SEGURIDAD DE LAN

SEGURIDAD DE LAN
Las LAN de capa2 suelen considerarse un entorno seguro.
Sin embargo, si la capa 2 se ve comprometida, todas las capas superiores tambien se ven afectadas. en la actualidad, con BYOD y ataques mas sofisticados, las LAN se han vuelto mas vulnerables, en la infraestructura de red de LAN de capa 2 y crear situaciones de DoS. Por lo tanto, además de proteger las capas 3 a 7, los profesionales de seguridad de red también deben mitigar amenazas contra la infraestructura de LAN de capa 2.
El primer paso para mitigar los ataques a la infraestructura de capa 2 es comprender el funcionamiento subyacente de la capa 2 y las amenazas de la infraestructura de capa 2.
Los primeros dos ataques se centran en tener acceso administrativo al dispositivo de red. Los ataques restantes se centran en la interrupción de las operaciones de red.

Algunos ataques comunes contra la infraestructura de LAN de capa 2 con:

Indice

Ataques de reconocimiento de CDP

El CDP es un protocolo de detección de enlaces de capa 2 patentado. Está habilitado en todos los dispositivos de Cisco de manera predeterminada, el CDP puede usarse para verificar la conectividad de capa 1 y 2.
Sin embargo, un atacante puede usar la información proporcionada por CDP para detectar vulnerabilidades en la infraestructura de red.
Sin embargo, un atacante puede usar la información proporcionada por CDP para detectar vulnerabilidades en la infraestructura de red. Las transmisiones de CDP se envían sin encriptación ni autenticación.
Por lo tanto, un atacante puede interferir con la infraestructura de la red enviando tramas de CDP fabricadas con información falsa sobre dispositivos a los dispositivos de Cisco con conexión directa. Para mitigar la explotación de CDP, se debe limitar el uso de CDP en los dispositivos o puertos.
Por ejemplo, se debe deshabilitar CDP en los puertos de extremo que se conectan a dispositivos no confiables.

Ataques de telnet


el protocolo de Telnet es intrínsecamente inseguro y un atacante puede usarlo para obtener acceso remoto a un dispositivo de red de Cisco. Hay herramientas que permiten que un atacante inicie ataques contra las líneas de vty del switch. Hay dos tipos de ataques de Telnet:
    Ataques de contraseña de fuerza bruta
  • La primer fase de un ataque de contraseña de fuerza bruta comienza con el uso de contraseñas comunes por parte del atacante y de un programa diseñado para intentar establecer una sesión de Telnet
  • En la segunda fase del ataque de fuerza bruta, el atacante utiliza un programa que genera combinaciones de caracteres secuenciales para poder "adivinar" la contraseña.
    Ataque Dos
  • Otro tipo de ataque de Telnet es el ataque de DoS. En un ataque de DoS, el atacante explota un desperfecto del software del servidor de Telnet que se ejecuta en el switch. Este tipo de ataque es en la mayoría de los casos es una molestia, ya que evita que el administrador lleve a cabo las funciones de administración del switch.

    Hay varias maneras de mitigar los ataques de Telnet
  • Use SSH en vez de Telnet para las conexiones de administración remota.
  • Use contraseñas sólidas y cámbielas con frecuencia. Una contraseña segura debe tener una combinación de mayúsculas y minúsculas, y debe incluir números y símbolos (caracteres especiales).
  • Limite el acceso a las líneas de vty con una lista de control de acceso (ACL) que permita el acceso sólo a los dispositivos de administrador y deniegue el acceso a todos los demás.


Ataques de saturacion de tablas de direccione MAC


Las tablas de direcciones MAC tienen un tamaño limitado. Los ataques de saturación MAC usan esta limitación para sobrecargar al switch con direcciones MAC de origen falsas hasta que la tabla de direcciones MAC del switch este completa.
Cuando la tabla de direcciones MAC está llena de direcciones MAC falsas, el switch entra en un modo que se conoce como “fail-open“. En este modo, el switch transmite todas las tramas por todos los puertos de la red. Como resultado, el atacante puede ver todas las tramas.
    Una forma de mitigar estos ataques MAC es configurar la seguridad de los puertos:
  • Limitando en cada puerto del switch la cantidad de direcciones MAC válidas permitidas.
  • Asignando manualmente a los puertos direcciones MAC estáticas.
  • Deshabilitar manualmente los puertos que no se usen

Ataques de VLAN


Existen diferentes tipos de ataques a VLAN en las redes conmutadas modernas. La arquitectura VLAN simplifica el mantenimiento de la red y mejora el rendimiento, pero también posibilita el uso indebido. Es importante comprender la metodología general detrás de estos ataques y los métodos principales para mitigarlos.
La mejor manera de prevenir un ataque de suplantación de identidad de switch básico es inhabilitar los enlaces troncales en todos los puertos, excepto en los que específicamente requieren enlaces troncales. En los puertos de enlace troncal requeridos, inhabilite DTP y habilite los enlaces troncales manualmente.
    Hay varias maneras de mitigar los ataques de VLAN:
  • Configure explícitamente los enlaces de acceso
  • Deshabilite explícitamente los enlaces troncales automáticos
  • Habilite manualmente los enlaces troncales
  • Deshabilite los puertos sin usar, conviértalos en puertos de acceso y asígnelos a una VLAN de agujero negro
  • Cambie la VLAN nativa predeterminada
  • Implemente seguridad de puertos

Ataques de DHCP


Una de las formas en que un atacante puede acceder al tráfico de la red es realizando una suplantación de identidad sobre las respuestas enviadas por un servidor de DHCP válido
  • Ataque de suplantación de DHCP: un atacante configura un servidor DHCP falso en la red para que envíe direcciones IP a los clientes. Este tipo de ataque obliga a los clientes a usar un servidor falso de sistema de nombres de dominio (DNS) y una computadora que está bajo el control del atacante como gateway predeterminado.
  • Ataque por agotamiento de DHCP: un atacante satura el servidor DHCP con solicitudes de DHCP falsas y, con el tiempo, ocupa todas las direcciones IP disponibles del grupo de servidores DHCP. Una vez que se emiten estas direcciones IP, el servidor no puede emitir más direcciones; esta situación produce un ataque por denegación de servicio (DoS), ya que los nuevos clientes no pueden obtener acceso a la red.

Proteccion de la LAN

  • Protección de IP de origen (IPSG)
    • La protección de IP de origen impide los ataques de suplantación de direcciones
  • Inspección ARP dinámica (DAI)
    • La inspección dinámica de ARP evita la suplantación de ARP y los ataques de envenenamiento de ARP
  • Detección DHCP
    • La detección DHCP impide el agotamiento de direcciones DHCP y los ataques de suplantación de DHCP
  • Seguridad de puertos
    • La seguridad de puertos evita muchos tipos de ataques, incluidos los ataques de sobrecarga de la tabla CAM y agotamiento de direcciones DHCP

Mitigacion de ataques por saturacion de tablas de direcciones MAC



    UNA forma de mitigar estos ataques MAC es configurar la seguridad de los puertos :
  • Limitando en cada puerto del switch la cantidad de direcciones MAC validas permitidads
  • Asignado manualmente a los puertos direcciones MAC estaticas
  • Deshabilitar manualmente los puertos que no se usen
  • Habilitar en el switch el aprendizaje de direcciones MAC persistente, esto es en el momento que se conecta un dispositivo a un puerto, dicho puerto aprende la direccion MAC del dispositivo y solo va a aceptar dicha MAC de manera si se desconecta el dispositivo y se pone otro(que tendra una MAC diferente), el switch no detectara el dispositivo y por tanto este no podra interactuar en la red

Mitigar ataques de VLAN

  • APAGUE TODOS LOS PUERTOS NO UTILIZADOS
  • CONFIGURE TODOS LOS PUERTOS NO UTILIZADOS A MODO DE ACCESO
  • CONFIGURAR UNA VLAN ACCESO A TODOS LOS PUERTOS NO UTILIZADOS A UNA VLAN SIN USO
  • CONFIGURAR A NATIVE TRUNK VLAN EN TODOS LOS PUERTOS NO UTILIZADOS COMO UNA VLAN SIN USO

Mitigación de ataques de DHCP

Las mejores prácticas de seguridad recomiendan el uso de la detección DHCP para mitigar los ataques de suplantación de DHCP. Si la detección DHCP está habilitada en una interfaz o VLAN y un switch recibe un paquete DHCP en un puerto no confiable, el switchcompara la información del paquete de origen con la almacenada en la base de datos vinculante de detección DHCP. El switch negará los paquetes que contengan la siguiente información:
  • Mensajes no autorizados del servidor DHCP que provengan de un puerto no confiable.
  • Mensajes del cliente DHCP que no cumplan con la base de datos de enlaces de detección DHCP o con los límites de velocidad.
La detección DHCP reconoce dos tipos de puertos:
  • Puertos de confianza de DHCP: Solo se puede confiar en los puertos conectados a servidores DHCP corriente arriba. Estos puertos deben hacer que los servidores DHCP legítimos respondan con mensajes de oferta de DHCP y de acuse de recibo de DHCP. Los puertos confiables se deben identificar explícitamente en la configuración.


  • Puertos no confiables: estos puertos se conectan a los hosts que no deben proporcionar mensajes de servidor DHCP. De manera predeterminada, todos los puertos de switch no son confiables.


    • Proteccion del acceso administrativo con AAA

    Existen diferentes métodos para implementar la autenticación en un dispositivo Cisco, y cada método ofrece varios niveles de seguridad. El marco de trabajo de autenticación, autorización y auditoría (AAA) se usa para proteger el acceso de los dispositivos. La autenticación de AAA puede usarse para autenticar a los usuarios para el acceso administrativo o puede usarse para autenticar a los usuarios para el acceso remoto a la red.
      CISCO OFRECE DOS MÉTODOS COMUNES DE IMPLEMENTAR SERVICIOS DE AAA:
    • AUTENTICACIÓN DE AAA LOCAL: AAA LOCAL USA UNA BASE DE DATOS LOCAL PARA LA AUTENTICACIÓN. ESTE MÉTODO SE CONOCE A VECES COMO AUTENTICACIÓN AUTÓNOMA. ESTE MÉTODO ALMACENA LOS NOMBRES DE USUARIO Y LAS CONTRASEÑAS A NIVEL LOCAL EN EL ROUTER DE CISCO, Y LOS USUARIOS SE AUTENTICAN CON LA BASE DE DATOS LOCAL. AAA LOCAL ES IDEAL PARA LAS REDES PEQUEÑAS.
    • AUTENTICACIÓN DE AAA BASADA EN SERVIDOR: LA AUTENTICACIÓN DE AAA
      BASADA EN SERVIDOR ES UNA SOLUCIÓN MUCHO MÁS ESCALABLE. CON EL MÉTODO BASADO EN SERVIDOR, EL ROUTER ACCEDE A UN SERVIDOR CENTRAL
      DE AAA. EL SERVIDOR DE AAA TIENE LOS NOMBRES DE USUARIO Y LAS CONTRASEÑAS PARA TODOS LOS USUARIOS Y ACTÚA COMO SISTEMA DE AUTENTICACIÓN CENTRALIZADO PARA TODOS LOS DISPOSITIVOS DE LA INFRAESTRUCTURA.

    Protección de acceso a dispositivos con 802.1x

    La autenticación de usuarios de red puede obtenerse con autenticación basada en servidor de AAA. El protocolo o estándar 802.1X puede servir para autenticar los dispositivos de red en la red corporativa. Hay otro protocolo que sirve para proteger las computadoras que se conectan a una LAN. El estándar IEEE 802.1X define un control de acceso y un protocolo de autenticación basados en puertos. IEEE 802.1X evita que las estaciones de trabajo no autorizadas se conecten a una LAN a través de puertos de switch de acceso público. El servidor de autenticación autentica cada estación de trabajo que está conectada a un puerto del switch antes habilitar cualquier servicio ofrecido por el switch o la LAN.
    • Cliente (suplicante):suele ser el puerto habilitado para 802.1X en el dispositivo. El dispositivo solicita acceso a los servicios de LAN y switch y luego responde a las solicitudes del switch.
      Otro cliente suplicante es un dispositivo inalámbrico que cumple con 802.1X, como una computadora portátil o una tablet.
    • Switch (autenticador): controla el acceso físico a la red según el estado de autenticación del cliente. El switch funciona como actúa intermediario (proxy) entre el cliente y el servidor de autenticación. Solicita la identificación de la información del cliente, verifica dicha información al servidor de autenticación y transmite una respuesta al cliente. El switch utiliza un agente de software de RADIUS que es responsable de encapsular y desencapsular las tramas del protocolo de autenticación extensible (EAP) y de interactuar con el servidor de autenticación. Otro dispositivo que podría actuar como autenticador es un punto de acceso inalámbrico que actúa como intermediario entre el cliente inalámbrico y el servidor de autenticación.
    • Servidor de autenticación: realiza la autenticación concreta del cliente. El servidor de autenticación valida la identidad del cliente y notifica al switch o a otro autenticador, como un punto de acceso inalámbrico, si el cliente tiene autorización para acceder a los servicios de LAN y switch. Debido a que el switch actúa como el proxy, el servicio de autenticación es transparente para el cliente. El sistema de seguridad RADIUS con extensiones de EAP es el único servidor de autenticación admitido.

    Comentarios

    Publicar un comentario

    ¿Quienes somos?

    Somos una empresa que se dedica a la explicacion y mitigacion de problemas de red

    Tambien nos dedicamos a la seguridad de los puertos

    analisis de trafico sospechoso y en SPAN(Switches Port Analyzer) Analizador de puertos de switches



    En los apartados de arriba se muestra nuestra visión, misión y los temas que abordaremos junto con sus explicaciones