Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1 //Escenario
Escenario25
Lectura Fundamental
Protección
Etapas de undeplan
redes
deLAN
comunicación
estratégica
Contenido
1 Ataques de red
2 Tipos de ataques
3 Mitigación de ataques
Palabras clave: Ataques de red, denegación de servicio, elevación de privilegios, mitigación, Sniffer,
spoofing.
1. Ataques de red
Las redes internas de las compañías están expuestas a actividades maliciosas que buscan tener
acceso a información confidencial o desestabilizar la comunicación entre sistemas. A nivel de
ataques, el objetivo del mismo cambia de acuerdo con los intereses del individuo que lo va a
realizar: ataques externos que son propiciados desde internet, propagación de malware (virus,
gusanos, troyanos, ransomware), ataque utilizando ingeniería social y ataques dirigido a la red
LAN.
En el desarrollo de esta lectura se hablará acerca de los ataques LAN, cómo funcionan y qué
mecanismos de prevención y control se pueden utilizar para mitigar este tipo de ataques los
cuales, aunque son muy conocidos, muchas veces no se toman las precauciones pertinentes.
2. Tipos de ataques
Los ataques destinados a la red LAN tienen fines específicos que buscan afectar alguno de los
principios de la seguridad (confidencialidad, integridad o disponibilidad), todo depende de la
vulnerabilidad que identifique el atacante. Dentro de los tipos de ataques se encuentran:
Ataques de Hombre en el Medio (Man in the Middle): El atacante busca capturar – interceptar
información poniéndose en la mitad de la comunicación entre dos dispositivos. En este tipo de
ataque, la víctima no percibe que está siendo atacado.
POLITÉCNICO GRANCOLOMBIANO
POLITÉCNICO GRANCOLOMBIANO 2
• Ataques a protocolos de enrutamiento: Ataques generados en la capa 3 del modelo
de referencia OSI donde el atacante aprovecha el funcionamiento por defecto de los
protocolos de enrutamiento para anunciarse dentro de la red y establecer adyacencia.
Un ataque MiTM conocido como “hombre en el medio” tiene como propósito desviar o
controlar la comunicación entre dos equipos y tener acceso a la información a partir de la
captura del tráfico.
Una vez el atacante ha logrado interceptar la comunicación, utilizar herramientas como
wireshark para visualizar el tráfico interceptado y manipularlo.
Como la técnica de los ataques de Hombre en el Medio (MiTM -man in the middle) es la
escucha de comunicaciones, hay otro tipo de ataques que tienen el mismo objetivo:
POLITÉCNICO GRANCOLOMBIANO
POLITÉCNICO GRANCOLOMBIANO 3
»» ARP Poisoning
Este tipo de ataque se realizará a través del envenamiento del cache ARP de dos dispositivos.
Para realizarlo, el atacante debe contar con el acceso a la red LAN ya se por red inalámbrica o
red cableada y tener definido el objetivo y objetivos víctima.
Para entender el funcionamiento de este ataque es importante comprender cómo funciona
la red a nivel de ARP: Para que un dispositivo pueda conectarse a los recursos de una red
corporativa, debe contar con una dirección IP asociada a una máscara de red para identificar
el origen de los paquetes enviados, así como la recepción cuando tenga alguna respuesta, así
mismo, una dirección IP de la puerta de enlace de la red indica la ruta para que estos paquetes
salgan desde un origen hacia un destino. Las puertas de enlace generalmente son dispositivos
de capa 3 (switch principal o router) que pueden redireccionar el tráfico ya que tienen el
contexto de la red.
A nivel de capa dos cada dispositivo cuenta con una dirección MAC que es un identificador
físico único el cual permite la comunicación de las tramas a nivel de capa 2.
¿Por qué es importante esta información? Porque a nivel de ARP, los dispositivos construyen
una tabla donde asocian una dirección IP con la dirección MAC del dispositivo que tiene esta
IP.
POLITÉCNICO GRANCOLOMBIANO
POLITÉCNICO GRANCOLOMBIANO 4
Dir. IP: 1.1.1.1/24 Router
MAC: 00-50-56-C0-00-01 Default Gateway
de la red
PC_A
Víctima
Dir.IP: 1.1.1.2/24
Gateway: 1.1.1.1 1.1.1.1 ha cambiado su
MAC a 00-0C-56-C0-4A-74
Figura 3. ARP Poisoning
Fuente: Elaboración propia
En la figura 3, se observa una red que está siendo afectada por un ataque ARP poisoning, El
atacante se encuentra conectado en el mismo segmento de red de la víctima. Es entonces
donde el atacante envía un Gratuitous ARP indicando al dispositivo víctima que la dirección
MAC del default Gateway ha cambiado y, por lo tanto, todos los paquetes deben ser
entregado a la dirección MAC indicada. En el caso del ejemplo; se observar que el default
Gateway legítimo que tiene la dirección IP 1.1.1.1 tiene una MAC cuyos últimos bits terminan
en C0:00:01, Al enviar el Gratuitos ARP el equipo víctima conocerá el default Gateway
1.1.1.1 a través de la MAC terminada en 4A-74 la cual corresponde a la dirección MAC del
dispositivo del atacante.
POLITÉCNICO GRANCOLOMBIANO
POLITÉCNICO GRANCOLOMBIANO 5
Cuando el PC_A realice cualquier tipo de consulta, los paquetes serán enviados al default
Gateway malicioso (dispositivo atacante PC_B), este tomará la captura de paquete y de forma
inmediata re direcciona la petición al default Gateway de red legítimo. Este proceso se realiza
en cuestión de milisegundos y es por esta razón que el usuario final en la mayoría de ocasiones
no percibe problema alguno.
»» DHCP Spoofing
Este tipo de ataque busca suplantar el servidor DHCP que asigna el direccionamiento IP
dentro de una red corporativa. EL atacante coloca el equipo malicioso en la red de usuarios
y en el momento que un equipo solicite una dirección IP automática, el servidor DHCP
malicioso será el que responda las peticiones (Discover, Offer, Request y ACK).
El punto de éxito de este tipo de ataque, es que el servidor DHCP malicioso sea el primero
que dé respuesta a las peticiones realizadas por el usuario. Generalmente los servidores
DHCP se encuentran en un segmento de red diferente y en muchos casos en una zona
desmilitarizada.
Cuando el servidor DHCP malicioso entrega direccionamiento a la máquina víctima, el default
gateway asignado es el mismo servidor malicioso, lo cual permite que se puedan realizar
capturas del tráfico antes de ser reenviado al default Gateway real.
Solicitud
Dirección IP
Solicitud
Dirección IP
Víctima A
Víctima B Víctima C
POLITÉCNICO GRANCOLOMBIANO
POLITÉCNICO GRANCOLOMBIANO 6
»» CAM Overflow
Este ataque es dirigido a dispositivos de capa 2. Los switches manejan una tabla CAM (tabla
de memoria direccionable de contenido) que tiene una capacidad de entradas limitadas de
direcciones MAC. Un atacante conectado a un puerto de red, puede enviar una gran cantidad
de direcciones MAC haciendo que la tabla se llene e inunde el tráfico que recibe por todos los
puertos del swicth.
Cuando sucede este tipo de escenarios, el atacante puede capturar la información de todos
los computadores conectados, logrando colocarse en el medio de la comunicación que en
este caso es general.
Este tipo de ataque tiene un impacto directo a la disponibilidad de los servicios, los ataques de
denegación de servicio (DoS) se caracterizan por el envío de múltiples peticiones dirigidas a
un objetivo específico causando desde la degradación de servicio hasta indisponibilidad.
Dentro de los ataques de red que causan denegación de servicios se menciona el ataque
DHCP Starvation.
»» DHCP Starvation
Este tipo de ataque tiene como objetivo agotar el direccionamiento IP que puede asignar
dinámicamente un servidor DHCP. El atacante que está conectado a la red utiliza programas
para generar múltiples solicitudes de asignación de IP enviando direcciones MAC aleatorias
hasta causar el agotamiento de direcciones. Cuando un usuario legítimo requiere conectarse
a la red, el servidor DHCP no tiene la manera de asignar una IP del pool de las direcciones
asignado y por ende el usuario no se puede conectar a la red. Si este escenario ocurre cuando
los empleados llegan a las instalaciones a trabajar va a generar una denegación de servicio
completo.
POLITÉCNICO GRANCOLOMBIANO
POLITÉCNICO GRANCOLOMBIANO 7
Servidor DHCP
Computador Computador
Corporativo Corporativo
POLITÉCNICO GRANCOLOMBIANO
POLITÉCNICO GRANCOLOMBIANO 8
Una vez efectuado el ataque, se puede realizar captura de información a través de un sniffer.
3. Mitigación de ataques
Ante los diferentes tipos de ataques que pueden ser efectuados a una red, se buscan estrategias
que protejan las comunicaciones de los usuarios y aseguren la disponibilidad de los servicios.
La mitigación de ataques de red es una de las labores más importantes dentro de las
organizaciones ya que permite la disminución de los riesgos en la compañía. El administrador
debe fortalecer la seguridad de la red implementando protecciones que ayuden a prevenir
cualquier tipo de ataque.
A continuación, se relaciona los mecanismos de mitigación que son de gran ayuda para el
aseguramiento de redes.
»» Port Security
Funcionalidad a nivel de capa 2 que limita la cantidad de direcciones MAC que pueden estar
conectadas a un puerto de un switch. Con el comando port-security se puede definir un
número máximo de direcciones MAC que el puerto permitirá el acceso, como también tomar
acciones en caso que se exceda el número de MAC conectadas. Habilitando esta mitigación,
se busca evitar ataques de inundación de la tabla CAM que ocasionan denegación de servicio
debido a la deficiencia en la respuesta a las peticiones reales.
Según las mejores prácticas, se recomienda habilitar la funcionalidad únicamente en puertos
de acceso y no en puertos troncales o que se encuentren en estado “dymanic Access”.
»» DHCP Snooping
El funcionamiento de un servidor DHCP es asignar direcciones IP a los dispositivos que
realicen la petición a través del intercambio de paquetes broadcast (discover, offer, request y
ack) entre el dispositivo solicitante y el servidor DHCP. La funcionalidad DHCP Snooping
filtra las conexiones de servidores DHCP no confiables, al manejar una tabla de asociaciones
que contiene información de dirección MAC, Dirección IP, arrendamiento de IP. ID de la
VLAN y puerto de conexión.
POLITÉCNICO GRANCOLOMBIANO
POLITÉCNICO GRANCOLOMBIANO 9
Para habilitar la funcionalidad se configura el puerto donde estará conectado el servidor
DHCP legítimo, al realizar dicha configuración, los demás puertos del switch serán definidos
como no confiables a nivel de DHCP.
Ejemplo de configuración:
»» Configuración Global
• Habilitar funcionalidad globalmente: ip dhcp snooping.
»» Configuración por interfaz
• Habilitar la configuración de puerto confiable donde estará el servidor DHCP legítimo:
ip dhcp snooping trust.
»» IP Source Guard
En una funcionalidad que detecta y elimina posibles ataques de suplantación de una dirección
IP especifica. Este ataque genera denegación de servicios, ya que los paquetes no regresan al
origen.
Cuando se configura IP Source Guard, se asocia la dirección IP específica con la dirección
MAC del dispositivo legítimo. Para su funcionamiento adecuado, se debe habilitar en paralelo
las características de DHCP snooping e IP source binding.
¿Cómo se configura? El ejemplo relacionado a continuación, muestra los comandos para
habilitar la funcionalidad (remitirse al documento del fabricante para mayor información).
Ip dhcp snooping: Habilita DHCP snooping globalmente
Ip dhcp snooping vlan XX: Habilita DHCP snooping en VLANs específicas.
Interface g x/x: Ingresar al modo de configuración de la interface
Ip verify source vlan dhcp-snooping: Habilita la funcionalidad IP source guard filtrando la
dirección IP origen en el puerto, apoyándose en la funcionalidad de DHCP Snooping.
POLITÉCNICO GRANCOLOMBIANO
POLITÉCNICO GRANCOLOMBIANO 10
»» Dynamic ARP Inspection (DAI)
Funcionalidad de seguridad que ayuda en la prevención de ataques man in the middle,
asociado con ataques ARP poisoning.
El Switch maneja un atabla donde lleva el registro del puerto, la dirección MAC, y la dirección
IP del dispositivo. EN el momento que un atacante conectado a un puerto que tiene la
funcionalidad habilitada cambia su dirección MAC, el Dynamic ARP Inspection (DAI)
detecta este cambio como sospechoso y bloquea el puerto.
Así mismo, si detecta que un equipo está tratando de enviar mensajes tipo gratuitous ARP, el
(DAI) detecta este comportamiento como sospechoso y bloquea el puerto.
»» Configuración DAI:
Ip arp Inspection vlan: Habilita la funcionalidad Dynamic Arp Inspection en VLANs
específicas.
Comando para verificar que VLAN tiene habilitada la funcionalidad: show ip arp inspection
vlan
POLITÉCNICO GRANCOLOMBIANO
POLITÉCNICO GRANCOLOMBIANO 11
Interface g x/x
ip address x.x.x.x 255.255.255.0
ip ospf authentication-key (definir contraseña)
router ospf 10
network x.x.x.x 0.0.255.255 area 0
area 0 authentication
Comandos de configuración autenticación con algoritmo de cifrado:
interface Ethernet0
ip address x.x.x.x 255.255.255.0
ip ospf message-digest-key 10 md5 (definir contraseña)
router ospf 10
network x.x.x.x 0.0.255.255 area 0
area 0 authentication message-digest
Nota: Para más información, remitirse a las guías de configuración de autenticación del
protocolo de enrutamiento.
POLITÉCNICO GRANCOLOMBIANO
POLITÉCNICO GRANCOLOMBIANO 12
Referencias
Barker, K., & Morris, S. (2013). CCNA Security 640-554. Official Cert Guide. New York, EE.
UU.: Pearson Education.
Douligeris, C., & Serpanos, D. (2007). Network Security. Current Status and Future Directions.
Hoboken, EE. UU.: John Wiley & Sons.
Griera, J., et ál. (2008). Estructura de redes de computadores. Barcelona, España: UOC.
Odom, W. (2015). CCNA Routing and Switching 200-125 Official Cert Guide Library.
Indianápolis, EE. UU.: Ciscopress.
INFORMACIÓN TÉCNICA
POLITÉCNICO GRANCOLOMBIANO 14