2. Objetivo de la sesión
Se espera que el estudiante identifique cuales
son las amenazas mas comunes hacia los
Endpoints y la manera de poder protegerlos.
Contenido
3. MODELO OSI
CAPA
PDU (Unidad de Datos
de Protocolo)
Responsabilidad
7 Aplicación Datos
Responsable de los servicios de red para las
aplicaciones
6 Presentación Datos
Transforma el formato de los datos y proporciona
una interfaz estándar para la capa de aplicación
5 Sesión Datos
Establece, administra y finaliza las conexiones entre
las aplicaciones locales y las remotas
4 Transporte Segmento
Proporciona transporte confiable y control del flujo
a través de la red
3 Red Paquetes
Responsable del direccionamiento lógico y el
dominio del enrutamiento
2 Enlace Tramas
Proporciona direccionamiento físico y
procedimientos de acceso a medios
1 Fisico Bits
Define todas las especificaciones eléctricas y físicas
de los dispositivos
4. CAPA DE ENLACE DE DATOS
▪ La capa de enlace de datos proporciona tránsito de datos confiable a
través de un enlace físico.
▪ Se ocupa del direccionamiento físico (comparado con el lógico) , la
topología de red, el acceso a la red, la notificación de errores, entrega
ordenada de tramas y control de flujo.
▪ Si desea recordar la Capa 2 en la menor cantidad de palabras posible,
piense en tramas y control de acceso al medio.
5. CAPA DE ENLACE DE DATOS
▪ existe como una capa de conexión entre los procesos de software de las
capas por encima de ella y la capa física debajo de ella.
▪ Prepara los paquetes de capa de red para la transmisión a través de
alguna forma de medio, ya sea cobre, fibra o entornos /medios
inalámbricos.
6. CAPA DE ENLACE DE DATOS
Trama Ethernet II
Trama Ethernet IEEE 802.3
SNAP
VLAN 802.1Q
Ethernet II etiquetada y IEEE
802.3 etiquetada
7. CAPA DE ENLACE DE DATOS
Bloque Tamaño Función
Preamble Start frame
delimiter (SFD)
8 bytes Sincronización de los receptores secuencia de bits que inicia la trama
Destination address
(MAC)
6 bytes Dirección de hardware del adaptador de red de destino
Source address (MAC) 6 bytes Dirección de hardware del adaptador de red de origen
Tag 4 bytes Etiqueta VLAN opcional para la integración en redes VLAN (IEEE
802.1q)
Type 2 bytes Ethernet II: etiquetado de protocolos de la capa 3
Length 2 bytes Longitud de la información sobre el registro
Destination service
access point (DSAP)
1 byte Dirección individual del punto de acceso al servicio
Source service access
point (SSAP)
1 byte Dirección de origen del dispositivo de envío
Control 1 byte Define el marco de la LLC (enlace lógico)
8. CAPA DE ENLACE DE DATOS
Bloque Tamaño Función
Control 1 byte Define el marco de la LLC (enlace lógico)
SNAP 5 bytes Campo para la definición del identificador único de la organización
(OUI) del fabricante y el número de protocolo (como "Type").
Data 44-1500
bytes (limit
depending
on frame
structure)
Los datos que deben transmitirse
Frame check sequence
(FCS)
4 bytes Suma de comprobación que calcula la trama completa
Inter frame gap (IFS) - Parada de transmisión de 9.6 μs
9. CAPA DE ENLACE DE DATOS
Dirección MAC (Control de acceso a medios)
▪ La dirección MAC es utilizada por la subcapa de control de acceso a
medios de la capa de enlace de datos (DLC) de los protocolos de
telecomunicaciones.
▪ Cada NIC (también llamada tarjeta LAN) tiene una dirección de hardware
que se conoce como MAC, para Media Access Control. La dirección MAC
a veces se denomina dirección de hardware de red, dirección grabada
(BIA) o dirección física.
10. CAPA DE ENLACE DE DATOS
Dirección MAC (Control de acceso a medios)
▪ Una dirección MAC se le da a un adaptador de red cuando se fabrica.
Está codificado en la tarjeta de interfaz de red (NIC) de su computadora y
es exclusivo de esta. ARP (Protocolo de resolución de direcciones)
traduce una dirección IP en una dirección MAC.
▪ El ARP toma datos de una dirección IP a través de una pieza real de
hardware de computadora.
11. CAPA DE ENLACE DE DATOS
Address Resolution Protocol (ARP)
▪ Se utiliza principalmente para traducir direcciones IP a direcciones MAC
▪ Cada host mantiene una tabla de direcciones IP a MAC
▪ Tipos de mensajes:
▪ Solicitud de ARP
▪ Respuesta ARP
▪ Anuncio ARP
▪ Neighbor Discovery Protocol (NDP) para IPv6
12. CAPA DE ENLACE DE DATOS
Address Resolution Protocol (ARP)
13. CODIGO ASCII
▪ Los ordenadores se comunican a través del sistema binario – 0s y 1s,
pero la gente a menudo quiere comunicarse con los datos en formatos
más avanzados, como texto o imágenes.
▪ Para transferir estos datos entre equipos, primero debe codificar en 0s y
1s, enviar y, a continuación, descodificar de nuevo.
▪ ASCII se creó para darle una alternativa a los ordenadores de forma que
pudiesen comprender lo que queremos escribir en ellos, ya que fue
necesario generar una traducción desde el sistema binario hacia el
alfabeto latino.
15. CODIFICACIÓN BASE64
▪ Base64 es un algoritmo de codificación que permite transformar cualquier
carácter de cualquier idioma en un alfabeto que consta de letras, dígitos
y signos latinos.
▪ Con esto podemos convertir caracteres especiales como logogramas
chinos, emojis e incluso imágenes en una secuencia "legible" (para
cualquier ordenador), que se puede guardar y/o transferir en cualquier
otro lugar.
▪ Se utiliza para transmitir datos binarios por medio de transmisiones que
tratan sólo con texto.
▪ Su alfabeto consta de 64 caracteres (,,, [A-Z][a-z]"[0-9]/" y "+"), que
dieron lugar a su nombre.
17. TALLER 4 USO DE WIRESHARK
Ann ha saltado la fianza y ha escapado con un destino incierto, sin embargo los investigadores
estuvieron escuchando el tráfico desde su computadora a través de un sniffer, y tienen con ellos el
paquete de datos de la ultima sesión que ella inicio en su estación de trabajo.
La policía confía en que ella se comunicó con un amante secreto antes de su desaparición. Sin
embargo, necesitan verificar los siguientes datos para dar con Ann.
1. ¿Cuál es la dirección de correo electrónico de Ann?
2. ¿Cuál es la contraseña de correo electrónico de Ann?
3. ¿Cuál es la dirección de correo electrónico del amante secreto de Ann?
4. ¿Qué dos artículos le dijo Ann a su amante secreto que trajera?
5. ¿Cuál es el NOMBRE del archivo adjunto que Ann le envió a su amante secreto?
6. ¿En qué CIUDAD y PAÍS es su punto de encuentro?
19. AMENAZAS EN LA CAPA DE ENLACE
• Los administradores de seguridad de red
regularmente implementan soluciones de
seguridad para proteger los componentes en la
Capa 3 y hasta la Capa 7.
• Sin embargo, si la Capa 2 se ve comprometida,
todas las capas superiores también se ven
afectadas.
• Por ejemplo, si un atacante con acceso a la red
interna captura las tramas de la Capa 2,
entonces toda la seguridad implementada en
las capas anteriores sería inútil.
21. AMENAZAS EN LA CAPA DE ENLACE
Categoría Ejemplos
Ataques a la tabla MAC Incluye ataques de saturación de direcciones MAC.
Ataques de VLAN
Incluye ataques VLAN Hopping y VLAN Double-Tagging Esto
tambien incluye ataques entre dispositivos en una misma VLAN.
Ataques de DHCP
Incluye ataques de agotamiento/starvation y
suplantación/spoofing DHCP.
Ataques ARP
Incluye la suplantación/spoofing de ARP y los ataques de
envenenamiento/poisoning de ARP.
Ataques de Suplantación de
Direcciones
Incluye los ataques de suplantación/spoofing de direcciones
MAC e IP.
Ataque de STP
Incluye ataques de manipulación al Protocolo de Árbol de
Expansión
23. MITIGACIÓN DE AMENAZAS EN LA CAPA DE ENLACE
Solución Descripción
Seguridad de Puertos / Port
Security
Previene muchos tipos de ataques, incluyendo los
ataques de inundación de direcciones MAC y los ataques
de inanición/agotamiento de DHCP.
DHCP Snooping
Previene ataques de suplantación de identidad y de
agotamiento de DHCP
Inspección ARP dinámica /
Dynamic ARP Inspection (DAI)
Previene la suplantación de ARP y los ataques de
envenenamiento de ARP.
Protección de IP de origen / IP
Source Guard (IPSG)
Impide los ataques de suplantación de direcciones MAC e
IP.
24. MITIGACIÓN DE AMENAZAS EN LA CAPA DE ENLACE
• Utilizar siempre variantes seguras de protocolos de administración como SSH, Secure
Copy Protocol (SCP), Secure FTP (SFTP), y Secure Socket Layer/Transport Layer Security
(SSL/TLS).
• Considerar usar una red de administración fuera de banda para administrar dispositivos.
• Usar una VLAN de administración dedicada que solo aloje el tráfico de administración.
• Usar ACLs para filtrar el acceso no deseado.