CapII_Seg_Net_Access.pdf

Facultad de Tecnología – Carrera de Ing. de Sistemas
http://www.usfx.edu.bo
Cap II: Seguridad en
la Red de Acceso
Docente: Ing. Marco A. Arenas P.
Carrera de Telecomunicaciones
Gestion: 2/2020

Temario
1. Introducción
2. Amenazas y Ataques en la red de Acceso
3. Seguridad Integrada a los Dispositivos LAN
4. Seguridad en la red de acceso LAN
5. Seguridad de acceso inalámbrico

Introducción

Introducción
 Todos los equipos de la LAN pueden colaborar
para mejorar la seguridad en Profundidad de
toda la RED
Cada dispositivo de la red debe ser
personalizado, todo lo que es por defecto
es malo para la seguridad.

Dispositivos de red
https://www.conceptdraw.com/How-To-Guide/cisco-routers

Introducción
 La construcción de una LAN que satisfaga las
necesidades de empresas pequeñas o medianas tiene
más probabilidades de ser exitosa si se utiliza un modelo
de diseño jerárquico.

Elementos básicos de LAN

Switch

Switch
 La redes tienden a ser convergentes

Múltiples Accesos
 Se tienen varias formas de acceder

Planificación
 Planificar tipos de usuarios y restricciones

Análisis en la selección
 Clave la identificación apropiada de un tipo de switch
Que Soporta?
• Conmutación L2 o L3
• QoS
• Filtro de Tráfico
• Administrable (CLI, SSH, etc)
• Tipos Sistema Operativo
• Actualizaciones
• Soporte
• otro Estándares (VLANs, etc)

Se podrá configurar para
seguridad?
IP (sumarización, broadcast, etc)
Bloquear/Identificar
ACL/Filtros
NAT
Encriptación - VPNs

Ataques a la red

Spoofing Attacks

Suplantación de Identidad
 Spoofing
 En términos de seguridad de redes hace referencia al
uso de técnicas de suplantación de identidad
generalmente con usos maliciosos o de investigación.
Se pueden clasificar los ataques de spoofing, en
función de la tecnología utilizada. Entre ellos tenemos
el IP spoofing (quizás el más conocido), ARP
spoofing, DNS spoofing, Web spoofing o email
spoofing
 Aunque en general se puede englobar dentro de
spoofing cualquier tecnología de red susceptible de
sufrir suplantaciones de identidad.
(spoofing attacks)

Amenazas en el enrutamiento
 En general, los sistemas de enrutamiento pueden
sufrir ataques de dos maneras:
 Interrupción de pares
 Falsificación de información de
enrutamiento
 Las consecuencias de falsificar información de
enrutamiento son las siguientes:
 1. El tráfico se redirecciona para crear
routing loops
 2. El tráfico se redirecciona para que
pueda monitorearse en un enlace
inseguro
 3. El tráfico se redirecciona para
descartarlo
No todas las interfaces del router tienen que intercambiar información de enrutamiento
Routing

Ataques de seguridad de Acceso

Ataques Clásicos a la Capa 2
 MAC Flooding
 MAC Spoofing
Switching
Aprovechan la
MAC Address

Ataques de MAC Address
 MAC Flooding:
 El ataque de MAC Flooding, intenta explotar las
limitaciones de recursos que los switches de
diferentes vendedores poseen, en referencia a la
cantidad de memoria asignada para la MAC
Address Table.
 Típicamente un intruso tratará de inundar el switch
con un gran número de tramas con direcciones
MAC falsas, hasta agotar la MAC Address Table,
por ejemplo utilizando la herramienta macof,
creada en 1999 e incorporada en dsniff.

EvilNet

Ataques de MAC address
 MAC Spoofing:
 Este tipo de ataque involucra el uso de direcciones
MAC reales, pertenecientes a otros hosts de la red, a
fin de que el switch registre esta MAC en el puerto
donde realmente se encuentra el atacante, para de
esta manera transformarse en el destinatario de las
tramas dirigidas al verdadero host.

Ataques al protocolo ARP
 Address Resolution Protocol (ARP), es utilizado para obtener una
dirección MAC desconocida a partir de una dirección IP conocida
dentro de una LAN, donde los hosts de la misma subred residen.
 Normalmente una estación enviará para esto una solicitud ARP,
mediante una trama broadcast a todas las demás estaciones y
recibirá una respuesta ARP conteniendo la dirección MAC buscada,
por parte de la estación que tiene la dirección IP conocida.

Ataques ARP
 Dentro de este esquema, existen respuestas ARP no
solicitadas llamadas ARP gratuitos, que pueden ser
explotados maliciosamente por un atacante para
enmascarar una dirección IP sobre un segmento.
 Típicamente, esta acción es ejecutada para posibilitar un
ataque denominado Man in the Middle (MITM), enviando
su propia dirección MAC mediante ARP gratuitos.
ARP Poisoning
Se aprovecha de la
nobleza del Switch
Cain ARP Poisoning Ettercap

Saturación de direcciones MAC
 Los switches completan automáticamente las tablas
CAM mediante la observación del tráfico que ingresa
por los puertos.
 Los switches reenvían el tráfico por todos los puertos si
este no puede encontrar el destino MAC en la tabla
CAM.
 En ese caso, el switch actúa como hub. Todos los
dispositivos conectados al switch pueden ver el tráfico
de unidifusión.
 Un atacante podría aprovechar este comportamiento
para acceder al tráfico que normalmente controla el
switch mediante una computadora para ejecutar una
herramienta de saturación de direcciones MAC.

 Esta herramienta es un programa creado para generar y
enviar tramas con direcciones MAC de origen falsas al
puerto del switch.
 A medida que las tramas llegan al switch, este agrega la
dirección MAC falsa a la tabla CAM y registra el puerto por
el que llegan las tramas.
 Por último, la tabla CAM se completa con direcciones MAC
falsas.
 La tabla CAM ya no tiene lugar para los dispositivos
legítimos presentes en la red, y, por lo tanto, estos nunca
encontrarán sus direcciones MAC en dicha tabla.
 Ahora todas las tramas se reenvían a todos los puertos, lo
que permite que el atacante tenga acceso al tráfico a otros
hosts.

 El atacante satura la tabla CAM con entradas falsas.

 Ahora el switch funciona como un hub.

VLANs
 Cada VLAN es un dominio de broadcast diferente. Los dispositivos o
usuarios de una VLAN se pueden agrupar por funciones,
departamentos, aplicaciones, etc., sin importar la ubicación física de
su segmento.

VLANs
 Entre las ventajas más importantes que tiene la
creación de VLANs, encontramos:
 Facilitan los agregados, desplazamientos y cambios de
usuarios
 Ayudan a controlar la actividad de broadcast y su migración
 Permiten mejorar la seguridad de la red, al limitar la cantidad
de usuarios que pueden compartir la información.
 Reducción de costos

Ataques a las VLAN
 VLAN hopping, es un tipo de ataque donde el agresor
envía tráfico destinado a un host situado en una VLAN
diferente, que normalmente no debería ser alcanzado
por el tráfico originado en la VLAN a la que pertenece
dicho agresor.
 Como:
 Switch Spoofing
 Double Tagging
 Private VLAN
 Ataque Private VLAN Proxy

Ataques de VLAN Hopping
 Switch Spoofing
 Aquí el atacante configura su sistema para simular
un switch. Esto requiere que su adaptador de red
sea capaz de emular la señalización 802.1
 Usando este método, el atacante puede aparecer
como un switch con un puerto de trunk, si lo logra
podrá conocer todo el tráfico de VLANs que exista,
pudiendo capturar la información contenida en las
diferentes tramas.
 Double Tagging
 Otro tipo de ataque de VLAN hopping, involucra la
trasmisión de tramas con un doble etiquetado
(tagging) 802.1q

 Private VLAN:
 Consiste en un mecanismo que permite restringir las
comunicaciones entre hosts situados en la misma
subred IP
 Limitan los puertos dentro de una VLAN, que pueden
comunicarse con otros puertos de la misma VLAN.
 Ataque Private VLAN Proxy:
 En este tipo de ataque, se envía tráfico a un host
conectado a un puerto promiscuo, por ejemplo un router.
 El atacante envía un paquete con la direcciones origen
IP y MAC de su propia estación, la dirección IP de
destino de la víctima, pero la dirección MAC de destino
del router.

Spanning Tree IEEE 802.1d – IEEE802.1w
BDPUs

Ataques de Spanning Tree
 Otro ataque contra switches, comprende la captura de
tráfico a través del ataque de STP (Spanning Tree
Protocol IEEE 802.1d).
 Se identifica un switch como raíz (root) por cada
dominio de broadcast, de manera de permitir enlaces
activos sólo hacia dicho switch, evitando el resto de los
enlaces redundantes por medio del bloqueo de los
puertos a los cuales estos enlaces se conectan (puertos
redundantes).
 En el ataque de STP, el agresor intenta convertir su
sistema como el switch raíz de la topología. Para hacer
esto se envían BPDU falsas para forzar el recálculo
STP.

"Yersinia" FrameWork for layer 2 attacks
Scapy
Software

Suplantación de identidad de DHCP
 Los dos tipos de ataques de DHCP que existen son los
siguientes:
• Suplantación de identidad de DHCP
• Agotamiento de direcciones DHCP
 En los ataques de suplantación de identidad de DHCP, se
coloca un servidor de DHCP falso en la red para emitir
direcciones de DHCP para los clientes.
 El agotamiento de direcciones DHCP se utiliza
generalmente antes del ataque de suplantación de identidad
de DHCP para denegar el servicio al servidor de DHCP
legítimo.

Suplantación de identidad de DHCP
 Ataque de suplantación de identidad de DHCP

Ataques al servicio DHCP
 Un ataque conocido como DHCP starvation opera
enviando solicitudes DHCP cuyas direcciones MAC
origen son falsas, por ejemplo utilizando la herramienta
denominada gobbler.
Una vez neutralizado el
servidor, un atacante puede
activar un servidor DHCP
clandestino en la red y de
esta manera responder a
las auténticas solicitudes de
direccionamiento que
realizan las estaciones de
trabajo
DHCP
Spoofing

Seguridad Integrada a
los Dispositivos LAN

Hardening de dispositivos de red
 El hardening (endurecimiento) permite mejorar
los niveles de seguridad del propio equipo
 Configuración Personalizada
 Administración de Usuarios (niveles de acceso)
 Servicios y Aplicaciones necesarias (bloquear)
 Backups y Actualizaciones
 Administración remota segura
 Control de tráfico
 Control de logs, banners
 etc

Acceso administrativo seguro
 Restringir la accesibilidad - Limita los puertos, restringe los
cantidad de admins y restringe los métodos de acceso
permitidos.
 Logs y cuentas para todos los accesos - Registros de
cualquier persona que tiene acceso a un dispositivo,
incluyendo lo que ocurre y cuando.
 Autenticar el acceso - Asegura que el acceso se concede
sólo a los usuarios autenticados, grupos y servicios.
 Autorizar acciones - Restringe/limitar las acciones y visitas
permitidas por cualquier usuario particular, grupo o servicio.
 Presentar notificaciones legales - Muestre un aviso
legal/Banners
 Asegurar la confidencialidad de los datos - Proteger el
almacenamiento local de los datos sensibles de leer y copiar.

Acceso administrativo seguro
 Secure Local and Remote Access
 connection to a console port
 Telnet, SSH, HTTP, HTTPS, or SNMP connections

Configuración de las Contraseñas

Usa algoritmos hashing: SHA y MD5
Aumentar la seguridad de las contraseñas

Aumentar la seguridad de las contraseñas
 Hacer cumplir las longitudes mínimas de contraseña.
 Establecer la longitud mínima de caracteres para todas las
contraseñas por ejemplo con el comando:
R(config)#security passwords min-length length
 Desactivar las conexiones sin actividad.
 El período de tiempo de espera se puede ajustar usando el
comando:
R(config-line)# exec-timeout mins segs.
 Cifrar todas las contraseñas en el archivo de
configuración.
R(config)# service password-encryption
 Ojo no es ideal para ataques serios (solo para shoulder surfing)

Aumentar la seguridad con base de datos
local

Aumentar la seguridad con base de datos
local
login block-for seconds attempts tries within seconds

Aumentar la seguridad con roles/niveles
Limitando la disponibilidad de commandos
No dar acceso libre a la configuración del dispositivo

Level 0:
• Predefinido para los privilegios de acceso a nivel de usuario.
• Rara vez se utiliza, pero incluye cinco comandos: disable, enable, exit, help, y
logout
Level 1(User EXEC mode):
• El nivel predeterminado de inicio de sesión con el indicador del router (prompt) Router>.
• Un usuario no puede realizar ningún cambio o ver el archivo de configuración en ejecución.
Levels 2 –14:
• Puede ser personalizar para los privilegios de nivel de usuario (user-level).
• Comandos de niveles más bajos pueden ser movidos hasta un nivel más alto, o los
comandos de los niveles superiores se pueden mover hacia abajo a un nivel inferior.
Level 15 (Privileged EXEC mode):
• Reservado para los privilegios del modo enable (enable command).
• Los usuarios pueden cambiar las configuraciones y las vistas de los archivos de
configuración.

Router(config)#privilege exec level [nivel] [comando]
Router(config)#username [user] privilege [nivel] secret 0 [clave]
Router(config)#enable secret level [nivel] [clave]

Router#show privilege

Mensajes de advertencia
Legal Notification
Use mensajes de banner para presentar la notificación legal a
posibles intrusos.

Mensajes de Inicio de Sesión
 Configurar un título de inicio de sesión
 El usuario puede definir un mensaje
personalizado para que se muestre antes de
los avisos de inicio de sesión del nombre de
usuario y la contraseña
Legal Notification

Mensajes de Inicio de Sesión
 Configurar un título de MOTD
 El mensaje MOTD se muestra en todos los terminales
conectados en el inicio de sesión y es útil para enviar mensajes
que afectan a todos los usuarios de la red (como
desconexiones inminentes del sistema). Si se configura, el
mensaje MOTD se muestra antes que el mensaje de inicio de
sesión.

Administración Remota
 SSH requiere de encriptación:
 Admite el algoritmo Estándar de encriptación de datos (DES) - 56 bits
 El algoritmo DES triple (3DES) - 168 bits
 y la autenticación de usuario basada en la contraseña.
 Para implementar SSH, debe generar claves RSA - encriptación
asimétrica.
 RSA incluye una clave pública, guardada en un servidor público de RSA y una
clave privada, guardada sólo por el emisor y el receptor. La clave pública la
pueden conocer todos y se utiliza para encriptar mensajes. Los mensajes
encriptados con la clave pública sólo se pueden descifrar utilizando la clave
privada.
 Otros comandos SSH:
 crypto key zeroize rsa
 ip ssh {timeout segundos | authentication-retries número}
 transport input {ssh | telnet | all}
 show ssh
En un ataque DoS por Telnet

Administración Remota
Si la administración será vía http, es necesario
hacerlo por su puerto seguro HTTPS 443, que
utiliza SSL y TSL

Configuración de SSH

Verificación de SSH

Funcionamiento general de
SSL/TLS

Aprovechamiento de CDP
 CDP es un protocolo exclusivo de Cisco de capa 2 que
se utiliza para detectar otros dispositivos de Cisco
conectados directamente.
 Está diseñado para permitir que los dispositivos
configuren las conexiones automáticamente.
 Si un atacante escuchara los mensajes CDP, podría
obtener información importante, como el modelo del
dispositivo o la versión del software en ejecución.
 Cisco recomienda deshabilitar CDP cuando no se
utiliza.

Deshabilitar servicios
Cuidado con los esta por defecto
LLDP - Link Layer Discovery Protocol
CDP - Cisco Discovery Protocol
IEEE 802.1ab
https://community.cisco.com/t5/documentos-routing-y-switching/protocolo-cdp-y-lldp/ta-p/3404827

Desactivación y restricción de los siguientes componentes
ayuda a asegurar que un dispositivo es seguro:
• Servicios e interfaces innecesarios
• Servicios de gestión configuradas comúnmente, tales
como SNMP
• Sondas y scans, como ICMP.
• Asegurar la terminal de acceso
• Address Resolution Protocol y proxy gratuitas (ARP)
• IP-directed broadcasts

Switch(config)# no lldp run
Router(config)#no cdp run
Router(config-if)#no cdp enable

SEGURIDAD EN LAS
REDES.

Introducción
 Routing
 Switching
 VLANs
 STP

La autenticación del
protocolo de enrutamiento
 La mejor manera de proteger la información de enrutamiento en la
red es autenticar los paquetes del protocolo de enrutamiento
mediante la autenticación y el cifrado (por ejemplo con el algoritmo
message digest 5 -MD5 o Secure Hash Algorithm - SHA).
 Un algoritmo como MD5 permite a los routers comparar las firmas
que deben ser todas iguales.
 RIPv2, EIGRP, OSPF, IS-IS y BGP, todos ellos admiten diversas
formas de autenticación MD5.
Routing

Configuración de RIPv2 con
autenticación del protocolo de
enrutamiento
 Los pasos para proteger las actualizaciones de RIPv2 son los
siguientes:
 Paso 1. Impida la propagación de actualizaciones de enrutamiento RIP
 Paso 2. Impida la recepción de actualizaciones RIP no autorizadas
 Paso 3. Verifique el funcionamiento del enrutamiento RIP

La autenticación del protocolo de
enrutamiento de EIGRP y OSPF

Seguridad a nivel del
Puerto
 Conociendo las vulnerabilidades de los dispositivos de capa 2 como
son los switchs, el próximo paso consiste en implementar técnicas
de mitigación para prevenir los ataques que se aprovechan de
dichas vulnerabilidades. Por ejemplo, para prevenir la falsificación de
MAC y el desbordamiento de la tabla de direcciones MAC, debe
habilitarse seguridad de puertos (port security).
 La seguridad de puertos permite a los administradores especificar en
forma estática las direcciones MAC permitidas en un puerto
determinado, o permitir al switch aprender en forma dinámica un
número limitado de direcciones MAC. Limitando a uno el número de
direcciones MAC permitidas en un puerto, la seguridad de puerto
puede ser utilizada para controlar la expansión no autorizada de la
red.
Switching

Seguridad a nivel del Puerto

Seguridad de puertos switch
La acción de deshabilitar puertos sin utilizar es una pauta de
seguridad simple pero eficaz.

MAC - Seguridad de puertos:
funcionamiento
Limitar la cantidad de direcciones MAC válidas permitidas en un
puerto.
Permitir el acceso a las direcciones MAC de los dispositivos
legítimos, mientras que otras direcciones MAC se rechazan.
Cualquier intento adicional de conexión por parte de direcciones
MAC desconocidas generará una violación de seguridad.
Las direcciones MAC seguras se pueden configurar de varias
maneras:
 Direcciones MAC seguras estáticas
 Direcciones MAC seguras dinámicas
 Direcciones MAC seguras persistentes

Seguridad de puertos: modos de violación
de seguridad
 El IOS considera que se produce una violación de seguridad cuando se da
cualquiera de estas situaciones:
 Se agregó la cantidad máxima de direcciones MAC seguras a la tabla
CAM para esa interfaz, y una estación cuya dirección MAC no figura en
la tabla de direcciones intenta acceder a la interfaz.
 Una dirección aprendida o configurada en una interfaz segura puede
verse en otra interfaz segura de la misma VLAN.
 Cuando se detecta una violación, hay tres acciones posibles que se pueden
realizar:
 Protect
 Restrict
 Shutdown
SW(config-if)#switchport port-security

Seguridad de puertos: configuración
 Configuración predeterminada de la seguridad de puertos dinámicos

 Configuración de la seguridad de puertos dinámicos

 Configuración de la seguridad de puertos persistentes

Seguridad de Puerto

Seguridad de puertos: verificación
 Verificación de la seguridad de puertos persistentes

 Verificación de la seguridad de puertos: direcciones MAC
seguras

Puertos en estado de inhabilitación por
errores
 Una violación de seguridad de puertos puede dejar al switch en
estado de inhabilitación por errores.
 Un puerto en estado de inhabilitación por errores queda
desactivado completamente.
 El switch comunicará estos eventos por medio de mensajes de
consola.

Puertos en estado de inhabilitación por
errores
 El comando show interface también indica si hay un puerto de
switch en estado de inhabilitación por errores.

Control de acceso a la LAN: 802.1x
 IEEE 802.1x es un estándar del IEEE que está diseñado para
proporcionar acceso a una red, realizando la autenticación de los
clientes a nivel de puertos.
 El proceso de autenticación basado en puertos, es soportado en dos
topologías:
 Punto a punto
 Wireless LAN
Suplicante
Autenticador
Autenticador
Servidor de
Autenticación
Dicho proceso consiste en
el intercambio de mensajes
EAP (Extensible
Authentication Protocol)
utilizando también el
protocolo RADIUS.

Control de acceso a la LAN: IEEE 802.1x
 Entre los tipos más utilizados de
EAP encontramos:
 Cisco LEAP
 EAP-TLS
 PEAP
 EAP-MD5

Mitigación de ataques de
DHCP
 Las técnicas usadas para mitigar este tipo
de ataque comprenden, entre otras
 la limitación de direcciones MAC que pueden
existir sobre un puerto del switch
 la implementación de la RFC 3118 para
autenticación de mensajes DHCP
 y también una técnica conocida como DHCP
snooping. Authentication for DHCP Messages
https://datatracker.ietf.org/doc/rfc3118/
RFC 7513

Detección de DHCP
 La detección de DHCP permite
determinar cuáles son los puertos de
switch que pueden responder a
solicitudes de DHCP.

Mitigación de ataques de VLAN
Hopping
 La mejor forma de prevenir los ataques básicos de
salto de VLAN consiste en:
 deshabilitar el trunking en todos los puertos, a excepción de
aquellos que lo requieran
 En los puertos donde el trunking deba estar disponible, se
deben deshabilitar las negociaciones DTP (Dynamic
Trunking Protocol)
 Habilitar el trunking en forma manual.
 Cambiar la VLAN Nativa
 Y Permitir/Denegar las VLAN especificas de producción
 Los puertos sin uso poner a una VLAN de agujero negro (no
existe).

Mitigación de ataques de VLAN
Hopping

Spanning Tree
 Para mitigar el ataque de manipulación STP, se utilizan
las capacidades de seguridad de los switches
administrables, como las técnicas de mitigación para la
manipulación de STP incluyen
 la habilitación de PortFast
 la utilización de root guard
 BPDU guard.
Ingeniería en el diseño redundante

Spanning Tree
Portfast  directo forwarding

Spanning Tree
Además de portfast,
bpduguard  no BPDUs
Switch(config-if)#spanning-tree bpduguard enable

Spanning Tree
 Una vez ubicado el root, El root guard evita que otro switch nuevo
sea root con un ID menor.
 Cuando el Root Guard está habilitado en un puerto, éste queda en
el rol “DESIGNED PORT”. Si el puerto recibe una BPDU más alta
(BID menor), el puerto cambia al estado "ROOT-INCONSISTANT,
por lo cual no se enviará más información a través de este puerto.
Esto permite que el Bridge evite reenviar el tráfico a través de los
puertos conectados a Bridges STP mal configurados.
 Una vez que el puerto termina de recibir BPDUs superiores, Root
Guard automáticamente cambia el puerto de vuelta al estado
“LEARNING” y eventualmente al estado “FORWARDING” a través
del algoritmo de STP.
 Root Guard puede perjudicar la conexión en la red si está mal
configurado, como también no funcionará si MSTP esta habilitado.

Spanning Tree
El root guard se utiliza para bloquear
BPDUs que se identifiquen como Root en
un puerto determinado.
Configure Root Guard en todos los puertos
donde el Root Bridge no debería aparecer.
estado "root-inconsistent",
efectivamente similar al
estado de escucha
(listening) de STP

Spanning Tree
 Consideraciones claves:
 Se tiene que tener bien definido el switches “root” (tb
secondary).
 Nunca se debe usar en los switch de acceso.
 Se configura en los puertos troncales de los switch que tiene
conectados otros switch pero de acceso.
 NUNCA configures el ROOT GUARD en los puertos que van
conectados directamente al root o por medio de los cuales el
Switch conoce al root.

Spanning Tree

ANEXOS
SEGURIDAD

Cuestiones de seguridad en redes LAN
Aprovechamiento de Telnet
 Como se mencionó anteriormente, el protocolo Telnet
no es seguro, y se debe reemplazar por SSH.
 Sin embargo, un atacante pueda utilizar Telnet como
parte de otros ataques.
 Dos de estos ataques son los ataques de contraseña
de fuerza bruta y el ataque DoS por Telnet.
 Cuando no se pueden capturar las contraseñas, los
atacantes prueban con tantas combinaciones de
caracteres como sea posible. Este intento de adivinar
la contraseña se conoce como “ataque de contraseña
de fuerza bruta”.
 Telnet se puede utilizar para probar la contraseña
adivinada en el sistema.

Cuestiones de seguridad en redes LAN
Aprovechamiento de Telnet
 En un ataque DoS por Telnet, el atacante explota un defecto
del software del servidor Telnet que se ejecuta en el switch,
el cual hace que el servicio de Telnet no esté disponible.
 Este tipo de ataque impide que un administrador acceda en
forma remota a las funciones de administración del switch.
 Esto se puede combinar con otros ataques directos a la red
como parte de un esfuerzo coordinado para impedir que el
administrador de red acceda a dispositivos clave durante la
infracción.
 En general, las vulnerabilidades en el servicio de Telnet que
permiten que ocurran los ataques de DoS se enfrentan
mediante parches de seguridad incluidos en las revisiones
más recientes de IOS de Cisco.

Prácticas recomendadas de seguridad
10 prácticas recomendadas
 Desarrolle una política de seguridad escrita para la
organización.
 Desactive los servicios y puertos que no se utilicen.
 Utilice contraseñas seguras y cámbielas con frecuencia.
 Controle el acceso físico a los dispositivos.
 Utilice HTTPS en lugar de HTTP.
 Realice copias de seguridad regularmente.
 Capacite a los empleados sobre los ataques de ingeniería
social.
 Cifre y proteja con contraseñas los datos confidenciales.
 Implemente firewalls.
 Mantenga el software actualizado.

10 prácticas recomendadas

Herramientas de seguridad de red: opciones
 Las herramientas de seguridad de red son muy
importantes para los administradores de red.
 Estas herramientas permiten que el administrador
pruebe la resistencia de las medidas de seguridad
implementadas.
 Un administrador puede iniciar un ataque contra la red
y analizar los resultados.
 Estas herramientas también sirven para determinar
cómo ajustar las políticas de seguridad, a fin de mitigar
esos tipos de ataques.
 Las auditorías de seguridad y las pruebas de
penetración son dos funciones básicas de las
herramientas de seguridad de red.

Herramientas de seguridad de red: auditorías
 Las herramientas de seguridad de red se pueden
utilizar para auditar la red.
 Al controlar la red, el administrador puede evaluar qué
tipo de información puede reunir un atacante.
 Por ejemplo, si se ataca y satura la tabla CAM de un
switch, el administrador puede descubrir qué puertos
del switch son vulnerables a la saturación de
direcciones MAC y corregir el problema.
 Las herramientas de seguridad de red también se
pueden utilizar como herramientas de prueba de
penetración.

Herramientas de seguridad de red: auditorías
 La prueba de penetración es un ataque simulado.
 Ayuda a determinar qué tan vulnerable sería la red en
un ataque real.
 Se pueden identificar las debilidades en la
configuración de los dispositivos de red según los
resultados de esta prueba.
 Se pueden realizar cambios para que los dispositivos
sean más resistentes a los ataques.
 Dichas pruebas pueden dañar la red, y se deben
realizar en condiciones muy controladas.
 Lo ideal es una red sin conexión que imite la red de
producción real y funcione como banco de pruebas.

Herramientas de seguridad
 Después de configurar la seguridad del switch, se debe
verificar que no hayan quedado debilidades que puedan
ser explotadas por un atacante. La seguridad de red es
un tema complejo y cambiante.
 Las herramientas de seguridad de red ayudan a probar
la red en busca de distintas debilidades. Son
herramientas que permiten que el usuario actúe como
pirata informático y como analista de seguridad de red. A
través de estas herramientas se puede iniciar un ataque
y llevar a cabo la auditoría de los resultados para
determinar la forma de ajustar las políticas de seguridad
para evitar un ataque determinado.
 Las funciones que utilizan las herramientas de seguridad
de red evolucionan de manera constante.

 Las auditorías de seguridad y los pruebas de penetración son dos
funciones básicas que llevan a cabo las herramientas de seguridad
de red.

 En realidad, la seguridad de red es un proceso, no un
producto. No alcanza con habilitar el switch con una
configuración segura y dar por terminado el trabajo.
Para afirmar que una red es segura se debe contar con
un plan de seguridad de red completo que defina la
forma de verificar de manera periódica si la red puede
enfrentar los más recientes ataques de red maliciosos.
 El panorama cambiante de los riesgos de seguridad
implica que se debe contar con herramientas de
auditoría y penetración que puedan actualizarse para
enfrentar los riesgos de seguridad más recientes.

Otros Aspectos

Conclusión

Conclusión
• SysAdmin, Audit, Network, Security
(SANS) Institute
• Computer Emergency Response Team
(CERT)
• International Information Systems
Security Certification Consortium
((ISC)2 se dice "IS-C-squared" en
inglés)

Ing. Marco Antonio.
Arenas Porcel
Email: arenas.marco@usfx.bo
:markituxfor@gmail.com

CapII_Seg_Net_Access.pdf

Recomendados

Recomendados

Más contenido relacionado

Similar a CapII_Seg_Net_Access.pdf

Similar a CapII_Seg_Net_Access.pdf (20)

Último

Último (20)

CapII_Seg_Net_Access.pdf