1. Seguridad Capa Enlace
¿Qué entendemos por capa de enlace?
¿Por qué es importante?
¿Seguridad? ¿En qué afecta?
2. Introducción
• ¿Según el FBI el 80% de los ataques provienen del interior de
la organización.
• 99% de los puertos de las redes LAN corporativas están
“desprotegidos”. Es decir, cualquiera puede conectarse a ellos.
• Las herramientas diseñadas para simplificar el trabajo de los
administradores de red perjudican seriamente la seguridad de
la red corporativa
• Las direcciones MAC no pueden ser falsificadas
• Un switch no permite hacer sniffing.
• Las VLANs están completamente aisladas unas de otras.
5. Capa Protocolo Funcionalidad Unidad de Ejemplos
Transmisión
Aplicación Provee el conjunto de aplicaciones de red, DATA FTP,, SMTP, NFS, POP3, HTTP, TFTP, Telnet, SSH,
como por ejemplo: Transferencia de archivos, DNS, DHCP, NTP, SNMP, AAA, ISR VOIP, SCCP
emulación de terminal, correo electrónico, config and calls ISR command support, Call
discos virtuales, etc. Manager Express
Presentación Codificación Formato y conversión de códigos, necesarias ASCII, EBCDIC, representación de números
para que los datos sean más fácilmente enteros y reales, etc.
interpretados por los programas de aplicación
Sesión responsable del establecimiento y
mantenimiento de las sesiones de
comunicación entre los programas de
comunicación
Transporte Transferencia Regulación de flujo de mensajes, retransmisión TCP, SPX, UDP, TCP Nagle Algorithm & IP
de paquetes, inicio/terminación de sesiones Fragmentation,, RTP
entre nodos, etc.
Red Enrutamiento Enrutamiento de paquetes en la red, ofrece un PACKET IP, IPX, VTAM, BGP, IPv4, ICMP, ARP, IPv6,
canal libre de errores a la capa de transporte ICMPv6, IPSec, RIPv1/v2/ng, Multi-Area OSPF,
EIGRP, Static Routing, Route Redistribution,
Multilayer Switching, L3 QoS, NAT, CBAL, Zone-
based policy firewall and Intrusion Protection
System on the ISR, GRE VPN, IPSec VPN
Enlace Comunicación Control de acceso al canal , dividir los paquetes FRAME Ethernet (IEEE 802.3), Token Ring (802.5), FDDI,
recibidos de la capa superior en grupos de bits. HDLC, Frame Relay, PPP, PPPoE, STP, RSTP, VTP,
Provee mecanismos para detección y DTP, CDP, SDLC, LAPB, 802.1q, PAgP, L2 QoS,
corrección de errores. SLARP
Física Estándares Transmisión de bits sobre el canal de BIT RS-232C, RS-449, V.24, V.35
comunicación
7. Ataques Capa de enlace
• Los switchs guardan las asociaciones MAC-Puerto e
información de VLAN a medida que las “aprenden” en un
tabla llamada tabla CAM.
• La tabla CAM de un switch tiene un tamaño fijo y finito.
• Cuando la tabla CAM no tiene espacio para almacenar más
asociaciones MAC-Puerto envía a todos los puertos las tramas
que tengan una dirección MAC destino no almacenada en la
tabla CAM.
• CAM Table Overflow, para realizar el ataque sólo hace falta
enviar gran número de tramas con direcciones MAC distintas
(usualmente generadas al azar) a cualquier puerto del switch
hasta que se llene la tabla CAM.
35. CDP
Ataques
• Obtención de información
• DoS (B.O. Fx)
• Crear dispositivos virtuales
36. CDP
Soluciones
• Desactivar CDP
• Limitar CDP a redes de gestión
37. 802.1x / EAP
Inconvenientes
• Gran despliegue de infraestructura
• Solo autentica al iniciar la conexión
• Afecta a la estabilidad de la red
• Implementación limitada
46. Cisco IOS
Soluciones
• Evitar obsolescencia
• Gestión proactiva de la plataforma
• Controlar imagen exterior
47. Anexo I :: Referencias
• Documentación técnica
Securing Layer 2 in LAN (Altunbasak, Krasser, Owen, Grimminger, Huth y Sokol)
http://users.ece.gatech.edu/~owen/Research/Conference%20Publications/altunbasak_ICN2005.pdf
A Survey of BGP Security Issues and Solutions (T. Farley, P. McDaniel y Kevin Butler)
http://www.cs.purdue.edu/homes/ninghui/readings/TruSe_fall04/td-5ugj33.pdf
Secure Use of VLANs: An @stake Security Assessment
http://www.cisco.com/warp/public/cc/pd/si/casi/ca6000/tech/stake_wp.pdf
48. Anexo I :: Referencias
• Documentación técnica
Fun with Ethernet switches (Sean Connery)
http://www.blackhat.com/presentations/bh-usa-02/bh-us-02-convery-switches.pdf
ARP Vulnerabilities (Mike Beekey)
http://www.blackhat.com/presentations/bh-usa-01/MikeBeekey/bh-usa-01-Mike-Beekey.ppt
Protecting your IP network infrastructure (Nicolas Fischbach y Sebastien Lacoste-Seris)
http://www.blackhat.com/presentations/bh-europe-01/fischbach/bh-europe-01-fischbach.ppt
49. Anexo I :: Referencias
• Documentación técnica
Understanding, Preventing, and Defending Against Layer 2 Attacks (Yusuf Bhaiji)
http://www.cisco.com/web/ME/exposaudi2009/assets/docs/layer2_attacks_and_mitigation_t.pdf
Cisco IOS Shellcode And. Exploitation Techniques (Michael Lynn)
http://www.jwdt.com/~paysan/lynn-cisco.pdf
Killing the myth of Cisco IOS rootkits (Sebastian Muñiz)
http://eusecwest.com/esw08/esw08-muniz.pdf