Vins Villaplana - Seguridad en capa de enlace [RootedCON 2011]

4,385 views
4,227 views

Published on

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
4,385
On SlideShare
0
From Embeds
0
Number of Embeds
1,945
Actions
Shares
0
Downloads
175
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Vins Villaplana - Seguridad en capa de enlace [RootedCON 2011]

  1. 1. Vins Vilaplanavins.vilaplana@gmail.com
  2. 2. Introducción¿Qué entendemos por capa de enlace?¿Por qué es importante?¿Seguridad? ¿En qué afecta?
  3. 3. Introducción
  4. 4. Erase una vez…Topologías simples Anillo Estrella Bus Malla
  5. 5. Erase una vez… Vicios.
  6. 6. Erase una vez…Multiples direccionamientos lógicos
  7. 7. Erase una vez…interface Vlan1234 ip address 10.0.0.254 255.255.255.0 secondary ip address 10.139.15.1 255.255.255.252 secondary ip address 10.139.15.5 255.255.255.252 secondary ip address 10.139.15.9 255.255.255.252 secondary ip address 10.139.15.13 255.255.255.252 secondary ip address 172.1.28.2 255.255.255.224 secondary ip address 172.1.28.34 255.255.255.224 secondary ip address 172.1.28.130 255.255.255.128 secondary ip address 10.100.15.2 255.255.255.0 standby 1 ip 10.100.15.3 standby 1 priority 99 standby 2 ip 172.1.28.3 standby 2 priority 99 standby 3 ip 172.1.28.35 standby 3 priority 101 standby 3 preempt standby 4 ip 172.1.28.131 standby 4 priority 99
  8. 8. Erase una vez…Tráfico heterogéneo
  9. 9. Erase una vez…Protocolos mal configurados
  10. 10. Erase una vez…Multiples direccionamientos lógicosTráfico heterogéneoProtocolos mal configurados
  11. 11. Hoy día…Evolución de las topologías Anillo Estrella Bus Malla
  12. 12. Hoy día…Topologíascomplejas• Conectividadheterogénea• Distanciamientofísico y lógico• Demasiadaconmutación
  13. 13. Hoy día…• Ampliación de funcionalidades• Especialización del hardware
  14. 14. Riesgos y amenazasClasificación • Implementación • Diseño de protocolo
  15. 15. ARPInconvenientes • Mensajes anónimos • ARPs gratuitos • Inundación de Vlan • Respuestas ARP unicast
  16. 16. ARPAtaques • Denegación de Servicio • Robar puertos • Espiar tráfico • Ataques MITM
  17. 17. ARPSoluciones • Activar ip arp inspection • Cifrar tráfico • Activar port security • Activar macsec • Modo PARANOIC
  18. 18. STPInconvenientes • Menajes anónimos • No hay chequeos • No hay balanceo de carga • Convergencia lenta
  19. 19. STPAtaques • Denegación de Servicio • Espiar tráfico • Bypass de equipos • Ataques MITM
  20. 20. STPSoluciones • Activar bpdu / root / loop guard • Activar portfast • Activar etherchannel guard • Activar bpdu filtering •Limitar broadcasts
  21. 21. VTPInconvenientes • Menajes anónimos • No hay chequeos
  22. 22. VTPAtaques • Denegación de Servicio • Crear, borrar, modificar Vlanes • Reconfigurar Vlanes de otros switches
  23. 23. VTPSoluciones • Activar hashing md5 • En entornos pequeños, no usar VTP
  24. 24. DHCPInconvenientes • Cualquiera puede ser servidor DHCP • Sin cifrar
  25. 25. DHCPAtaques • Denegación de Servicio • Forzar un cambio de IP • Levantar un servidor DHCP
  26. 26. DHCPSoluciones • Filtrar por mac • Activar ip dhcp snooping
  27. 27. RedundanciaInconvenientes • Falsas apariencias • MACs cantosas HSRP: 00-00-0c-07-ac-xx VRRP/CARP: 00-00-5e-00-01-xx
  28. 28. RedundanciaAtaques • Denegación de Servicio • Forzar equipo activo / master
  29. 29. RedundanciaSoluciones • ¿Cifrar? ¿IPSEC? ¿Autenticar? • Cambiar MAC • Activar 802.1x • Controlar el acceso al medio
  30. 30. DTP / Vlan TaggingInconvenientes • DTP activo por defecto • No descarta tags
  31. 31. DTP / Vlan TaggingAtaques • Crear trunks • Saltar de VLAN
  32. 32. DTP / Vlan TaggingSoluciones • Desactivar negociación DTP • Activar VRF • ¡No usar vlan 1 para nada! • Desactivar puertos sin uso
  33. 33. CDPInconvenientes • Menajes anónimos • Sin cifrar
  34. 34. CDPAtaques • Obtención de información • DoS (B.O. Fx) • Crear dispositivos virtuales
  35. 35. CDPSoluciones • Desactivar CDP • Limitar CDP a redes de gestión
  36. 36. 802.1x / EAPInconvenientes • Gran despliegue de infraestructura • Solo autentica al iniciar la conexión • Afecta a la estabilidad de la red • Implementación limitada
  37. 37. 802.1x / EAPAtaques • Denegación de Servicio • Shadow host • EAP-LEAP
  38. 38. 802.1x / EAPSoluciones • EAP-PEAP o EAP-TTLS • Cisco MAB • OpenSEA
  39. 39. PVLAN
  40. 40. MPLS / VRFInconvenientes • Ninguno.
  41. 41. MPLS / VRFAtaques • Revelación de etiquetas o rutas • Inyección de etiquetas • Modificación de rutas • Protocolos externos
  42. 42. MPLS / VRFSoluciones • Configuración adecuada
  43. 43. Cisco IOSInconvenientes • Arquitectura rudi • Código inseguro • Imagen firmware • Ejecución de código
  44. 44. Cisco IOSAtaques • Cambiar configuración • Ganar acceso privilegiado (enable) • Matar procesos (autenticación, logging) • Infectar otros equipos
  45. 45. Cisco IOSSoluciones • Evitar obsolescencia • Gestión proactiva de la plataforma • Controlar imagen exterior
  46. 46. Ruegos y preguntas
  47. 47. Despedida• Agradecimientos
  48. 48. Anexo I :: Referencias• Documentación técnicaSecuring Layer 2 in LAN (Altunbasak, Krasser, Owen, Grimminger, Huth y Sokol)http://users.ece.gatech.edu/~owen/Research/Conference%20Publications/altunbasak_ICN2005.pdfA Survey of BGP Security Issues and Solutions (T. Farley, P. McDaniel y Kevin Butler)http://www.cs.purdue.edu/homes/ninghui/readings/TruSe_fall04/td-5ugj33.pdfSecure Use of VLANs: An @stake Security Assessmenthttp://www.cisco.com/warp/public/cc/pd/si/casi/ca6000/tech/stake_wp.pdf
  49. 49. Anexo I :: Referencias• Documentación técnicaFun with Ethernet switches (Sean Connery)http://www.blackhat.com/presentations/bh-usa-02/bh-us-02-convery-switches.pdfARP Vulnerabilities (Mike Beekey)http://www.blackhat.com/presentations/bh-usa-01/MikeBeekey/bh-usa-01-Mike-Beekey.pptProtecting your IP network infrastructure (Nicolas Fischbach y Sebastien Lacoste-Seris)http://www.blackhat.com/presentations/bh-europe-01/fischbach/bh-europe-01-fischbach.ppt
  50. 50. Anexo I :: Referencias• Documentación técnicaUnderstanding, Preventing, and Defending Against Layer 2 Attacks (Yusuf Bhaiji)http://www.cisco.com/web/ME/exposaudi2009/assets/docs/layer2_attacks_and_mitigation_t.pdfCisco IOS Shellcode And. Exploitation Techniques (Michael Lynn)http://www.jwdt.com/~paysan/lynn-cisco.pdfKilling the myth of Cisco IOS rootkits (Sebastian Muñiz)http://eusecwest.com/esw08/esw08-muniz.pdf
  51. 51. Anexo I :: Referencias• HerramientasMausezahn (Herbert Haas)http://www.perihel.at/sec/mzYersinia (Slayer y Tomac)http://www.yersinia.netTaranis (Jonathan Wilkins)http://www.bitland.net/taranisHunt (Pavel Krauz)http://packetstorm.securify.com/sniffers/hunt/indexsize.shtml
  52. 52. Anexo I :: Referencias• HerramientasEttercap (Alor y Naga)http://ettercap.sf.netGuillermo Marro, SeclabSToP y stormDsniff (Dug Song)http://monkey.org/~dugsong/dsniffirm-mpls-toolshttp://www.irmplc.com/researchlab/tools

×