Seguridad de Red en Dispositivos de Capa 2
Seguridad de Red en Dispositivos de Capa 2
Seguridad de Red en Dispositivos de Capa 2
DISPOSITIVOS DE CAPA 2
GUSTAVO ADOLFO HIGUERA CASTRO
INTRODUCCION
Dirección MAC
Una dirección Ethernet MAC es un valor binario de 48 bits
que se compone de dos partes y se expresa como 12
dígitos hexadecimales. Los formatos de las direcciones
pueden ser similares a 00-05-9A-3C-78-00,
00:05:9A:3C:78:00 ó 0005.9A3C.7800.
Fundamentos de Seguridad en Redes
TCP/IP
Fundamentos de Seguridad en Redes
TCP/IP
Unicast
Una dirección MAC unicast es la dirección exclusiva que se
utiliza cuando se envía una trama desde un dispositivo de
transmisión único hacia un dispositivo de destino único.
En el ejemplo que se muestra en la figura, un host con
una dirección IP 192.168.1.5 (origen) solicita una página
Web del servidor en la dirección IP 192.168.1.200.Para
que se pueda enviar y recibir un paquete unicast, el
encabezado del paquete IP debe contener una dirección IP
de destino.
Fundamentos de Seguridad en Redes
TCP/IP
Broadcast
Con broadcast, el paquete contiene una dirección IP de destino
con todos unos (1) en la porción de host. Esta numeración en la
dirección significa que todos los hosts de esa red local (dominio
de broadcast) recibirán y procesarán el paquete. Una gran
cantidad de protocolos de red utilizan broadcast, como el
Protocolo de configuración dinámica de host (DHCP) y el
Protocolo de resolución de direcciones (ARP). Más adelante en
este capítulo se analizará cómo el ARP utiliza los broadcasts
para asignar direcciones de Capa 2 a direcciones de Capa 3.
Fundamentos de Seguridad en Redes
TCP/IP
Multicast
Recuerde que las direcciones multicast le permiten a un
dispositivo de origen enviar un paquete a un grupo de
dispositivos. Una dirección IP de grupo multicast se asigna a los
dispositivos que pertenecen a un grupo multicast. El intervalo
de direcciones multicast es de 224.0.0.0 a 239.255.255.255.
Debido a que las direcciones multicast representan un grupo de
direcciones (a veces denominado un grupo de hosts), sólo
pueden utilizarse como el destino de un paquete. El origen
siempre tendrá una dirección unicast. La dirección MAC
multicast es un valor especial que comienza con 01-00-5E en
hexadecimal.
Fundamentos de Seguridad en Redes
TCP/IP
Fundamentos de Seguridad en Redes
TCP/IP
Direcciones Públicas y Privadas.
Aunque la mayoría de las direcciones IPv4 de host son
direcciones públicas designadas para uso en redes a las que se
accede desde Internet, existen bloques de direcciones que se
utilizan en redes que requieren o no acceso limitado a Internet.
A estas direcciones se las denomina direcciones privadas.
Direcciones privadas RFC1918
10.0.0.0 a 10.255.255.255 (10.0.0.0 /8)
172.16.0.0 a 172.31.255.255 (172.16.0.0 /12)
192.168.0.0 a 192.168.255.255 (192.168.0.0 /16
Fundamentos de Seguridad en Redes
TCP/IP
Direcciones Públicas
La amplia mayoría de las direcciones en el rango de host
unicast IPv4 son direcciones públicas. Estas direcciones
están diseñadas para ser utilizadas en los hosts de acceso
público desde Internet. Aun dentro de estos bloques de
direcciones, existen muchas direcciones designadas para
otros fines específicos.
Fundamentos de Seguridad en Redes
TCP/IP
Cuando la red tiene un router a través del cual se
conecta a Internet; este dispositivo no debiera recibir
desde Internet tráfico que se origine en una dirección IP
privada.
Fundamentos de Seguridad en Redes
TCP/IP
Fundamentos de Seguridad en Redes
TCP/IP
UNA MEDIDA A TOMAR: BLOQUEAR DIRECCIONES IP
El primer paso en este punto es bloquear el posible acceso
a nuestra red de paquetes originados en direcciones IP
que no se consideran legítimas.
Es frecuente que quienes desean ocultar su identidad
utilicen con este propósito direcciones IP privadas (RFC
1918) u otro tipo de direcciones IP reservadas o
especiales. La siguiente es entonces una lista de redes
que deben ser filtradas con este propósito, ya que nunca
debiéramos recibir en nuestra red un paquete cuya
dirección de origen fuera una de las siguientes:
Fundamentos de Seguridad en Redes
TCP/IP
10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 127.0.0.0/8
224.0.0.0/3 169.254.0.0./16
Todas estas direcciones corresponden a redes que no
debieran ser enrutadas sobre Internet, o utilizadas para
generar tráfico sobre Internet, por lo que no debieran
llegar hasta nuestro dispositivo de borde. Podemos
asegurar casi con total certeza que todo tráfico con una
dirección de origen perteneciente a alguna de estas redes
es un tráfico que conlleva un cierto grado riesgo para la
seguridad de nuestra red.
PROTOCOLOS DE LA CAPA DE
APLICACIÓN
SERVIDOR DNS
Utiliza el puerto TCP/UDP 53.
Los sistemas operativos informáticos también tienen una
utilidad denominada nslookup.
Transferencias de zona no autorizadas, obedece a un error
de configuración en los propios servidores DNS.
Nslookup
server <ip>
set type=any
ls –d
PROTOCOLOS DE LA CAPA DE
APLICACIÓN
Realizar consultas al servidor 4.2.2.2
SERVICIO HTTP
HTTP especifica un protocolo de solicitud/respuesta.
Cuando un cliente, generalmente un explorador Web,
envía un mensaje de solicitud a un servidor, el protocolo
HTTP define los tipos de mensajes que el cliente utiliza
para solicitar la página Web y envía los tipos de mensajes
que el servidor utiliza para responder.
HTTP. Utiliza el puerto 80
HTTPS.Utiliza el puerto 443
PROTOCOLOS DE LA CAPA DE
APLICACIÓN
Servicios de E-mail y Protocolos SMTP/POP3
Puertos 25/110
PROTOCOLOS DE LA CAPA DE
APLICACIÓN
DHCP
Puerto UDP 67-68
PROTOCOLOS DE LA CAPA DE
APLICACIÓN
El servicio Protocolo de configuración dinámica de host
(DHCP) permite a los dispositivos de una red obtener
direcciones IP y demás información de un servidor DHCP.
Este servicio automatiza la asignación de direcciones IP,
máscaras de subred, gateways y otros parámetros de
redes IP.
DHCP puede representar un riesgo a la seguridad porque
cualquier dispositivo conectado a la red puede recibir una
dirección. Este riesgo hace de la seguridad física un factor
importante a la hora de determinar si se utiliza
direccionamiento manual o dinámico.
SEGURIDAD DE CAPA 2
Ataques de Capa 2:
Falsificación de direcciones MAC (spoofing).
Manipulación de STP.
Desbordamiento de la tabla de direcciones MAC.
Tormentas de LAN y ataques de VLAN.
SEGURIDAD DE CAPA 2
Ataques de VLAN.
Una VLAN es un dominio de broadcast lógico que se
extiende a través de múltiples segmentos LAN. Las VLANs
proveen segmentación y flexibilidad en la organización.
Cada puerto del switch puede ser asignado sólo a una
VLAN, agregando así una capa de seguridad. Los puertos
de una VLAN comparten el broadcast, mientras que los
puertos en diferentes VLAN no comparten broadcasts.
Contener los broadcasts dentro de una VLAN mejora el
desempeño general de la red. Una VLAN puede existir en
un único switch o extenderse a través de múltiples
switches.
SEGURIDAD DE CAPA 2
Ataques de acceso
Los ataques de acceso explotan las vulnerabilidades
conocidas de los servicios de autenticación, los servicios
de FTP y los servicios Web para obtener acceso a cuentas
Web, bases de datos confidenciales y otra información
confidencial.
Para llevar a cabo un ataque de diccionario, los agresores
pueden utilizar herramientas, como L0phtCrack o Cain.
ATAQUES DE REDES