Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Practica 0
Practica
Enrutamiento
Como seguramente sabrá, los protocolos de enrutamiento se pueden clasificar como
protocolos de puerta de enlace interiores o exteriores (IGP o EGP). Para el enrutamiento
de IP, el Border Gateway Protocol (BGP) es el único EGP actualmente de uso
generalizado; todos los demás protocolos de enrutamiento IP de uso común, incluidos
OSPF e IS-IS, son IGP. Aunque la misión de ambos tipos de protocolos de enrutamiento es
intercambiar información de ruta, la forma en que realizan el intercambio de información
difiere significativamente. Como cualquier dispositivo fuera de su dominio administrativo,
los enrutadores externos deben considerarse no confiables. BGP está diseñado para
funcionar junto con políticas de enrutamiento complejas para que tenga un control
detallado sobre qué información se comparte y acepta de pares externos. IGP, por otro
lado, debido a que están destinados a ejecutarse dentro de su dominio
administrativo, suponga que se puede confiar en todos los enrutadores dentro del
dominio de enrutamiento. Por lo tanto, los IGP están diseñados para hacer que la
interconexión y el intercambio de información sean lo más fáciles y abiertos posible.
La mayoría de los ataques lanzados contra los protocolos de enrutamiento tienen como
objetivo BGP porque es el protocolo de "cara al público" y, por lo tanto, el más accesible
desde el exterior. Pero nunca debe asumir que su IGP es seguro solo porque es interno a
su red. Los ataques maliciosos contra los IGP pueden ocurrir y ocurren, pero la propia
naturaleza de un IGP, para hacer que el intercambio de información sea lo más
transparente posible, también puede abrir el protocolo a una serie de problemas
accidentales.
Amenazas maliciosas
Un ataque contra un protocolo de enrutamiento intenta alterar el comportamiento
normal del protocolo de una de estas cuatro formas: [1]
[1] Abbie Barbir, Sandy Murphy y Yi Yang, "Amenazas genéricas a los protocolos de
Prevenir
Idealmente, nos gustaría proteger todos los hosts de Internet, pero siendo realistas,
generalmente son los servidores los que presentan el mayor objetivo. Proponemos, en
consecuencia, proporcionar una red virtual protegida para aquellos servidores que deseen
estar mejor defendidos. Un ISP que brinde dicha protección podría cobrar una tarifa
superior por el servicio, lo que brinda un incentivo claro para la implementación. La
solución está destinada a extenderse a una red de muchos ISP colaboradores.
Configuraciones de Ips
El atacante logra tomar el control del router de la víctima (ya sea por una mala
configuración o por alguna vulnerabilidad en el router) y reescribe la configuración DNS
del equipo, afectando a todos los usuarios conectados a la red.
La confusión entre el Sufijo DNS y los servidores DNS per ser, fue lo que causó muchos de
los reclamos de usuarios argentinos al proveedor de Internet. El hecho de que nuestro
router o nuestra configuración tenga un Sufijo DNS diferente al que esperamos no significa
que estamos siendo víctimas de un ataque, sino que simplemente no se sobrescribió esa
configuración en el router.
Sin embargo, en la configuración local del equipo rara vez veremos realmente cual es el
servidor DNS público que está resolviendo nuestras consultas, ya que normalmente la IP
que asigna la mayoría de los DHCP de routers hogareños es la del propio router.
Por lo tanto, para verificar si nuestros paquetes DNS están siendo respondidos por una
fuente confiable, la mejor manera de confirmarlo es hacer una consulta pública y verificar
qué servidores son los que la están respondiendo. Para esto, podemos utilizar sitios de
verificación de DNS, similares a los que utilizamos para averiguar nuestra IP Pública.
Algunos que pueden utilizar son:
Como regla general, lo ideal es siempre tener el control del router de nuestra red y así
poder asegurarnos de que esté configurado de forma segura. El problema se presenta
muchas veces con los equipos del proveedor de Internet, ya que muchos ISP no le
entregan al usuario la administración del router o el modem que proveen. Si este es tu
caso, tienes dos opciones, pero para ambas deberás conseguir un router propio.
Subnetting
La división en subredes de red segrega los dispositivos de red mediante una red lógica.
Esta red lógica, o subred, tendrá una dirección IP de enrutador separada y una máscara de
subred separada para aislar el tráfico de esa subred de otras subredes.
La división en subredes se usa a menudo en combinación con listas de control de acceso
(ACL) para controlar el tráfico y limitar qué redes y hosts pueden comunicarse
directamente entre sí en la red. Esto es superior a depender solo de una ACL porque
reduce la complejidad de la ACL para la administración.
Por lo tanto, puede resultar más eficaz segregar completamente la red mediante la
segmentación de la red para crear una red segura.
La segmentación de la red es la idea de crear subredes dentro de una red corporativa o
empresarial o algún otro tipo de red informática general. Permite la contención de
malware y otras amenazas, y puede agregar eficiencia en términos de rendimiento de la
red.
También es importante saber que las subredes y los segmentos no son intercambiables ni
exclusivos.
Se puede crear una subred para contener múltiples segmentos de red y un segmento de
red se puede crear para contener múltiples subredes. Esto es una forma larga de decir:
asegúrese de consultar a un experto en el diseño de su red.
Al igual que con la división en subredes, la creación de segmentos de red tiene beneficios
de rendimiento, pero hoy nos centraremos en los beneficios de seguridad. Al utilizar una
red de área local virtual (VLAN), un administrador de red puede crear una zona de
seguridad que contenga un grupo de máquinas o sistemas con perfiles de seguridad
comunes.
Dos ejemplos de eso serían una red de alta seguridad que contenga datos PCI y un perfil
de seguridad más bajo para una red wifi para invitados. Al igual que con las subredes, el
tráfico entre estos segmentos debe supervisarse y controlarse.
Por ejemplo, en una zona más externa como DMZ, un firewall y un estándar de seguridad
más bajo protegerán las máquinas en esa zona y un segundo dispositivo (firewall, etc.)
segregará esa zona de las zonas de mayor seguridad más profundas en el red de la
empresa.
Sin embargo, dentro de una zona de seguridad específica, normalmente hay menos
protección entre los usuarios y las máquinas. Este flujo de datos a menudo se denomina
tráfico de este a oeste, y ahora se recomienda la microsegmentación para aumentar la
seguridad de esta categoría de tráfico.
DHCP
Es un ataque que consiste en inundar con peticiones DHCP REQUEST al servidor DHCP, con
direcciones MAC falseadas y con el objetivo de agotar su espacio de direcciones
asignables. El objetivo es que el servidor DHCP no sea capaz de responder a otros clientes.
Dado que toda la comunicación DHCP se realiza enviando los paquetes a la dirección MAC
de broadcast FF:FF:FF:FF:FF:FF todos los clientes de la LAN reciben los paquetes DHCP. Así
que existe la posibilidad de que un atacante monitorice los intercambios DHCP y en un
determinado punto de la comunicación envíe un paquete especialmente formado para
modificar su comportamiento.
Uno de los puntos donde nos interesaría intervenir es cuando el servidor reconoce con un
DHCP ACK la configuración del cliente. Primero se tiene que escuchar toda la
comunicación poniendo atención en el paquete REQUEST donde el cliente solicita la IP,
DNS, Gateway de aquellos datos que anteriormente le ha ofrecido el servidor DHCP.
Una vez recibido el REQUEST el atacante responde con un ACK como lo haría el servidor DHCP real
pero estableciendo la configuración de red modificada.
Prevenir
DHCP snooping
NAT
NAT Slipstreaming explota el navegador del usuario junto con el mecanismo de
seguimiento de conexión Application Level Gateway (ALG) integrado en NAT, routers y
firewalls al encadenar la extracción de IP interna a través de un ataque de tiempo o
WebRTC, el descubrimiento de fragmentación de IP y MTU remoto automatizado, tamaño
de paquete TCP del mensaje, el uso indebido de la autenticación TURN (Traversal Using
Relays around NAT), el control preciso de los límites de los paquetes y la confusión del
protocolo a través del abuso del navegador.
Se envía una solicitud HTTP POST grande con una ID y un formulario web oculto que
apunta a un servidor de ataque que ejecuta un rastreador de paquetes que se utiliza para
capturar el tamaño de MTU, tamaño de paquete de datos, tamaños de encabezado TCP e
IP, y posteriormente transmitir los datos de tamaño al cliente víctima a través de un
mensaje POST separado, también abusa de una función de autenticación en TURN, un
protocolo que se usa junto con NAT para retransmitir medios de cualquier par a otro
cliente en la red, para llevar a cabo un desbordamiento de paquetes y causar paquetes IP.
Prevenir
Vlan
El VLAN Hopping o salto de VLAN consiste en ingresar al flujo informático de redes
virtuales restringidas con el fin de atacar cualquier recurso que esté dentro de esos
sistemas. En otras palabras, los hosts atacantes tratan de pasar de VLAN en VLAN sin
levantar sospechas para robar información sensible, eliminar datos, implantar spyware,
instalar cualquier tipo de malwares, propagar virus, entre otras actividades criminales.
Prevenir
La mayoría de las medianas y grandes empresas destinan recursos de seguridad a las capas
más profundas de sus sistemas. Y por lo general, ignoran las dinámicas de conexión entre
hardware y software, por lo que dejan una puerta abierta hacia su tráfico diario.
Sin embargo, esta vulnerabilidad se puede eliminar con una estrategia temprana que
combine la fuerza de trabajo del equipo de IT y el apoyo de software de Security
Management. En primera instancia, el equipo de IT debe comprender cuáles son los
métodos e intenciones de los posibles atacantes. Con esta información, se pueden aplicar
procesos automatizados efectivos, ya sea en la detección de amenazas, el cumplimiento
de los protocolos y el reforzamiento de áreas específicas en los sistemas.
Para esa tarea, el modelo ATT&CK es de gran utilidad. Con este recurso, tu equipo puede
trazar el camino del atacante previo a su aparición para interceptar su entrada a la red
corporativa. Según el ATT&CK, la mayoría de los cibercriminales llevan a cabo tácticas
meticulosas para el reconocimiento de debilidades en los sistemas de las empresas
Trunkin
Prevenir
Para mitigar este ataque lo que se requiere básicamente es aplicar una serie de buenas
prácticas en cuanto a la configuración de switches que van a ser puestos en producción.
Vamos a ver los diferentes pasos con comandos de Cisco IOS:
Deshabilitar las negociaciones DTP (auto trunk) en puertos no troncales con switchport
mode access
Deshabilitar los puertos no usados con shutdown y además colocarlos en una VLAN no
usada con por ejemplo switchport access vlan 999
Habilitar manualmente en los puertos troncales el trunk link con switchport mode trunk
Deshabilitar las negociaciones DTP (auto trunk) en puertos troncales con switchport
nonegotiate
Configurar la VLAN nativa a otra VLAN distinta de la 1, usando el comando switchport
trunk native vlan número de VLAN.
De esta manera conseguimos que aunque un atacante intente enviar tráfico 802.1Q y DTP
los puetos de nuestro switch estén ya configurados de manera que sea inútil ese intento
de suplantación. Por ejemplo imaginemos el siguiente ejemplo:
WINDOWS LOCAL
Servidor
Cliente
KALI
Servidor
Cliente