Seguridad en Redes de Area

Local

Jorge Orellana Araoz

 Conceptos

• Describir vulnerabilidades en equipos finales y

metodos de proteccion
• Describir las consideracione fundamentales de
securidad en Wireless, VoIP, and SANs
 Asegurando la LAN
Perimeter MARS
ACS

Areas de concentracion:
Firewall
• Asegurando equipos
finales
Internet
VPN
• Asegurando
IPS
infrastructura de red

Iron Port

Hosts
Web Email
Server Server DNS

LAN
Direccionando Seguridad en equipos
finales
Cumplimiento
de politicas
Contención de
Infecciones

Secure
Host

Basado en tres elementos:

Proteccion • Hardware Cisco (NAC)
de amenazas • Proteccion de equipos finales
• Contencion de infecciones de red
 Sistemas Operativos
Servicios de Seguridad Basica
• Código de confianza y la ruta de confianza - se asegura de
que la integridad del sistema operativo no se violó
• Contexto privilegiado de la ejecución - proporciona la
autenticación de identidad y de ciertos privilegios sobre la
base de la identidad
• Protección del proceso de memoria y el aislamiento -
proporciona la separación de otros usuarios y sus datos
• Control de acceso a los recursos - asegura la
confidencialidad e integridad de los datos
 Tipos de Aplicacion de Ataques
Directo

Indirecto
Soluciones de Seguridad de Equipos
Finales Cisco
Cisco Security Agent IronPort

Cisco NAC
Soluciones de Seguridad de Equipos
Finales de otros fabricantes
 Seguridad Capa 2
Perimeter MARS
ACS

Firewall

Internet
VPN
IPS

Iron Port

Hosts
Web Email
Server Server DNS
 Modelo OSI

Application Stream
Application Application

Presentation Presentation
Compromised
Session Session

Transport Protocols and Ports Transport

Network IP Addresses Network

Data Link Initial

MACCompromise
Addresses Data Link

Physical Links
Physical Physical
Ataques de falsificación de direcciones
1 MAC
2
El switch mantiene un
Switch Port AABBcc 12AbDd registro de los extremos,
manteniendo unaTabla de
direcciones MAC. En MAC
spoofing, el atacante se hace
MAC pasar por otro host. En este
Address: caso, AABBcc
AABBcc
MAC
Address:
Port 1
12AbDd
Port 2
MAC Address: Attacker
AABBcc

Tengo asociado los puertos 1 y 2 con

las direcciones MAC de los
dispositivos conectados. El tráfico
destinado a cada dispositivo será
enviado directamente.
 Ataques de falsificación de direcciones
MAC
He cambiado la dirección 1 2

Switch Port MAC en mi computador para

que coincida con el servidor AABBcc
1 2
AABBcc
Attacker

MAC Address:
MAC AABBcc
Address: Port 1 Port 2
AABBcc
El dispositivo con la
dirección MAC AABBcc ha
cambiado de ubicación a Puerto
2.Tengo que ajustar mi tabla de
direcciones MAC en
consecuencia.
Ataques por desbordamiento de la tabla
de direcciones MAC

El switch puede reenviar frames entre PC1 y PC2 sin inundacion

porque la tabla de direcciones MAC contiene el mapeo entre
puertos y direcciones MAC para estas PCs.
Ataques por desbordamiento de la tabla
de direcciones MAC
2 Direcciones falsas se
añaden a la tabla 1
CAM. Tabla CAM está Intruso ejecuta macof
llena. para empezar a
MAC Port enviar falsas direccio
X 3/25 nes MAC.
Y 3/25 3/25 MAC X
C 3/25 3/25 MAC Y
3/25 MAC Z

XYZ
3/25
Host C
VLAN 10 VLAN 10 VLAN 10
flood

3
El switch inunda los
frames. 4
Atacante ve trafico a
servidores B y D.
A B

C D
 Ataques de manipulación STP
• Spanning Tree
Root Bridge
Priority = 8192
Protocol opera mediante la
MAC Address=
0000.00C0.1234
elección de un puente raíz
F F • STP construye una topologia
en arbol
F F • La manipulacion STP cambia
la topologia de lared—el
F B
host atacante aparece como
el root bridge
 Ataques de manipulación STP
Root Bridge
Priority = 8192
F F B
F

F
F F F

F B F F
Root
Bridge

Attacker El host atacante difunde la configuracion STP

ation and topology change BPDUs.
This is an attempt to force spanning tree
recalculations.
Ataques de tormenta de LAN
Broadcast Broadcast

Broadcast Broadcast

Broadcast Broadcast
 Control de tormentas

Total
number of
broadcast
packets
or bytes
 Ataques de VLAN

 Segmentation
 Flexibility
 Security

VLAN = Dominio de Broadcast = Red Logica (Subred)

 Ataques de VLAN
802.1Q VLAN
10
Trunk

VLAN Server
20

El atacante ve el trafico destinado a servidores Server

Un ataque de salto de VLAN puede ser disparado de dos formas:

• La falsificación de mensajes DTP del host atacante, hace que el switch
ingrese en modo de trunking.
• Incorporando un switch ilegal y habilitando el trunking
Ataque de salto de VLAN con doble
encapsulación
 Configuracion de la seguridad de
puertos Port 0/1 allows MAC A
Port 0/2 allows MAC B
MAC A Port 0/3 allows MAC C

0/1

0/2
0/3
MAC A
MAC F

Attacker 1

Permite a los administradores especificar en forma estática Attacker 2

las direcciones MAC permitidas en un puerto determinado,

o permitir al switch aprender en forma dinámica un número
limitado de direcciones MAC.
 CLI Commands
Switch(config-if)#
switchport mode access
• Configure una interfaz como interfaz de acceso.
Switch(config-if)#
switchport port-security
• Habilitar la seguridad de puerto en la interfaz
Switch(config-if)#
switchport port-security maximum value
• Configurar el número máximo de direcciones MAC
seguras para la interfaz
 CLI Commands
sw-class# show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
---------------------------------------------------------------------------
Fa0/12 2 0 0 Shutdown
---------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 1024

sw-class# show port-security interface f0/12

Port Security : Enabled
Port status : Secure-down
Violation mode : Shutdown
Maximum MAC Addresses : 2
Total MAC Addresses : 1
Configured MAC Addresses : 0
Aging time : 120 mins
Aging type : Absolute
SecureStatic address aging : Disabled
Security Violation Count : 0
 View Secure MAC Addresses

sw-class# show port-security address

Secure Mac Address Table

-------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
1 0000.ffff.aaaa SecureConfigured Fa0/12 -
-------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 1024
Notificacion de direcciones MAC

Las notificaciones de direcciones MAC permiten al administrador de la red

monitorear las direcciones MAC aprendidas, así como también las direcciones MAC
que son removidas al expirar su temporizador de envejecimiento
Configurar Portfast
Configurar BPDU Guard
 Verificar el estado de Spanning Tree
Switch# show spanning-tree summary totals
Root bridge for: none.
PortFast BPDU Guard is enabled
UplinkFast is disabled
BackboneFast is disabled
Spanning tree default pathcost method used is short
Name Blocking Listening Learning Forwarding STP Active
-------------------- -------- --------- -------- ---------- ----------
1 VLAN 0 0 0 1 1
<output omitted>
Configurar Root Guard
 Verificar Root Guard
Switch# show spanning-tree inconsistentports
Name Interface Inconsistency
-------------------- ---------------------- ------------------
VLAN0001 FastEthernet3/1 Port Type Inconsistent
VLAN0001 FastEthernet3/2 Port Type Inconsistent
VLAN1002 FastEthernet3/1 Port Type Inconsistent
VLAN1002 FastEthernet3/2 Port Type Inconsistent
VLAN1003 FastEthernet3/1 Port Type Inconsistent
VLAN1003 FastEthernet3/2 Port Type Inconsistent
VLAN1004 FastEthernet3/1 Port Type Inconsistent
VLAN1004 FastEthernet3/2 Port Type Inconsistent
VLAN1005 FastEthernet3/1 Port Type Inconsistent
VLAN1005 FastEthernet3/2 Port Type Inconsistent

Number of inconsistent ports (segments) in the system :10

Configuracion de control de tormentas
• Ancho de banda como un porcentaje del total de ancho de
banda disponible en el puerto, y que puede utilizarse para
tráfico de broadcast, multicast o unicast.
• Tasa de tráfico en paquetes por segundo recibidos como
broadcast, multicast o unicast.
• Tasa de tráfico en bits por segundo recibidos como broadcast,
multicast o unicast.
• Tasa de tráfico en paquetes por segundo y por pequeñas
tramas. Esta funcionalidad se habilita en forma global. El
umbral para pequeñas tramas debe configurarse para cada
interfaz.
Configuracion Control de Tormentas
 Verificando configuracion Control de
tormentas
Switch# show storm-control
Interface Filter State Upper Lower Current
--------- ------------- ---------- --------- --------
-Gi0/1 Forwarding 20 pps 10 pps 5 pps
Gi0/2 Forwarding 50.00% 40.00% 0.00%
<output omitted>
Mitigando Ataques VLAN

Trunk
(VLAN nativa = 10)
Controlando Trunking
Practicas recomendadas para la capa 2
Practicas VLAN