Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
GRUPO ACADEMIA POSTALTecnologías de seguridad en Switches Como aprovechar las configuraciones por defecto para  hacer un a...
GRUPO ACADEMIA POSTALObjetivos•   Conocer las tecnologías de red implicadas habitualmente en las redes de área    local de...
GRUPO ACADEMIA POSTALEscenario Base•   Funcionamiento por defecto de una red sencilla:     – 1 sola VLAN  1 sola red     ...
GRUPO ACADEMIA POSTALEscenario Base•   Configuración por defecto del switch:     – Excepto: spanning-tree portfast•   Conf...
GRUPO ACADEMIA POSTALComienzo del ataque (simulación)•   1ª Acción hostil: Agotamiento de las direcciones IP disponibles: ...
GRUPO ACADEMIA POSTALComienzo del ataque (escenario real)•   Una vez que se ha entendido el escenario base con el simulado...
GRUPO ACADEMIA POSTALComienzo del ataque (escenario real)•   1ª Acción hostil: Agotamiento de las direcciones IP disponibl...
GRUPO ACADEMIA POSTALstarve.shwhile true; do   # Eliminar cualquier cliente dhcp que se esté ejecutando   killall dhclient...
GRUPO ACADEMIA POSTALContinuando•   2ª Acción hostil: Activación de un servidor de DHCP “maligno” y otras configs     – Pr...
GRUPO ACADEMIA POSTALContinuando•   2ª Acción hostil: Activación de un servidor de DHCP “maligno” y otras configs (II)    ...
GRUPO ACADEMIA POSTALAplicando contramedidas en el switch•   En muchos switches existe una funcionalidad muy útil que perm...
GRUPO ACADEMIA POSTALAplicando contramedidas en el switch•   DHCP Snooping    – Es una funcionalidad que permite que el sw...
GRUPO ACADEMIA POSTALContacto  Francisco Javier Nóvoa     fjnovoa@udc.es     fjnovoa@academiapostal.es     http://cisconet...
GRUPO ACADEMIA POSTAL      Preguntas
Upcoming SlideShare
Loading in …5
×

Tecnologías de seguridad en switches

2,368 views

Published on

Esta presentación fue utilizada en la charla "Tecnologías de Seguridad en Switches", impartida en las Jornadas de Seguridad Informática organizadas por GSIC en A Coruña en febrero de 2012

Published in: Technology
  • Be the first to comment

Tecnologías de seguridad en switches

  1. 1. GRUPO ACADEMIA POSTALTecnologías de seguridad en Switches Como aprovechar las configuraciones por defecto para hacer un ataque “Man in the Middle” y como evitarlo con medidas sencillas
  2. 2. GRUPO ACADEMIA POSTALObjetivos• Conocer las tecnologías de red implicadas habitualmente en las redes de área local de organizaciones de tamaño pequeño y mediano• Presentar las vulnerabilidades más habituales que se encuentran cuando los switches se ponen en producción con sus configuraciones por defecto• Realización de un ataque combinado para colocar un “Man in the Middle” – Agotamiento de las direcciones IP del servidor de DHCP legítimo – Introducción de un servidor DHCP “maligno” – Cambio de la pasarela por defecto de los clientes legítimos – Configuración NAT en el equipo atacante para proporcionar el retorno del tráfico• Aplicar contramedidas: – Limitación del número de direcciones MAC asociadas en cada puerto del switch – DHCP “Snooping”
  3. 3. GRUPO ACADEMIA POSTALEscenario Base• Funcionamiento por defecto de una red sencilla: – 1 sola VLAN  1 sola red – Asignación dinámica de las direcciones IP de los clientes – Comprobación del acceso a Internet
  4. 4. GRUPO ACADEMIA POSTALEscenario Base• Configuración por defecto del switch: – Excepto: spanning-tree portfast• Configuración del router: – Servidor DHCP: ip dhcp excluded-address 192.168.10.1 192.168.10.239 ip dhcp pool RANGO network 192.168.10.0 255.255.255.0 default-router 192.168.10.1 dns-server 8.8.8.8• Demostración en el simulador
  5. 5. GRUPO ACADEMIA POSTALComienzo del ataque (simulación)• 1ª Acción hostil: Agotamiento de las direcciones IP disponibles: – Existen múltiples herramientas para lanzar peticiones DHCP desde un mismo equipo cambiando la MAC – En el simulador no es posible llevarlo a cabo… En el escenario real utilizaremos un sencillo script – En el simulador se excluyen todas las direcciones la red• 2ª Acción hostil: Activación de un servidor de DHCP “maligno” – Proporciona direcciones IP del rango previamente agotado pero en este caso cambiando la dirección IP de la pasarela por defecto – La pasarela por defecto será el equipo atacante que recibirá todo el tráfico que va dirigido a Internet y posteriormente lo reenviará a la pasarela legítima• Demostración: Se sustituye el servidor DHCP por un router para poder enrutar el tráfico hacia la salida (limitación del simulador)
  6. 6. GRUPO ACADEMIA POSTALComienzo del ataque (escenario real)• Una vez que se ha entendido el escenario base con el simulador, se llevan a cabo las mismas acciones en el escenario real – Un router Cisco 2801 que simula una conexión a Internet y es el servidor DHCP atacado – Un switch Catalyst Cisco 3560 sin configuración de seguridad – Un equipo con Windows XP  Víctima – Un equipo (virtualizado) con Debian  Agotará las direcciones IP del servidor DHCP – Un equipo (virtualizado) con Debian Falso servidor DHCP Será el equipo “Man in the Middle”• Comprobación del funcionamiento antes del ataque
  7. 7. GRUPO ACADEMIA POSTALComienzo del ataque (escenario real)• 1ª Acción hostil: Agotamiento de las direcciones IP disponibles: – Existen múltiples herramientas para lanzar peticiones DHCP desde un mismo equipo cambiando la MAC – En este caso se usa una utilidad llamada “macchanger” que se puede instalar con un simple “apt-get install macchanger” – Se ejecuta un sencillo script que solicita mediante peticiones DHCP nuevas direcciones IP con diferentes direcciones MAC origen – Es fácil encontrarlo: “starve.sh” – Lo ejecutamos y … esperamos unos pocos minutos, que variarán en función del tamaño del conjunto de direcciones a agotar
  8. 8. GRUPO ACADEMIA POSTALstarve.shwhile true; do # Eliminar cualquier cliente dhcp que se esté ejecutando killall dhclient rm -f /var/run/dhclient.pid # Desactivar la interfaz ifconfig eth1 down # Cambiar la MAC de la interfaz e imprimir la nueva dirección MAC macchanger -a eth1 2>&1 | grep Faked # Activar la interfaz ifconfig eth0 up # Realizar una nueva solicitud DHCP dhclient eth1 2>&1 | grep DHCPACKdone
  9. 9. GRUPO ACADEMIA POSTALContinuando• 2ª Acción hostil: Activación de un servidor de DHCP “maligno” y otras configs – Proporciona direcciones IP del rango previamente agotado pero en este caso cambiando la dirección IP de la pasarela por defecto – La pasarela por defecto será el equipo atacante que recibirá todo el tráfico que va dirigido a Internet y posteriormente lo reenviará a la pasarela legítima – Se libera la configuración IP de la víctima y se pide una nueva dirección IP • Se puede observar como se obtiene una dirección IP y una máscara válida, pero la pasarela es incorrecta • Se comprueba si existe conectividad con el exterior y, evidentemente, no la hay • Para que el equipo “Man in the Middle” enrute tráfico, se debe activar el enrutamiento mediante: echo 1 > /proc/sys/net/ipv4/ip_forward
  10. 10. GRUPO ACADEMIA POSTALContinuando• 2ª Acción hostil: Activación de un servidor de DHCP “maligno” y otras configs (II) – Comprobación: tshark dst net 192.168.10.0/24 or host 201.100.11.1 – Si se desea capturar también el tráfico de retorno, existe la posibilidad de hacer NAT en el equipo atacante, de modo que el tráfico que proviene del router pase a través de él antes de retornarlo a la víctima iptables –t nat –A POSTROUTING –o eth1 –j MASQUERADE
  11. 11. GRUPO ACADEMIA POSTALAplicando contramedidas en el switch• En muchos switches existe una funcionalidad muy útil que permite limitar el número de direcciones MAC que pueden ser aprendidas desde un puerto concreto – Es algo muy útil para evitar que se pueda saturar la tabla de envío del switch, pero en este caso evitaría el agotamiento del conjunto de direcciones del servidor DHCP• Activación de la seguridad de puerto: – Configuración: Switch> enable Switch# configure terminal Switch(config)# interface range f0/1 – 24 Switch(config-if-range)# switchport portsecurity Switch(config-if-range)# switchport portsecurity maximum 3 Switch(config-if-range)# end
  12. 12. GRUPO ACADEMIA POSTALAplicando contramedidas en el switch• DHCP Snooping – Es una funcionalidad que permite que el switch analice el tráfico DHCP • Permite mensajes de solicitud de información por todos los puertos: – DHCPDISCOVER, DHCPREQUEST • Permite definir un ratio de paquetes por segundo • Solamente permite mensajes de respuesta (enviados desde los servidores DHCP) DHCPOFFER y DHCPACK a través de puertos considerados “seguros” – En los puertos no seguros, este tipo de respuestas se descartan – Configuración: Switch(config)# ip dhcp snooping vlan 1 Switch(config)# no ip dhcp snooping information option Switch(config)# ip dhcp snooping Switch(config)# interface FastEthernet0/24 Switch(config-if)# ip dhcp snooping trust
  13. 13. GRUPO ACADEMIA POSTALContacto Francisco Javier Nóvoa fjnovoa@udc.es fjnovoa@academiapostal.es http://cisconetworkingspain.blogspot.com Miguel Valencia miguel.valencia@academiapostal.es
  14. 14. GRUPO ACADEMIA POSTAL Preguntas

×