1. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Cap II: Seguridad en
la Red de Acceso
Docente: Ing. Marco A. Arenas P.
Carrera de Telecomunicaciones
Gestion: 2/2020
2. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Temario
1. Introducción
2. Amenazas y Ataques en la red de Acceso
3. Seguridad Integrada a los Dispositivos LAN
4. Seguridad en la red de acceso LAN
5. Seguridad de acceso inalámbrico
4. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Introducción
Todos los equipos de la LAN pueden colaborar
para mejorar la seguridad en Profundidad de
toda la RED
Cada dispositivo de la red debe ser
personalizado, todo lo que es por defecto
es malo para la seguridad.
5. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Dispositivos de red
https://www.conceptdraw.com/How-To-Guide/cisco-routers
6. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Introducción
La construcción de una LAN que satisfaga las
necesidades de empresas pequeñas o medianas tiene
más probabilidades de ser exitosa si se utiliza un modelo
de diseño jerárquico.
7. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Elementos básicos de LAN
9. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Switch
La redes tienden a ser convergentes
10. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Múltiples Accesos
Se tienen varias formas de acceder
11. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Planificación
Planificar tipos de usuarios y restricciones
12. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Análisis en la selección
Clave la identificación apropiada de un tipo de switch
Que Soporta?
• Conmutación L2 o L3
• QoS
• Filtro de Tráfico
• Administrable (CLI, SSH, etc)
• Tipos Sistema Operativo
• Actualizaciones
• Soporte
• otro Estándares (VLANs, etc)
13. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Se podrá configurar para
seguridad?
IP (sumarización, broadcast, etc)
Bloquear/Identificar
ACL/Filtros
NAT
Encriptación - VPNs
14. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Ataques a la red
15. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Spoofing Attacks
16. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Suplantación de Identidad
Spoofing
En términos de seguridad de redes hace referencia al
uso de técnicas de suplantación de identidad
generalmente con usos maliciosos o de investigación.
Se pueden clasificar los ataques de spoofing, en
función de la tecnología utilizada. Entre ellos tenemos
el IP spoofing (quizás el más conocido), ARP
spoofing, DNS spoofing, Web spoofing o email
spoofing
Aunque en general se puede englobar dentro de
spoofing cualquier tecnología de red susceptible de
sufrir suplantaciones de identidad.
(spoofing attacks)
17. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Amenazas en el enrutamiento
En general, los sistemas de enrutamiento pueden
sufrir ataques de dos maneras:
Interrupción de pares
Falsificación de información de
enrutamiento
Las consecuencias de falsificar información de
enrutamiento son las siguientes:
1. El tráfico se redirecciona para crear
routing loops
2. El tráfico se redirecciona para que
pueda monitorearse en un enlace
inseguro
3. El tráfico se redirecciona para
descartarlo
No todas las interfaces del router tienen que intercambiar información de enrutamiento
Routing
18. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Ataques de seguridad de Acceso
19. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Ataques Clásicos a la Capa 2
MAC Flooding
MAC Spoofing
Switching
Aprovechan la
MAC Address
20. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Ataques de MAC Address
MAC Flooding:
El ataque de MAC Flooding, intenta explotar las
limitaciones de recursos que los switches de
diferentes vendedores poseen, en referencia a la
cantidad de memoria asignada para la MAC
Address Table.
Típicamente un intruso tratará de inundar el switch
con un gran número de tramas con direcciones
MAC falsas, hasta agotar la MAC Address Table,
por ejemplo utilizando la herramienta macof,
creada en 1999 e incorporada en dsniff.
21. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Ataques de MAC Address
EvilNet
22. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Ataques de MAC address
MAC Spoofing:
Este tipo de ataque involucra el uso de direcciones
MAC reales, pertenecientes a otros hosts de la red, a
fin de que el switch registre esta MAC en el puerto
donde realmente se encuentra el atacante, para de
esta manera transformarse en el destinatario de las
tramas dirigidas al verdadero host.
23. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Ataques al protocolo ARP
Address Resolution Protocol (ARP), es utilizado para obtener una
dirección MAC desconocida a partir de una dirección IP conocida
dentro de una LAN, donde los hosts de la misma subred residen.
Normalmente una estación enviará para esto una solicitud ARP,
mediante una trama broadcast a todas las demás estaciones y
recibirá una respuesta ARP conteniendo la dirección MAC buscada,
por parte de la estación que tiene la dirección IP conocida.
24. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Ataques ARP
Dentro de este esquema, existen respuestas ARP no
solicitadas llamadas ARP gratuitos, que pueden ser
explotados maliciosamente por un atacante para
enmascarar una dirección IP sobre un segmento.
Típicamente, esta acción es ejecutada para posibilitar un
ataque denominado Man in the Middle (MITM), enviando
su propia dirección MAC mediante ARP gratuitos.
ARP Poisoning
Se aprovecha de la
nobleza del Switch
Cain ARP Poisoning Ettercap
25. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Ataques de MAC Address
26. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Ataques de MAC Address
27. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Saturación de direcciones MAC
Los switches completan automáticamente las tablas
CAM mediante la observación del tráfico que ingresa
por los puertos.
Los switches reenvían el tráfico por todos los puertos si
este no puede encontrar el destino MAC en la tabla
CAM.
En ese caso, el switch actúa como hub. Todos los
dispositivos conectados al switch pueden ver el tráfico
de unidifusión.
Un atacante podría aprovechar este comportamiento
para acceder al tráfico que normalmente controla el
switch mediante una computadora para ejecutar una
herramienta de saturación de direcciones MAC.
28. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Saturación de direcciones MAC
Esta herramienta es un programa creado para generar y
enviar tramas con direcciones MAC de origen falsas al
puerto del switch.
A medida que las tramas llegan al switch, este agrega la
dirección MAC falsa a la tabla CAM y registra el puerto por
el que llegan las tramas.
Por último, la tabla CAM se completa con direcciones MAC
falsas.
La tabla CAM ya no tiene lugar para los dispositivos
legítimos presentes en la red, y, por lo tanto, estos nunca
encontrarán sus direcciones MAC en dicha tabla.
Ahora todas las tramas se reenvían a todos los puertos, lo
que permite que el atacante tenga acceso al tráfico a otros
hosts.
29. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Saturación de direcciones MAC
El atacante satura la tabla CAM con entradas falsas.
30. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Saturación de direcciones MAC
Ahora el switch funciona como un hub.
31. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
VLANs
Cada VLAN es un dominio de broadcast diferente. Los dispositivos o
usuarios de una VLAN se pueden agrupar por funciones,
departamentos, aplicaciones, etc., sin importar la ubicación física de
su segmento.
32. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
VLANs
Entre las ventajas más importantes que tiene la
creación de VLANs, encontramos:
Facilitan los agregados, desplazamientos y cambios de
usuarios
Ayudan a controlar la actividad de broadcast y su migración
Permiten mejorar la seguridad de la red, al limitar la cantidad
de usuarios que pueden compartir la información.
Reducción de costos
33. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Ataques a las VLAN
VLAN hopping, es un tipo de ataque donde el agresor
envía tráfico destinado a un host situado en una VLAN
diferente, que normalmente no debería ser alcanzado
por el tráfico originado en la VLAN a la que pertenece
dicho agresor.
Como:
Switch Spoofing
Double Tagging
Private VLAN
Ataque Private VLAN Proxy
34. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Ataques de VLAN Hopping
Switch Spoofing
Aquí el atacante configura su sistema para simular
un switch. Esto requiere que su adaptador de red
sea capaz de emular la señalización 802.1
Usando este método, el atacante puede aparecer
como un switch con un puerto de trunk, si lo logra
podrá conocer todo el tráfico de VLANs que exista,
pudiendo capturar la información contenida en las
diferentes tramas.
Double Tagging
Otro tipo de ataque de VLAN hopping, involucra la
trasmisión de tramas con un doble etiquetado
(tagging) 802.1q
35. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Ataques de VLAN Hopping
36. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Ataques de VLAN Hopping
Private VLAN:
Consiste en un mecanismo que permite restringir las
comunicaciones entre hosts situados en la misma
subred IP
Limitan los puertos dentro de una VLAN, que pueden
comunicarse con otros puertos de la misma VLAN.
Ataque Private VLAN Proxy:
En este tipo de ataque, se envía tráfico a un host
conectado a un puerto promiscuo, por ejemplo un router.
El atacante envía un paquete con la direcciones origen
IP y MAC de su propia estación, la dirección IP de
destino de la víctima, pero la dirección MAC de destino
del router.
37. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Spanning Tree IEEE 802.1d – IEEE802.1w
BDPUs
38. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Ataques de Spanning Tree
Otro ataque contra switches, comprende la captura de
tráfico a través del ataque de STP (Spanning Tree
Protocol IEEE 802.1d).
Se identifica un switch como raíz (root) por cada
dominio de broadcast, de manera de permitir enlaces
activos sólo hacia dicho switch, evitando el resto de los
enlaces redundantes por medio del bloqueo de los
puertos a los cuales estos enlaces se conectan (puertos
redundantes).
En el ataque de STP, el agresor intenta convertir su
sistema como el switch raíz de la topología. Para hacer
esto se envían BPDU falsas para forzar el recálculo
STP.
39. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Ataques de Spanning Tree
40. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Ataques de Spanning Tree
"Yersinia" FrameWork for layer 2 attacks
Scapy
Software
41. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Ataques de Spanning Tree
42. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Suplantación de identidad de DHCP
Los dos tipos de ataques de DHCP que existen son los
siguientes:
• Suplantación de identidad de DHCP
• Agotamiento de direcciones DHCP
En los ataques de suplantación de identidad de DHCP, se
coloca un servidor de DHCP falso en la red para emitir
direcciones de DHCP para los clientes.
El agotamiento de direcciones DHCP se utiliza
generalmente antes del ataque de suplantación de identidad
de DHCP para denegar el servicio al servidor de DHCP
legítimo.
43. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Suplantación de identidad de DHCP
Ataque de suplantación de identidad de DHCP
44. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Ataques al servicio DHCP
Un ataque conocido como DHCP starvation opera
enviando solicitudes DHCP cuyas direcciones MAC
origen son falsas, por ejemplo utilizando la herramienta
denominada gobbler.
Una vez neutralizado el
servidor, un atacante puede
activar un servidor DHCP
clandestino en la red y de
esta manera responder a
las auténticas solicitudes de
direccionamiento que
realizan las estaciones de
trabajo
DHCP
Spoofing
45. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Seguridad Integrada a
los Dispositivos LAN
46. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Hardening de dispositivos de red
El hardening (endurecimiento) permite mejorar
los niveles de seguridad del propio equipo
Configuración Personalizada
Administración de Usuarios (niveles de acceso)
Servicios y Aplicaciones necesarias (bloquear)
Backups y Actualizaciones
Administración remota segura
Control de tráfico
Control de logs, banners
etc
47. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Acceso administrativo seguro
Restringir la accesibilidad - Limita los puertos, restringe los
cantidad de admins y restringe los métodos de acceso
permitidos.
Logs y cuentas para todos los accesos - Registros de
cualquier persona que tiene acceso a un dispositivo,
incluyendo lo que ocurre y cuando.
Autenticar el acceso - Asegura que el acceso se concede
sólo a los usuarios autenticados, grupos y servicios.
Autorizar acciones - Restringe/limitar las acciones y visitas
permitidas por cualquier usuario particular, grupo o servicio.
Presentar notificaciones legales - Muestre un aviso
legal/Banners
Asegurar la confidencialidad de los datos - Proteger el
almacenamiento local de los datos sensibles de leer y copiar.
48. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Acceso administrativo seguro
Secure Local and Remote Access
connection to a console port
Telnet, SSH, HTTP, HTTPS, or SNMP connections
49. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Configuración de las Contraseñas
50. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Usa algoritmos hashing: SHA y MD5
Aumentar la seguridad de las contraseñas
51. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Aumentar la seguridad de las contraseñas
Hacer cumplir las longitudes mínimas de contraseña.
Establecer la longitud mínima de caracteres para todas las
contraseñas por ejemplo con el comando:
R(config)#security passwords min-length length
Desactivar las conexiones sin actividad.
El período de tiempo de espera se puede ajustar usando el
comando:
R(config-line)# exec-timeout mins segs.
Cifrar todas las contraseñas en el archivo de
configuración.
R(config)# service password-encryption
Ojo no es ideal para ataques serios (solo para shoulder surfing)
52. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Aumentar la seguridad con base de datos
local
53. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Aumentar la seguridad con base de datos
local
54. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Aumentar la seguridad con base de datos
local
login block-for seconds attempts tries within seconds
55. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Aumentar la seguridad con roles/niveles
Limitando la disponibilidad de commandos
No dar acceso libre a la configuración del dispositivo
56. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Aumentar la seguridad con roles/niveles
Level 0:
• Predefinido para los privilegios de acceso a nivel de usuario.
• Rara vez se utiliza, pero incluye cinco comandos: disable, enable, exit, help, y
logout
Level 1(User EXEC mode):
• El nivel predeterminado de inicio de sesión con el indicador del router (prompt) Router>.
• Un usuario no puede realizar ningún cambio o ver el archivo de configuración en ejecución.
Levels 2 –14:
• Puede ser personalizar para los privilegios de nivel de usuario (user-level).
• Comandos de niveles más bajos pueden ser movidos hasta un nivel más alto, o los
comandos de los niveles superiores se pueden mover hacia abajo a un nivel inferior.
Level 15 (Privileged EXEC mode):
• Reservado para los privilegios del modo enable (enable command).
• Los usuarios pueden cambiar las configuraciones y las vistas de los archivos de
configuración.
57. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Aumentar la seguridad con roles/niveles
Router(config)#privilege exec level [nivel] [comando]
Router(config)#username [user] privilege [nivel] secret 0 [clave]
Router(config)#enable secret level [nivel] [clave]
58. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Aumentar la seguridad con roles/niveles
Router#show privilege
59. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Mensajes de advertencia
Legal Notification
Use mensajes de banner para presentar la notificación legal a
posibles intrusos.
60. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Mensajes de Inicio de Sesión
Configurar un título de inicio de sesión
El usuario puede definir un mensaje
personalizado para que se muestre antes de
los avisos de inicio de sesión del nombre de
usuario y la contraseña
Legal Notification
61. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Mensajes de Inicio de Sesión
Configurar un título de MOTD
El mensaje MOTD se muestra en todos los terminales
conectados en el inicio de sesión y es útil para enviar mensajes
que afectan a todos los usuarios de la red (como
desconexiones inminentes del sistema). Si se configura, el
mensaje MOTD se muestra antes que el mensaje de inicio de
sesión.
62. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Administración Remota
SSH requiere de encriptación:
Admite el algoritmo Estándar de encriptación de datos (DES) - 56 bits
El algoritmo DES triple (3DES) - 168 bits
y la autenticación de usuario basada en la contraseña.
Para implementar SSH, debe generar claves RSA - encriptación
asimétrica.
RSA incluye una clave pública, guardada en un servidor público de RSA y una
clave privada, guardada sólo por el emisor y el receptor. La clave pública la
pueden conocer todos y se utiliza para encriptar mensajes. Los mensajes
encriptados con la clave pública sólo se pueden descifrar utilizando la clave
privada.
Otros comandos SSH:
crypto key zeroize rsa
ip ssh {timeout segundos | authentication-retries número}
transport input {ssh | telnet | all}
show ssh
En un ataque DoS por Telnet
63. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Administración Remota
Si la administración será vía http, es necesario
hacerlo por su puerto seguro HTTPS 443, que
utiliza SSL y TSL
64. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Configuración de SSH
65. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Verificación de SSH
67. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Funcionamiento general de
SSL/TLS
68. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Aprovechamiento de CDP
CDP es un protocolo exclusivo de Cisco de capa 2 que
se utiliza para detectar otros dispositivos de Cisco
conectados directamente.
Está diseñado para permitir que los dispositivos
configuren las conexiones automáticamente.
Si un atacante escuchara los mensajes CDP, podría
obtener información importante, como el modelo del
dispositivo o la versión del software en ejecución.
Cisco recomienda deshabilitar CDP cuando no se
utiliza.
69. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Deshabilitar servicios
Cuidado con los esta por defecto
LLDP - Link Layer Discovery Protocol
CDP - Cisco Discovery Protocol
IEEE 802.1ab
https://community.cisco.com/t5/documentos-routing-y-switching/protocolo-cdp-y-lldp/ta-p/3404827
70. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Deshabilitar servicios
Desactivación y restricción de los siguientes componentes
ayuda a asegurar que un dispositivo es seguro:
• Servicios e interfaces innecesarios
• Servicios de gestión configuradas comúnmente, tales
como SNMP
• Sondas y scans, como ICMP.
• Asegurar la terminal de acceso
• Address Resolution Protocol y proxy gratuitas (ARP)
• IP-directed broadcasts
71. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Deshabilitar servicios
Switch(config)# no lldp run
Router(config)#no cdp run
Router(config-if)#no cdp enable
72. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Deshabilitar servicios
73. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
SEGURIDAD EN LAS
REDES.
74. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Introducción
Routing
Switching
VLANs
STP
75. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
La autenticación del
protocolo de enrutamiento
La mejor manera de proteger la información de enrutamiento en la
red es autenticar los paquetes del protocolo de enrutamiento
mediante la autenticación y el cifrado (por ejemplo con el algoritmo
message digest 5 -MD5 o Secure Hash Algorithm - SHA).
Un algoritmo como MD5 permite a los routers comparar las firmas
que deben ser todas iguales.
RIPv2, EIGRP, OSPF, IS-IS y BGP, todos ellos admiten diversas
formas de autenticación MD5.
Routing
76. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Configuración de RIPv2 con
autenticación del protocolo de
enrutamiento
Los pasos para proteger las actualizaciones de RIPv2 son los
siguientes:
Paso 1. Impida la propagación de actualizaciones de enrutamiento RIP
Paso 2. Impida la recepción de actualizaciones RIP no autorizadas
Paso 3. Verifique el funcionamiento del enrutamiento RIP
77. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
La autenticación del protocolo de
enrutamiento de EIGRP y OSPF
78. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Seguridad a nivel del
Puerto
Conociendo las vulnerabilidades de los dispositivos de capa 2 como
son los switchs, el próximo paso consiste en implementar técnicas
de mitigación para prevenir los ataques que se aprovechan de
dichas vulnerabilidades. Por ejemplo, para prevenir la falsificación de
MAC y el desbordamiento de la tabla de direcciones MAC, debe
habilitarse seguridad de puertos (port security).
La seguridad de puertos permite a los administradores especificar en
forma estática las direcciones MAC permitidas en un puerto
determinado, o permitir al switch aprender en forma dinámica un
número limitado de direcciones MAC. Limitando a uno el número de
direcciones MAC permitidas en un puerto, la seguridad de puerto
puede ser utilizada para controlar la expansión no autorizada de la
red.
Switching
79. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Seguridad a nivel del Puerto
80. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Seguridad de puertos switch
La acción de deshabilitar puertos sin utilizar es una pauta de
seguridad simple pero eficaz.
81. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
MAC - Seguridad de puertos:
funcionamiento
Limitar la cantidad de direcciones MAC válidas permitidas en un
puerto.
Permitir el acceso a las direcciones MAC de los dispositivos
legítimos, mientras que otras direcciones MAC se rechazan.
Cualquier intento adicional de conexión por parte de direcciones
MAC desconocidas generará una violación de seguridad.
Las direcciones MAC seguras se pueden configurar de varias
maneras:
Direcciones MAC seguras estáticas
Direcciones MAC seguras dinámicas
Direcciones MAC seguras persistentes
82. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Seguridad de puertos: modos de violación
de seguridad
El IOS considera que se produce una violación de seguridad cuando se da
cualquiera de estas situaciones:
Se agregó la cantidad máxima de direcciones MAC seguras a la tabla
CAM para esa interfaz, y una estación cuya dirección MAC no figura en
la tabla de direcciones intenta acceder a la interfaz.
Una dirección aprendida o configurada en una interfaz segura puede
verse en otra interfaz segura de la misma VLAN.
Cuando se detecta una violación, hay tres acciones posibles que se pueden
realizar:
Protect
Restrict
Shutdown
SW(config-if)#switchport port-security
83. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Seguridad de puertos: configuración
Configuración predeterminada de la seguridad de puertos dinámicos
84. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Seguridad de puertos: configuración
Configuración de la seguridad de puertos dinámicos
85. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Seguridad de puertos: configuración
Configuración de la seguridad de puertos persistentes
86. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Seguridad de Puerto
87. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Seguridad de puertos: verificación
Verificación de la seguridad de puertos persistentes
88. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Seguridad de puertos: verificación
89. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Seguridad de puertos: verificación
Verificación de la seguridad de puertos: direcciones MAC
seguras
90. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Puertos en estado de inhabilitación por
errores
Una violación de seguridad de puertos puede dejar al switch en
estado de inhabilitación por errores.
Un puerto en estado de inhabilitación por errores queda
desactivado completamente.
El switch comunicará estos eventos por medio de mensajes de
consola.
91. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Puertos en estado de inhabilitación por
errores
El comando show interface también indica si hay un puerto de
switch en estado de inhabilitación por errores.
92. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Control de acceso a la LAN: 802.1x
IEEE 802.1x es un estándar del IEEE que está diseñado para
proporcionar acceso a una red, realizando la autenticación de los
clientes a nivel de puertos.
El proceso de autenticación basado en puertos, es soportado en dos
topologías:
Punto a punto
Wireless LAN
Suplicante
Autenticador
Autenticador
Servidor de
Autenticación
Dicho proceso consiste en
el intercambio de mensajes
EAP (Extensible
Authentication Protocol)
utilizando también el
protocolo RADIUS.
93. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Control de acceso a la LAN: IEEE 802.1x
Entre los tipos más utilizados de
EAP encontramos:
Cisco LEAP
EAP-TLS
PEAP
EAP-MD5
94. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Mitigación de ataques de
DHCP
Las técnicas usadas para mitigar este tipo
de ataque comprenden, entre otras
la limitación de direcciones MAC que pueden
existir sobre un puerto del switch
la implementación de la RFC 3118 para
autenticación de mensajes DHCP
y también una técnica conocida como DHCP
snooping. Authentication for DHCP Messages
https://datatracker.ietf.org/doc/rfc3118/
RFC 7513
95. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Detección de DHCP
La detección de DHCP permite
determinar cuáles son los puertos de
switch que pueden responder a
solicitudes de DHCP.
96. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Mitigación de ataques de VLAN
Hopping
La mejor forma de prevenir los ataques básicos de
salto de VLAN consiste en:
deshabilitar el trunking en todos los puertos, a excepción de
aquellos que lo requieran
En los puertos donde el trunking deba estar disponible, se
deben deshabilitar las negociaciones DTP (Dynamic
Trunking Protocol)
Habilitar el trunking en forma manual.
Cambiar la VLAN Nativa
Y Permitir/Denegar las VLAN especificas de producción
Los puertos sin uso poner a una VLAN de agujero negro (no
existe).
97. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Mitigación de ataques de VLAN
Hopping
98. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Mitigación de ataques de
Spanning Tree
Para mitigar el ataque de manipulación STP, se utilizan
las capacidades de seguridad de los switches
administrables, como las técnicas de mitigación para la
manipulación de STP incluyen
la habilitación de PortFast
la utilización de root guard
BPDU guard.
Ingeniería en el diseño redundante
99. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Mitigación de ataques de
Spanning Tree
Portfast directo forwarding
100. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Mitigación de ataques de
Spanning Tree
Además de portfast,
bpduguard no BPDUs
Switch(config-if)#spanning-tree bpduguard enable
101. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Mitigación de ataques de
Spanning Tree
Una vez ubicado el root, El root guard evita que otro switch nuevo
sea root con un ID menor.
Cuando el Root Guard está habilitado en un puerto, éste queda en
el rol “DESIGNED PORT”. Si el puerto recibe una BPDU más alta
(BID menor), el puerto cambia al estado "ROOT-INCONSISTANT,
por lo cual no se enviará más información a través de este puerto.
Esto permite que el Bridge evite reenviar el tráfico a través de los
puertos conectados a Bridges STP mal configurados.
Una vez que el puerto termina de recibir BPDUs superiores, Root
Guard automáticamente cambia el puerto de vuelta al estado
“LEARNING” y eventualmente al estado “FORWARDING” a través
del algoritmo de STP.
Root Guard puede perjudicar la conexión en la red si está mal
configurado, como también no funcionará si MSTP esta habilitado.
102. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Mitigación de ataques de
Spanning Tree
El root guard se utiliza para bloquear
BPDUs que se identifiquen como Root en
un puerto determinado.
Configure Root Guard en todos los puertos
donde el Root Bridge no debería aparecer.
estado "root-inconsistent",
efectivamente similar al
estado de escucha
(listening) de STP
103. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Mitigación de ataques de
Spanning Tree
Consideraciones claves:
Se tiene que tener bien definido el switches “root” (tb
secondary).
Nunca se debe usar en los switch de acceso.
Se configura en los puertos troncales de los switch que tiene
conectados otros switch pero de acceso.
NUNCA configures el ROOT GUARD en los puertos que van
conectados directamente al root o por medio de los cuales el
Switch conoce al root.
104. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Mitigación de ataques de
Spanning Tree
105. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Mitigación de ataques de
Spanning Tree
106. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
ANEXOS
SEGURIDAD
107. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Cuestiones de seguridad en redes LAN
Aprovechamiento de Telnet
Como se mencionó anteriormente, el protocolo Telnet
no es seguro, y se debe reemplazar por SSH.
Sin embargo, un atacante pueda utilizar Telnet como
parte de otros ataques.
Dos de estos ataques son los ataques de contraseña
de fuerza bruta y el ataque DoS por Telnet.
Cuando no se pueden capturar las contraseñas, los
atacantes prueban con tantas combinaciones de
caracteres como sea posible. Este intento de adivinar
la contraseña se conoce como “ataque de contraseña
de fuerza bruta”.
Telnet se puede utilizar para probar la contraseña
adivinada en el sistema.
108. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Cuestiones de seguridad en redes LAN
Aprovechamiento de Telnet
En un ataque DoS por Telnet, el atacante explota un defecto
del software del servidor Telnet que se ejecuta en el switch,
el cual hace que el servicio de Telnet no esté disponible.
Este tipo de ataque impide que un administrador acceda en
forma remota a las funciones de administración del switch.
Esto se puede combinar con otros ataques directos a la red
como parte de un esfuerzo coordinado para impedir que el
administrador de red acceda a dispositivos clave durante la
infracción.
En general, las vulnerabilidades en el servicio de Telnet que
permiten que ocurran los ataques de DoS se enfrentan
mediante parches de seguridad incluidos en las revisiones
más recientes de IOS de Cisco.
109. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Prácticas recomendadas de seguridad
10 prácticas recomendadas
Desarrolle una política de seguridad escrita para la
organización.
Desactive los servicios y puertos que no se utilicen.
Utilice contraseñas seguras y cámbielas con frecuencia.
Controle el acceso físico a los dispositivos.
Utilice HTTPS en lugar de HTTP.
Realice copias de seguridad regularmente.
Capacite a los empleados sobre los ataques de ingeniería
social.
Cifre y proteja con contraseñas los datos confidenciales.
Implemente firewalls.
Mantenga el software actualizado.
110. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Prácticas recomendadas de seguridad
10 prácticas recomendadas
111. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Prácticas recomendadas de seguridad
Herramientas de seguridad de red: opciones
Las herramientas de seguridad de red son muy
importantes para los administradores de red.
Estas herramientas permiten que el administrador
pruebe la resistencia de las medidas de seguridad
implementadas.
Un administrador puede iniciar un ataque contra la red
y analizar los resultados.
Estas herramientas también sirven para determinar
cómo ajustar las políticas de seguridad, a fin de mitigar
esos tipos de ataques.
Las auditorías de seguridad y las pruebas de
penetración son dos funciones básicas de las
herramientas de seguridad de red.
112. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Prácticas recomendadas de seguridad
Herramientas de seguridad de red: auditorías
Las herramientas de seguridad de red se pueden
utilizar para auditar la red.
Al controlar la red, el administrador puede evaluar qué
tipo de información puede reunir un atacante.
Por ejemplo, si se ataca y satura la tabla CAM de un
switch, el administrador puede descubrir qué puertos
del switch son vulnerables a la saturación de
direcciones MAC y corregir el problema.
Las herramientas de seguridad de red también se
pueden utilizar como herramientas de prueba de
penetración.
113. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Prácticas recomendadas de seguridad
Herramientas de seguridad de red: auditorías
La prueba de penetración es un ataque simulado.
Ayuda a determinar qué tan vulnerable sería la red en
un ataque real.
Se pueden identificar las debilidades en la
configuración de los dispositivos de red según los
resultados de esta prueba.
Se pueden realizar cambios para que los dispositivos
sean más resistentes a los ataques.
Dichas pruebas pueden dañar la red, y se deben
realizar en condiciones muy controladas.
Lo ideal es una red sin conexión que imite la red de
producción real y funcione como banco de pruebas.
114. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Herramientas de seguridad
Después de configurar la seguridad del switch, se debe
verificar que no hayan quedado debilidades que puedan
ser explotadas por un atacante. La seguridad de red es
un tema complejo y cambiante.
Las herramientas de seguridad de red ayudan a probar
la red en busca de distintas debilidades. Son
herramientas que permiten que el usuario actúe como
pirata informático y como analista de seguridad de red. A
través de estas herramientas se puede iniciar un ataque
y llevar a cabo la auditoría de los resultados para
determinar la forma de ajustar las políticas de seguridad
para evitar un ataque determinado.
Las funciones que utilizan las herramientas de seguridad
de red evolucionan de manera constante.
115. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Herramientas de seguridad
Las auditorías de seguridad y los pruebas de penetración son dos
funciones básicas que llevan a cabo las herramientas de seguridad
de red.
116. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Herramientas de seguridad
En realidad, la seguridad de red es un proceso, no un
producto. No alcanza con habilitar el switch con una
configuración segura y dar por terminado el trabajo.
Para afirmar que una red es segura se debe contar con
un plan de seguridad de red completo que defina la
forma de verificar de manera periódica si la red puede
enfrentar los más recientes ataques de red maliciosos.
El panorama cambiante de los riesgos de seguridad
implica que se debe contar con herramientas de
auditoría y penetración que puedan actualizarse para
enfrentar los riesgos de seguridad más recientes.
117. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Otros Aspectos
119. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Conclusión
• SysAdmin, Audit, Network, Security
(SANS) Institute
• Computer Emergency Response Team
(CERT)
• International Information Systems
Security Certification Consortium
((ISC)2 se dice "IS-C-squared" en
inglés)
120. Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Ing. Marco Antonio.
Arenas Porcel
Email: arenas.marco@usfx.bo
:markituxfor@gmail.com