UNIVERSIDAD TECNICA DE MACHALA

FACULTAD DE INGENIERÍA CIVIL

CARRERA DE TECNOLOGÍAS DE LA
INFORMACIÓN

Mitigación de ataques de VLAN - Mitigación de ataques de DHCP - Mitigación

de ataques de ARP - Mitigación de ataques de STP
Integrantes:
Armijos Galo – Valladolid Luis - Vásquez Alejandro
Docente:

Ing. Freddy Aníbal Jumbo Castillo

1

Mitigación de ataques de VLAN

 Revisión de Ataques a VLAN
Como una revisión rápida, un ataque de salto de VLAN (VLAN hopping) puede ser lanzado en una de 3 maneras:

▪ La suplantación de mensajes DTP del host atacante hace que el switch entre en modo trunking. Desde aquí, el atacante
puede enviar tráfico etiquetado con la VLAN del objetivo, y el switch luego entrega los paquetes al destino.
▪ Introduciendo un switch engañoso/rogue y habilitando enlaces troncales. El atacante puede acceder todas las VLANs del
switch victima desde el switch rogue.
▪ Otro tipo de ataque de salto a VLAN es el ataque doble etiqueta o doble encapsulado. Este ataque toma ventaja de la
forma en la que opera el hardware en la mayoría de los switches. 3
 Pasos para mitigar ataques Salto de VLAN

1 Paso 1
Deshabilita las negociaciones de DTP (auto trunking) en puertos que no sean trunking
mediante el comando de configuración de la interfaz switchport mode access.

2 Paso 2
Deshabilita los puertos no utilizados y colócalos en una VLAN no utilizada

3 Paso 3
Activa manualmente el enlace troncal en un puerto trunking utilizando el comando
switchport mode trunk

4 Paso 4
Deshabilita las negociaciones de DTP (auto trunking) en los puertos trunking mediante el
comando switchport nonegotiate.

4
 Paso 5

Establece la VLAN nativa en otra VLAN que no sea la VLAN 1 mediante el comando switchport trunk native vlan vlan_number.

Salto de VLAN puede ser mitigado implementando la configuración mostrada.

▪ Los puertos Fastethernet 0/1 al 0/16 son puertos de acceso y por lo tanto trunking se deshabilita poniéndolos explícitamente como puertos de acceso.

▪ Los puertos FastEthernet 0/17 al 0/20 son puertos que no están en uso y están deshabilitados y asignados a una VLAN que no se usa.

5
▪ Los puertos FastEthernet 0/21 al 0/24 son enlaces troncales y se configuran manualmente como troncales con DTP deshabilitado. La VLAN nativa también se cambia de la VLAN
predeterminada 1 a la VLAN 999 que no se usa.
Verificador de Sintaxis – Mitigar Ataques de salto de VLAN
Mitigar ataques de salto de VLAN en el switch basado en los requerimientos específicos.

6
2

Mitigación de ataques de DHCP

Revision de Ataques DHCP

Ataque DHCP
• El objetivo de un ataque de inanición/agotamiento de DHCP (DHCP
starvation) es crear una Denegación de Servicio (DoS) para la conexión de
los clientes. Los ataques de agotamiento de DHCP requieren una
herramienta de ataque, como Gobbler. Recuerda que los ataques de
agotamiento de DHCP pueden ser efectivamente mitigados usando port
security porque Gobbler usa una dirección MAC de origen única para cada
solicitud DHCP enviada.

• Sin embargo mitigar ataques de suplantación DHCP (DHCP spoofing)

requiere mas protección. Gobbler podría configurarse para usar la
dirección MAC de la interfaz real como la dirección Ethernet de origen,
pero especifica una dirección Ethernet diferente en la carga útil de DHCP.
Esto haría que port security sea ineficaz porque la dirección MAC de
origen sería legítima.
DHCP Snooping
• DHCP snooping no depende de las direcciones MAC de origen. En cambio, la DHCP
snooping determina si los mensajes de DHCP vienen de una fuente configurada
administrativamente como confiable o no confiable. Luego filtra los mensajes de DHCP y
limita la velocidad del trafico DHCP viniendo desde fuentes no confiables.

• Dispositivos que estén bajo tu control administrativo como Switches, routers y servidores,
son fuentes confiables. Cualquier dispositivo más allá del cortafuegos o fuera de tu red es
una fuente no fiable. Además, todos los puertos de acceso se tratan generalmente como
fuentes no fiables. La figura muestra un ejemplo de puertos confiables y no confiables.

• Note que el servidor DHCP malicioso podría estar en un puerto no confiable después de
habilitar DHCP snooping. Todas las interfaces son tratadas por defecto como no
confiables. Típicamente las interfaces confiables son enlaces troncales y puertos
conectados directamente a un servidor DHCP legitimo. Estas interfaces deben ser
configuradas explicitamente como confiables.

9
 Pasos para implementar DHCP Snooping

1 Paso 1
Habilita DHCP snooping mediante el comando de configuración global ip dhcp snooping.

2 Paso 2
En puertos de confianza, usa el comando de configuración de interfaz ip dhcp snooping
trust

3 Paso 3
Limita la cantidad de mensajes de descubrimiento/Discovery de DHCP que puede recibir por
segundo en puertos no confiables mediante el comando de configuración de la interfaz ip
dhcp snooping limit rate.

4 Paso 4
Habilita DHCP snooping por VLAN, o por un rango de VLAN, utilizando el comando de
configuración global ip dhcp snooping vlan.

10
3

Mitigación de ataques de ARP

 Dynamic ARP Inspection
En un ataque típico el actor amenazante puede enviar respuestas ARP no solicitadas a otros hosts en la subred con la dirección MAC del actor amenazante y la dirección IP de la
puerta de enlace predeterminada.

La Inspección Dinámica de ARP/ Dynamic ARP Inspection (DAI) requiere de DHCP snooping y ayuda a prevenir ataques ARP así:
▪ No retransmitiendo respuestas/Replies ARP invalidas o gratuitas/gratuitous a otros puertos en la misma VLAN.

▪ Intercepta todas las solicitudes/Requests y respuestas/Replies ARP en puertos no confiables.

▪ Verificando cada paquete interceptado para un enlace válido de IP a MAC.

▪ Descarte y registro de respuestas no válidas de ARP para evitar el envenenamiento por ARP.
12
▪ Error-disabling la interfaz si se excede el número de paquetes ARP DAI configurado.
 Pautas de Implementación DAI

La topología de la muestra en la
figura identifica los puertos de
confianza y los no confiables.

Para mitigar las probabilidades de ARP spoofing Y ARP poisoning, sigue estas pautas de implementación DAI
•Habilita DHCP snooping globalmente.
•Habilita DHCP snooping en las VLAN seleccionadas.
•Habilita DAI en las VLANs seleccionadas.
•Configura las interfaces de confianza para DHCP snooping y ARP inspection. (“no confiable” es la configuración predeterminada).
4

Mitigación de ataques de STP

 PortFast y BPDU Guard
Recuerda que los atacantes de red pueden manipular el Protocolo de árbol de expansión (STP) para realizar un ataque falsificando el puente raíz/root bridge y cambiando la
topología de una red. Para mitigar los ataques de manipulación del Protocolo de árbol de expansión (STP), usa PortFast y la Bridge Protocol Data Unit (BPDU) Guard.

En la figura, los puertos de acceso para S1 deberían ser configurados con PortFast y BPDU Guard.

• PortFast – PortFast lleva inmediatamente una interfaz configurada como un puerto de acceso o troncal al estado de reenvío desde un estado de
bloqueo, pasando por alto los estados de escucha y aprendizaje. Se aplica a todos los puertos de usuario final. PortFast sólo debe ser configurado
en los puertos conectados a los dispositivos finales.
• Protección BPDU: BPDU guard inmediatamente deshabilita error en un puerto que recibe un BPDU. Al igual que PortFast, BPDU guard sólo debe
ser configurado en las interfaces conectadas a los dispositivos finales.
 Configurar PortFast

Nota que cuando PortFast esta habilitado, se muestran mensaje de advertencia.

• PortFast omite los estados de escucha/listening y aprendizaje/learning de STP para minimizar el tiempo que los puertos de acceso deben esperar a que STP converja. Si habilitas
PortFast en un puerto que se conecta a otro switch, corres el riesgo de crear un bucle de árbol de expansión.

• PortFast se puede habilitar en una interfaz mediante el comando de configuración de la interfaz spanning-tree portfast. Alternativamente, Portfast se puede configurar globalmente en
todos los puertos de acceso mediante el comando de configuración global spanning-tree portfast default.

16
• Para verificar si PortFast está habilitado globalmente, puedes usar el comando show running-config | begin span o el comando show spanning-tree summary. Para verificar si PortFast
tiene habilitada una interfaz, usa el comando show running-config interface type / number, como se muestra en el siguiente ejemplo. El comando show spanning-tree interface type /
number detail también se puede usar para la verificación.
Configurar BPDU Guard

BPDU Guard
• Aunque PortFast está habilitado, la interfaz seguirá escuchando por BPDUs. Los
BPDUs inesperados pueden ser accidentales o parte de un intento no autorizado para
agregar un switch a una red.
• Si se recibe una BPDU en un puerto de acceso habilitado para BPDU Guard, el puerto
se coloca en estado error-disabled. Esto significa que el puerto se cierra y debe volver
a habilitarse manualmente o recuperarse automáticamente mediante el comando
global errdisable recovery cause psecure_violation.
• BPDU Guard se puede habilitar en un puerto mediante el comando de configuración
de la interfaz spanning-tree bpduguard enable. Alternativamente, usa el comando de
configuración global spanning-tree portfast bpduguard default para habilitar
globalmente BPDU guarden todos los puertos habilitados para PortFast.
• Para mostrar información sobre el estado del árbol de expansión, usa el comando
show spanning-tree summary. En el ejemplo, PortFast default y BPDU Guard están
ambos habilitados como estado por defecto/Default para los puertos configurados
como modo de acceso.