Tipos de ataques en switches de capa 2.

Tipos de ataques en switches de capa 2. • • • • •

CAM table overflow Media Access Control (MAC) address spoofing DHCP starvation VLAN hopping Manipulaciones en Spanning-Tree Protocol (STP)

CAM table overflow . MAC Flooding Escenario: La máquina del atacante está conectada a una boca del switch que pertenece a la VlLAN 10. Mediante un ataque de floods MAC addresses en esa boca del switch inyecta muchos paquetes con MAC de origen y destinos aleatorios que el switch intenta memorizar. Cuando la tabla CAM (content addressable memory ) alcanza su límite el switch empieza a operad como un hub emitiendo las tramas de procedentes de la VLAN 10 a todas las bocas que pertenezcan a dicha VLAN incluyendo la de los switches adyacentes que también tengan bocas para la VLAN 10. Permitiendo a un sniffer capturar todo el trafico de esa y solo esa VLAN durante el periodo de tiempo que se mantenga el flujo de tramas con MAC aleatorias o durante el tiempo que tarda el switch en ir borrando MAC de su tabla CAM al considerarlas caducadas. Si el atacante no mantiene el flujo de MAC de origen inválidas en el switch eventualmente irán alcanzando su time out las entradas MAC MAC más antiguas de la tabla CAM y volverá a actuar como un switch. En Mayo de 1999 la herramienta MACOF fue desarrollada inicialmente en PERL y luego luego recodificado en lenguaje C para ser incorporado al paquete DSNIFF. Esta herramienta desbordaba a un switch con paquetes conteniendo MAC e IP de origen y destino aleatorios. Cuando la tabla CAM del switch de llenaba de estas direcciones MAC, el switch comenzaba a reenviar por todas las bocas las tramas recibidas permitiendo capturar el trafico de los servidores y equipos críticos de la red. Para mitigar este tipo de ataque en un switch se debe configurar el número máximo de MAC que debe aprender en cada boca de accesos de un switch.

MAC spoofing y man in the middle attacks Este ataque implica falsear una MAC de un equipo válido en la red. Si el equipo no está conectado y conocemos la boca física del switch donde debería estar conectado permite saltarse la seguridad anterior. Otra opción es que no existan puertos asegurados y si el equipo está conectado enviar desde la máquina atacante una simple trama con la MAC de origen falseada falseada con la del objetivo y provocar que el switch modifique su tabla CAM para que dirija el tráfico con esa MAC de destino hacia la del atacante. Esto sólo funcionará hasta que la máquina objetivo envíe una trama y se vuelva a reescribir la tabla CAM.

Una versión mas elaborada consiste en el envenenamiento ARP que permite un ataque denominado hombre en el medio. Que consiste en enviar GARP (respuestas ARP gratuitas) a un equipo victima para que memorice la MAC del atacante como la asociada a una IP en la tabla ARP del objetivo y además provocar que el switch también aprenda la MAC envenenada en su tabla CAM. Normalmente este ataque se perpetua para capturar el tráfico entre la máquina objetivo y el Gateway.

DHCP spoofing Que ocurre si el falseamiento proviene desde el mismo momento de la concesión desde un servidor DHCP furtivo Normalmente los usuarios no se fijan en la IP del servidor DHCP que les ha concedido la configuración de dirección IP, Mascara, gateway, DNS, etc. Existe una solución en capa 2 llamada DHCP Snooping que permite configurar en el switch desde que bocas se pueden recibir paquetes de respuesta de servidor DHCP para cada VLAN

Ataque de salto de VLAN (VLAN hopping attacks)

El ataque de salto de VLAN VLAN consiste en un atacante que envía paquetes destinados a un equipo perteneciente a una Vlan distinta que en circunstancias normales no debería alcanzar. Para ello el atacante debe hacer creer al switch que el es otro switch y asi poder etiquetar sus tramas con destino a una Vlan distinta a la suya. El atacante tambien puede negociar que es una puerto de trunking y asi poder enviar y recibir trafico de multiples Vlans

Switch Spoofing Este tipo de ataque consiste en simular que el atacante es un switch, para ello requiere que el software que emplee sea capaz de emular ISL o 802.1q ademas de DTP (Dinamic Trunk Protocol). Todo ello le permite aparentar que es un swicth conectado por un puerto de trunk, y si el ataque tiene éxito le permite ser miembro de todas las VLANs

Double Tagging El ataque de doble etiquetado consiste en enviar tramas 802.1q etiquetada con la Vlan de destino dentro de otra trama. El switch encuentra entonces una trama doblemente etiquetada y cunado elimina la primera etiqueta y se encuentra una trama etiquetada y la encamina por sus puertos de trunking que se encuentren configurados para tramitar VLAN nativa el segundo switch entonces encamina basándose en el 2º identificador de Vlan 802.1q

Nota : El ataque de doble etiquetado solo es posible si el puerto de trunk está configurado para VLAN nativa. Sin embargo funciona aunque el puerto de trunk este en off. Private VLAN vulnerabilities vulnerabilities Las Vlan privadas es un mecanismo común para restringir el trafico entre equipos que están en la misma Vlan y en la misma subred IP. El sistema consiste en limitar los puertos que se pueden comunicar con otros dentro de la misma VLAN. Los puertos aislados sólo se pueden comunicar con los definidos como promiscuos . Los puertos comunitarios sólo pueden comunicarse con los de su misma comunidad y con los puertos promiscuos . Los puertos promiscuos se pueden comunicar con cualquier puerto.

Private VLAN Proxy Attack En este tipo de ataque las tramas se dirigen a un host conectado a un puerto en modo promiscuo, como por ejemplo debería de ser en el que se conecte un router. Supongamos un escenario de varios equipos en modo aislado y uno sólo en modo promiscuo. El atacante enviara paquetes con su IP y MAC como direcciones fuente y con la IP destino del equipo destino pero la MAC de destino del router. El switch enviará la trama al router el router intenta encaminar el paquete pero lo devuelve reescribiendo primero bien la MAC de destino. Ahora el paquete tiene el formato correcto y es encaminado desde un equipo tipo promiscuo a uno aislado con ello el origen consigue que llegue un paquete desde un equipo aislado a otro aislado aunque pasando por uno promiscuo previamente. Esto último es importante porque el receptor no podrá responder a menos que use la misma técnica, por ello se dice que es un ataque de camino único. Los dos host comprometidos pueden usar entradas ARP estáticas falseadas para conseguir una comunicación bidireccional. Este escenario no es en realidad un ataque sino una burla del sistema de seguridad.

NOTA: Las VLANs privadas son configurable en modelos superiores a Cisco Catalyst

2950 switch Este tipo de ataque se puede mitigar colocando reglas de filtrado en la interfaz del router que denieguen el trafico cuando en el paquete la IP de origen y la de destino pertenezcan a la misma subred. El siguiente ejemplo en un router CISCO aplicará este criterio para la red 172.16.34.0 en la interfaz que esté en contacto con ella.

Spanning-Tree Protocol vulnerabilities Otro ataque contra los switches implica interceptar trafico atacando atacando al STP. Atacando el STP el atacante intenta hacer creer al resto de los switches STP que el es el switch raiz de la topología. Para ello envia BPDUs con señal de cambio de topología para intentar el recalculo de la topología pero esta vez en sus paquetes anuncia que él dispone de la

prioridad de puente menor. En el ejemplo ahora los paquetes que circulen desde un switch a otro pasarán por el puente raíz que en este caso es un spoofed switch. Este ataque exige que el atacante esté conectado a los dos switches ya sea con dos NIC o mediante un HUB.