Virtualizacin de Redes Corporativas Cristina Cianca Cristina_gcc@hotmail.

com
Katiusca Pinto katiusca.pinto

Estudiantes de Ing. En Electrnica y Telecom.

Resumen-Las VLAN permiten que redes IP y subredes mltiples existan en la misma red conmutada, lo cual permite reducir el tamao del broadcast y ayudan en la administracin de la red separando segmentos lgicos de una red de rea local (como departamentos para una empresa, oficina, universidades, etc.) que no deberan intercambiar datos usando la red local. Palabras Claves: Nativa, Mpls, Switch, trunking 1-Introduccin: Una Red de rea Local Virtual VLAN nos permite crear varias redes lgicamente independientes dentro de una sola red fsicamente hablando. Este tipo de redes nos permiten reducir el tamao del dominio de difusin y obviamente de esta forma, facilitan la administracin de la red, ya que se separa la red local en segmentos lgicos que no deberan intercambiar informacin. El dispositivo llamado Switch (conmutador) es el que puede conseguir que las LANs se transformen en poderosas redes virtuales. Los administradores de red configuran las VLANs mediante software en lugar de hardware, lo que las hace extremadamente flexibles. Este tipo de red est orientado a la solucin para las redes locales de una empresa, la cual se divide en departamentos y en donde cada uno de ellos maneja informacin diferente y de igual forma hay prioridades en cuanto a la informacin que maneja cada departamento y el acceso que tiene cada uno a diferentes aplicaciones dentro de la misma red. Ahora bien, seguramente todo administrador de redes ha tenido que enfrentarse alguna vez a una prdida del rendimiento de la red que gestiona. En ese caso sabr que no siempre es sencillo, por falta de tiempo y recursos o por desconocimiento de las herramientas apropiadas. En ocasiones, incluso se ha podido llegar a perder la conectividad o bien ciertos equipos han podido desconectarse sin motivo aparente. En cualquier caso, conocer el origen del incidente es el primer paso para poder tomar las contramedidas necesarias y conseguir una correcta proteccin. En este punto, los analizadores de trfico pueden resultar de gran utilidad para detectar, analizar y correlacionar trfico identificando las amenazas de red para, posteriormente, limitar su impacto. Ahora bien, con tal propsito, existen en el mercado dispositivos avanzados como el appliance MARS (Monitoring, Analysis and Response System) de Cisco o IDS/IPS basados en hardware de diversos fabricantes para el anlisis del trfico en una red. 2. Descripcin del Proyecto Para crear nuestra VLANs tomamos en cuenta las caractersticas que ms describen a este tipo de red, entre las que tenemos: El ncleo de una VLAN es un Switch. Una VLAN es una red conmutada que est lgicamente segmentada en base a funciones, sin importar la ubicacin fsica de los usuarios. Cada puerto del switch puede asignarse a una VLAN. Los puertos que no pertenecen a esa VLAN no comparten los broadcast. La comunicacin entre VLANs es provista a travs de enrutamiento de capa 3. Agrupando puertos y usuarios a travs de mltiples switches, la VLAN puede cubrir un edificio completo, interconectar edificios, o aun redes WAN. VLAN pueden estar basadas en puertos, en direccin MAC, en filtros o reglas, en ELAN o red emulada.

En base a esto, tomamos como punto de partida la necesidad de switches y ya que una estructuracin en VLANS impone necesidad de comunicacin entre dichos segmentos, esta comunicacin es posible gracias a un elemento clave en este tipo de estructuras, un enrutador. Determinando esto, se elabor una red de 4 vlans, refirindose al departamento de atencin al cliente, administracin, finanzas y recursos humanos en el programa GNS3.

Para representar estos departamentos se coloco una PC en cada una de las vlans. La topologa de red utilizada, se muestra en la Figura 1, donde se observa claramente a que interfaz del switch esta cada PC, lo que nos dice que ese puerto lo seleccionamos como parte de una vlans en especifica.

Figura 1. Topologa de Red

Para configurar la red y poner en funcionamiento los equipos, se empez por los switch, donde se le asigno un nombre al equipo. Para la creacin de las Vlans, el primer paso para configurarlas es declararlas en el switch asignndole el nmero y el nombre de cada Vlans. Se procede entonces a declarar los enlaces de trunk, y la asignacin de los puertos a una Vlans en especfica. Para configurar el router es necesario crear en enlace de trunk entre el router y el switch. Cabe destacar que en la interfaz del router que conecta al swicth al ser configurada como trunk, se configuran virtualmente como caminos para la vlan. Luego de configurar cada equipo como corresponde, se procedi a realizar las pruebas necesarias para verificar que la red estaba funcionando correctamente. El anlisis de trfico en nuestra red es el punto focal del estudio realizado, ya que los problemas que presenta una red en la mayora de ocasiones, las causas de por qu ocurren, tienen un origen no premeditado y se deben a una mala configuracin de la red como puede ser tormentas broadcast, spanning-tree mal configurado, enlaces redundantes,etc. Pero, en otras ocasiones, puede tratarse de ataques inducidos por terceros que pretenden dejar fuera de servicio un servidor web mediante un ataque Dos ,husmear trfico mediante un envenenamiento ARP o simplemente infectar los equipos con cdigo malicioso para que formen parte de una red zombi o botnet. Wireshark es un analizador de protocolos opensource diseado por Gerald Combs y que actualmente est disponible para plataformas

Windows y Unix que tiene como su principal objetivo es el anlisis de trfico adems de ser una excelente aplicacin didctica para el estudio de las comunicaciones y para la resolucin de problemas de red. Cabe destacar que podemos utilizar GNS3 y Wireshark de manera conjunta. El primer paso para poder auditar la red ser definir dnde analizar el trfico. Si conectsemos un equipo con Wireshark a uno de los puertos del switch, solo veramos las tramas que transcurren entre el switch y nuestra mquina, y eso no es lo que pretendemos. El switch divide la red en segmentos, creando dominios de colisin separados y eliminando, de esta forma, la necesidad de que cada estacin compita por el medio. nicamente enva las tramas a todos los puertos (pertenecientes a la misma VLAN) cuando se trata de difusiones broadcast (por ejemplo, para saber la direccin fsica de alguna mquina). Es por ello que el anlisis se decidi hacer en las interfaces configuradas como trunk. Estos enlaces son mostrados en la Figura 2 por medio de valos en lnea de color negro.

Figura 2. Enlaces troncales en topologa de Red

El anlisis de trfico que realizamos es centrado en seguridad y cmo verificar mediante la auditoria constante de la red cuando hay un atacante de la red, especficamente refirindonos a VLAN HOPPING. 3. Resultados En nuestro proyecto nos planteamos observar el trfico dentro de una vlan corporativa y estos fueron los resultados obtenidos. Primero se verifica que la red este funcionando correctamente y generamos trfico manualmente haciendo ping entre computadoras y redes siguiendo los siguientes pasos: Procedemos hacer ping entre las computadoras para comprobar que haya comunicaciones generando trafico manualmente mediante el

ping.Una vez comprobado esto pasamos a plantear problemas de seguridad que generan traficos indeseados en las vlans

Figura3.ping de PC1 a PC6

Problemas de seguridad en una Vlan: Vlan Hopping consiste en un ataque a los recursos de la red que soportan una VLAN. Hay dos mtodos para lograr realizar el ataque: suplantacin del switch y/o doble etiquetado de los paquetes. El objetivo que busca el atacante con estos mtodos es lograr acceso al trfico de otras VLAN, diferentes a donde se encuentra el dispositivo atacante, que en condiciones normales no estara disponible. Ataque de suplantacin del switch Para que este tipo de ataque prospere el equipo atacante debe estar configurado de tal manera que sea capaz de manejar los protocolos de etiquetado y concentracin de enlaces utilizados entre switches de la red (los protocolos 802.1Q/ISL y DTP), imitando el comportamiento de un switch ms en la red. De esa forma se lograra acceso al trfico del resto de la red ya que el equipo se volvera miembro de todas las VLAN, siempre y cuando el/los puerto/s del switch estn configurados como dynamic auto o desirable. La captura de los paquetes que proveen informacin de 802.Q se muestra en la Figura 3.

de switches vecinos que tengan intencin de crear un enlace trunk. Mientras que en el segundo caso (dynamic desirable), es el propio puerto el interesado en crear dicho enlace mediante el envo de tramas de negociacin DTP a los switches vecinos. En este escenario, un atacante podra crear tramas DTP especialmente diseadas y enviarlas al switch hacindose pasar por otro switch que tiene intencin de negociar un enlace trunk. Lejos de parecer complejo,Yersinia incorpora dicha funcionalidad permitindole negociar la configuracin de un puerto trunk. La Figura 4 nos muestra cmo se crea el envo de paquetes DTP y as lograr la negociacin. Este proceso se ve reflejado en la ventana donde vemos el trfico de la red. La lnea resaltada es la que nos muestra este proceso.

Figura 4. Envo de paquetes DTP Ahora bien, para solucionar esto se recomienda configurar aquellos puertos expuestos a usuarios como access port o configurar el estado DTP como no negociable (nonegotiate), para que de esta forma se ignoren negociaciones trunk.

Figura 3. Paquetes VTP capturados En el primer caso (dynamic auto), el puerto simplemente escuchara tramas DTP provenientes