La seguridad de los elementos de red ha sido subestimada durante mucho tiempo y empujada hacia atrás por las empresas. Recientemente, sin embargo, la tendencia ha cambiado y muchas empresas son conscientes de la importancia y las consecuencias de las amenazas potenciales. El número de ataques dentro de la red supera rápidamente al número de ataques desde fuera de la red. Por eso nos ocupamos de la seguridad de los Switches de Acceso, a los que los usuarios tienen acceso directo, donde existe un alto riesgo de diferentes tipos de ataques.
Ejemplos de posibles ataques a interruptores:
Posibles soluciones:
La seguridad de puerto es la forma más fácil de proteger los puertos para comprobar las direcciones MAC (Medium Access Control) conectadas a los puertos. En caso de violación de una regla definida, la acción se realiza según la configuración del puerto.
Hay tres respuestas a las violaciones de seguridad:
De esta manera, un puerto físico determinado se concatena (enlaza) con una red virtual fija (VLAN). Esto crea una conexión fija del grupo de direcciones MAC y una VLAN al puerto de acceso dado.
Para las redes de grandes empresas, la solución anterior no es suficiente. Soluciones integradas complejas como las soluciones basadas en protocolos resultantes de la recomendación IEEE 802.1X.
La seguridad del puerto se realiza en el conmutador Cisco de la siguiente manera. En primer lugar, es necesario activar la función de seguridad de puerto en un puerto determinado, utilizando el comando "switchport port security". El valor por defecto es 1, lo que significa que sólo se puede conectar un dispositivo a ese puerto. Este valor, es decir, el número (cantidad) permitido de direcciones MAC que pueden acceder al puerto, puede cambiarse. Las direcciones con el interruptor también se pueden aprender de forma dinámica o manual. La configuración manual se realiza mediante el comando "port security mac-address MAC-ADDRESS". Este comando puede ampliarse con el llamado parámetro "sticky", que garantiza que la dirección MAC aprendida dinámicamente se almacena en la configuración del dispositivo. Como se mencionó anteriormente, debe preparar una acción que el conmutador ejecuta en caso de violación de las reglas utilizando el comando "switchport port-security violation". Esto se muestra claramente en la siguiente figura.
DHCP Spoofing es un tipo de ataque a la red en el que un atacante (en una red local) falsifica los mensajes del protocolo DHCP (por ejemplo, ejecutando un servidor DHCP personalizado con parámetros de red modificados) para engañar a la víctima, por ejemplo, utilizando otra gateway predeterminada. Esto permite al atacante redirigir el tráfico de la víctima a su ordenador. Posteriormente, pueden interceptar todo el tráfico de salida de la víctima.
Otro tipo de ataque al servidor DHCP es el agotamiento de los rangos de servidores DHCP (DHCP Starvation). En este caso, el atacante genera un gran número de peticiones falsas para asignar una dirección, lo que da como resultado que se queden sin direcciones.
DHCP Snooping es una indicación de cómo defenderse contra DHCP Spoofing. Se configura en los conmutadores que se conectan directamente a las estaciones finales (los llamados conmutadores de acceso). La esencia de todo el proceso de defensa contra el spoofing DHCP es escuchar las consultas DHCP en los puertos de los conmutadores y bloquear la transmisión de respuestas falsas a las consultas. Esto elimina el efecto del servidor DHCP falsificado del atacante. El envío de respuestas desde un servidor DHCP sólo está habilitado en puertos de conmutador de confianza. El puerto de "confianza" es configurado manualmente por el administrador, y normalmente sólo hay un puerto al que está conectado el servidor DHCP correcto. Los conmutadores Cisco le permiten configurar DHCP Snooping para cualquier número de VLAN, configurar puertos de confianza a los que están conectados los servidores DHCP y reducir el número de consultas PPS (paquetes por segundo) en el servidor DHCP para evitar sobrecargas. Un ejemplo de la configuración de DHCP Snooping se muestra en la siguiente figura.
Al habilitar la base de datos DHCP Snooping Binding (ver la figura de abajo), también se puede proteger contra otros tipos de ataques a redes locales. Después de activar esta función, el conmutador crea una tabla que contiene enlaces entre la dirección MAC de la estación, la dirección IP, el tiempo de alquiler de la dirección IP, el puerto desde el que se comunica, la red virtual (VLAN) desde donde se encuentra y la forma en que el elemento se agregó a la tabla (manual o automáticamente). Esta información utiliza DAI (Dynamic ARP Inspection) para protegerse contra el envenenamiento de la caché ARP.
El envenenamiento de la caché ARP es un ataque fácil de implementar y difícil de detectar basado en la falsificación de las respuestas de los mensajes de ARP (Protocolo de resolución de direcciones). El protocolo ARP proporciona enlaces de direcciones IP y MAC en la red local. Un atacante que utiliza respuestas falsas puede provocar que la comunicación infectada del equipo se redirija a un atacante. A continuación, puede escuchar la comunicación completa de la víctima con otras estaciones de la red.
Este ataque puede ser detectado (y prevenido) por un interruptor que soporta la función DAI.
El ataque se puede realizar en un PC, por ejemplo utilizando la herramienta Cain&Abel (www.oxid.it) o Ettercap (http://ettercap.sourceforge.net/).
AID es una forma de defenderse contra el envenenamiento de caché ARP. Se utilizan tablas creadas utilizando DHCP Snooping. Si el ARP llega a un paquete desde un puerto de confianza, se envía más lejos. Sin embargo, si el ARP llega a un paquete desde un puerto no confiable, se analiza. En el caso de un mensaje de solicitud ARP, el procesador de red de paquetes detecta si la dirección MAC e IP del ordenador solicitante pertenecen entre sí. Si es así, el paquete es reenviado a la red. De lo contrario, se descarta. En el caso de la Respuesta ARP, también verifica si el MAC y la dirección IP del equipo correspondiente al mensaje de Solicitud ARP están relacionados entre sí. Las combinaciones de direcciones IP y MAC se toman de una base de datos creada por la función DHCP de Snooping. El comando de habilitación DAI se presenta en la siguiente figura.
La siguiente figura muestra un comando para desactivar el control DAI en las interfaces de confianza.
IP Source Guard tiene una función similar a DAI, pero en lugar de detectar direcciones MAC falsas, se detectan direcciones IP de origen falsas. Permite bloquear direcciones IP no autorizadas en los puertos. Está configurado en un puerto específico. Esta función también utiliza la base de datos DHCP Snooping Binding. El comando para activar IP Source Guard se muestra en la siguiente figura.