REDES BASICAS

Mercado Vaca Mariana

GRUPO:7EM25

MAC FLOODING

-Saturar la tabla de direcciones MAC .

 Interceptar tràfico.
 Denegar servicio.
 Inyecciòn de Malware

En consola:

do sh mac-address-table (MAC Address disponibles)

sh mac-address-table-count (n# max de direcciones MAC que podemos almacenar en la tabla MAC (switch))

El atacante(en Kali Linux):

sudo macof –i eth0

(El atacante està hacienndo un MAC flooding inundando toda la tabla de MAC Address del switch)
REDES BASICAS
Mercado Vaca Mariana
GRUPO:7EM25

En Wireshark:

Damos doble click en eth0

Inunda la tabla Mac del SWITCH con direcciones MAC falsas o fìcticias afectando el comportamiento de
conmutacìon de las tramas del SWITCH.

El switch al estar su tabla MAC Address llena y no poder registrar màs direcciones MAC en su tabla se comporta
como un HUB y envìa las tramas destinadas a todos sus puertos de su misma VLAN permitiendo que el atacante
capture todas las tramas que se generen hacia ese dispositivo (switch).

“Los Hubs envían las tramas a todos los dispositivos conectados a la red, y el Switch únicamente al dispositivo al
que se lo quieres enviar”

Cuando hay muchas MAC Address en el mismo puerto significa que hay un ataque en la Tabla MAC Address.

El atacante no tiene por que recibir las tramas unicast que se intercambian entre otros dispositivos de su misma
VLAN.

PORT SECURITY

-Restringir tràfico de entrada a un puerto mediante LIMITACIONES MAC.

Switch)#configure terminal
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport port-security ?
mac-address Secure mac address
maximum Max secure addresses
violation Security violation mode

Switch(config-if)# switchport port-security

Si se ingresa solamente el comando básico, se asumen los valores por defecto: solo permite una dirección MAC en el
puerto, que será la primera que se conecte al mismo, en caso de que otra dirección MAC intente conectarse utilizando
esa misma boca, el puerto será desabilitado.

switchport port-security maximum [cant MAC permitidas]

REDES BASICAS
Mercado Vaca Mariana
GRUPO:7EM25

Esta opción permite definir el número de direcciones MAC que está permitido que se conecten a través de la interfaz
del switch. El número máximo de direcciones permitidas por puerto es 132.Es importante tener presente que este
feature también limita la posibilidad de ataque de seguridad por inundación de la tabla CAM del switch.

switchport port-security violation [shutdown restrict protect]

Este comando establece la acción que tomará el switch en caso de que se supere el número de direcciones MAC que
se establece con el comando anterior. Las opciones son deshabilitar el puerto, alertar al Adminsitrador o permitir
exclusivamente el tráfico de la MAC que se registró inicialmente.

switchport port-security mac-address [MAC address]

Esta opción permite definir manualmente la dirección MAC que se permite conectar a través de ese puerto, o dejar
que la aprenda dinámicamente.

clear mac-address-table dynamic (limpiar Tabla MAC Address)

show mac-address-table (MAC Address disponibles)

show mac-address-table count(n# max de direcciones MAC que podemos almacenar en la tabla MAC (switch))

Switch#configure terminal

Switch(config)#interface fastEthernet 0/1

Switch(config-if)#Switchport mode access (Se configura MODO ACCESO)

Switch(config-if)#switchport port-security (Se habilita PORT-SECURITY)

Switch(config-if)#switchport port-security maximun 3 (Solo permite 3 direcciones MAC)

Switch(config-if)#switchport port-security violation shutdown

REDES BASICAS
Mercado Vaca Mariana
GRUPO:7EM25

PORT-MIRRORING

Consiste en replicar todas las peticiones (hechas desde los dispositivos de los usuarios) y las respuestas (recibidas
desde los servidores web de las páginas) que son gestionadas en una red.

Configurar interfaz del Router y hacer ping con PC otigen

enable

config t

interface GigabitEthernet 0/1

ip add 192.168.1.254 255.255.255.0

no shutdown

do sh ip int br

Poner contraseña al switch:

config t

enable password mar

do write

do reload

Configurar la VLAN:

interface vlan 1

ip add 192.168.1.250 255.255.255.0

no shutdown

do sh ip int br

Crear una sesion Telnet:

conf t

line vty 0 4

transport input telnet

login local

exit

username mar pass mar

Configurar IP en Kali Linux:

sudo ifconfig eth0 192.168.1.1

REDES BASICAS
Mercado Vaca Mariana
GRUPO:7EM25

ifconfig

ping 192.168.1.250

Configurar PORT-MIRRORING en el SWITCH:

sh monitor session all (Validamos si existen mas port mirror configurados)

monitor session 1 source interface GigabitEthernet 0/1 (Configurar port mirror con los datos del puerto origen)

monitor session 1 destination interface GigabitEthernet 0/2(Configurar port mirror con los datos del puerto destino)

sh monitor session 1 (Validamos que el port mirror està acitvo)

Entrar a Telnet desde PUTTY con la IP del SW 192.168.1.250

En WIRESHARK capturamos y nos daremos cuenta que Telnet es inseguro pues nos muestra nuestro nombre de
usuario y contraseña.

Crear una sesion SSH:

config t

hostname SW1 (Establecemos nombre del switch)

ip domain-name cisco.com (Configurar el dominio IP)

no aaa new-model (Indicar que no queremos establecer la configuraciòn AAA)

crypto key generate rsa (Generar pares de claves RSA)

username mar secret mar (Añadimos usuario y contraseña)

ip ssh time-out 60 (Tiempo de espera max para introducir contraseña)

ip ssh authentication-retries 3 (# de reintentos para introducir la contraseña)

ip ssh version 2 (Forzamos el uso de SSH version 2)

line vty 0 4 (Configurar las lineas vty para la conexiòn SSH)

REDES BASICAS
Mercado Vaca Mariana
GRUPO:7EM25

transport input ssh (Habilitamos el SSH en estas lineas)

login local (Indicamos que usen los usuarios locales del switch)

end (salimos del modo configuraciòn)

write (Guardamos los cambios)

show ip ssh (Comprobar que SSH està iniciando)

Configurar PORT-MIRRORING en el SWITCH:

sh monitor session all (Validamos si existen mas port mirror configurados)

monitor session 1 source interface GigabitEthernet 0/1 (Configurar port mirror con los datos del puerto origen)

monitor session 1 destination interface GigabitEthernet 0/2(Configurar port mirror con los datos del puerto destino)

sh monitor session 1 (Validamos que el port mirror està acitvo)

Entrar a SSH desde PUTTY con la IP del SW 192.168.1.250

Nos solicitarà el nombre de usuario y la contraseña

Deshabilitar el acceso por Telnet remoto en switch CISCO:

enable

show user all (Listaremos las lineas vty que tenga el dispositivo)

config t

line vty 0 4 (Configurar las lineas vty para la conexiòn SSH)

transport input ssh (Habilitamos el SSH en estas lineas)

end (salimos del modo configuraciòn)

write (Guardamos los cambios)

En WIRESHARK capturamos y nos daremos cuenta que SSH es seguro pues nos muestra nuestro nombre de
usuario y contraseña CIFRADOS.
REDES BASICAS
Mercado Vaca Mariana
GRUPO:7EM25

SNOOPING

DHCP Snooping es un mecanismo de seguridad que evita que usuarios maliciosos ataquen su red al interceptar o
alterar mensajes entre clientes de red y servidores DHCP.

Switch(config)# ip dhcp snooping(Habilita DHCP snooping globalmente.)

Switch(config)# ip dhcp snooping vlan number [number] | vlan {vlan range}](Habilita DHCP snooping en una VLAN o
en un rango VLAN)

Switch(config-if)# ip dhcp snooping trust(Configura la interface como "confiable".)

Switch(config-if)# ip dhcp snooping limit rate [rate] (Configura el numero de paquetes DHCP por segundo (pps) que
una interface puede permitir.)

Switch(config)# end (Sale del modo de configuración.)

Switch# show ip dhcp snooping (Verifica la configuración de DHCP Snooping)

DHCP Snooping es una función de seguridad que se puede utilizar para evitar que dispositivos maliciosos falsifiquen
mensajes DHCP e interrumpan la conectividad de la red. Funciona al examinar los mensajes DHCP y sólo permite
aquellos mensajes que provienen de fuentes confiables. DHCP Snooping se puede utilizar en switches y router para
proteger contra la suplantación de identidad del servidor DHCP, la suplantación de identidad del cliente y los ataques
de denegación de servicio.

El DHCP Snooping actúa como un firewall entre los hosts "no confiables" y los servidores DHCP.
Cuando se habilita el DHCP Snooping en un switch, una interface actúa como un bridge de capa 2 interceptando y
salvaguardando los mensajes DHCP que se dirigen a una VLAN de capa 2. Cuando se habilita DHCP Snooping en una
VLAN, el Switch actúa como un puente de capa 2 dentro del dominio de la VLAN.

DHCP Snooping puede protegernos de los siguientes tipos de ataque:

 IP Spoofing: este ataque sucede cuando alguien intenta enviar paquetes con una dirección IP de origen falsa.
Puede usarse para realizar ataques de denegación de servicio (DDOS) para para acceder a recursos
disponsibles sólo para determinadas direcciones IP
REDES BASICAS
Mercado Vaca Mariana
GRUPO:7EM25

 Man-in-the-Middle Attacks: en este tipo de ataques, alguien intenta interceptar y modificar el tráfico entre
dos extremos. Puede usarse para sustraer información sensible o inyectar código malicioso en la
comunicación.

 Denial-of-Service Attacks: este ataque se produce cuando alguien intenta limitar la disponibilidad de un
servicio inundándolo con gran número de peticiones o incluso dejándolo inservible al enviar peticiones con un
formato incorrecto malintencionadamente.