Post on 02-Dec-2014
description
Seguridad Capa Enlace
¿Qué entendemos por capa de enlace?
¿Por qué es importante?
¿Seguridad? ¿En qué afecta?
Introducción• ¿Según el FBI el 80% de los ataques provienen del interior de
la organización.• 99% de los puertos de las redes LAN corporativas están
“desprotegidos”. Es decir, cualquiera puede conectarse a ellos.• Las herramientas diseñadas para simplificar el trabajo de los
administradores de red perjudican seriamente la seguridad de la red corporativa
• Las direcciones MAC no pueden ser falsificadas• Un switch no permite hacer sniffing.• Las VLANs están completamente aisladas unas de otras.
Capa de enlace
Capa de enlace
Capa Protocolo Funcionalidad Unidad de Transmisión
Ejemplos
Aplicación Provee el conjunto de aplicaciones de red, como por ejemplo: Transferencia de archivos, emulación de terminal, correo electrónico, discos virtuales, etc.
DATA FTP,, SMTP, NFS, POP3, HTTP, TFTP, Telnet, SSH, DNS, DHCP, NTP, SNMP, AAA, ISR VOIP, SCCP config and calls ISR command support, Call Manager Express
Presentación Codificación Formato y conversión de códigos, necesarias para que los datos sean más fácilmente interpretados por los programas de aplicación
ASCII, EBCDIC, representación de números enteros y reales, etc.
Sesión responsable del establecimiento y mantenimiento de las sesiones de comunicación entre los programas de comunicación
Transporte Transferencia Regulación de flujo de mensajes, retransmisión de paquetes, inicio/terminación de sesiones entre nodos, etc.
TCP, SPX, UDP, TCP Nagle Algorithm & IP Fragmentation,, RTP
Red Enrutamiento Enrutamiento de paquetes en la red, ofrece un canal libre de errores a la capa de transporte
PACKET IP, IPX, VTAM, BGP, IPv4, ICMP, ARP, IPv6, ICMPv6, IPSec, RIPv1/v2/ng, Multi-Area OSPF, EIGRP, Static Routing, Route Redistribution, Multilayer Switching, L3 QoS, NAT, CBAL, Zone-based policy firewall and Intrusion Protection System on the ISR, GRE VPN, IPSec VPN
Enlace Comunicación Control de acceso al canal , dividir los paquetes recibidos de la capa superior en grupos de bits. Provee mecanismos para detección y corrección de errores.
FRAME Ethernet (IEEE 802.3), Token Ring (802.5), FDDI, HDLC, Frame Relay, PPP, PPPoE, STP, RSTP, VTP, DTP, CDP, SDLC, LAPB, 802.1q, PAgP, L2 QoS, SLARP
Física Estándares Transmisión de bits sobre el canal de comunicación
BIT RS-232C, RS-449, V.24, V.35
Topologías simples
Anillo Estrella Bus Malla
Capa de enlace
Dispositivos• HUB• Switch• Bridge
• Los switchs guardan las asociaciones MAC-Puerto e información de VLAN a medida que las “aprenden” en un tabla llamada tabla CAM.
• La tabla CAM de un switch tiene un tamaño fijo y finito.• Cuando la tabla CAM no tiene espacio para almacenar más
asociaciones MAC-Puerto envía a todos los puertos las tramas que tengan una dirección MAC destino no almacenada en la tabla CAM.
• CAM Table Overflow, para realizar el ataque sólo hace falta enviar gran número de tramas con direcciones MAC distintas (usualmente generadas al azar) a cualquier puerto del switch hasta que se llene la tabla CAM.
Ataques Capa de enlace
Erase una vez…
Multiples direccionamientos lógicos
Erase una vez…interface Vlan1234 ip address 10.0.0.254 255.255.255.0 secondary ip address 10.139.15.1 255.255.255.252 secondary ip address 10.139.15.5 255.255.255.252 secondary ip address 10.139.15.9 255.255.255.252 secondary ip address 10.139.15.13 255.255.255.252 secondary ip address 172.1.28.2 255.255.255.224 secondary ip address 172.1.28.34 255.255.255.224 secondary ip address 172.1.28.130 255.255.255.128 secondary ip address 10.100.15.2 255.255.255.0 standby 1 ip 10.100.15.3 standby 1 priority 99 standby 2 ip 172.1.28.3 standby 2 priority 99 standby 3 ip 172.1.28.35 standby 3 priority 101 standby 3 preempt standby 4 ip 172.1.28.131 standby 4 priority 99
Erase una vez…
Tráfico heterogéneo
Erase una vez…
Protocolos mal configurados
Erase una vez…
Multiples direccionamientos lógicos
Tráfico heterogéneo
Protocolos mal configurados
Hoy día…
Topologíascomplejas• Conectividad heterogénea
• Distanciamiento físico y lógico
• Demasiada conmutación
Hoy día…
• Especialización del hardware
• Ampliación de funcionalidades
Riesgos y amenazas
Clasificación
• Implementación
• Diseño de protocolo
ARP
Inconvenientes
• Mensajes anónimos
• ARPs gratuitos
• Inundación de Vlan
• Respuestas ARP unicast
ARP
Ataques
• Denegación de Servicio
• Espiar tráfico
• Ataques MITM
• Robar puertos
ARP
Soluciones
• Activar ip arp inspection
• Activar port security
• Activar macsec
• Cifrar tráfico
• Modo PARANOIC
STP
Inconvenientes
• Menajes anónimos
• No hay chequeos
• Convergencia lenta
• No hay balanceo de carga
STP
Ataques
• Denegación de Servicio
• Bypass de equipos
• Ataques MITM
• Espiar tráfico
STP
Soluciones
• Activar bpdu / root / loop guard
• Activar portfast
•Limitar broadcasts
• Activar etherchannel guard
• Activar bpdu filtering
VTP
Inconvenientes
• Menajes anónimos
• No hay chequeos
VTP
Ataques
• Denegación de Servicio
• Reconfigurar Vlanes de otros switches
• Crear, borrar, modificar Vlanes
VTP
Soluciones
• Activar hashing md5
• En entornos pequeños, no usar VTP
DHCP
Inconvenientes
• Cualquiera puede ser servidor DHCP
• Sin cifrar
DHCP
Ataques
• Denegación de Servicio
• Levantar un servidor DHCP
• Forzar un cambio de IP
DHCP
Soluciones
• Filtrar por mac
• Activar ip dhcp snooping
Redundancia
Inconvenientes
• Falsas apariencias
• MACs cantosas HSRP: 00-00-0c-07-ac-xxVRRP/CARP: 00-00-5e-00-01-xx
Redundancia
Ataques
• Denegación de Servicio
• Forzar equipo activo / master
Redundancia
Soluciones
• ¿Cifrar? ¿IPSEC? ¿Autenticar?
• Cambiar MAC
• Controlar el acceso al medio
• Activar 802.1x
DTP / Vlan Tagging
Inconvenientes
• DTP activo por defecto
• No descarta tags
DTP / Vlan Tagging
Ataques
• Crear trunks
• Saltar de VLAN
DTP / Vlan Tagging
Soluciones
• Desactivar negociación DTP
• Activar VRF
• Desactivar puertos sin uso
• ¡No usar vlan 1 para nada!
CDP
Inconvenientes
• Menajes anónimos
• Sin cifrar
CDP
Ataques
• Obtención de información
• Crear dispositivos virtuales
• DoS (B.O. Fx)
CDP
Soluciones
• Desactivar CDP
• Limitar CDP a redes de gestión
802.1x / EAP
Inconvenientes
• Gran despliegue de infraestructura
• Solo autentica al iniciar la conexión
• Implementación limitada
• Afecta a la estabilidad de la red
802.1x / EAP
Ataques
• Denegación de Servicio
• EAP-LEAP
• Shadow host
802.1x / EAP
Soluciones
• EAP-PEAP o EAP-TTLS
• Cisco MAB
• OpenSEA
PVLAN
MPLS / VRF
Inconvenientes
• Ninguno.
MPLS / VRF
Ataques
• Revelación de etiquetas o rutas
• Protocolos externos
• Inyección de etiquetas
• Modificación de rutas
MPLS / VRF
Soluciones
• Configuración adecuada
Cisco IOS
Inconvenientes
• Arquitectura rudi
• Imagen firmware
• Código inseguro
• Ejecución de código
Cisco IOS
Ataques
• Cambiar configuración
• Ganar acceso privilegiado (enable)
• Infectar otros equipos
• Matar procesos (autenticación, logging)
Cisco IOS
Soluciones
• Evitar obsolescencia
• Gestión proactiva de la plataforma
• Controlar imagen exterior
Anexo I :: Referencias• Documentación técnica
Securing Layer 2 in LAN (Altunbasak, Krasser, Owen, Grimminger, Huth y Sokol)http://users.ece.gatech.edu/~owen/Research/Conference%20Publications/altunbasak_ICN2005.pdf
A Survey of BGP Security Issues and Solutions (T. Farley, P. McDaniel y Kevin Butler)http://www.cs.purdue.edu/homes/ninghui/readings/TruSe_fall04/td-5ugj33.pdf
Secure Use of VLANs: An @stake Security Assessmenthttp://www.cisco.com/warp/public/cc/pd/si/casi/ca6000/tech/stake_wp.pdf
Anexo I :: Referencias• Documentación técnica
Fun with Ethernet switches (Sean Connery)http://www.blackhat.com/presentations/bh-usa-02/bh-us-02-convery-switches.pdf
ARP Vulnerabilities (Mike Beekey)http://www.blackhat.com/presentations/bh-usa-01/MikeBeekey/bh-usa-01-Mike-Beekey.ppt
Protecting your IP network infrastructure (Nicolas Fischbach y Sebastien Lacoste-Seris)http://www.blackhat.com/presentations/bh-europe-01/fischbach/bh-europe-01-fischbach.ppt
Anexo I :: Referencias• Documentación técnica
Understanding, Preventing, and Defending Against Layer 2 Attacks (Yusuf Bhaiji)http://www.cisco.com/web/ME/exposaudi2009/assets/docs/layer2_attacks_and_mitigation_t.pdf
Cisco IOS Shellcode And. Exploitation Techniques (Michael Lynn)http://www.jwdt.com/~paysan/lynn-cisco.pdf
Killing the myth of Cisco IOS rootkits (Sebastian Muñiz)http://eusecwest.com/esw08/esw08-muniz.pdf
Anexo I :: Referencias• Herramientas
Mausezahn (Herbert Haas)http://www.perihel.at/sec/mz
Yersinia (Slayer y Tomac)http://www.yersinia.net
Taranis (Jonathan Wilkins)http://www.bitland.net/taranis
Hunt (Pavel Krauz)http://packetstorm.securify.com/sniffers/hunt/indexsize.shtml
Anexo I :: Referencias• Herramientas
Ettercap (Alor y Naga)http://ettercap.sf.net
Guillermo Marro, SeclabSToP y storm
Dsniff (Dug Song)http://monkey.org/~dugsong/dsniff
irm-mpls-toolshttp://www.irmplc.com/researchlab/tools