Home
Tags
Login
Register
Search
Home
Seguridad.capa.2
Seguridad.capa.2
June 27, 2018 | Author: José Victor Zaconeta Flores | Category:
Network Switch
,
Ieee 802.11
,
Data Transmission
,
Computer Standards
,
Computer Network
DOWNLOAD PDF
Share
Report this link
Description
Asegurando la red deárea local Tipos de Ataque • Los switches de capa 2 y capa 3 son susceptibles a muchos de los mismos ataques de capa 3 para enrutadores. • La mayoría de las técnicas de seguridad para routers también se aplican a switches. • Sin embargo, los switches tienen sus propios tipos de ataque. • Muchos de estos ataques provienen de usuarios con acceso interno a al red. • Los ataques aprovechan el comportamiento y finalidad de algunos protocolos de gestión. • Aprovechan la errónea suposición de que la red LAN es confiable por defecto. Asegurar la Infraestructura LAN • Una red debiera mitigar ataques específicos como: • Ataques de falsificación de direcciones MAC • Ataques de desbordamiento de la tabla de direcciones MAC • Ataques de manipulación STP • Aatques de tormentas LAN • Ataques a VLAN • Ataques a WLAN Comportamiento normal de un Switch . Consideraciones ARP • ARP está diseñado para mapear direcciones IP a direcciones MAC • Todos los equipos en una LAN deben recibir y procesar una trama de solicitud ARP. pero sólo el equipo con la dirección IP especificada debiera responder • ARP no tienen noción sobre la propiedad y autenticidad de direcciones IP • Cualquier dirección MAC puede asociarse con cualquier dirección IP. incluso la que no le corresponde realmente que puede ser provista por un atacante . 6. 4. Host A agrga la dirección MAC y dirección IP de B en su cache ARP. . Los paquetes son desviados a través del atacante (C). 8. 2. Router B actualiza su cache ARP con la dirección MAC de C asociada con la dirección IP de A. 3.Ataque de suplantación ARP 1. Host A envía una petición ARP buscando la dirección MAC de C. Host C (atacante) envía mensajes ARP asociando la direccion MAC de C con la dirección IP de B. Host C envía mensajes ARP asociando la direccion MAC de C con la dirección IP de A. B actualiza su cache ARP. 7. Host A actualiza su cache ARP con la dirección MAC de C asociada con la dirección IP de B. Router B responde con sus direcciones MAC e IP. 5. Falsificación de direcciones MAC . • El Switch comienza a re-transmitir (Broadcast) cada paquete que recibe por cada puerto. la tabla de direcciones MAC se llena y no permite más entradas. Para lograrlo. . • El atacante genera múltiples paquetes con la dirección MAC origen falsificada. • Mientras el ataque continúe. comportándose como un Hub. • En un período corto de tiempo. la tabla de direcciones MAC se mantiene llena. • El atacante puede ahora capturar el tráfico destinado hacia los servidores. lanza un ataque de inundación MAC.Desbordamiento de tablas de direcciones MAC Un atacante desea capturar paquetes destinados a los equipos A y B. • Especificar estáticamente las direcciones MAC no es una solución manejable para un entorno de producción. • Permitir que el switch aprenda dinámicamente un número fijo de direcciones MAC en un puerto de switch específico. • Permitir que el switch aprenda dinámicamente un número fijo de direcciones MAC es una solución escalable administrativamente.Mitigación de ataques a direcciones MAC • Tanto los ataques de MAC spoofing y desbordamiento de la tabla de direcciones MAC se pueden mitigar mediante la configuración de seguridad del puerto en el switch. • La seguridad de puertos puede: • Especificar estáticamente las direcciones MAC en un puerto en particular de un switch. . dicho puerto no reenvía tramas cuya dirección MAC origen no pertenezca al grupo de direcciones asociadas establecido.Seguridad de puertos • La seguridad de puertos permite asociar estáticamente direcciones MAC a un puerto o para permitir que el Switch aprenda dinámicamente un número limitado de direcciones MAC. • Limitando el número de direcciones MAC permitidas en un puerto. • Las direcciones origen seguras pueden ser: • Configuradas manualmente • Autoconfiguradas (aprendidas) . • Una vez que se ha asociado una dirección MAC a un puerto seguro. se puede controlar la expansión no autorizada de la red. Seguridad de puertos • Cuando una dirección MAC difiere de la lista de direcciones seguras. el puerto puede: • Apagarse hasta que sea habilitado administrativamente. • Se recomienda apagar el puerto ante dicha violación. . • Descartar las tramas recibidas de la terminal insegura. • Enviar alertas de violación mediante SNMP. • El comportamiento del puerto depende de cómo esté configurado para responder ante una violación de seguridad. Prevención de suplantación ARP con Dynamic ARP Inspection (DAI) Descarta y registra los paquetes ARP con asociaciones IP-MAC inválidas • Los paquetes ARP recibidos por puertos confiables no se verifican y se re-envían • Los paquetes ARP recibidos por puertos no confiables son interceptados • Se verifica que provengan de direcciones IP/MAC válidas antes de re-enviarlos • También permite limitar la tasa de paquetes ARP que pueden recibirse por una interfaz . NMS) cuando una nueva dirección MAC es agregada o eliminada de la tabla de re-envío. Switch(config)# mac address-table notification .Notificación de direcciones MAC • La notificación de direcciones MAC envía tramas SNMP a una estación de gestión de red (network management station . 1Q) Las VLAN se aíslan mutuamente y los paquetes pueden pasar entre ellas solamente mediante un router . 802.VLANs Es un método para crear redes lógicas independientes dentro de una misma red física Varias VLAN pueden coexistir en un único Switch físico o en una única red física Las VLAN se pueden extender a lo largo de múltiples Switches utilizando enlaces troncales (ISL. Tipos de VLAN • VLAN de datos • VLAN nativa • VLAN de administración • VLAN por defecto • VLAN de voz . sólo si los puertos de ambos Switches admiten DTP .Protocolo de Enlace Troncal Dinámico (DTP) • Administra la negociación para troncalizar el enlace entre dos Switches. . • DTP habilita la troncalización para acceder a todas las VLAN en el switch objetivo.1Q o ISL. • Un ataque a VLANs (VLAN Hopping) se puede lanzar de dos maneras: • La introducción de un switch ficticio/no autorizado en una red con DTP habilitado.Ataques a VLANs • Intentan obtener acceso a las diferentes VLAN o atacar a equipos de VLAN determinadas • Los puertos troncales pasan tráfico para todas las VLANs utilizando encapsulación VLAN IEEE 802. • El ataque de doble etiquetado VLAN manipulando mensajes BPDU • El atacante entonces puede enviar tráfico etiquetado con la VLAN de destino. y el switch luego entregará los paquetes al destino. el atacante tiene acceso a todas las VLANs soportadas por el enlace troncal . • Un atacante podría conectar a la red un switch no autorizado o una terminal que simula ser un Switch para engañar a los switches de dicha red informando que soporta ISL o 802. • Si tiene éxito.VLAN Hopping – Switch no autorizado/Ficticio • Todos los switches (Cisco) soportan por defecto Dynamic Trunk Protocol (DTP) para negociar automáticamente los enlaces troncales.1q y formando enlaces troncales. . • Después de quitar el primer encabezado 802.1q para poder manipular a un switch y re-enviar tramas hacia VLANs específicas • Aprovecha la forma en que un Switch procesa las etiquetas 802.1Q no autorizado.Ataque VLAN Hopping – Doble etiquetado • Implica el envío de tramas con dos etiquetas 802. el switch reenvía la trama a la VLAN especificada en el encabezado 802.1Q • Muchos switches realizan solamente un nivel de desencapsulación 802. lo que permite que un atacante incorpore un segundo encabezado no autorizado en la trama.1Q.1Q legítimo. de forma que no puedan iniciar ningún tipo de negociación de troncalización. que no transporte datos. • Des-habilitar la negociación de troncalización en todos los puertos troncales. • Especificar el rango de VLANs soportadas por un enlace troncal. .Mitigando Ataques VLAN Hopping • Todos los puertos no utilizados deben estar apagados y estar asociados a una VLAN designada sólo para puertos no utilizados. • Cuando se establece un enlace troncal: • Usar una VLAN nativa dedicada en todos los puertos troncales. evitar la existencia de VLANs no explícitamente permitidas. • Configure la VLAN nativa que difiera de cualquier VLAN utilizada para transporte de datos. • Configurar todos los puertos como puertos de acceso. Redundancia en redes LAN • La redundancia de Capa 2 mejora la disponibilidad de la red a través de rutas de red alternas. • Si no se maneja adecuadamente presenta algunos inconvenientes • Inconsistencia en las bases de datos de los Switches • Duplicación de tramas Unicast • Inundación de Broacasts . Tramas de unicast duplicadas Las tramas de unicast enviadas a una red con bucles pueden generar tramas duplicadas que llegan al dispositivo de destino. . . • Los Switches siempre re-envían las tramas de broadcast por todos los puertos. como ARP y DHCP utilizan broadcast. Por lo tanto.Ataques de tormenta LAN • Una tormenta LAN se produce cuando se inunda con paquetes la red. creando un tráfico excesivo y degradando el rendimiento de la misma • Posibles causas: • Los errores en la implementación de la pila de protocolos • Malas configuraciones • Existencia de un ataque DoS • También pueden ocurrir Tormentas de difusión (Broadcast). los switches deben ser capaces de reenviar el tráfico de difusión. • Algunos protocolos necesarios. Control de Tormentas • Los ataques de tormenta LAN se pueden mitigar usando controles para monitorear parámetros predefinidos. • Se pueden configurar parámetros de subida y parámetros de bajada de tráfico. • Los controles de tormenta usa uno de los siguientes métodos para medir la actividad de tráfico: • Ancho de banda como porcentaje (%) del ancho de banda total disponible en el puerto. • Tasa de tráfico en paquetes/sec o bits/sec de los paquetes recibidos. • Tasa de tráfico en paquetes por segundo y para tramas pequeñas. Habilita la protección para tormentas broadcast. SW1(config-if)# storm-control broadcast level 75.5 SW1(config-if)# storm-control multicast level pps 2k 1k SW1(config-if)# storm-control action shutdown Especifica la acción a realizar cuando se alcance el parámetro (nivel). Habilita la protección para tormentas multicast. Protocolo STP • STP asegura que exista sólo una ruta lógica entre todos los destinos de la red, al realizar un bloqueo intencional a aquellas rutas redundantes que puedan ocasionar un bucle • STP utiliza el algoritmo de spanning tree (STA) para determinar los puertos de switch de la red que deben bloquearse a fin de evitar que se generen bucles • Todos los switches que participan en STP intercambian tramas de BPDU entre ellos para determinar su funcionamiento Ataques STP • Un ataque STP involucra la creación de un switch raíz falso. • El atacante propaga avisos STP y BPDUs de cambio de topología para forzar a nuevos cálculos de spanning-tree. • El BPDU enviado por el atacante anuncia una prioridad de switch inferior en un intento de ser elegido como el switch raíz. • Si tiene éxito, la máquina atacante se convierte en el switch raíz y accede a una variedad de tramas que de otra manera no podría observar. brconfig o stp-packet. . • Un atacante puede insertar BPDUs informando de un cambio de topología o cambiando el estado de un puerto • Si un atacante logra hacer fallar un puerto que estaba en estado de re-envío. al switch generalmente le tomará 30 a 45 segundos el lidiar con la falla y volver a convergir • Existen varias herramientas para simular un switch falso que re-envíe BPDUs: • Yersinia.Ataques STP • STP no provee autenticación en los BPDUs intercambiados. PortFast • Provoca que un puerto del switch cambie del estado de bloqueo al estado de reenvío inmediatamente. en lugar de esperar la convergencia de STP • Se utiliza en los puertos de acceso que se conectan a una sola estación de trabajo o servidor • ¡Sólo debiera ser usada en puertos de acceso! • Si se habilita PortFast en un puerto que conecta a otro switch. existe el riesgo de generar un bucle . sin pasar por los estados de escucha y aprendizaje • Permite que los dispositivos se conecten a la red de inmediato. BPDU Guard y Filtrado BPDU Mantienen la topología de red activa controlada y predecible BPDU Guard • Si un puerto configurado con PortFast y BPDU Guard recibe un BPDU. Filtrado BPDU • Evita que puertos configurados con PortFast envíen o reciban BPDUs • Los puertos negocian su estado normalmente antes de que el Switch comience a filtrar los BPDU salientes . el switch deshabilitará dicho puerto • Protege a un switch de la recepción de mensajes BPDU accidentales o intencionales en puertos por donde no debiera recibirlos. nuestro Switch tras la recepción de tales BPDUs.Root Guard • Root Guard asegura la ubicación de Switches raíz mediante la limitación de los puertos en los que el switch puede negociar la elección del Switch raíz . los ignora y pone el puerto en un estado de inconsistencia de raíz. • El puerto se recupera tan pronto como cese el BPDU infractor. • se implementa en los puertos que se conectan hacia switches que no deberían ser puentes raíz • Si un atacante envía BPDUs falsos para convertirse en el Switch raíz. . Actualiza la información VLAN del dominio VTP a los switches cliente • Cliente VTP.VTP-Virtual Trunking Protocol • Permite propagar la configuración VLAN de un switch a otros en la red • Servidor VTP. Recibe y aplica la información VLAN • VTP Transparente. Deja pasar las actualizaciones . Ataques VTP Después de volverse un puerto troncal. el atacante podría enviar mensajes VTP como si fuera un Servidor VTP reconfigurando o anulando todas las VLANs existentes . Protocolos de Descubrimiento de Red • Cisco Discovery Protocol (CDP) • Link Layer Discovery Protocol (LLDP) . Router. (C) DOCSIS Cable Device (W) WLAN Access Point. (B) Bridge. T .Switch. M . C . (T) Telephone. (S) Station.CVTA.Repeater.Two-port Mac Relay Device ID Local Intrfce Holdtme Capability Platform Port ID c2960-8 Fas 0/8 168 S I WS-C2960-Fas 0/8 switch(config)# lldp run switch(config)# end switch# show lldp neighbor Capability codes: (R) Router. I .Trans Bridge.Visualizando Información CDP/LLDP • CDP y LLDP son protocolos que permiten visualizar información de los dispositivos adyacentes que son vistos en cada puerto switch# show cdp neighbor Capability Codes: R . r . P .IGMP.Source Route Bridge S . D .Remote. B .Host.Phone. (O) Other Device ID Local Intf Hold-time Capability Port ID c2960-8 Fa0/8 120 B Fa0/8 Total entries displayed: 1 . (P) Repeater. H . Inc. Compiled Tue 27-May-03 04:31 by prothero <output omitted> .Visualizando Información CDP/LLDP 4506# show cdp neighbor detail ----------------------Device ID: TBA03501074(SwitchA-6500) Entry address(es): IP address: 10. Port ID (outgoing port): 3/36 Holdtime : 170 sec Version : WS-C6506 Software.6(1) Copyright © 1995-2003 by Cisco Systems advertisement version: 2 VTP Management Domain: ‘0’ Native VLAN: 1 Duplex: full ----------------------Device ID: SwitchC-4503 Entry address(es): IP address: 10. Capabilities: Router Switch IGMP Interface: FastEthernet3/27.2. CISCO ENHANCED PRODUCTION VERSION Copyright © 1986-2003 by cisco Systems. Version 12.18. Capabilities: Trans-Bridge Switch IGMP Interface: FastEthernet3/21.6(1) NmpSW: 7.18. Port ID (outgoing port): FastEthernet3/14 Holdtime : 130 sec Version : Cisco Internetwork Operating System Software IOS (tm) Catalyst 4000 L3 Switch Software (cat4000-I5S-M).2.1(19)EW. Version McpSW: 7.137 Platform: WS-C6506.132 Platform: cisco WS-C4503. 4. 2. . El Administrador de Sistemas usa CDP para ver la información de los vecinos. El atacante usa un analizador de paquetes para interceptar el tráfico CDP. 3. El atacante analiza la información de los paquetes CDP para lograr conocer las direcciones de red y los datos de los equipos. El atacante formula ataques basados en las vulnerabilidades conocidas de las plataformas de red.Vulnerabilidades CDP Secuencia de Eventos Descripción 1. mediante broadcast .Vulnerabilidades con CDP • CDP se propaga sin cifrado. multicast o broadcast) entre puertos protegidos.Protección de puertos • Evita el re-envío de tráfico (unicast. • Sólo se transmite el tráfico de control debido a que estos paquetes son procesados por la CPU y se re-envían por software • Todo el tráfico de datos que pasa entre puertos protegidos debe ser enviado a través de un dispositivo de Capa 3 • Un puerto protegido intercambia tráfico solamente con puertos no protegidos . pero sí permite el monitoreo de la actividad maliciosa • El reflejo de puertos no interfiere con otros mecanismos (Syslog o SNMP) • Se puede utilizar para reflejar el tráfico a otro puerto donde se conecta una sonda o un sensor IDS. • Los dispositivos IDS necesitan leer todos los paquetes en una o más redes VLAN SW1(config)# no monitor session 1 SW1(config)# monitor session 1 source interface gigabitethernet0/1 SW1(config)# monitor session 1 destination interface gigabitethernet0/2 encapsulation replicate .Reflejo de puertos • El reflejo de puertos permite generar una copia del tráfico que atraviesa un puerto determinado en otro puerto del mismo switch • También se puede enviar una copia del tráfico a un puerto de un switch diferente • El reflejo de puertos no mitiga los ataques. Amenazas a la seguridad inalámbrica . Métodos de ataque inalámbrico • Las redes inalámbricas están expuestas a los mismos ataques de una red conmutada cableada • Los métodos de ataque a redes inalámbricas pueden categorizarse en: • Reconocimiento • Ataques de acceso • Denegación de servicio (DoS) . 11 . • La aplicación AirSnort captura y rompe contraseñas WEP • CoWPAtty rompe WPA-PSK (WPA1). • La aplicación Kismet muestra redes inalámbricas que no propagan sus SSID.Herramientas de ataque inalámbrico • La aplicación Network Stumbler encuentra redes inalámbricas. • ASLEAP captura datos de autenticación. • Wireshark puede analizar datos de Ethernet inalámbricas y SSID 802. A menudo llamado Wardriving Similar a un ladrón que explora un barrio de casas no seguras.Ataques de reconocimiento • Consiste en el descubrimiento no autorizado y mapeo de sistemas. . Es considerado ilegal sólo en algunos países. servicios o vulnerabilidades inalámbricas. Por lo general. • También conocido como • • • • Recopilación de Información. precede a un acceso real o ataque DoS. Wireshark o Tcpdump • Estas herramientas para buscar redes inalámbricas pueden ser activas o pasivas • Las herramientas pasivas. no transmiten ninguna información mientras están detectando las redes inalámbricas. . como Ethercap. como AiroPeek. o Sniffer Wireless • Libres. AirMagnet.Ataques de reconocimiento • Para espiar redes WLAN se pueden utilizar analizadores de protocolos inalámbricos • Comerciales. como Kismet. 1. conmutadores u otros dispositivos pasan a través del atacante.1.2 . • Cuando se produce un ataque de este tipo.2 1.1. 1. todos los paquetes destinados para los routers.1.Ataques de suplantación ARP • Los ataques de suplantación ARP y errores de caché ARP se deben a que los equipos inalámbricos pueden responder a los paquetes de petición ARP incluso éstos paquetes no con para ellos. Ataque "Evil Twin" • Consiste en suplantar a cualquier punto de acceso Wi-Fi genuino. y así engañar a los usuarios. . que luego se conectarán con el AP falso • A partir de allí el atacante puede ejecutar numerosos ataques de tomar ventaja de la víctima inconsciente. • El atacante se asegurará de que el AP “gemelo malvado” sea igual que el AP de la red. 11 .Ataques de DoS en redes inalámbricas • La meta de estos ataques es prevenir que usuarios legítimos puedan acceder a la red inalámbrica • Dos tipos de ataque • Ataques de radiofrecuencia • Ataques al protocolo 802. 4 GHz.Ataques de radiofrecuencia • Ataque de capa 1 (Jamming) • El atacante usa algún transmisor de radio que genera ruido en la frecuencia de 2. • La interrupción de la transmisión ocurre cuando la relación señal a ruido alcanza cierto nivel • El ataque es efectivo pero resulta costoso para el atacante • No es un enfoque de ataque mayor . 11 • Ataques de capa 2 • Aprovecha las vulnerabilidades el protocolo 802.Ataques al protocolo 802.11 • Se basa en dos tipos de vulnerabilidad • Vulnerabilidad de identidad • Des-autenticación • Des-asociación • Ataque contra el modo de ahorro de energía • Vulnerabilidad de control de acceso al medio . 802.11 provee un mensaje que permite a los clientes explícitamente desautenticarse del AP • Un atacante puede falsificar un mensaje de des-autenticación del AP a nombre de un cliente • Obliga al cliente a re-autenticarse con el AP • El ataque puede repetirse indefinidamente • Por cliente. suplantando al cliente y des- autenticándolo del AP • Todos los clientes. suplantando al AP y desautenticando a todos los clientes • El atacante sólo requiere enviar una trama falsa .Ataque de des-autenticación • Durante el proceso de asociación con el AP elegido. 802.11 provee un componente de des-asociación que indica al AP que termine de manejar el tráfico del cliente • Un atacante puede falsificar un mensaje de des-asociación hacia el AP a nombre de un cliente • Obliga al cliente a re-asociarse con el AP • El ataque puede repetirse indefinidamente • Similar al ataque de des-autenticación • El atacante sólo requiere enviar una trama falsa .Ataque de des-asociación • Durante el proceso de asociación con el AP elegido. Mitigación de ataques de des-asociación • Se debe autenticar las tramas de gestión • No se puede lograr solamente actualizando el software • Se requiere un marco de autenticación estándar. lo que puede tomar tiempo • Retrasar el cumplimiento de la petición des-autenticación • Sobre la base del comportamiento observado de los clientes legítimos. no des-autenticar los datos enviados • Aplicar intervalo de retardo pequeños (5-10 segundos) • Si no se reciben otras tramas del mismo cliente entonces respetar la petición . el cliente.Ataque contra el modo de ahorro de energía • LA idea es engañar al AP haciéndole creer que el cliente bajo ataque está en modo ahorro de energía. • Eventualmente el AP con el tiempo eliminará las tramas almacenadas para el cliente . no sabe que el AP lo considera así. • Por lo tanto. no solicita solicita al AP las tramas almacenadas que le corresponden • Esto se traduce en una desconexión parcial del cliente de la red (el cliente todavía puede transmitir tramas). que en realidad no está en modo de reposo. por lo tanto. el AP comenzara a almacenar las tramas destinadas a dicho cliente • Sin embargo. • Genera una desincronización entre el cliente y el AP. causando que el AP descarte los paquetes mientras el cliente duerme • El atacante falsifica la trama TIM. como el intervalo de tramas TIM causandoq ue el cliente y al AP se desincronicen .Ataque contra el modo de ahorro de energía • Se pueden realizar 3 tipos de ataque • El atacante falsifica la trama de barrido del cliente. (Traffic Information Map) convenciendo al cliente de que no tiene tramas almacenadas • El atacante puede modificar información clave para la sincronización. 11 establece mecanismos para controlar el acceso al medio y asegurar un canal libre de colisiones • Combina dos mecanismos para ello • Detección de portadora física • Usando CSMA/CA con ventanas de tiempo • Detección de portadora virtual • Usando RTS/CTS con NAV • Se puede atacar cada uno de estos mecanismos .Ataque contra el mecanismo de acceso al medio • 802. 11b).Ataque a ventanas de tiempo • Cada transmisor debe esperar al menos el intervalo SIFS o mayor para transmitir • El atacante puede monopolizar el canal enviando una señal antes que finalice cada intervalo SIFS • El ataque es limitado • Consume muchos recursos. por lo que el atacante debe generar 50000 paquetes por segundo para deshabilitar la red . SIFS dura 28 µs (802. Ataque a NAV defer access contention • NAV (Network Allocation Vector) es un indicador de disponibilidad del canal virtual que se modifica con cada mensaje RTS/CTS • El atacante puede falsificar el campo “Duración” de una trama de control RTS usando valores muy altos. iguala 32 ms • El atacante necesita transmitir sólo 30 veces por segundo • El ataque puede mejorarse falsificando la duración de RTS. para que los clientes propaguen el ataque en las tramas CTS . lo que causa que el valor de NAV en el resto de equipos se incremente y evite su acceso al canal • El valor máximo es de 32767. se requiere de límites mínimos y máximos • El valor mínimo debe ser un valor igual a la cantidad de tiempo necesaria para enviar la trama ACK más el tiempo promedio de backoff por trama • El valor máximo usado debiera ser el máximo permitido para la transmisión de tramas . truncar la duración al valor de límite • Para una estricto control.Mitigación de ataques contra el acceso al medio • La defensa se basa en el hecho de que los valores de duración legítimos son relativamente pequeños • Limitar la duración máxima de las tramas recibidas • Si una estación recibe una trama con una duración mayor al valor de límite. Vulnerabilidades en redes Ad Hoc • Por lo general poca o ninguna • • • • seguridad Las terminales corren un riesgo significativo de conectarse a un dispositivo no autorizado Las terminales corren un riesgo significativo de que su conexión sea insegura incluso con un dispositivo autorizado Riesgo de conectar un dispositivo adhoc inalámbrico no autorizado a una red segura mediante cable Vulnerabilidad en algunos sistemas operativos al momento de trabajar con redes Ad Hoc (función de configuración automática) . Ataques en redes Ad Hoc • Contemplan los mismos ataques que una red inalámbrica de infraestructura • • • • Ataques de reconocimiento Ataques de suplantación Ataques de repetición Distorsión de mensajes • Los ataques se enfocan principalmente a los protocolos de enrutamiento Ad Hoc (redes MESH) • Ataque de interrupción de enrutamiento • El atacante manipula o interrumpe el enrutamiento de los paquetes de datos entre los nodos inalámbricas • Ataque de consumo de recursos • El atacante inyecta paquetes en la red para consumir los recursos de la red o los recursos de los nodos inalámbricos . comprometiendo el rendimiento de toda la red. • Puede cambiar la relación de confianza entre los nodos debido a la topología dinámica y al enrutamiento multi-hop. • Cuentan con recursos (memoria. • Una vez atacada ésta puerta de enlace.Vulnerabilidades en redes MESH • Las redes MESH son vulnerables a ataques debido a la ausencia de una autoridad central de confianza y la naturaleza abierta del medio inalámbrico. • Pueden introducirse nodos maliciosos fácilmente en la red y lanzar ataques de interferencia. . • Los nodos que sirven de puertas de enlace proporcionan acceso toda la red y por lo general se convierten en el objetivo principal de ataque. espiar las comunicaciones e inyectar paquetes maliciosos. ya no se puede ofrecer un servicio normal. capacidad computacional) limitados. . • En la capa MAC. • En la capa de red.Ataques en redes MESH • Hay diferentes tipos de ataques que se pueden encontrar en una red MESH. agujero de gusano. • El ataque DoS es el más grave y se da en la capa de red y la capa MAC. Jamming virtual y ataque DoS. hay bloqueo de la señal y el dispositivo de manipulación. DoS con agujeros negros. hay suplantación de MAC. • En la capa PHY. grayhole. Ataque de DoS y DDoS en redes MESH . De lo contrario. • Detección rápida • Un ataque con éxito DDoS consiste en miles de víctimas que inundan la red con altos volúmenes de tráfico en un período de tiempo relativamente corto. • Un buen mecanismo de detección debe tener la capacidad de responder con rapidez y dar la alarma al iniciar el ataque antes de que cause daños importantes. dará lugar a una alta sobrecarga adicional a la red haciendo ineficaz el proceso de detección. . • Detección de baja sobrecarga • El mecanismo de detección no debe ocupar demasiado de los recursos de la red para responder a los ataques. • Es difícil de lograr este objetivo debido a la diversidad ataque. Ataques usando ICMP.Mitigando ataques en redes MESH • Los ataques DDoS son difíciles de detectar rápidamente con gran precisión debido a tres factores: • Detección precisa • El rendimiento de detección ideales es distinguir entre las situaciones de ataque DDoS y la saturación de la red debida a las cargas de tráfico pesado. además de la falta de mecanismos de control de congestión. TCP Syn. • Use asignaciones diferentes para las VLAN de gestión. y privada. gestión out-of-band. nativa.Mejores prácticas de Seguridad en Capa 2 • Administre los switches de forma segura (SSH. • No use la VLAN 1 para nada excepto para tráfico de control de los protocolos de Capa 2. • Des-habilite la auto-troncalización en los puertos que conectan a los usuarios (DTP off). • Configure explícitamente la troncalización en los puertos de infraestructura. • Configure Root Guard en los puertos raíz STP. . usuario/datos. voz. • Configure PortFast en todos los puertos no troncales. ACLs) • Use la seguridad de puertos donde sea posible para los puertos de acceso. agujeros negros. • Configure BPDU Guard en todos los puertos no troncales. • Use CDP sólo donde sea necesario. • Deshabilite los puertos no utilizados y póngalos en una VLAN no utilizada. • Consultas …. .
Comments
Report "Seguridad.capa.2"
×
Please fill this form, we will try to respond as soon as possible.
Your name
Email
Reason
-Select Reason-
Pornographic
Defamatory
Illegal/Unlawful
Spam
Other Terms Of Service Violation
File a copyright complaint
Description
Copyright © 2024 UPDOCS Inc.