Data link

51
Seguridad Capa Enlace ¿Qué entendemos por capa de enlace? ¿Por qué es importante? Seguridad? ¿En qué afecta?

description

 

Transcript of Data link

Page 1: Data link

Seguridad Capa Enlace

¿Qué entendemos por capa de enlace?

¿Por qué es importante?

¿Seguridad? ¿En qué afecta?

Page 2: Data link

Introducción• ¿Según el FBI el 80% de los ataques provienen del interior de

la organización.• 99% de los puertos de las redes LAN corporativas están

“desprotegidos”. Es decir, cualquiera puede conectarse a ellos.• Las herramientas diseñadas para simplificar el trabajo de los

administradores de red perjudican seriamente la seguridad de la red corporativa

• Las direcciones MAC no pueden ser falsificadas• Un switch no permite hacer sniffing.• Las VLANs están completamente aisladas unas de otras.

Page 3: Data link

Capa de enlace

Page 4: Data link

Capa de enlace

Page 5: Data link

Capa Protocolo Funcionalidad Unidad de Transmisión

Ejemplos

Aplicación Provee el conjunto de aplicaciones de red, como por ejemplo: Transferencia de archivos, emulación de terminal, correo electrónico, discos virtuales, etc.

DATA FTP,, SMTP, NFS, POP3, HTTP, TFTP, Telnet, SSH, DNS, DHCP, NTP, SNMP, AAA, ISR VOIP, SCCP config and calls ISR command support, Call Manager Express

Presentación Codificación Formato y conversión de códigos, necesarias para que los datos sean más fácilmente interpretados por los programas de aplicación

ASCII, EBCDIC, representación de números enteros y reales, etc.

Sesión responsable del establecimiento y mantenimiento de las sesiones de comunicación entre los programas de comunicación

Transporte Transferencia Regulación de flujo de mensajes, retransmisión de paquetes, inicio/terminación de sesiones entre nodos, etc.

TCP, SPX, UDP, TCP Nagle Algorithm & IP Fragmentation,, RTP

Red Enrutamiento Enrutamiento de paquetes en la red, ofrece un canal libre de errores a la capa de transporte

PACKET IP, IPX, VTAM, BGP, IPv4, ICMP, ARP, IPv6, ICMPv6, IPSec, RIPv1/v2/ng, Multi-Area OSPF, EIGRP, Static Routing, Route Redistribution, Multilayer Switching, L3 QoS, NAT, CBAL, Zone-based policy firewall and Intrusion Protection System on the ISR, GRE VPN, IPSec VPN

Enlace Comunicación Control de acceso al canal , dividir los paquetes recibidos de la capa superior en grupos de bits. Provee mecanismos para detección y corrección de errores.

FRAME Ethernet (IEEE 802.3), Token Ring (802.5), FDDI, HDLC, Frame Relay, PPP, PPPoE, STP, RSTP, VTP, DTP, CDP, SDLC, LAPB, 802.1q, PAgP, L2 QoS, SLARP

Física Estándares Transmisión de bits sobre el canal de comunicación

BIT RS-232C, RS-449, V.24, V.35

Page 6: Data link

Topologías simples

Anillo Estrella Bus Malla

Capa de enlace

Dispositivos• HUB• Switch• Bridge

Page 7: Data link

• Los switchs guardan las asociaciones MAC-Puerto e información de VLAN a medida que las “aprenden” en un tabla llamada tabla CAM.

• La tabla CAM de un switch tiene un tamaño fijo y finito.• Cuando la tabla CAM no tiene espacio para almacenar más

asociaciones MAC-Puerto envía a todos los puertos las tramas que tengan una dirección MAC destino no almacenada en la tabla CAM.

• CAM Table Overflow, para realizar el ataque sólo hace falta enviar gran número de tramas con direcciones MAC distintas (usualmente generadas al azar) a cualquier puerto del switch hasta que se llene la tabla CAM.

Ataques Capa de enlace

Page 8: Data link

Erase una vez…

Multiples direccionamientos lógicos

Page 9: Data link

Erase una vez…interface Vlan1234 ip address 10.0.0.254 255.255.255.0 secondary ip address 10.139.15.1 255.255.255.252 secondary ip address 10.139.15.5 255.255.255.252 secondary ip address 10.139.15.9 255.255.255.252 secondary ip address 10.139.15.13 255.255.255.252 secondary ip address 172.1.28.2 255.255.255.224 secondary ip address 172.1.28.34 255.255.255.224 secondary ip address 172.1.28.130 255.255.255.128 secondary ip address 10.100.15.2 255.255.255.0 standby 1 ip 10.100.15.3 standby 1 priority 99 standby 2 ip 172.1.28.3 standby 2 priority 99 standby 3 ip 172.1.28.35 standby 3 priority 101 standby 3 preempt standby 4 ip 172.1.28.131 standby 4 priority 99

Page 10: Data link

Erase una vez…

Tráfico heterogéneo

Page 11: Data link

Erase una vez…

Protocolos mal configurados

Page 12: Data link

Erase una vez…

Multiples direccionamientos lógicos

Tráfico heterogéneo

Protocolos mal configurados

Page 13: Data link

Hoy día…

Topologíascomplejas• Conectividad heterogénea

• Distanciamiento físico y lógico

• Demasiada conmutación

Page 14: Data link

Hoy día…

• Especialización del hardware

• Ampliación de funcionalidades

Page 15: Data link

Riesgos y amenazas

Clasificación

• Implementación

• Diseño de protocolo

Page 16: Data link

ARP

Inconvenientes

• Mensajes anónimos

• ARPs gratuitos

• Inundación de Vlan

• Respuestas ARP unicast

Page 17: Data link

ARP

Ataques

• Denegación de Servicio

• Espiar tráfico

• Ataques MITM

• Robar puertos

Page 18: Data link

ARP

Soluciones

• Activar ip arp inspection

• Activar port security

• Activar macsec

• Cifrar tráfico

• Modo PARANOIC

Page 19: Data link

STP

Inconvenientes

• Menajes anónimos

• No hay chequeos

• Convergencia lenta

• No hay balanceo de carga

Page 20: Data link

STP

Ataques

• Denegación de Servicio

• Bypass de equipos

• Ataques MITM

• Espiar tráfico

Page 21: Data link

STP

Soluciones

• Activar bpdu / root / loop guard

• Activar portfast

•Limitar broadcasts

• Activar etherchannel guard

• Activar bpdu filtering

Page 22: Data link

VTP

Inconvenientes

• Menajes anónimos

• No hay chequeos

Page 23: Data link

VTP

Ataques

• Denegación de Servicio

• Reconfigurar Vlanes de otros switches

• Crear, borrar, modificar Vlanes

Page 24: Data link

VTP

Soluciones

• Activar hashing md5

• En entornos pequeños, no usar VTP

Page 25: Data link

DHCP

Inconvenientes

• Cualquiera puede ser servidor DHCP

• Sin cifrar

Page 26: Data link

DHCP

Ataques

• Denegación de Servicio

• Levantar un servidor DHCP

• Forzar un cambio de IP

Page 27: Data link

DHCP

Soluciones

• Filtrar por mac

• Activar ip dhcp snooping

Page 28: Data link

Redundancia

Inconvenientes

• Falsas apariencias

• MACs cantosas HSRP: 00-00-0c-07-ac-xxVRRP/CARP: 00-00-5e-00-01-xx

Page 29: Data link

Redundancia

Ataques

• Denegación de Servicio

• Forzar equipo activo / master

Page 30: Data link

Redundancia

Soluciones

• ¿Cifrar? ¿IPSEC? ¿Autenticar?

• Cambiar MAC

• Controlar el acceso al medio

• Activar 802.1x

Page 31: Data link

DTP / Vlan Tagging

Inconvenientes

• DTP activo por defecto

• No descarta tags

Page 32: Data link

DTP / Vlan Tagging

Ataques

• Crear trunks

• Saltar de VLAN

Page 33: Data link

DTP / Vlan Tagging

Soluciones

• Desactivar negociación DTP

• Activar VRF

• Desactivar puertos sin uso

• ¡No usar vlan 1 para nada!

Page 34: Data link

CDP

Inconvenientes

• Menajes anónimos

• Sin cifrar

Page 35: Data link

CDP

Ataques

• Obtención de información

• Crear dispositivos virtuales

• DoS (B.O. Fx)

Page 36: Data link

CDP

Soluciones

• Desactivar CDP

• Limitar CDP a redes de gestión

Page 37: Data link

802.1x / EAP

Inconvenientes

• Gran despliegue de infraestructura

• Solo autentica al iniciar la conexión

• Implementación limitada

• Afecta a la estabilidad de la red

Page 38: Data link

802.1x / EAP

Ataques

• Denegación de Servicio

• EAP-LEAP

• Shadow host

Page 39: Data link

802.1x / EAP

Soluciones

• EAP-PEAP o EAP-TTLS

• Cisco MAB

• OpenSEA

Page 40: Data link

PVLAN

Page 41: Data link

MPLS / VRF

Inconvenientes

• Ninguno.

Page 42: Data link

MPLS / VRF

Ataques

• Revelación de etiquetas o rutas

• Protocolos externos

• Inyección de etiquetas

• Modificación de rutas

Page 43: Data link

MPLS / VRF

Soluciones

• Configuración adecuada

Page 44: Data link

Cisco IOS

Inconvenientes

• Arquitectura rudi

• Imagen firmware

• Código inseguro

• Ejecución de código

Page 45: Data link

Cisco IOS

Ataques

• Cambiar configuración

• Ganar acceso privilegiado (enable)

• Infectar otros equipos

• Matar procesos (autenticación, logging)

Page 46: Data link

Cisco IOS

Soluciones

• Evitar obsolescencia

• Gestión proactiva de la plataforma

• Controlar imagen exterior

Page 47: Data link

Anexo I :: Referencias• Documentación técnica

Securing Layer 2 in LAN (Altunbasak, Krasser, Owen, Grimminger, Huth y Sokol)http://users.ece.gatech.edu/~owen/Research/Conference%20Publications/altunbasak_ICN2005.pdf

A Survey of BGP Security Issues and Solutions (T. Farley, P. McDaniel y Kevin Butler)http://www.cs.purdue.edu/homes/ninghui/readings/TruSe_fall04/td-5ugj33.pdf

Secure Use of VLANs: An @stake Security Assessmenthttp://www.cisco.com/warp/public/cc/pd/si/casi/ca6000/tech/stake_wp.pdf

Page 48: Data link

Anexo I :: Referencias• Documentación técnica

Fun with Ethernet switches (Sean Connery)http://www.blackhat.com/presentations/bh-usa-02/bh-us-02-convery-switches.pdf

ARP Vulnerabilities (Mike Beekey)http://www.blackhat.com/presentations/bh-usa-01/MikeBeekey/bh-usa-01-Mike-Beekey.ppt

Protecting your IP network infrastructure (Nicolas Fischbach y Sebastien Lacoste-Seris)http://www.blackhat.com/presentations/bh-europe-01/fischbach/bh-europe-01-fischbach.ppt

Page 49: Data link

Anexo I :: Referencias• Documentación técnica

Understanding, Preventing, and Defending Against Layer 2 Attacks (Yusuf Bhaiji)http://www.cisco.com/web/ME/exposaudi2009/assets/docs/layer2_attacks_and_mitigation_t.pdf

Cisco IOS Shellcode And. Exploitation Techniques (Michael Lynn)http://www.jwdt.com/~paysan/lynn-cisco.pdf

Killing the myth of Cisco IOS rootkits (Sebastian Muñiz)http://eusecwest.com/esw08/esw08-muniz.pdf

Page 50: Data link

Anexo I :: Referencias• Herramientas

Mausezahn (Herbert Haas)http://www.perihel.at/sec/mz

Yersinia (Slayer y Tomac)http://www.yersinia.net

Taranis (Jonathan Wilkins)http://www.bitland.net/taranis

Hunt (Pavel Krauz)http://packetstorm.securify.com/sniffers/hunt/indexsize.shtml

Page 51: Data link

Anexo I :: Referencias• Herramientas

Ettercap (Alor y Naga)http://ettercap.sf.net

Guillermo Marro, SeclabSToP y storm

Dsniff (Dug Song)http://monkey.org/~dugsong/dsniff

irm-mpls-toolshttp://www.irmplc.com/researchlab/tools