Seguridad Capa Enlace¿Qué entendemos por capa de enlace?¿Por qué es importante?¿Seguridad? ¿En qué afecta?
Introducción• ¿Según el FBI el 80% de los ataques provienen del interior de  la organización.• 99% de los puertos de las r...
Capa de enlace
Capa de enlace
Capa       Protocolo                      Funcionalidad                       Unidad de                        Ejemplos   ...
Capa de enlaceTopologías simples     Anillo          Estrella   Bus   MallaDispositivos• HUB• Switch• Bridge
Ataques Capa de enlace• Los switchs guardan las asociaciones MAC-Puerto e  información de VLAN a medida que las “aprenden”...
Erase una vez…Multiples direccionamientos lógicos
Erase una vez…interface Vlan1234 ip address 10.0.0.254 255.255.255.0 secondary ip address 10.139.15.1 255.255.255.252 seco...
Erase una vez…Tráfico heterogéneo
Erase una vez…Protocolos mal configurados
Erase una vez…Multiples direccionamientos lógicosTráfico heterogéneoProtocolos mal configurados
Hoy día…Topologíascomplejas• Conectividadheterogénea• Distanciamientofísico y lógico• Demasiadaconmutación
Hoy día…• Ampliación de funcionalidades• Especialización del hardware
Riesgos y amenazasClasificación   • Implementación   • Diseño de protocolo
ARPInconvenientes  • Mensajes anónimos  • ARPs gratuitos  • Inundación de Vlan  • Respuestas ARP unicast
ARPAtaques  • Denegación de Servicio  • Robar puertos  • Espiar tráfico  • Ataques MITM
ARPSoluciones  • Activar ip arp inspection  • Cifrar tráfico  • Activar port security  • Activar macsec  • Modo PARANOIC
STPInconvenientes  • Menajes anónimos  • No hay chequeos  • No hay balanceo de carga  • Convergencia lenta
STPAtaques  • Denegación de Servicio  • Espiar tráfico  • Bypass de equipos  • Ataques MITM
STPSoluciones  • Activar bpdu / root / loop guard  • Activar portfast  • Activar etherchannel guard  • Activar bpdu filter...
VTPInconvenientes  • Menajes anónimos  • No hay chequeos
VTPAtaques  • Denegación de Servicio  • Crear, borrar, modificar Vlanes  • Reconfigurar Vlanes de otros switches
VTPSoluciones  • Activar hashing md5  • En entornos pequeños, no usar VTP
DHCPInconvenientes  • Cualquiera puede ser servidor DHCP  • Sin cifrar
DHCPAtaques  • Denegación de Servicio  • Forzar un cambio de IP  • Levantar un servidor DHCP
DHCPSoluciones  • Filtrar por mac  • Activar ip dhcp snooping
RedundanciaInconvenientes  • Falsas apariencias  • MACs cantosas            HSRP: 00-00-0c-07-ac-xx       VRRP/CARP: 00-00...
RedundanciaAtaques  • Denegación de Servicio  • Forzar equipo activo / master
RedundanciaSoluciones  • ¿Cifrar? ¿IPSEC? ¿Autenticar?  • Cambiar MAC  • Activar 802.1x  • Controlar el acceso al medio
DTP / Vlan TaggingInconvenientes  • DTP activo por defecto  • No descarta tags
DTP / Vlan TaggingAtaques  • Crear trunks  • Saltar de VLAN
DTP / Vlan TaggingSoluciones  • Desactivar negociación DTP  • Activar VRF  • ¡No usar vlan 1 para nada!  • Desactivar puer...
CDPInconvenientes  • Menajes anónimos  • Sin cifrar
CDPAtaques  • Obtención de información  • DoS (B.O. Fx)  • Crear dispositivos virtuales
CDPSoluciones  • Desactivar CDP  • Limitar CDP a redes de gestión
802.1x / EAPInconvenientes  • Gran despliegue de infraestructura  • Solo autentica al iniciar la conexión  • Afecta a la e...
802.1x / EAPAtaques  • Denegación de Servicio  • Shadow host  • EAP-LEAP
802.1x / EAPSoluciones  • EAP-PEAP o EAP-TTLS  • Cisco MAB  • OpenSEA
PVLAN
MPLS / VRFInconvenientes  • Ninguno.
MPLS / VRFAtaques  • Revelación de etiquetas o rutas  • Inyección de etiquetas  • Modificación de rutas  • Protocolos exte...
MPLS / VRFSoluciones  • Configuración adecuada
Cisco IOSInconvenientes  • Arquitectura rudi  • Código inseguro  • Imagen firmware  • Ejecución de código
Cisco IOSAtaques  • Cambiar configuración  • Ganar acceso privilegiado (enable)  • Matar procesos (autenticación, logging)...
Cisco IOSSoluciones  • Evitar obsolescencia  • Gestión proactiva de la plataforma  • Controlar imagen exterior
Anexo I :: Referencias• Documentación técnicaSecuring Layer 2 in LAN (Altunbasak, Krasser, Owen, Grimminger, Huth y Sokol)...
Anexo I :: Referencias• Documentación técnicaFun with Ethernet switches (Sean Connery)http://www.blackhat.com/presentation...
Anexo I :: Referencias• Documentación técnicaUnderstanding, Preventing, and Defending Against Layer 2 Attacks (Yusuf Bhaij...
Anexo I :: Referencias• HerramientasMausezahn (Herbert Haas)http://www.perihel.at/sec/mzYersinia (Slayer y Tomac)http://ww...
Anexo I :: Referencias• HerramientasEttercap (Alor y Naga)http://ettercap.sf.netGuillermo Marro, SeclabSToP y stormDsniff ...
Upcoming SlideShare
Loading in …5
×

Data link

1,551 views
1,413 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,551
On SlideShare
0
From Embeds
0
Number of Embeds
770
Actions
Shares
0
Downloads
4
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Data link

  1. 1. Seguridad Capa Enlace¿Qué entendemos por capa de enlace?¿Por qué es importante?¿Seguridad? ¿En qué afecta?
  2. 2. Introducción• ¿Según el FBI el 80% de los ataques provienen del interior de la organización.• 99% de los puertos de las redes LAN corporativas están “desprotegidos”. Es decir, cualquiera puede conectarse a ellos.• Las herramientas diseñadas para simplificar el trabajo de los administradores de red perjudican seriamente la seguridad de la red corporativa• Las direcciones MAC no pueden ser falsificadas• Un switch no permite hacer sniffing.• Las VLANs están completamente aisladas unas de otras.
  3. 3. Capa de enlace
  4. 4. Capa de enlace
  5. 5. Capa Protocolo Funcionalidad Unidad de Ejemplos TransmisiónAplicación Provee el conjunto de aplicaciones de red, DATA FTP,, SMTP, NFS, POP3, HTTP, TFTP, Telnet, SSH, como por ejemplo: Transferencia de archivos, DNS, DHCP, NTP, SNMP, AAA, ISR VOIP, SCCP emulación de terminal, correo electrónico, config and calls ISR command support, Call discos virtuales, etc. Manager ExpressPresentación Codificación Formato y conversión de códigos, necesarias ASCII, EBCDIC, representación de números para que los datos sean más fácilmente enteros y reales, etc. interpretados por los programas de aplicaciónSesión responsable del establecimiento y mantenimiento de las sesiones de comunicación entre los programas de comunicaciónTransporte Transferencia Regulación de flujo de mensajes, retransmisión TCP, SPX, UDP, TCP Nagle Algorithm & IP de paquetes, inicio/terminación de sesiones Fragmentation,, RTP entre nodos, etc.Red Enrutamiento Enrutamiento de paquetes en la red, ofrece un PACKET IP, IPX, VTAM, BGP, IPv4, ICMP, ARP, IPv6, canal libre de errores a la capa de transporte ICMPv6, IPSec, RIPv1/v2/ng, Multi-Area OSPF, EIGRP, Static Routing, Route Redistribution, Multilayer Switching, L3 QoS, NAT, CBAL, Zone- based policy firewall and Intrusion Protection System on the ISR, GRE VPN, IPSec VPNEnlace Comunicación Control de acceso al canal , dividir los paquetes FRAME Ethernet (IEEE 802.3), Token Ring (802.5), FDDI, recibidos de la capa superior en grupos de bits. HDLC, Frame Relay, PPP, PPPoE, STP, RSTP, VTP, Provee mecanismos para detección y DTP, CDP, SDLC, LAPB, 802.1q, PAgP, L2 QoS, corrección de errores. SLARPFísica Estándares Transmisión de bits sobre el canal de BIT RS-232C, RS-449, V.24, V.35 comunicación
  6. 6. Capa de enlaceTopologías simples Anillo Estrella Bus MallaDispositivos• HUB• Switch• Bridge
  7. 7. Ataques Capa de enlace• Los switchs guardan las asociaciones MAC-Puerto e información de VLAN a medida que las “aprenden” en un tabla llamada tabla CAM.• La tabla CAM de un switch tiene un tamaño fijo y finito.• Cuando la tabla CAM no tiene espacio para almacenar más asociaciones MAC-Puerto envía a todos los puertos las tramas que tengan una dirección MAC destino no almacenada en la tabla CAM.• CAM Table Overflow, para realizar el ataque sólo hace falta enviar gran número de tramas con direcciones MAC distintas (usualmente generadas al azar) a cualquier puerto del switch hasta que se llene la tabla CAM.
  8. 8. Erase una vez…Multiples direccionamientos lógicos
  9. 9. Erase una vez…interface Vlan1234 ip address 10.0.0.254 255.255.255.0 secondary ip address 10.139.15.1 255.255.255.252 secondary ip address 10.139.15.5 255.255.255.252 secondary ip address 10.139.15.9 255.255.255.252 secondary ip address 10.139.15.13 255.255.255.252 secondary ip address 172.1.28.2 255.255.255.224 secondary ip address 172.1.28.34 255.255.255.224 secondary ip address 172.1.28.130 255.255.255.128 secondary ip address 10.100.15.2 255.255.255.0 standby 1 ip 10.100.15.3 standby 1 priority 99 standby 2 ip 172.1.28.3 standby 2 priority 99 standby 3 ip 172.1.28.35 standby 3 priority 101 standby 3 preempt standby 4 ip 172.1.28.131 standby 4 priority 99
  10. 10. Erase una vez…Tráfico heterogéneo
  11. 11. Erase una vez…Protocolos mal configurados
  12. 12. Erase una vez…Multiples direccionamientos lógicosTráfico heterogéneoProtocolos mal configurados
  13. 13. Hoy día…Topologíascomplejas• Conectividadheterogénea• Distanciamientofísico y lógico• Demasiadaconmutación
  14. 14. Hoy día…• Ampliación de funcionalidades• Especialización del hardware
  15. 15. Riesgos y amenazasClasificación • Implementación • Diseño de protocolo
  16. 16. ARPInconvenientes • Mensajes anónimos • ARPs gratuitos • Inundación de Vlan • Respuestas ARP unicast
  17. 17. ARPAtaques • Denegación de Servicio • Robar puertos • Espiar tráfico • Ataques MITM
  18. 18. ARPSoluciones • Activar ip arp inspection • Cifrar tráfico • Activar port security • Activar macsec • Modo PARANOIC
  19. 19. STPInconvenientes • Menajes anónimos • No hay chequeos • No hay balanceo de carga • Convergencia lenta
  20. 20. STPAtaques • Denegación de Servicio • Espiar tráfico • Bypass de equipos • Ataques MITM
  21. 21. STPSoluciones • Activar bpdu / root / loop guard • Activar portfast • Activar etherchannel guard • Activar bpdu filtering •Limitar broadcasts
  22. 22. VTPInconvenientes • Menajes anónimos • No hay chequeos
  23. 23. VTPAtaques • Denegación de Servicio • Crear, borrar, modificar Vlanes • Reconfigurar Vlanes de otros switches
  24. 24. VTPSoluciones • Activar hashing md5 • En entornos pequeños, no usar VTP
  25. 25. DHCPInconvenientes • Cualquiera puede ser servidor DHCP • Sin cifrar
  26. 26. DHCPAtaques • Denegación de Servicio • Forzar un cambio de IP • Levantar un servidor DHCP
  27. 27. DHCPSoluciones • Filtrar por mac • Activar ip dhcp snooping
  28. 28. RedundanciaInconvenientes • Falsas apariencias • MACs cantosas HSRP: 00-00-0c-07-ac-xx VRRP/CARP: 00-00-5e-00-01-xx
  29. 29. RedundanciaAtaques • Denegación de Servicio • Forzar equipo activo / master
  30. 30. RedundanciaSoluciones • ¿Cifrar? ¿IPSEC? ¿Autenticar? • Cambiar MAC • Activar 802.1x • Controlar el acceso al medio
  31. 31. DTP / Vlan TaggingInconvenientes • DTP activo por defecto • No descarta tags
  32. 32. DTP / Vlan TaggingAtaques • Crear trunks • Saltar de VLAN
  33. 33. DTP / Vlan TaggingSoluciones • Desactivar negociación DTP • Activar VRF • ¡No usar vlan 1 para nada! • Desactivar puertos sin uso
  34. 34. CDPInconvenientes • Menajes anónimos • Sin cifrar
  35. 35. CDPAtaques • Obtención de información • DoS (B.O. Fx) • Crear dispositivos virtuales
  36. 36. CDPSoluciones • Desactivar CDP • Limitar CDP a redes de gestión
  37. 37. 802.1x / EAPInconvenientes • Gran despliegue de infraestructura • Solo autentica al iniciar la conexión • Afecta a la estabilidad de la red • Implementación limitada
  38. 38. 802.1x / EAPAtaques • Denegación de Servicio • Shadow host • EAP-LEAP
  39. 39. 802.1x / EAPSoluciones • EAP-PEAP o EAP-TTLS • Cisco MAB • OpenSEA
  40. 40. PVLAN
  41. 41. MPLS / VRFInconvenientes • Ninguno.
  42. 42. MPLS / VRFAtaques • Revelación de etiquetas o rutas • Inyección de etiquetas • Modificación de rutas • Protocolos externos
  43. 43. MPLS / VRFSoluciones • Configuración adecuada
  44. 44. Cisco IOSInconvenientes • Arquitectura rudi • Código inseguro • Imagen firmware • Ejecución de código
  45. 45. Cisco IOSAtaques • Cambiar configuración • Ganar acceso privilegiado (enable) • Matar procesos (autenticación, logging) • Infectar otros equipos
  46. 46. Cisco IOSSoluciones • Evitar obsolescencia • Gestión proactiva de la plataforma • Controlar imagen exterior
  47. 47. Anexo I :: Referencias• Documentación técnicaSecuring Layer 2 in LAN (Altunbasak, Krasser, Owen, Grimminger, Huth y Sokol)http://users.ece.gatech.edu/~owen/Research/Conference%20Publications/altunbasak_ICN2005.pdfA Survey of BGP Security Issues and Solutions (T. Farley, P. McDaniel y Kevin Butler)http://www.cs.purdue.edu/homes/ninghui/readings/TruSe_fall04/td-5ugj33.pdfSecure Use of VLANs: An @stake Security Assessmenthttp://www.cisco.com/warp/public/cc/pd/si/casi/ca6000/tech/stake_wp.pdf
  48. 48. Anexo I :: Referencias• Documentación técnicaFun with Ethernet switches (Sean Connery)http://www.blackhat.com/presentations/bh-usa-02/bh-us-02-convery-switches.pdfARP Vulnerabilities (Mike Beekey)http://www.blackhat.com/presentations/bh-usa-01/MikeBeekey/bh-usa-01-Mike-Beekey.pptProtecting your IP network infrastructure (Nicolas Fischbach y Sebastien Lacoste-Seris)http://www.blackhat.com/presentations/bh-europe-01/fischbach/bh-europe-01-fischbach.ppt
  49. 49. Anexo I :: Referencias• Documentación técnicaUnderstanding, Preventing, and Defending Against Layer 2 Attacks (Yusuf Bhaiji)http://www.cisco.com/web/ME/exposaudi2009/assets/docs/layer2_attacks_and_mitigation_t.pdfCisco IOS Shellcode And. Exploitation Techniques (Michael Lynn)http://www.jwdt.com/~paysan/lynn-cisco.pdfKilling the myth of Cisco IOS rootkits (Sebastian Muñiz)http://eusecwest.com/esw08/esw08-muniz.pdf
  50. 50. Anexo I :: Referencias• HerramientasMausezahn (Herbert Haas)http://www.perihel.at/sec/mzYersinia (Slayer y Tomac)http://www.yersinia.netTaranis (Jonathan Wilkins)http://www.bitland.net/taranisHunt (Pavel Krauz)http://packetstorm.securify.com/sniffers/hunt/indexsize.shtml
  51. 51. Anexo I :: Referencias• HerramientasEttercap (Alor y Naga)http://ettercap.sf.netGuillermo Marro, SeclabSToP y stormDsniff (Dug Song)http://monkey.org/~dugsong/dsniffirm-mpls-toolshttp://www.irmplc.com/researchlab/tools

×