Switch Security

Muchas organizaciones securizan su infraestructura pensando en que los ataques siempre provienen desde fuera y nunca desde dentro de su propia plataforma, a menudo se toman medidas de seguridad filtrando paquetes basándose en las cabeceras de las Capas 3 y 4 del Modelo OSI, filtrando puertos, realizando una inspección completa de los paquetes, etc. Esto hace que no se tenga en cuenta las capas inferiores en la securización de las comunicaciones y por tanto exista un vacío de seguridad en las Capas 1 y 2 del modelo OSI.

Algunos de los problemas que nos podemos encontrar en estas capas pueden surgir a partir de que un usuario, no necesariamente malintencionado, enchufe el cable que va conectado a su ordenador a un switch, hub o punto de acceso para compartir la conexión con algún compañero, para expandir el radio de acción mediante Wifi, etc. Otro problema que puede surgir es simplemente que el usuario tenga el servicio de DHCP instalado y habilitado en su equipo, y por tanto ofreciendo direccionamiento IP a todo aquel que esté a su alcance. Estos son dos ejemplos claros y sencillos que pueden aparecer en cualquier organización que no esté debidamente controlada, y que pueden provocar que los administradores de red dediquen mucho tiempo en la búsqueda del origen del problema. Por tanto en este post veremos cómo podemos protegernos contra los siguientes ataques de Capa 2:

MAC Flooding

Es el ataque más común y consisten en llenar la tabla CAM del switch para obtener información dirigida hacia otros equipos o realizar un ataque de DoS.

Este tipo de ataque se puede evitar mediante la funcionalidad de Port Security de Cisco, además de bloqueando la inundación de unicast en puertos específicos. Mediante la característica de Port Security estableceremos el número de direcciones MAC que pueden enviar tráfico por un determinado puerto del switch, o también podemos limitar qué direcciones MAC están permitidas enviar tráfico por dicho puerto.

VLAN Hopping

Realizando este ataque podremos enviar paquetes o recoger paquetes desde una VLAN que no debería ser accesible por el sistema final. El ataque consiste en tagear de nuevo el paquete con la VLAN a la que queremos acceder, o negociar un enlace en modo trunk con el switch.

Este tipo de ataque se puede evitar configurando listas de control de acceso basadas en VLAN (VACLs) donde se puede definir qué direccionamiento, e incluso MAC address, puede enviar tráfico en una determinada VLAN. Además, no olvidemos de configurar los puertos del switch que no se estén utilizando como puertos de acceso en estado shutdown y asociándolos a una VLAN que no tenga tráfico de datos, mientras que los puertos en modo trunk deberemos configurarlos con una VLAN nativa que no emita tráfico de datos, el trunk esté activado y no negociado, y por último especificar el rango de VLAN permitidas.

Spoofing Attacks

Estos ataques pueden ocurrir sobre varios protocolos permitiendo a un atacante realizar ataques de man-in-the-middle (MIM), de tal manera que tras el ataque todo el tráfico fluye por el equipo del atacante antes de enviárselo al router, switch o equipo de destino.

El ataque de DHCP Spoofing lo podremos evitar mediante la característica DHCP Snooping de Cisco, mientras que los ataques de ARP Spoofing los podremos evitar mediante las técnicas de inspección dinámica ARP que ofrecen los fabricantes de switches. Por otro lado, los ataques de IP Spoofing los podremos evitar configurando IP Source Guard que uniéndolo a DHCP Snooping el switch conocerá la asociación IP – MAC por puerto, evitando los ataques MIM.

Para no extenderme más y finalizar, tan solo quiero comentar que existen muchas más técnicas que hay que tener en cuenta a la hora de securizar nuestra infraestructura, como puede ser la configuración de 802.1X basado en puerto, CDP, etc. Así que como veis, existen multitud de característica a implementar, y que lógicamente los atacantes siempre las tienen en cuenta para llevar a cabo sus hazañas.