
terminales conectados en el inicio de sesión y es
útil para enviar mensajes que afectan a todos los
usuarios de la red (como desconexiones
inminentes del sistema). Si se configura, el
mensaje MOTD se muestra antes que el mensaje
de inicio de sesión.

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Administración Remota

Si la administración será vía http, es necesario hacerlo por su


puerto seguro https 443, que utiliza SSL y TSL
Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Configurar Telnet y SSH

 SSH requiere de encriptación:


 admite el algoritmo Estándar de encriptación de datos (DES) - 56 bits
 El algoritmo DES triple (3DES) - 168 bits
 y la autenticación de usuario basada en la contraseña.
 Para implementar SSH, debe generar claves RSA - encriptación
asimétrica.
 RSA incluye una clave pública, guardada en un servidor público de RSA
y una clave privada, guardada sólo por el emisor y el receptor. La clave
pública la pueden conocer todos y se utiliza para encriptar mensajes.
Los mensajes encriptados con la clave pública sólo se pueden descifrar
utilizando la clave privada.
 Otros comandos SSH:
 crypto key zeroize rsa
 ip ssh {timeout segundos | authentication-retries número}
 transport input {ssh | telnet | all}
 show ssh
Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
SSH

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Funcionamiento general de
SSL/TLS

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Mitigación de ataques de
DHCP
 Las técnicas usadas para mitigar este tipo
de ataque comprenden, entre otras
 la limitación de direcciones MAC que pueden
existir sobre un puerto del switch
 la implementación de la RFC 3118 para
autenticación de mensajes DHCP
 y también una técnica conocida como DHCP
snooping.

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
VLANs
 Cada VLAN es un dominio de broadcast diferente.
Los dispositivos o usuarios de una VLAN se pueden
agrupar por funciones, departamentos, aplicaciones,
etc., sin importar la ubicación física de su segmento.

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
VLANs
 Entre las ventajas más importantes que
tiene la creación de VLANs, encontramos:
 Facilitan los agregados, desplazamientos y
cambios de usuarios
 Ayudan a controlar la actividad de broadcast y
su migración
 Permiten mejorar la seguridad de la red, al
limitar la cantidad de usuarios que pueden
compartir la información.
 Reducción de costos

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Mitigación de ataques de VLAN
Hopping
 La mejor forma de prevenir los ataques
básicos de salto de VLAN consiste en:
 deshabilitar el trunking en todos los puertos, a
excepción de aquellos que lo requieran
 En los puertos donde el trunking deba estar
disponible, se deben deshabilitar las
negociaciones DTP (Dynamic Trunking Protocol)
 Habilitar el trunking en forma manual.
 Cambiar la VLAN Nativa
 Y Permitir/Denegar las VLAN especificas de
producción

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Mitigación de ataques de VLAN
Hopping

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Mitigación de ataques de
Spanning Tree
 Para mitigar el ataque de manipulación STP, se utilizan
las capacidades de seguridad de los switches
administrables, como las técnicas de mitigación para la
manipulación de STP incluyen
 la habilitación de PortFast
 la utilización de root guard
 BPDU guard.

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Mitigación de ataques de
Spanning Tree

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Mitigación de ataques de
Spanning Tree

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Mitigación de ataques de
Spanning Tree
 Si un puerto habilitado con Root Guard recibe BPDUs superiores a aquellos que
envía el puente raíz actual, dicho puerto pasa a un estado "root-inconsistent",
efectivamente similar al estado de escucha (listening) de STP, y no se reenvían más
datos a través del mismo.

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Mitigación de ataques de
Spanning Tree

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
ANEXOS
SEGURIDAD

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Acceso remoto seguro
Funcionamiento de SSH
 Shell seguro (SSH) es un protocolo que proporciona una
conexión segura (cifrada) a un dispositivo remoto basada en la
línea de comandos.
 Por lo general, SSH se utiliza en sistemas basados en UNIX.
 IOS de Cisco también admite SSH.
 Para habilitar SSH en los switches Catalyst 2960, se requiere
una versión del software IOS que incluya características y
capacidades criptográficas (cifradas).
 SSH reemplaza a Telnet para las conexiones de administración,
debido a sus sólidas características de cifrado.
 SSH utiliza el puerto TCP 22 de manera predeterminada. Telnet
utiliza el puerto TCP 23.

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Acceso remoto seguro
Funcionamiento de SSH

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Acceso remoto seguro
Configuración de SSH

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Acceso remoto seguro
Verificación de SSH

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Cuestiones de seguridad en redes LAN
Saturación de direcciones MAC
 Los switches completan automáticamente las tablas
CAM mediante la observación del tráfico que ingresa
por los puertos.
 Los switches reenvían el tráfico por todos los puertos si
este no puede encontrar el destino MAC en la tabla
CAM.
 En ese caso, el switch actúa como hub. Todos los
dispositivos conectados al switch pueden ver el tráfico
de unidifusión.
 Un atacante podría aprovechar este comportamiento
para acceder al tráfico que normalmente controla el
switch mediante una computadora para ejecutar una
herramienta de saturación de direcciones MAC.
Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Cuestiones de seguridad en redes LAN
Saturación de direcciones MAC
 Esta herramienta es un programa creado para generar y
enviar tramas con direcciones MAC de origen falsas al
puerto del switch.
 A medida que las tramas llegan al switch, este agrega la
dirección MAC falsa a la tabla CAM y registra el puerto por
el que llegan las tramas.
 Por último, la tabla CAM se completa con direcciones MAC
falsas.
 La tabla CAM ya no tiene lugar para los dispositivos
legítimos presentes en la red, y, por lo tanto, estos nunca
encontrarán sus direcciones MAC en dicha tabla.
 Ahora todas las tramas se reenvían a todos los puertos, lo
que permite que el atacante tenga acceso al tráfico a otros
hosts.
Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Cuestiones de seguridad en redes LAN
Saturación de direcciones MAC
 El atacante satura la tabla CAM con entradas falsas.

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Cuestiones de seguridad en redes LAN
Saturación de direcciones MAC
 Ahora el switch funciona como un hub.

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Cuestiones de seguridad en redes LAN
Suplantación de identidad de DHCP
 DHCP es un protocolo de red que se utiliza para asignar la
información IP automáticamente.
 Los dos tipos de ataques de DHCP que existen son los
siguientes:
• Suplantación de identidad de DHCP
• Agotamiento de direcciones DHCP
 En los ataques de suplantación de identidad de DHCP, se
coloca un servidor de DHCP falso en la red para emitir
direcciones de DHCP para los clientes.
 El agotamiento de direcciones DHCP se utiliza
generalmente antes del ataque de suplantación de identidad
de DHCP para denegar el servicio al servidor de DHCP
legítimo.
Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Cuestiones de seguridad en redes LAN
Suplantación de identidad de DHCP
 Ataque de suplantación de identidad de DHCP

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Cuestiones de seguridad en redes LAN
Aprovechamiento de CDP
 CDP es un protocolo exclusivo de Cisco de capa 2 que
se utiliza para detectar otros dispositivos de Cisco
conectados directamente.
 Está diseñado para permitir que los dispositivos
configuren las conexiones automáticamente.
 Si un atacante escuchara los mensajes CDP, podría
obtener información importante, como el modelo del
dispositivo o la versión del software en ejecución.
 Cisco recomienda deshabilitar CDP cuando no se
utiliza.

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Cuestiones de seguridad en redes LAN
Aprovechamiento de Telnet
 Como se mencionó anteriormente, el protocolo Telnet
no es seguro, y se debe reemplazar por SSH.
 Sin embargo, un atacante pueda utilizar Telnet como
parte de otros ataques.
 Dos de estos ataques son los ataques de contraseña
de fuerza bruta y el ataque DoS por Telnet.
 Cuando no se pueden capturar las contraseñas, los
atacantes prueban con tantas combinaciones de
caracteres como sea posible. Este intento de adivinar
la contraseña se conoce como “ataque de contraseña
de fuerza bruta”.
 Telnet se puede utilizar para probar la contraseña
adivinada en el sistema.
Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Cuestiones de seguridad en redes LAN
Aprovechamiento de Telnet
 En un ataque DoS por Telnet, el atacante explota un defecto
del software del servidor Telnet que se ejecuta en el switch,
el cual hace que el servicio de Telnet no esté disponible.
 Este tipo de ataque impide que un administrador acceda en
forma remota a las funciones de administración del switch.
 Esto se puede combinar con otros ataques directos a la red
como parte de un esfuerzo coordinado para impedir que el
administrador de red acceda a dispositivos clave durante la
infracción.
 En general, las vulnerabilidades en el servicio de Telnet que
permiten que ocurran los ataques de DoS se enfrentan
mediante parches de seguridad incluidos en las revisiones
más recientes de IOS de Cisco.

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Prácticas recomendadas de seguridad
10 prácticas recomendadas
 Desarrolle una política de seguridad escrita para la
organización.
 Desactive los servicios y puertos que no se utilicen.
 Utilice contraseñas seguras y cámbielas con frecuencia.
 Controle el acceso físico a los dispositivos.
 Utilice HTTPS en lugar de HTTP.
 Realice copias de seguridad regularmente.
 Capacite a los empleados sobre los ataques de ingeniería
social.
 Cifre y proteja con contraseñas los datos confidenciales.
 Implemente firewalls.
 Mantenga el software actualizado.
Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Prácticas recomendadas de seguridad
10 prácticas recomendadas

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Prácticas recomendadas de seguridad

Herramientas de seguridad de red: opciones


 Las herramientas de seguridad de red son muy
importantes para los administradores de red.
 Estas herramientas permiten que el administrador
pruebe la resistencia de las medidas de seguridad
implementadas.
 Un administrador puede iniciar un ataque contra la red
y analizar los resultados.
 Estas herramientas también sirven para determinar
cómo ajustar las políticas de seguridad, a fin de mitigar
esos tipos de ataques.
 Las auditorías de seguridad y las pruebas de
penetración son dos funciones básicas de las
herramientas de seguridad de red.
Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Prácticas recomendadas de seguridad

Herramientas de seguridad de red: auditorías


 Las herramientas de seguridad de red se pueden
utilizar para auditar la red.
 Al controlar la red, el administrador puede evaluar qué
tipo de información puede reunir un atacante.
 Por ejemplo, si se ataca y satura la tabla CAM de un
switch, el administrador puede descubrir qué puertos
del switch son vulnerables a la saturación de
direcciones MAC y corregir el problema.
 Las herramientas de seguridad de red también se
pueden utilizar como herramientas de prueba de
penetración.

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Prácticas recomendadas de seguridad

Herramientas de seguridad de red: auditorías


 La prueba de penetración es un ataque simulado.
 Ayuda a determinar qué tan vulnerable sería la red en
un ataque real.
 Se pueden identificar las debilidades en la
configuración de los dispositivos de red según los
resultados de esta prueba.
 Se pueden realizar cambios para que los dispositivos
sean más resistentes a los ataques.
 Dichas pruebas pueden dañar la red, y se deben
realizar en condiciones muy controladas.
 Lo ideal es una red sin conexión que imite la red de
producción real y funcione como banco de pruebas.
Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Seguridad de puertos de switch
Seguridad de puertos sin utilizar
 La acción de deshabilitar puertos sin utilizar es una pauta de
seguridad simple pero eficaz.

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Seguridad de puertos de switch
Detección de DHCP
 La detección de DHCP permite determinar cuáles son los puertos
de switch que pueden responder a solicitudes de DHCP.

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Seguridad de puertos de switch
Seguridad de puertos: funcionamiento
 La seguridad de puertos limita la cantidad de direcciones
MAC válidas permitidas en un puerto.
 Se permite el acceso a las direcciones MAC de los
dispositivos legítimos, mientras que otras direcciones MAC
se rechazan.
 Cualquier intento adicional de conexión por parte de
direcciones MAC desconocidas generará una violación de
seguridad.
 Las direcciones MAC seguras se pueden configurar de
varias maneras:
• Direcciones MAC seguras estáticas
• Direcciones MAC seguras dinámicas
• Direcciones MAC seguras persistentes
Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Seguridad de puertos de switch

Seguridad de puertos: modos de violación de


seguridad
 IOS considera que se produce una violación de seguridad
cuando se da cualquiera de estas situaciones:
• Se agregó la cantidad máxima de direcciones MAC
seguras a la tabla CAM para esa interfaz, y una
estación cuya dirección MAC no figura en la tabla de
direcciones intenta acceder a la interfaz.
• Una dirección aprendida o configurada en una interfaz
segura puede verse en otra interfaz segura de la misma
VLAN.
 Cuando se detecta una violación, hay tres acciones posibles
que se pueden realizar:
• Protect
• Restrict
• Shutdown Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Seguridad de puertos de switch
Seguridad de puertos: configuración
 Configuración predeterminada de la seguridad de
puertos dinámicos

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Seguridad de puertos de switch
Seguridad de puertos: configuración
 Configuración de la seguridad de puertos dinámicos

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Seguridad de puertos de switch
Seguridad de puertos: configuración
 Configuración de la seguridad de puertos persistentes

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Seguridad de puertos de switch
Seguridad de puertos: verificación
 Verificación de la seguridad de puertos persistentes

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Seguridad de puertos de switch
Seguridad de puertos: verificación
 Verificación de la seguridad de puertos persistentes:
configuración en ejecución

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Seguridad de puertos de switch
Seguridad de puertos: verificación
 Verificación de la seguridad de puertos: direcciones
MAC seguras

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Seguridad de puertos de switch

Puertos en estado de inhabilitación por errores


 Una violación de seguridad de puertos puede dejar al
switch en estado de inhabilitación por errores.
 Un puerto en estado de inhabilitación por errores
queda desactivado completamente.
 El switch comunicará estos eventos por medio de
mensajes de consola.

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Seguridad de puertos de switch

Puertos en estado de inhabilitación por errores


 El comando show interface también indica si hay un
puerto de switch en estado de inhabilitación por errores.

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Seguridad a nivel del Puerto

 Una vez comprendidas las vulnerabilidades de los dispositivos de


capa 2, el próximo paso consiste en implementar técnicas de
mitigación para prevenir los ataques que se aprovechan de dichas
vulnerabilidades. Por ejemplo, para prevenir la falsificación de MAC
y el desbordamiento de la tabla de direcciones MAC, debe
habilitarse seguridad de puertos (port security).
 La seguridad de puertos permite a los administradores especificar
en forma estática las direcciones MAC permitidas en un puerto
determinado, o permitir al switch aprender en forma dinámica un
número limitado de direcciones MAC. Limitando a uno el número de
direcciones MAC permitidas en un puerto, la seguridad de puerto
puede ser utilizada para controlar la expansión no autorizada de la
red.

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Seguridad a nivel del Puerto

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Seguridad de Puerto
 switchport port-security mac-address mac-address
 switchport port-security

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Seguridad de Puerto

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Seguridad de Puerto

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Seguridad de Puerto

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Seguridad de Puerto

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Control de acceso a la LAN: 802.1x

 802.1x es un estándar del IEEE que está diseñado para


proporcionar acceso a una red, realizando la
autenticación de los clientes a nivel de puertos.
 El proceso de autenticación basado en puertos, es
soportado en dos topologías:
 Punto a punto
Servidor de
 Wireless LAN Autenticación

Dicho proceso consiste en


el intercambio de mensajes
EAP (Extensible Autenticador
Authentication Protocol)
utilizando también el Autenticador
protocolo RADIUS.
Suplicante
Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Control de acceso a la LAN: 802.1x

 Entre los tipos más utilizados de EAP


encontramos:
 Cisco LEAP
 EAP-TLS
 PEAP
 EAP-MD5

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Herramientas de seguridad

 Después de configurar la seguridad del switch, se debe


verificar que no hayan quedado debilidades que puedan
ser explotadas por un atacante. La seguridad de red es
un tema complejo y cambiante.
 Las herramientas de seguridad de red ayudan a probar
la red en busca de distintas debilidades. Son
herramientas que permiten que el usuario actúe como
pirata informático y como analista de seguridad de red. A
través de estas herramientas se puede iniciar un ataque
y llevar a cabo la auditoría de los resultados para
determinar la forma de ajustar las políticas de seguridad
para evitar un ataque determinado.
 Las funciones que utilizan las herramientas de seguridad
de red evolucionan de manera constante.
Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Herramientas de seguridad
 Las auditorías de seguridad y los pruebas de penetración son dos
funciones básicas que llevan a cabo las herramientas de seguridad
de red.

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Herramientas de seguridad
 En realidad, la seguridad de red es un proceso, no un
producto. No alcanza con habilitar el switch con una
configuración segura y dar por terminado el trabajo.
Para afirmar que una red es segura se debe contar con
un plan de seguridad de red completo que defina la
forma de verificar de manera periódica si la red puede
enfrentar los más recientes ataques de red maliciosos.
 El panorama cambiante de los riesgos de seguridad
implica que se debe contar con herramientas de
auditoría y penetración que puedan actualizarse para
enfrentar los riesgos de seguridad más recientes.

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Otros Aspectos

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo
Ing. Marco Antonio Arenas Porcel

Email:marcoap@usfx.edu.bo
:markituxfor@gmail.com

Facultad de Tecnología – Carrera de Ing. de Sistemas


http://www.usfx.edu.bo 105

También podría gustarte