Universidad Mariano Gálvez de Guatemala

Facultad de Ingeniería de Sistemas de Información

Maestría en Seguridad de Sistemas de Información
Seguridad en redes TCPIP
Jose Alejandro Guinea Rivera

Practica 0

Practica

Josbel Josué Gramajo Paiz

Carne: 1593-15-24587
Plan sábado
Sección “B”
27 de abril 2021
Describa y mencione vulnerabilidades y técnicas de protección.

Enrutamiento
Como seguramente sabrá, los protocolos de enrutamiento se pueden clasificar como
protocolos de puerta de enlace interiores o exteriores (IGP o EGP). Para el enrutamiento
de IP, el Border Gateway Protocol (BGP) es el único EGP actualmente de uso
generalizado; todos los demás protocolos de enrutamiento IP de uso común, incluidos
OSPF e IS-IS, son IGP. Aunque la misión de ambos tipos de protocolos de enrutamiento es
intercambiar información de ruta, la forma en que realizan el intercambio de información
difiere significativamente. Como cualquier dispositivo fuera de su dominio administrativo,
los enrutadores externos deben considerarse no confiables. BGP está diseñado para
funcionar junto con políticas de enrutamiento complejas para que tenga un control
detallado sobre qué información se comparte y acepta de pares externos. IGP, por otro
lado, debido a que están destinados a ejecutarse dentro de su dominio
administrativo, suponga que se puede confiar en todos los enrutadores dentro del
dominio de enrutamiento. Por lo tanto, los IGP están diseñados para hacer que la
interconexión y el intercambio de información sean lo más fáciles y abiertos posible.
La mayoría de los ataques lanzados contra los protocolos de enrutamiento tienen como
objetivo BGP porque es el protocolo de "cara al público" y, por lo tanto, el más accesible
desde el exterior. Pero nunca debe asumir que su IGP es seguro solo porque es interno a
su red. Los ataques maliciosos contra los IGP pueden ocurrir y ocurren, pero la propia
naturaleza de un IGP, para hacer que el intercambio de información sea lo más
transparente posible, también puede abrir el protocolo a una serie de problemas
accidentales.

Amenazas maliciosas
Un ataque contra un protocolo de enrutamiento intenta alterar el comportamiento
normal del protocolo de una de estas cuatro formas: [1]
[1] Abbie Barbir, Sandy Murphy y Yi Yang, "Amenazas genéricas a los protocolos de

enrutamiento", borrador-ietf-rpsec-routing-amenazas-06.txt, abril de 2004.

Divulgación El protocolo de destino divulga información de la red al atacante. Luego, esta
información puede estudiarse para aprovechar aún más las debilidades de la red.
Engaño Se engaña al protocolo de destino para que acepte los mensajes de enrutamiento
del atacante, creyendo que los mensajes provienen de un par legítimo.
Interrupción Se impide que el protocolo de destino funcione correctamente. Esto puede
ser el resultado de un ataque de denegación de servicio en el que los mensajes llegan a un
enrutador, sobrepasando sus recursos, o puede ser el resultado de simplemente
desconectar o romper algo.
Usurpación El atacante obtiene el control sobre el proceso del protocolo de enrutamiento
en uno o más enrutadores de red. La divulgación, el engaño o la interrupción se pueden
lograr haciendo que los paquetes se enruten a un dispositivo ilegítimo o simplemente se
bloqueen.
Un protocolo de enrutamiento puede verse comprometido por un atacante que obtiene
acceso físico a un enlace o enrutador. Dicho acceso puede resultar en un simple daño o en
la inserción de un dispositivo ilegítimo en el dominio del protocolo. El acceso físico casi
siempre es el resultado de un atacante "interno".
Un protocolo de enrutamiento también puede verse comprometido lógicamente, por
ejemplo, si un atacante envía mensajes de protocolo falsos o mal formados, o al obtener
acceso lógico (como Telnet o SNMP) a un enrutador. Los ataques lógicos se pueden lanzar
desde dentro o desde fuera del dominio del protocolo.
Un ataque puede estar dirigido a uno o más componentes funcionales de OSPF o IS-IS:
El protocolo de saludo Un mensaje de saludo falso con uno o más campos
intencionalmente incorrectos se puede utilizar para romper o secuestrar una adyacencia a
un par legítimo.
El proceso de inundación El envío de LSA o LSP falsificados, que afirman ser de
enrutadores existentes en el dominio, puede provocar grandes inundaciones y cálculos de
SPF a medida que los enrutadores reenvían LSA o LSP legítimos.
La base de datos de estado de enlace El envío de LSA o LSP falsificados desde enrutadores
"fantasmas" puede hacer que las LSA o LSP se acepten en la base de datos de LS, lo que
provoca un enrutamiento incorrecto. O bien, la base de datos puede simplemente llenarse
con LSA o LSP falsificados, lo que provoca un desbordamiento de la memoria.
Envejecimiento El envío de LSA o LSP falsificados que afirman ser de pares legítimos y que
han sido "vencidos" puede hacer que los LSA o LSP legítimos se eliminen temporalmente
de la base de datos de LS.
Números de secuencia Los LSA o LSP falsificados que afirman ser de pares legítimos
pueden contener un valor de número de secuencia máximo, lo que provoca la sustitución
del número de secuencia.
Proceso DR o DIS Un saludo falso con un campo DR / BDR o DIS nulo o ilegítimo, o con un
valor de alta prioridad, puede desencadenar la reelección o incluso hacer que otros
enrutadores acepten un DR o DIS inexistente, haciendo que la transmisión asociada o el
enlace NBMA no estén disponibles .
Opciones banderas banderas Opciones Spoofed pueden causar adyacencias o aceptación
de la información ilegítima rotos. Por ejemplo, un enrutador OSPF "fantasma" que envía
Hellos con el conjunto de bits E hace que el enrutador sea aceptado como ASBR, lo que a
su vez le permite inyectar información de enrutamiento externa ilegítima.
Una ruta "fantasma", un enrutador ilegítimo o una entidad lógica que establece una
adyacencia con uno o más enrutadores legítimos en la red, también puede montar
ataques en OSPF e IS-IS. La creación de un enrutador fantasma normalmente requiere
acceso a uno de los enlaces de red.
El software para sondear y atacar protocolos de enrutamiento está disponible para su
descarga. Un ejemplo bien conocido es el paquete de ataques de protocolo de
enrutamiento entre redes (IRPAS), que proporciona un conjunto de aplicaciones para el
escaneo activo y pasivo de la actividad del protocolo y para paquetes de protocolos de
enrutamiento personalizados.
Amenazas no maliciosas
Las amenazas no maliciosas a los protocolos de enrutamiento son el resultado de una
configuración incorrecta o un problema de implementación. Cuando un problema no
malintencionado altera el comportamiento del protocolo, el resultado casi siempre es una
interrupción de algún tipo. Sin embargo, el resultado también podría ser abrir el protocolo
a un ataque malintencionado.
En muchos casos, el resultado de un error de configuración es inofensivo. Por ejemplo, al
traer un nuevo enrutador a la red, una configuración incorrecta podría evitar que
aparezcan todas las adyacencias esperadas. Los vecinos que faltan son evidentes y el
problema se puede identificar y corregir rápidamente. Otros problemas pueden ser más
sutiles. Una métrica de interfaz incorrecta puede resultar en un enrutamiento
subóptimo; Es posible que los temporizadores incorrectos no tengan ningún efecto hasta
que el protocolo no pueda responder correctamente a un problema de red.
Por otro lado, un error de configuración puede ser desastroso. No habilitar la
autenticación o el filtrado podría dejar una puerta abierta para un atacante. Los errores de
política pueden derribar el protocolo. El ejemplo más evidente de un problema de política,
y uno que todavía ocurre con una frecuencia sorprendente, es la redistribución de rutas de
Internet completas desde BGP a OSPF o IS-IS. Tal error puede ocurrir en un solo enrutador,
pero el resultado suele ser un colapso en todo el sistema, ya que decenas de miles de
prefijos externos se inundan en todo el dominio. Corregir el problema no es simplemente
eliminar la política mal configurada o "desconectar" la interfaz de intercambio de tráfico
de Internet. En una red grande, donde borrar los prefijos de las bases de datos de LS en
todo el dominio requiere un apagado y reactivación sistemáticos del protocolo en muchos
enrutadores, La recuperación significa horas de arduo trabajo, todo mientras la red está
inactiva y todo bajo un aluvión de llamadas de clientes y ejecutivos enojados. No es lindo.
Los problemas de implementación son culpa del codificador o proveedor del software de
enrutamiento. El problema puede ser una implementación generalmente pobre o un error
en una implementación de protocolo estable. El resultado puede ser un rendimiento
deficiente o una alta tasa de fallas. Y los atacantes son rápidos para identificar y explotar
implementaciones deficientes o con errores.

Prevenir
Idealmente, nos gustaría proteger todos los hosts de Internet, pero siendo realistas,
generalmente son los servidores los que presentan el mayor objetivo. Proponemos, en
consecuencia, proporcionar una red virtual protegida para aquellos servidores que deseen
estar mejor defendidos. Un ISP que brinde dicha protección podría cobrar una tarifa
superior por el servicio, lo que brinda un incentivo claro para la implementación. La
solución está destinada a extenderse a una red de muchos ISP colaboradores.
 Configuraciones de Ips

Es un tipo de ataque informático, también conocido como redirección o secuestro de DNS,

donde el atacante logra alterar los servidores DNS para que las consultas de resolución de
nombres se resuelvan incorrectamente y redirijan inesperadamente a los usuarios a sitios
maliciosos.

De esta forma, cuando el dispositivo de la víctima consulta por el dominio “ejemplo.com”,

el DNS malicioso responde con la dirección IP de un sitio fraudulento, diferente al original,
y logra direccionar la conexión de la víctima.

Cómo puede un atacante alterar los DNS: tipos de ataque.

Un atacante puede alterar los DNS de diversas maneras, entre ellas: infectando a la
víctima con un código malicioso, tomando el control del router de una red o interceptando
la comunicación DNS.

En este sentido, existen 3 tipos de ataques para redireccionar el DNS:

1. DNS Hijack local

El atacante logra comprometer el dispositivo de la víctima y altera la configuración local

del DNS.

2. Router DNS Hijack

El atacante logra tomar el control del router de la víctima (ya sea por una mala
configuración o por alguna vulnerabilidad en el router) y reescribe la configuración DNS
del equipo, afectando a todos los usuarios conectados a la red.

3. MitM DNS attack:

El atacante logra interceptar la comunicación entre el usuario y el servidor DNS legítimo, y

altera la respuesta del servidor con una IP de destino que apunta a un sitio malicioso.

El principal objetivo de este tipo de ataques es redireccionar a la víctima a sitios

fraudulentos, que en su mayoría suelen ser de Phishing, y así lograr obtener usuarios,
contraseñas, tarjetas de crédito y todo tipo de información confidencial. También es
ampliamente utilizado para redireccionar al usuario a sitios publicitarios o mostrar
adware, lo que le genera al atacante una ganancia económica.
¿Cómo darme cuenta si estoy siendo víctima de DNS Hijack?
Dado que el ataque se basa en alterar los DNS para redirigir las consultas de nombres a un
servidor malicioso, la primera verificación que podemos hacer es ver qué servidores están
resolviendo nuestras consultas. Una forma es revisar la configuración de red local de
nuestro equipo, pero esto muchas veces nos dará escasa información o solo servirá para
descartar casos de Hijack local.

En el siguiente ejemplo, vemos la configuración IP de un equipo Windows (utilizando el

comando ipconfig/all). Acá es importante diferenciar lo que es el Sufijo DNS con los
servidores DNS, siendo que son estos últimos los que recibirán las consultas de nombres y
nos devolverán la IP. Por el contrario, el sufijo DNS solo es utilizado en redes locales
cuando realizamos la consulta por un nombre de equipo sin especificar un dominio. Es
decir, en este caso, si consultara por la IP del equipo “prueba1” sin aclarar ningún
dominio, mi dispositivo automáticamente entenderá que estoy buscando la IP de
“prueba1.ejemplo.net”.

La confusión entre el Sufijo DNS y los servidores DNS per ser, fue lo que causó muchos de
los reclamos de usuarios argentinos al proveedor de Internet. El hecho de que nuestro
router o nuestra configuración tenga un Sufijo DNS diferente al que esperamos no significa
que estamos siendo víctimas de un ataque, sino que simplemente no se sobrescribió esa
configuración en el router.

Sin embargo, en la configuración local del equipo rara vez veremos realmente cual es el
servidor DNS público que está resolviendo nuestras consultas, ya que normalmente la IP
que asigna la mayoría de los DHCP de routers hogareños es la del propio router.

Por lo tanto, para verificar si nuestros paquetes DNS están siendo respondidos por una
fuente confiable, la mejor manera de confirmarlo es hacer una consulta pública y verificar
qué servidores son los que la están respondiendo. Para esto, podemos utilizar sitios de
verificación de DNS, similares a los que utilizamos para averiguar nuestra IP Pública.
Algunos que pueden utilizar son:

DNS Leak Test:

Servicio que permite detectar los servidores DNS que están respondiendo tus consultas. Es
recomendable realizar la prueba extendida, la cual permite descubrir todos los servidores
DNS por los que está pasando tu consulta.

What’s my DNS Server:

Este servicio es muy sencillo de utilizar y con un solo clic permite saber cuál es el servidor
DNS que está resolviendo las consultas, así como también si el mismo es confiable o está
denunciado como fraudulento.
Prevenir
El primer paso es asegurar la red, y para eso es indispensable tener un router seguro,
correctamente configurado y actualizado.

Como regla general, lo ideal es siempre tener el control del router de nuestra red y así
poder asegurarnos de que esté configurado de forma segura. El problema se presenta
muchas veces con los equipos del proveedor de Internet, ya que muchos ISP no le
entregan al usuario la administración del router o el modem que proveen. Si este es tu
caso, tienes dos opciones, pero para ambas deberás conseguir un router propio.

La primera opción, y lo ideal, es pedirle a tu proveedor de Internet que configure su router

en modo bridge (puente). Es decir, que el router del proveedor le asigne a tu router
directamente la IP pública que utilizará para navegar por Internet. Luego, configuras tu
router para que tome IP WAN de manera dinámica y sobreescribes los DNS con algunos
que sean de tu confianza.

La segunda opción, en caso de que la configuración anterior no sea factible, es configurar

una nueva red LAN con tu propio router. En este caso tu router tendrá dos IPs privadas, la
IP de LAN a la que se conectaran tus equipos, y otra IP privada que utilizará en el puerto
WAN para comunicarse con el router del ISP. En este caso es muy importante deshabilitar
la función WiFi del router del proveedor y configurar el DHCP en nuestro propio equipo
con DNS de confianza.

Subnetting

La división en subredes de red segrega los dispositivos de red mediante una red lógica.

Esta red lógica, o subred, tendrá una dirección IP de enrutador separada y una máscara de
subred separada para aislar el tráfico de esa subred de otras subredes.
La división en subredes se usa a menudo en combinación con listas de control de acceso
(ACL) para controlar el tráfico y limitar qué redes y hosts pueden comunicarse
directamente entre sí en la red. Esto es superior a depender solo de una ACL porque
reduce la complejidad de la ACL para la administración.

Cuando se implementan correctamente, los dispositivos de subred no deben comunicarse

con dispositivos en otras subredes sin pasar por un dispositivo (enrutador, conmutador,
firewall interno, etc.) que pueda controlar el tráfico. De esta manera, cada subred debe
estar aislada de las demás y al mismo tiempo ayudar a aislar a los atacantes.

Sin embargo, la división en subredes por sí sola no equivale a mejorar la seguridad.

A menudo, un escaneo rápido de puertos usando Nmap o una herramienta similar
revelará puertos abiertos, incluso entre redes en subredes. A menos que los puertos de la
red estén controlados, la red sigue siendo vulnerable a una serie de ataques que
aprovecharán los puertos abiertos.

Por lo tanto, puede resultar más eficaz segregar completamente la red mediante la
segmentación de la red para crear una red segura.
La segmentación de la red es la idea de crear subredes dentro de una red corporativa o
empresarial o algún otro tipo de red informática general. Permite la contención de
malware y otras amenazas, y puede agregar eficiencia en términos de rendimiento de la
red.

También es importante saber que las subredes y los segmentos no son intercambiables ni
exclusivos.

Se puede crear una subred para contener múltiples segmentos de red y un segmento de
red se puede crear para contener múltiples subredes. Esto es una forma larga de decir:
asegúrese de consultar a un experto en el diseño de su red.

Al igual que con la división en subredes, la creación de segmentos de red tiene beneficios
de rendimiento, pero hoy nos centraremos en los beneficios de seguridad. Al utilizar una
red de área local virtual (VLAN), un administrador de red puede crear una zona de
seguridad que contenga un grupo de máquinas o sistemas con perfiles de seguridad
comunes.

Dos ejemplos de eso serían una red de alta seguridad que contenga datos PCI y un perfil
de seguridad más bajo para una red wifi para invitados. Al igual que con las subredes, el
tráfico entre estos segmentos debe supervisarse y controlarse.

Si el tráfico entre segmentos se deniega de forma predeterminada y solo se permite según

reglas específicas, una organización puede disfrutar de estos beneficios de seguridad
descritos por TechFunnel :

Seguridad mejorada: a través del aislamiento y el filtrado de datos entre segmentos

Mejor control de acceso: los usuarios y las aplicaciones pueden asignarse a segmentos
específicos por función de trabajo o por nivel de seguridad.
Mejor contención: la comunicación limitada entre los segmentos de la red controla los
brotes automatizados
Supervisión mejorada: los eventos de registro específicos de un segmento brindan a los
investigadores información más rápidamente y con menos ruido (investigar un problema
en 5 computadoras es más rápido que 500)
Seguridad de datos más sólida: así como los empleados pueden asignarse a un segmento,
también lo pueden hacer los datos. Esto permite un monitoreo más estricto y niveles de
seguridad más estrictos para los datos más valiosos.
 Generalmente, la segmentación de la red se ha implementado con zonas anidadas de
mayor seguridad, a veces llamadas configuración norte-sur.

Por ejemplo, en una zona más externa como DMZ, un firewall y un estándar de seguridad
más bajo protegerán las máquinas en esa zona y un segundo dispositivo (firewall, etc.)
segregará esa zona de las zonas de mayor seguridad más profundas en el red de la
empresa.

Sin embargo, dentro de una zona de seguridad específica, normalmente hay menos
protección entre los usuarios y las máquinas. Este flujo de datos a menudo se denomina
tráfico de este a oeste, y ahora se recomienda la microsegmentación para aumentar la
seguridad de esta categoría de tráfico.

DHCP

Es un ataque que consiste en inundar con peticiones DHCP REQUEST al servidor DHCP, con
direcciones MAC falseadas y con el objetivo de agotar su espacio de direcciones
asignables. El objetivo es que el servidor DHCP no sea capaz de responder a otros clientes.

DHCP rogue server

Un DHCP rogue server es un servidor que se encuentra en la red fuera del control del
administrador de la misma para hacer ataques de tipo MITM modificando los parámetros
de red que reciben los equipos de la red. Tiene el inconveniente de que no puede
asegurarse que reciba la configuración los equipos del servidor atacante al existir un
atacante legítimo en la red.

DHCP Ack Injection attack

Tipo de ataque que mejora la utilización de un DHCP rogue server para hacer DHCP
spoofing ya que se asegura de que los equipos reciban la configuración del servidor
atacante.

Dado que toda la comunicación DHCP se realiza enviando los paquetes a la dirección MAC
de broadcast FF:FF:FF:FF:FF:FF todos los clientes de la LAN reciben los paquetes DHCP. Así
que existe la posibilidad de que un atacante monitorice los intercambios DHCP y en un
determinado punto de la comunicación envíe un paquete especialmente formado para
modificar su comportamiento.

Uno de los puntos donde nos interesaría intervenir es cuando el servidor reconoce con un
DHCP ACK la configuración del cliente. Primero se tiene que escuchar toda la
comunicación poniendo atención en el paquete REQUEST donde el cliente solicita la IP,
DNS, Gateway de aquellos datos que anteriormente le ha ofrecido el servidor DHCP.
Una vez recibido el REQUEST el atacante responde con un ACK como lo haría el servidor DHCP real
pero estableciendo la configuración de red modificada.

Prevenir

VACL (Vlan Access List)

VACLs proporcionan control de acceso a todos los paquetes que se incluyen dentro de la
VLAN permite filtrar paquetes a determinados puertos. Habría que bloquear el tráfico
proveniente del puerto 67 para aquellos puertos del switch destinados al usuario final. El
problema de esta contramedida es que podría evadirse fácilmente si se falsifica la MAC e
IP de los paquetes (y que en el caso de DHCP Ack Inyector es posible)

DHCP snooping

Provee una protección más fiable.

La idea de esta funcionalidad es diferenciar entre dos tipos de puertos en un entorno

conmutado: por una lado puertos confiables (trusted port) y, por otro, puertos no
confiables (untrusted host). Los primeros no tendrán restricciones de cara al tipo de
mensajes DHCP que puedan recibir, puesto que serán aquellos conectados a un entorno
controlado (en este caso a los servidor/servidores DHCP). Sin embargo, los segundos
únicamente podrán enviar aquellos paquetes que en condiciones normales un cliente
necesita enviar para conseguir su configuración DHCP (DHCPDiscover, DHCPRequest,
DHCPRelease). Los untrusted port por tanto serán configurados en aquellos puertos
conectados a los usuarios finales y en el caso de que dicho puerto reciba un paquete
suplantado DHCPoffer, un DHCPack, o DHCPNack (este es el caso de DHCP Ack Inyector),
serán bloqueados.

NAT
NAT Slipstreaming explota el navegador del usuario junto con el mecanismo de
seguimiento de conexión Application Level Gateway (ALG) integrado en NAT, routers y
firewalls al encadenar la extracción de IP interna a través de un ataque de tiempo o
WebRTC, el descubrimiento de fragmentación de IP y MTU remoto automatizado, tamaño
de paquete TCP del mensaje, el uso indebido de la autenticación TURN (Traversal Using
Relays around NAT), el control preciso de los límites de los paquetes y la confusión del
protocolo a través del abuso del navegador.

NAT Slipstreaming funciona aprovechando la segmentación de paquetes TCP e IP para

ajustar de forma remota los límites del paquete y usándolo para crear un paquete
TCP/UDP comenzando con un método Session Initiation Protocol (SIP) como REGISTER o
 INVITE. SIP es un protocolo de comunicaciones que se utiliza para iniciar, mantener y
finalizar sesiones multimedia en tiempo real para aplicaciones de mensajería, video y voz.
Por lo que, se puede utilizar una combinación de segmentación de paquetes y solicitudes
SIP de contrabando en HTTP para engañar a NAT ALG para que abra puertos arbitrarios
para conexiones entrantes al cliente.

Se envía una solicitud HTTP POST grande con una ID y un formulario web oculto que
apunta a un servidor de ataque que ejecuta un rastreador de paquetes que se utiliza para
capturar el tamaño de MTU, tamaño de paquete de datos, tamaños de encabezado TCP e
IP, y posteriormente transmitir los datos de tamaño al cliente víctima a través de un
mensaje POST separado, también abusa de una función de autenticación en TURN, un
protocolo que se usa junto con NAT para retransmitir medios de cualquier par a otro
cliente en la red, para llevar a cabo un desbordamiento de paquetes y causar paquetes IP.

Prevenir

• Considerar deshabilitar el ALG en router/firewall a nivel de perimetro.

• Restringir la capacidad (permisos) de los usuarios para instalar y ejecutar aplicaciones de

software no deseadas. No agregar usuarios al grupo de administradores locales a menos
que sea necesario.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad

informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la

organización.

** Es importante que previamente en ambiente de desarrollo se valide y confirme a nivel

de los servicios, con el propósito de aplicar los cambios de manera controlada.

Vlan
El VLAN Hopping o salto de VLAN consiste en ingresar al flujo informático de redes
virtuales restringidas con el fin de atacar cualquier recurso que esté dentro de esos
sistemas. En otras palabras, los hosts atacantes tratan de pasar de VLAN en VLAN sin
levantar sospechas para robar información sensible, eliminar datos, implantar spyware,
instalar cualquier tipo de malwares, propagar virus, entre otras actividades criminales.

El salto de VLAN puede ocurrir en cualquier momento de la jornada laboral e ingresar a

través de cualquier perfil dentro de la red. En este caso, existen dos formas principales de
obtener accesos a través de saltos:
1 Switched spoofing o falsificación de identidad de switches
Con este método, el atacante se hace pasar por un switch de la red de la víctima para
engañar el DTP legítimo y crear un enlace troncal. De esta forma, podrá tener acceso a
toda la información que sea transmitida de un punto a otro, así como viajar de LAN en LAN
sin levantar sospechas. La falsificación de identidad de switches Cisco es el ataque más
común y solo puede ocurrir cuando los puertos Ethernet se encuentran en modo de
trabajo Auto o Desirable.

2 Double tagging o doble etiquetado

El VLAN Hopping de doble etiquetado se hace a través de un cambio en las etiquetas del
marco Ethernet. Este cambio en la configuración genera un enlace troncal y permite que el
ID del atacante sea considerado como VLAN nativa, a partir de ese momento, el atacante
puede enviar y recibir datos de la red corporativa.

Prevenir
La mayoría de las medianas y grandes empresas destinan recursos de seguridad a las capas
más profundas de sus sistemas. Y por lo general, ignoran las dinámicas de conexión entre
hardware y software, por lo que dejan una puerta abierta hacia su tráfico diario.

Sin embargo, esta vulnerabilidad se puede eliminar con una estrategia temprana que
combine la fuerza de trabajo del equipo de IT y el apoyo de software de Security
Management. En primera instancia, el equipo de IT debe comprender cuáles son los
métodos e intenciones de los posibles atacantes. Con esta información, se pueden aplicar
procesos automatizados efectivos, ya sea en la detección de amenazas, el cumplimiento
de los protocolos y el reforzamiento de áreas específicas en los sistemas.

Para esa tarea, el modelo ATT&CK es de gran utilidad. Con este recurso, tu equipo puede
trazar el camino del atacante previo a su aparición para interceptar su entrada a la red
corporativa. Según el ATT&CK, la mayoría de los cibercriminales llevan a cabo tácticas
meticulosas para el reconocimiento de debilidades en los sistemas de las empresas

Trunkin

En un ataque de VLAN hopping el objetivo del atacante es conseguir generar tráfico

malicioso y que este llegue a otra VLAN evadiendo la configuración de la red que las esté
gestionando. El atacante en este caso de switch spoofing, configura su host para actuar
como un switch y de esta manera aprovecharse de las funciones de trunk automático.
Para aprovechar este auto trunk por defecto, el atacante configura su host para lanzar
señales falsas de 802.1Q (standard de red que da soporte a VLANs sobre una red 802.3
Ethernet) y de DTP (Dynamic Trunking Protocol es un protocolo propietario de Cisco que
permite negociar el trunking en un link entre dos switches y el tipo de encapsulamiento a
usar).
 De esta manera y si el switch legítimo en la red no se ha protegido contra este ataque, el
atacante conseguirá establecer un trunk link contra el switch y por lo tanto acceder a
todas las VLAN configuradas en el mismo. Desde ese momento el atacante puede taggear
el tráfico para llegar a cualquiera de ellas.

Prevenir
Para mitigar este ataque lo que se requiere básicamente es aplicar una serie de buenas
prácticas en cuanto a la configuración de switches que van a ser puestos en producción.
Vamos a ver los diferentes pasos con comandos de Cisco IOS:

Deshabilitar las negociaciones DTP (auto trunk) en puertos no troncales con switchport
mode access
Deshabilitar los puertos no usados con shutdown y además colocarlos en una VLAN no
usada con por ejemplo switchport access vlan 999
Habilitar manualmente en los puertos troncales el trunk link con switchport mode trunk
Deshabilitar las negociaciones DTP (auto trunk) en puertos troncales con switchport
nonegotiate
Configurar la VLAN nativa a otra VLAN distinta de la 1, usando el comando switchport
trunk native vlan número de VLAN.
De esta manera conseguimos que aunque un atacante intente enviar tráfico 802.1Q y DTP
los puetos de nuestro switch estén ya configurados de manera que sea inútil ese intento
de suplantación. Por ejemplo imaginemos el siguiente ejemplo:

Puertos FastEthernet 0/1 a 0/8 son puertos activos de acceso

Puertos FastEthernet 0/9 a 0/20 no están en uso
Puertos FastEthernet 0/21 a 0/24 son trunk
Los comandos serían los siguientes

S1(config)# interface range fa0/1 - 8

S1(config-if-range)# switchport mode access
S1(config-if-range)# exit
S1(config)#
S1(config)# interface range fa0/9 - 20
S1(config-if-range)# switchport mode access
S1(config-if-range)# switchport access vlan 999
S1(config-if-range)# exit
S1(config)#
S1(config)# interface range fa0/21 - 24
S1(config-if-range)# switchport mode trunk
S1(config-if-range)# switchport nonegotiate
S1(config-if-range)# switchport trunk native vlan 1000
S1(config-if-range)# end
S1#
Cree un chat utilizando la herramienta netcat y utilice wireshark /
tshark / tcpdump para leer el trafico entre el cliente y el servidor.

WINDOWS LOCAL

Servidor

Cliente
 KALI
Servidor
Cliente

Captura de paquetes desde el servidor