SlideShare une entreprise Scribd logo

Data link

Télécharger en tant que PPTX, PDF
Oscar Eduardo
Oscar Eduardo
1  sur  51
Seguridad Capa Enlace ¿Qué entendemos por capa de enlace? ¿Por qué es importante? ¿Seguridad? ¿En qué afecta?
Introducción • ¿Según el FBI el 80% de los ataques provienen del interior de la organización. • 99% de los puertos de las redes LAN corporativas están “desprotegidos”. Es decir, cualquiera puede conectarse a ellos. • Las herramientas diseñadas para simplificar el trabajo de los administradores de red perjudican seriamente la seguridad de la red corporativa • Las direcciones MAC no pueden ser falsificadas • Un switch no permite hacer sniffing. • Las VLANs están completamente aisladas unas de otras.
Capa de enlace
Capa de enlace
Capa Protocolo Funcionalidad Unidad de Ejemplos Transmisión Aplicación Provee el conjunto de aplicaciones de red, DATA FTP,, SMTP, NFS, POP3, HTTP, TFTP, Telnet, SSH, como por ejemplo: Transferencia de archivos, DNS, DHCP, NTP, SNMP, AAA, ISR VOIP, SCCP emulación de terminal, correo electrónico, config and calls ISR command support, Call discos virtuales, etc. Manager Express Presentación Codificación Formato y conversión de códigos, necesarias ASCII, EBCDIC, representación de números para que los datos sean más fácilmente enteros y reales, etc. interpretados por los programas de aplicación Sesión responsable del establecimiento y mantenimiento de las sesiones de comunicación entre los programas de comunicación Transporte Transferencia Regulación de flujo de mensajes, retransmisión TCP, SPX, UDP, TCP Nagle Algorithm & IP de paquetes, inicio/terminación de sesiones Fragmentation,, RTP entre nodos, etc. Red Enrutamiento Enrutamiento de paquetes en la red, ofrece un PACKET IP, IPX, VTAM, BGP, IPv4, ICMP, ARP, IPv6, canal libre de errores a la capa de transporte ICMPv6, IPSec, RIPv1/v2/ng, Multi-Area OSPF, EIGRP, Static Routing, Route Redistribution, Multilayer Switching, L3 QoS, NAT, CBAL, Zone- based policy firewall and Intrusion Protection System on the ISR, GRE VPN, IPSec VPN Enlace Comunicación Control de acceso al canal , dividir los paquetes FRAME Ethernet (IEEE 802.3), Token Ring (802.5), FDDI, recibidos de la capa superior en grupos de bits. HDLC, Frame Relay, PPP, PPPoE, STP, RSTP, VTP, Provee mecanismos para detección y DTP, CDP, SDLC, LAPB, 802.1q, PAgP, L2 QoS, corrección de errores. SLARP Física Estándares Transmisión de bits sobre el canal de BIT RS-232C, RS-449, V.24, V.35 comunicación
Capa de enlace Topologías simples Anillo Estrella Bus Malla Dispositivos • HUB • Switch • Bridge
Ataques Capa de enlace • Los switchs guardan las asociaciones MAC-Puerto e información de VLAN a medida que las “aprenden” en un tabla llamada tabla CAM. • La tabla CAM de un switch tiene un tamaño fijo y finito. • Cuando la tabla CAM no tiene espacio para almacenar más asociaciones MAC-Puerto envía a todos los puertos las tramas que tengan una dirección MAC destino no almacenada en la tabla CAM. • CAM Table Overflow, para realizar el ataque sólo hace falta enviar gran número de tramas con direcciones MAC distintas (usualmente generadas al azar) a cualquier puerto del switch hasta que se llene la tabla CAM.
Erase una vez… Multiples direccionamientos lógicos
Erase una vez… interface Vlan1234 ip address 10.0.0.254 255.255.255.0 secondary ip address 10.139.15.1 255.255.255.252 secondary ip address 10.139.15.5 255.255.255.252 secondary ip address 10.139.15.9 255.255.255.252 secondary ip address 10.139.15.13 255.255.255.252 secondary ip address 172.1.28.2 255.255.255.224 secondary ip address 172.1.28.34 255.255.255.224 secondary ip address 172.1.28.130 255.255.255.128 secondary ip address 10.100.15.2 255.255.255.0 standby 1 ip 10.100.15.3 standby 1 priority 99 standby 2 ip 172.1.28.3 standby 2 priority 99 standby 3 ip 172.1.28.35 standby 3 priority 101 standby 3 preempt standby 4 ip 172.1.28.131 standby 4 priority 99
Erase una vez… Tráfico heterogéneo
Erase una vez… Protocolos mal configurados
Erase una vez… Multiples direccionamientos lógicos Tráfico heterogéneo Protocolos mal configurados
Hoy día… Topologías complejas • Conectividad heterogénea • Distanciamiento físico y lógico • Demasiada conmutación
Hoy día… • Ampliación de funcionalidades • Especialización del hardware
Riesgos y amenazas Clasificación • Implementación • Diseño de protocolo
ARP Inconvenientes • Mensajes anónimos • ARPs gratuitos • Inundación de Vlan • Respuestas ARP unicast
ARP Ataques • Denegación de Servicio • Robar puertos • Espiar tráfico • Ataques MITM
ARP Soluciones • Activar ip arp inspection • Cifrar tráfico • Activar port security • Activar macsec • Modo PARANOIC
STP Inconvenientes • Menajes anónimos • No hay chequeos • No hay balanceo de carga • Convergencia lenta
STP Ataques • Denegación de Servicio • Espiar tráfico • Bypass de equipos • Ataques MITM
STP Soluciones • Activar bpdu / root / loop guard • Activar portfast • Activar etherchannel guard • Activar bpdu filtering •Limitar broadcasts
VTP Inconvenientes • Menajes anónimos • No hay chequeos
VTP Ataques • Denegación de Servicio • Crear, borrar, modificar Vlanes • Reconfigurar Vlanes de otros switches
VTP Soluciones • Activar hashing md5 • En entornos pequeños, no usar VTP
DHCP Inconvenientes • Cualquiera puede ser servidor DHCP • Sin cifrar
DHCP Ataques • Denegación de Servicio • Forzar un cambio de IP • Levantar un servidor DHCP
DHCP Soluciones • Filtrar por mac • Activar ip dhcp snooping
Redundancia Inconvenientes • Falsas apariencias • MACs cantosas HSRP: 00-00-0c-07-ac-xx VRRP/CARP: 00-00-5e-00-01-xx
Redundancia Ataques • Denegación de Servicio • Forzar equipo activo / master
Redundancia Soluciones • ¿Cifrar? ¿IPSEC? ¿Autenticar? • Cambiar MAC • Activar 802.1x • Controlar el acceso al medio
DTP / Vlan Tagging Inconvenientes • DTP activo por defecto • No descarta tags
DTP / Vlan Tagging Ataques • Crear trunks • Saltar de VLAN
DTP / Vlan Tagging Soluciones • Desactivar negociación DTP • Activar VRF • ¡No usar vlan 1 para nada! • Desactivar puertos sin uso
CDP Inconvenientes • Menajes anónimos • Sin cifrar
CDP Ataques • Obtención de información • DoS (B.O. Fx) • Crear dispositivos virtuales
CDP Soluciones • Desactivar CDP • Limitar CDP a redes de gestión
802.1x / EAP Inconvenientes • Gran despliegue de infraestructura • Solo autentica al iniciar la conexión • Afecta a la estabilidad de la red • Implementación limitada
802.1x / EAP Ataques • Denegación de Servicio • Shadow host • EAP-LEAP
802.1x / EAP Soluciones • EAP-PEAP o EAP-TTLS • Cisco MAB • OpenSEA
PVLAN
MPLS / VRF Inconvenientes • Ninguno.
MPLS / VRF Ataques • Revelación de etiquetas o rutas • Inyección de etiquetas • Modificación de rutas • Protocolos externos
MPLS / VRF Soluciones • Configuración adecuada
Cisco IOS Inconvenientes • Arquitectura rudi • Código inseguro • Imagen firmware • Ejecución de código
Cisco IOS Ataques • Cambiar configuración • Ganar acceso privilegiado (enable) • Matar procesos (autenticación, logging) • Infectar otros equipos
Cisco IOS Soluciones • Evitar obsolescencia • Gestión proactiva de la plataforma • Controlar imagen exterior
Anexo I :: Referencias • Documentación técnica Securing Layer 2 in LAN (Altunbasak, Krasser, Owen, Grimminger, Huth y Sokol) http://users.ece.gatech.edu/~owen/Research/Conference%20Publications/altunbasak_ICN2005.pdf A Survey of BGP Security Issues and Solutions (T. Farley, P. McDaniel y Kevin Butler) http://www.cs.purdue.edu/homes/ninghui/readings/TruSe_fall04/td-5ugj33.pdf Secure Use of VLANs: An @stake Security Assessment http://www.cisco.com/warp/public/cc/pd/si/casi/ca6000/tech/stake_wp.pdf
Anexo I :: Referencias • Documentación técnica Fun with Ethernet switches (Sean Connery) http://www.blackhat.com/presentations/bh-usa-02/bh-us-02-convery-switches.pdf ARP Vulnerabilities (Mike Beekey) http://www.blackhat.com/presentations/bh-usa-01/MikeBeekey/bh-usa-01-Mike-Beekey.ppt Protecting your IP network infrastructure (Nicolas Fischbach y Sebastien Lacoste-Seris) http://www.blackhat.com/presentations/bh-europe-01/fischbach/bh-europe-01-fischbach.ppt
Anexo I :: Referencias • Documentación técnica Understanding, Preventing, and Defending Against Layer 2 Attacks (Yusuf Bhaiji) http://www.cisco.com/web/ME/exposaudi2009/assets/docs/layer2_attacks_and_mitigation_t.pdf Cisco IOS Shellcode And. Exploitation Techniques (Michael Lynn) http://www.jwdt.com/~paysan/lynn-cisco.pdf Killing the myth of Cisco IOS rootkits (Sebastian Muñiz) http://eusecwest.com/esw08/esw08-muniz.pdf
Anexo I :: Referencias • Herramientas Mausezahn (Herbert Haas) http://www.perihel.at/sec/mz Yersinia (Slayer y Tomac) http://www.yersinia.net Taranis (Jonathan Wilkins) http://www.bitland.net/taranis Hunt (Pavel Krauz) http://packetstorm.securify.com/sniffers/hunt/indexsize.shtml
Anexo I :: Referencias • Herramientas Ettercap (Alor y Naga) http://ettercap.sf.net Guillermo Marro, Seclab SToP y storm Dsniff (Dug Song) http://monkey.org/~dugsong/dsniff irm-mpls-tools http://www.irmplc.com/researchlab/tools

Recommandé

Seamless/Unified MPLS - LACNIC22-LACNOG14 - Octubre 2014
Seamless/Unified MPLS - LACNIC22-LACNOG14 - Octubre 2014Seamless/Unified MPLS - LACNIC22-LACNOG14 - Octubre 2014
Seamless/Unified MPLS - LACNIC22-LACNOG14 - Octubre 2014Gianpietro Lavado
 
Bases TCP/IP
Bases TCP/IPBases TCP/IP
Bases TCP/IPRod Hinojosa
 
Vlans
VlansVlans
Vlansdannyvelasco
 
Multicast v1.0
Multicast v1.0Multicast v1.0
Multicast v1.0Gianpietro Lavado
 
208830161 migracion-i pv4-a-ipv6-ppt
208830161 migracion-i pv4-a-ipv6-ppt208830161 migracion-i pv4-a-ipv6-ppt
208830161 migracion-i pv4-a-ipv6-pptLuis Granados
 
OSPF
OSPFOSPF
OSPFdannyvelasco
 
PROTOCOLO RIP V1 Y RIP V2 - REDES DE DATOS
PROTOCOLO RIP V1 Y RIP V2 - REDES DE DATOSPROTOCOLO RIP V1 Y RIP V2 - REDES DE DATOS
PROTOCOLO RIP V1 Y RIP V2 - REDES DE DATOSJAV_999
 
Prac 3.5 wha
Prac 3.5 whaPrac 3.5 wha
Prac 3.5 whaWhaleejaa Wha
 

Recommandé

Seamless/Unified MPLS - LACNIC22-LACNOG14 - Octubre 2014
Seamless/Unified MPLS - LACNIC22-LACNOG14 - Octubre 2014Seamless/Unified MPLS - LACNIC22-LACNOG14 - Octubre 2014
Seamless/Unified MPLS - LACNIC22-LACNOG14 - Octubre 2014Gianpietro Lavado
 
Bases TCP/IP
Bases TCP/IPBases TCP/IP
Bases TCP/IPRod Hinojosa
 
Vlans
VlansVlans
Vlansdannyvelasco
 
Multicast v1.0
Multicast v1.0Multicast v1.0
Multicast v1.0Gianpietro Lavado
 
208830161 migracion-i pv4-a-ipv6-ppt
208830161 migracion-i pv4-a-ipv6-ppt208830161 migracion-i pv4-a-ipv6-ppt
208830161 migracion-i pv4-a-ipv6-pptLuis Granados
 
OSPF
OSPFOSPF
OSPFdannyvelasco
 
PROTOCOLO RIP V1 Y RIP V2 - REDES DE DATOS
PROTOCOLO RIP V1 Y RIP V2 - REDES DE DATOSPROTOCOLO RIP V1 Y RIP V2 - REDES DE DATOS
PROTOCOLO RIP V1 Y RIP V2 - REDES DE DATOSJAV_999
 
Prac 3.5 wha
Prac 3.5 whaPrac 3.5 wha
Prac 3.5 whaWhaleejaa Wha
 
Enrutamiento rip redes
Enrutamiento rip redesEnrutamiento rip redes
Enrutamiento rip redesRaul Lopez
 
EIGRP - Enhanced Interior Gateway Routing Protocol v1.0
EIGRP - Enhanced Interior Gateway Routing Protocol v1.0EIGRP - Enhanced Interior Gateway Routing Protocol v1.0
EIGRP - Enhanced Interior Gateway Routing Protocol v1.0Gianpietro Lavado
 
Bcmsn resumen cap 2
Bcmsn resumen cap 2Bcmsn resumen cap 2
Bcmsn resumen cap 2nelson
 
Tcp ip aplicaciones
Tcp ip aplicacionesTcp ip aplicaciones
Tcp ip aplicacionesAndrea Morales
 
Protocolo rip
Protocolo ripProtocolo rip
Protocolo ripEIYSC
 
Protocolo rip
Protocolo ripProtocolo rip
Protocolo ripG0kuu
 
BGP - Border Gateway Protocol v3.0
BGP - Border Gateway Protocol v3.0BGP - Border Gateway Protocol v3.0
BGP - Border Gateway Protocol v3.0Gianpietro Lavado
 
Ri pv2
Ri pv2 Ri pv2
Ri pv2 Neymar Hugo Mtz
 
Protocolo rip
Protocolo ripProtocolo rip
Protocolo ripyeiko11
 
OSPF - Open Shortest Path First v1.2
OSPF - Open Shortest Path First v1.2OSPF - Open Shortest Path First v1.2
OSPF - Open Shortest Path First v1.2Gianpietro Lavado
 
Nmap, the free scanner
Nmap, the free scannerNmap, the free scanner
Nmap, the free scannerDani Gutiérrez Porset
 
Capitulo 05 rip version1
Capitulo 05 rip version1Capitulo 05 rip version1
Capitulo 05 rip version1exequiexequi
 
Tmp 16291 vlan-teoria_cisco
Tmp 16291 vlan-teoria_ciscoTmp 16291 vlan-teoria_cisco
Tmp 16291 vlan-teoria_ciscoMarcos Horacio Mansilla
 
Curso: Control de acceso y seguridad: 10 Marco teórico para elaborar controle...
Curso: Control de acceso y seguridad: 10 Marco teórico para elaborar controle...Curso: Control de acceso y seguridad: 10 Marco teórico para elaborar controle...
Curso: Control de acceso y seguridad: 10 Marco teórico para elaborar controle...Jack Daniel Cáceres Meza
 
CCNA Routing & Switching. Novedades Enrutamiento. OSPF Multiárea y OSPFv3
CCNA Routing & Switching. Novedades Enrutamiento. OSPF Multiárea y OSPFv3CCNA Routing & Switching. Novedades Enrutamiento. OSPF Multiárea y OSPFv3
CCNA Routing & Switching. Novedades Enrutamiento. OSPF Multiárea y OSPFv3Francisco Javier Novoa de Manuel
 
Ficha tecnica router cisco rv345 dual wan
Ficha tecnica router cisco rv345 dual wanFicha tecnica router cisco rv345 dual wan
Ficha tecnica router cisco rv345 dual wandaniel eduardo vargas galindo
 
Investigacion rip versión 2
Investigacion rip versión 2Investigacion rip versión 2
Investigacion rip versión 2Michael Cm
 
Cisco module 3
Cisco module 3Cisco module 3
Cisco module 3PedroMuoz672118
 
Incremente sus opciones con Gateways Vega de Sangoma
Incremente sus opciones con Gateways Vega de SangomaIncremente sus opciones con Gateways Vega de Sangoma
Incremente sus opciones con Gateways Vega de SangomaPaloSanto Solutions
 
IPv4 - Internet Protocol version 4 v1.0
IPv4 - Internet Protocol version 4 v1.0IPv4 - Internet Protocol version 4 v1.0
IPv4 - Internet Protocol version 4 v1.0Gianpietro Lavado
 
Lucha Leonesa
Lucha LeonesaLucha Leonesa
Lucha LeonesaPallideLlull
 
From information to intelligence
From information to intelligence From information to intelligence
From information to intelligence Srini Koushik
 

Contenu connexe

Tendances

Enrutamiento rip redes
Enrutamiento rip redesEnrutamiento rip redes
Enrutamiento rip redesRaul Lopez
 
EIGRP - Enhanced Interior Gateway Routing Protocol v1.0
EIGRP - Enhanced Interior Gateway Routing Protocol v1.0EIGRP - Enhanced Interior Gateway Routing Protocol v1.0
EIGRP - Enhanced Interior Gateway Routing Protocol v1.0Gianpietro Lavado
 
Bcmsn resumen cap 2
Bcmsn resumen cap 2Bcmsn resumen cap 2
Bcmsn resumen cap 2nelson
 
Protocolo rip
Protocolo ripProtocolo rip
Protocolo ripEIYSC
 
Protocolo rip
Protocolo ripProtocolo rip
Protocolo ripG0kuu
 
BGP - Border Gateway Protocol v3.0
BGP - Border Gateway Protocol v3.0BGP - Border Gateway Protocol v3.0
BGP - Border Gateway Protocol v3.0Gianpietro Lavado
 
Protocolo rip
Protocolo ripProtocolo rip
Protocolo ripyeiko11
 
OSPF - Open Shortest Path First v1.2
OSPF - Open Shortest Path First v1.2OSPF - Open Shortest Path First v1.2
OSPF - Open Shortest Path First v1.2Gianpietro Lavado
 
Capitulo 05 rip version1
Capitulo 05 rip version1Capitulo 05 rip version1
Capitulo 05 rip version1exequiexequi
 
Curso: Control de acceso y seguridad: 10 Marco teórico para elaborar controle...
Curso: Control de acceso y seguridad: 10 Marco teórico para elaborar controle...Curso: Control de acceso y seguridad: 10 Marco teórico para elaborar controle...
Curso: Control de acceso y seguridad: 10 Marco teórico para elaborar controle...Jack Daniel Cáceres Meza
 
CCNA Routing & Switching. Novedades Enrutamiento. OSPF Multiárea y OSPFv3
CCNA Routing & Switching. Novedades Enrutamiento. OSPF Multiárea y OSPFv3CCNA Routing & Switching. Novedades Enrutamiento. OSPF Multiárea y OSPFv3
CCNA Routing & Switching. Novedades Enrutamiento. OSPF Multiárea y OSPFv3Francisco Javier Novoa de Manuel
 
Investigacion rip versión 2
Investigacion rip versión 2Investigacion rip versión 2
Investigacion rip versión 2Michael Cm
 
Incremente sus opciones con Gateways Vega de Sangoma
Incremente sus opciones con Gateways Vega de SangomaIncremente sus opciones con Gateways Vega de Sangoma
Incremente sus opciones con Gateways Vega de SangomaPaloSanto Solutions
 
IPv4 - Internet Protocol version 4 v1.0
IPv4 - Internet Protocol version 4 v1.0IPv4 - Internet Protocol version 4 v1.0
IPv4 - Internet Protocol version 4 v1.0Gianpietro Lavado
 

Tendances (20)

Enrutamiento rip redes
Enrutamiento rip redesEnrutamiento rip redes
Enrutamiento rip redes
 
EIGRP - Enhanced Interior Gateway Routing Protocol v1.0
EIGRP - Enhanced Interior Gateway Routing Protocol v1.0EIGRP - Enhanced Interior Gateway Routing Protocol v1.0
EIGRP - Enhanced Interior Gateway Routing Protocol v1.0
 
Bcmsn resumen cap 2
Bcmsn resumen cap 2Bcmsn resumen cap 2
Bcmsn resumen cap 2
 
Tcp ip aplicaciones
Tcp ip aplicacionesTcp ip aplicaciones
Tcp ip aplicaciones
 
Protocolo rip
Protocolo ripProtocolo rip
Protocolo rip
 
Protocolo rip
Protocolo ripProtocolo rip
Protocolo rip
 
BGP - Border Gateway Protocol v3.0
BGP - Border Gateway Protocol v3.0BGP - Border Gateway Protocol v3.0
BGP - Border Gateway Protocol v3.0
 
Ri pv2
Ri pv2 Ri pv2
Ri pv2
 
Protocolo rip
Protocolo ripProtocolo rip
Protocolo rip
 
OSPF - Open Shortest Path First v1.2
OSPF - Open Shortest Path First v1.2OSPF - Open Shortest Path First v1.2
OSPF - Open Shortest Path First v1.2
 
Nmap, the free scanner
Nmap, the free scannerNmap, the free scanner
Nmap, the free scanner
 
Capitulo 05 rip version1
Capitulo 05 rip version1Capitulo 05 rip version1
Capitulo 05 rip version1
 
Tmp 16291 vlan-teoria_cisco
Tmp 16291 vlan-teoria_ciscoTmp 16291 vlan-teoria_cisco
Tmp 16291 vlan-teoria_cisco
 
Curso: Control de acceso y seguridad: 10 Marco teórico para elaborar controle...
Curso: Control de acceso y seguridad: 10 Marco teórico para elaborar controle...Curso: Control de acceso y seguridad: 10 Marco teórico para elaborar controle...
Curso: Control de acceso y seguridad: 10 Marco teórico para elaborar controle...
 
CCNA Routing & Switching. Novedades Enrutamiento. OSPF Multiárea y OSPFv3
CCNA Routing & Switching. Novedades Enrutamiento. OSPF Multiárea y OSPFv3CCNA Routing & Switching. Novedades Enrutamiento. OSPF Multiárea y OSPFv3
CCNA Routing & Switching. Novedades Enrutamiento. OSPF Multiárea y OSPFv3
 
Ficha tecnica router cisco rv345 dual wan
Ficha tecnica router cisco rv345 dual wanFicha tecnica router cisco rv345 dual wan
Ficha tecnica router cisco rv345 dual wan
 
Investigacion rip versión 2
Investigacion rip versión 2Investigacion rip versión 2
Investigacion rip versión 2
 
Cisco module 3
Cisco module 3Cisco module 3
Cisco module 3
 
Incremente sus opciones con Gateways Vega de Sangoma
Incremente sus opciones con Gateways Vega de SangomaIncremente sus opciones con Gateways Vega de Sangoma
Incremente sus opciones con Gateways Vega de Sangoma
 
IPv4 - Internet Protocol version 4 v1.0
IPv4 - Internet Protocol version 4 v1.0IPv4 - Internet Protocol version 4 v1.0
IPv4 - Internet Protocol version 4 v1.0
 

En vedette

From information to intelligence
From information to intelligence From information to intelligence
From information to intelligence Srini Koushik
 
Tabla periodica
Tabla periodicaTabla periodica
Tabla periodicakvnprz07
 
Biblioteca Popular N° 488
Biblioteca Popular N° 488 Biblioteca Popular N° 488
Biblioteca Popular N° 488 silgatti
 
Corp Profile Access Cad
Corp Profile Access CadCorp Profile Access Cad
Corp Profile Access Cadaccesscad
 
Isla Friendship
Isla FriendshipIsla Friendship
Isla FriendshipChristian
 
Miva Merchant for Beginners
Miva Merchant for BeginnersMiva Merchant for Beginners
Miva Merchant for BeginnersMiva
 
sub.net substation monitor
sub.net substation monitorsub.net substation monitor
sub.net substation monitorrk_at_emsni
 
YOGA, HISTORIA Y POSES PARA EMBARAZADAS
YOGA, HISTORIA Y POSES PARA EMBARAZADASYOGA, HISTORIA Y POSES PARA EMBARAZADAS
YOGA, HISTORIA Y POSES PARA EMBARAZADASjimara martinez
 
Promotores de lectura en primarias
Promotores de lectura en primariasPromotores de lectura en primarias
Promotores de lectura en primariaslety21saga
 
Mascara wildcard 2
Mascara wildcard 2Mascara wildcard 2
Mascara wildcard 2mochodog
 
Modelo brief completo (1)
Modelo brief completo (1)Modelo brief completo (1)
Modelo brief completo (1)Noelia Lissete
 
How To Create a Hyperlink in Microsoft Office PowerPoint
How To Create a Hyperlink in Microsoft Office PowerPointHow To Create a Hyperlink in Microsoft Office PowerPoint
How To Create a Hyperlink in Microsoft Office PowerPointMarc Morgenstern
 
financial management stock valuation chapter solution ...MOHSIN MUMTAZ
financial management stock valuation chapter solution ...MOHSIN MUMTAZfinancial management stock valuation chapter solution ...MOHSIN MUMTAZ
financial management stock valuation chapter solution ...MOHSIN MUMTAZmianmohsinmumtazshb
 
Interviewing Users: Spinning Data Into Gold
Interviewing Users: Spinning Data Into GoldInterviewing Users: Spinning Data Into Gold
Interviewing Users: Spinning Data Into GoldSteve Portigal
 

En vedette (20)

Lucha Leonesa
Lucha LeonesaLucha Leonesa
Lucha Leonesa
 
From information to intelligence
From information to intelligence From information to intelligence
From information to intelligence
 
Tabla periodica
Tabla periodicaTabla periodica
Tabla periodica
 
Biblioteca Popular N° 488
Biblioteca Popular N° 488 Biblioteca Popular N° 488
Biblioteca Popular N° 488
 
Corp Profile Access Cad
Corp Profile Access CadCorp Profile Access Cad
Corp Profile Access Cad
 
Isla Friendship
Isla FriendshipIsla Friendship
Isla Friendship
 
Miva Merchant for Beginners
Miva Merchant for BeginnersMiva Merchant for Beginners
Miva Merchant for Beginners
 
E book
E bookE book
E book
 
sub.net substation monitor
sub.net substation monitorsub.net substation monitor
sub.net substation monitor
 
Salsa completa de don vittorio
Salsa completa de don vittorioSalsa completa de don vittorio
Salsa completa de don vittorio
 
YOGA, HISTORIA Y POSES PARA EMBARAZADAS
YOGA, HISTORIA Y POSES PARA EMBARAZADASYOGA, HISTORIA Y POSES PARA EMBARAZADAS
YOGA, HISTORIA Y POSES PARA EMBARAZADAS
 
Promotores de lectura en primarias
Promotores de lectura en primariasPromotores de lectura en primarias
Promotores de lectura en primarias
 
Mascara wildcard 2
Mascara wildcard 2Mascara wildcard 2
Mascara wildcard 2
 
¿Qué es la publicidad?
¿Qué es la publicidad?¿Qué es la publicidad?
¿Qué es la publicidad?
 
Modelo brief completo (1)
Modelo brief completo (1)Modelo brief completo (1)
Modelo brief completo (1)
 
How To Create a Hyperlink in Microsoft Office PowerPoint
How To Create a Hyperlink in Microsoft Office PowerPointHow To Create a Hyperlink in Microsoft Office PowerPoint
How To Create a Hyperlink in Microsoft Office PowerPoint
 
Copia de presentación proyecto valsegur
Copia de presentación proyecto valsegurCopia de presentación proyecto valsegur
Copia de presentación proyecto valsegur
 
financial management stock valuation chapter solution ...MOHSIN MUMTAZ
financial management stock valuation chapter solution ...MOHSIN MUMTAZfinancial management stock valuation chapter solution ...MOHSIN MUMTAZ
financial management stock valuation chapter solution ...MOHSIN MUMTAZ
 
Organic Farming L Tabafunda Aug25
Organic Farming L Tabafunda Aug25Organic Farming L Tabafunda Aug25
Organic Farming L Tabafunda Aug25
 
Interviewing Users: Spinning Data Into Gold
Interviewing Users: Spinning Data Into GoldInterviewing Users: Spinning Data Into Gold
Interviewing Users: Spinning Data Into Gold
 

Similaire à Data link

Vins Villaplana - Seguridad en capa de enlace [RootedCON 2011]
Vins Villaplana - Seguridad en capa de enlace [RootedCON 2011]Vins Villaplana - Seguridad en capa de enlace [RootedCON 2011]
Vins Villaplana - Seguridad en capa de enlace [RootedCON 2011]RootedCON
 
Conf basica switch-p1
Conf basica switch-p1Conf basica switch-p1
Conf basica switch-p11 2d
 
Introducción a redes lan
Introducción a redes lanIntroducción a redes lan
Introducción a redes lanJose Ayala
 
Protocolos de enrutamiento ac ls - unidad 1
Protocolos de enrutamiento ac ls - unidad 1Protocolos de enrutamiento ac ls - unidad 1
Protocolos de enrutamiento ac ls - unidad 1malepaz14
 
Nuevo documento de microsoft office word
Nuevo documento de microsoft office wordNuevo documento de microsoft office word
Nuevo documento de microsoft office wordmariaclaudia2806
 
Tema 2 seguridad_en_redes
Tema 2 seguridad_en_redesTema 2 seguridad_en_redes
Tema 2 seguridad_en_redesComdat4
 
Tema 2 seguridad_en_redes
Tema 2 seguridad_en_redesTema 2 seguridad_en_redes
Tema 2 seguridad_en_redesComdat4
 
Protocolos de capa de red (características,
Protocolos de capa de red (características,Protocolos de capa de red (características,
Protocolos de capa de red (características,Larry Ruiz Barcayola
 
Protocolos de capa de red (características,
Protocolos de capa de red (características,Protocolos de capa de red (características,
Protocolos de capa de red (características,Cziitarm
 
Protocolos de red clase 2
Protocolos de red clase 2Protocolos de red clase 2
Protocolos de red clase 2ing_jlcarrillo
 
4.5.3 operacion y seguridad seguridad en capas
4.5.3 operacion y seguridad seguridad en capas4.5.3 operacion y seguridad seguridad en capas
4.5.3 operacion y seguridad seguridad en capasJose Hernandez Landa
 
Presentación administracion de la red
Presentación administracion de la redPresentación administracion de la red
Presentación administracion de la redSantiago Bernal
 
Yersinia - Demostraciones prácticas de nuevos ataques de nivel dos
Yersinia - Demostraciones prácticas de nuevos ataques de nivel dosYersinia - Demostraciones prácticas de nuevos ataques de nivel dos
Yersinia - Demostraciones prácticas de nuevos ataques de nivel dosDavid Barroso
 
Evolución del stack de protocolos de Internet - IPv6 y QUIC
Evolución del stack de protocolos de Internet - IPv6 y QUICEvolución del stack de protocolos de Internet - IPv6 y QUIC
Evolución del stack de protocolos de Internet - IPv6 y QUICCarlos Martinez Cagnazzo
 

Similaire à Data link (20)

Vins Villaplana - Seguridad en capa de enlace [RootedCON 2011]
Vins Villaplana - Seguridad en capa de enlace [RootedCON 2011]Vins Villaplana - Seguridad en capa de enlace [RootedCON 2011]
Vins Villaplana - Seguridad en capa de enlace [RootedCON 2011]
 
Conf basica switch-p1
Conf basica switch-p1Conf basica switch-p1
Conf basica switch-p1
 
Charla routers jmcruz2012
Charla routers jmcruz2012Charla routers jmcruz2012
Charla routers jmcruz2012
 
Redes wan
Redes wanRedes wan
Redes wan
 
Introducción a redes lan
Introducción a redes lanIntroducción a redes lan
Introducción a redes lan
 
Protocolos de enrutamiento ac ls - unidad 1
Protocolos de enrutamiento ac ls - unidad 1Protocolos de enrutamiento ac ls - unidad 1
Protocolos de enrutamiento ac ls - unidad 1
 
Conmutación de Etiquetas Mult-Protocolo
Conmutación de Etiquetas Mult-ProtocoloConmutación de Etiquetas Mult-Protocolo
Conmutación de Etiquetas Mult-Protocolo
 
Nuevo documento de microsoft office word
Nuevo documento de microsoft office wordNuevo documento de microsoft office word
Nuevo documento de microsoft office word
 
Tema 2 seguridad_en_redes
Tema 2 seguridad_en_redesTema 2 seguridad_en_redes
Tema 2 seguridad_en_redes
 
Tema 2 seguridad_en_redes
Tema 2 seguridad_en_redesTema 2 seguridad_en_redes
Tema 2 seguridad_en_redes
 
Protocolos de capa de red (características,
Protocolos de capa de red (características,Protocolos de capa de red (características,
Protocolos de capa de red (características,
 
Protocolos de capa de red (características,
Protocolos de capa de red (características,Protocolos de capa de red (características,
Protocolos de capa de red (características,
 
Exposision 2
Exposision 2Exposision 2
Exposision 2
 
Modelo TCP/IP.pdf
Modelo TCP/IP.pdfModelo TCP/IP.pdf
Modelo TCP/IP.pdf
 
Protocolos de red clase 2
Protocolos de red clase 2Protocolos de red clase 2
Protocolos de red clase 2
 
4.5.3 operacion y seguridad seguridad en capas
4.5.3 operacion y seguridad seguridad en capas4.5.3 operacion y seguridad seguridad en capas
4.5.3 operacion y seguridad seguridad en capas
 
Modeloosi
ModeloosiModeloosi
Modeloosi
 
Presentación administracion de la red
Presentación administracion de la redPresentación administracion de la red
Presentación administracion de la red
 
Yersinia - Demostraciones prácticas de nuevos ataques de nivel dos
Yersinia - Demostraciones prácticas de nuevos ataques de nivel dosYersinia - Demostraciones prácticas de nuevos ataques de nivel dos
Yersinia - Demostraciones prácticas de nuevos ataques de nivel dos
 
Evolución del stack de protocolos de Internet - IPv6 y QUIC
Evolución del stack de protocolos de Internet - IPv6 y QUICEvolución del stack de protocolos de Internet - IPv6 y QUIC
Evolución del stack de protocolos de Internet - IPv6 y QUIC
 

Plus de Oscar Eduardo

Introducción a IngSW_2022.pptx
Introducción a IngSW_2022.pptxIntroducción a IngSW_2022.pptx
Introducción a IngSW_2022.pptxOscar Eduardo
 
Trayecto de actividades_diplomado
Trayecto de actividades_diplomadoTrayecto de actividades_diplomado
Trayecto de actividades_diplomadoOscar Eduardo
 
Modelos de Mediación
Modelos de MediaciónModelos de Mediación
Modelos de MediaciónOscar Eduardo
 
App upb móvil 20141
App upb móvil 20141App upb móvil 20141
App upb móvil 20141Oscar Eduardo
 
Subir una aplicación a google play
Subir una aplicación a google playSubir una aplicación a google play
Subir una aplicación a google playOscar Eduardo
 
Analisis sintáctico
Analisis sintácticoAnalisis sintáctico
Analisis sintácticoOscar Eduardo
 
Arquitectura sistema
Arquitectura sistemaArquitectura sistema
Arquitectura sistemaOscar Eduardo
 
Doctic modelopropuestadeintervencin
Doctic modelopropuestadeintervencinDoctic modelopropuestadeintervencin
Doctic modelopropuestadeintervencinOscar Eduardo
 
Generalidades sobre windows phone 7.5
Generalidades sobre windows phone 7.5Generalidades sobre windows phone 7.5
Generalidades sobre windows phone 7.5Oscar Eduardo
 

Plus de Oscar Eduardo (20)

Introducción a IngSW_2022.pptx
Introducción a IngSW_2022.pptxIntroducción a IngSW_2022.pptx
Introducción a IngSW_2022.pptx
 
Inventario tic
Inventario ticInventario tic
Inventario tic
 
Trayecto de actividades_diplomado
Trayecto de actividades_diplomadoTrayecto de actividades_diplomado
Trayecto de actividades_diplomado
 
Modelo pruebas
Modelo pruebasModelo pruebas
Modelo pruebas
 
Framework Android
Framework AndroidFramework Android
Framework Android
 
Comunicación
ComunicaciónComunicación
Comunicación
 
Modelos de Mediación
Modelos de MediaciónModelos de Mediación
Modelos de Mediación
 
Lenguajes regulares
Lenguajes regularesLenguajes regulares
Lenguajes regulares
 
User stories
User storiesUser stories
User stories
 
App upb móvil 20141
App upb móvil 20141App upb móvil 20141
App upb móvil 20141
 
Subir una aplicación a google play
Subir una aplicación a google playSubir una aplicación a google play
Subir una aplicación a google play
 
Analisis sintáctico
Analisis sintácticoAnalisis sintáctico
Analisis sintáctico
 
Iswiii
IswiiiIswiii
Iswiii
 
Presentacion rup
Presentacion rupPresentacion rup
Presentacion rup
 
Arquitectura sistema
Arquitectura sistemaArquitectura sistema
Arquitectura sistema
 
Doctic modelopropuestadeintervencin
Doctic modelopropuestadeintervencinDoctic modelopropuestadeintervencin
Doctic modelopropuestadeintervencin
 
Isw
IswIsw
Isw
 
Iswii
IswiiIswii
Iswii
 
Cod intermedio
Cod intermedioCod intermedio
Cod intermedio
 
Generalidades sobre windows phone 7.5
Generalidades sobre windows phone 7.5Generalidades sobre windows phone 7.5
Generalidades sobre windows phone 7.5
 

Data link

  • 1. Seguridad Capa Enlace ¿Qué entendemos por capa de enlace? ¿Por qué es importante? ¿Seguridad? ¿En qué afecta?
  • 2. Introducción • ¿Según el FBI el 80% de los ataques provienen del interior de la organización. • 99% de los puertos de las redes LAN corporativas están “desprotegidos”. Es decir, cualquiera puede conectarse a ellos. • Las herramientas diseñadas para simplificar el trabajo de los administradores de red perjudican seriamente la seguridad de la red corporativa • Las direcciones MAC no pueden ser falsificadas • Un switch no permite hacer sniffing. • Las VLANs están completamente aisladas unas de otras.
  • 5. Capa Protocolo Funcionalidad Unidad de Ejemplos Transmisión Aplicación Provee el conjunto de aplicaciones de red, DATA FTP,, SMTP, NFS, POP3, HTTP, TFTP, Telnet, SSH, como por ejemplo: Transferencia de archivos, DNS, DHCP, NTP, SNMP, AAA, ISR VOIP, SCCP emulación de terminal, correo electrónico, config and calls ISR command support, Call discos virtuales, etc. Manager Express Presentación Codificación Formato y conversión de códigos, necesarias ASCII, EBCDIC, representación de números para que los datos sean más fácilmente enteros y reales, etc. interpretados por los programas de aplicación Sesión responsable del establecimiento y mantenimiento de las sesiones de comunicación entre los programas de comunicación Transporte Transferencia Regulación de flujo de mensajes, retransmisión TCP, SPX, UDP, TCP Nagle Algorithm & IP de paquetes, inicio/terminación de sesiones Fragmentation,, RTP entre nodos, etc. Red Enrutamiento Enrutamiento de paquetes en la red, ofrece un PACKET IP, IPX, VTAM, BGP, IPv4, ICMP, ARP, IPv6, canal libre de errores a la capa de transporte ICMPv6, IPSec, RIPv1/v2/ng, Multi-Area OSPF, EIGRP, Static Routing, Route Redistribution, Multilayer Switching, L3 QoS, NAT, CBAL, Zone- based policy firewall and Intrusion Protection System on the ISR, GRE VPN, IPSec VPN Enlace Comunicación Control de acceso al canal , dividir los paquetes FRAME Ethernet (IEEE 802.3), Token Ring (802.5), FDDI, recibidos de la capa superior en grupos de bits. HDLC, Frame Relay, PPP, PPPoE, STP, RSTP, VTP, Provee mecanismos para detección y DTP, CDP, SDLC, LAPB, 802.1q, PAgP, L2 QoS, corrección de errores. SLARP Física Estándares Transmisión de bits sobre el canal de BIT RS-232C, RS-449, V.24, V.35 comunicación
  • 6. Capa de enlace Topologías simples Anillo Estrella Bus Malla Dispositivos • HUB • Switch • Bridge
  • 7. Ataques Capa de enlace • Los switchs guardan las asociaciones MAC-Puerto e información de VLAN a medida que las “aprenden” en un tabla llamada tabla CAM. • La tabla CAM de un switch tiene un tamaño fijo y finito. • Cuando la tabla CAM no tiene espacio para almacenar más asociaciones MAC-Puerto envía a todos los puertos las tramas que tengan una dirección MAC destino no almacenada en la tabla CAM. • CAM Table Overflow, para realizar el ataque sólo hace falta enviar gran número de tramas con direcciones MAC distintas (usualmente generadas al azar) a cualquier puerto del switch hasta que se llene la tabla CAM.
  • 8. Erase una vez… Multiples direccionamientos lógicos
  • 9. Erase una vez… interface Vlan1234 ip address 10.0.0.254 255.255.255.0 secondary ip address 10.139.15.1 255.255.255.252 secondary ip address 10.139.15.5 255.255.255.252 secondary ip address 10.139.15.9 255.255.255.252 secondary ip address 10.139.15.13 255.255.255.252 secondary ip address 172.1.28.2 255.255.255.224 secondary ip address 172.1.28.34 255.255.255.224 secondary ip address 172.1.28.130 255.255.255.128 secondary ip address 10.100.15.2 255.255.255.0 standby 1 ip 10.100.15.3 standby 1 priority 99 standby 2 ip 172.1.28.3 standby 2 priority 99 standby 3 ip 172.1.28.35 standby 3 priority 101 standby 3 preempt standby 4 ip 172.1.28.131 standby 4 priority 99
  • 11. Erase una vez… Protocolos mal configurados
  • 12. Erase una vez… Multiples direccionamientos lógicos Tráfico heterogéneo Protocolos mal configurados
  • 13. Hoy día… Topologías complejas • Conectividad heterogénea • Distanciamiento físico y lógico • Demasiada conmutación
  • 14. Hoy día… • Ampliación de funcionalidades • Especialización del hardware
  • 15. Riesgos y amenazas Clasificación • Implementación • Diseño de protocolo
  • 16. ARP Inconvenientes • Mensajes anónimos • ARPs gratuitos • Inundación de Vlan • Respuestas ARP unicast
  • 17. ARP Ataques • Denegación de Servicio • Robar puertos • Espiar tráfico • Ataques MITM
  • 18. ARP Soluciones • Activar ip arp inspection • Cifrar tráfico • Activar port security • Activar macsec • Modo PARANOIC
  • 19. STP Inconvenientes • Menajes anónimos • No hay chequeos • No hay balanceo de carga • Convergencia lenta
  • 20. STP Ataques • Denegación de Servicio • Espiar tráfico • Bypass de equipos • Ataques MITM
  • 21. STP Soluciones • Activar bpdu / root / loop guard • Activar portfast • Activar etherchannel guard • Activar bpdu filtering •Limitar broadcasts
  • 22. VTP Inconvenientes • Menajes anónimos • No hay chequeos
  • 23. VTP Ataques • Denegación de Servicio • Crear, borrar, modificar Vlanes • Reconfigurar Vlanes de otros switches
  • 24. VTP Soluciones • Activar hashing md5 • En entornos pequeños, no usar VTP
  • 25. DHCP Inconvenientes • Cualquiera puede ser servidor DHCP • Sin cifrar
  • 26. DHCP Ataques • Denegación de Servicio • Forzar un cambio de IP • Levantar un servidor DHCP
  • 27. DHCP Soluciones • Filtrar por mac • Activar ip dhcp snooping
  • 28. Redundancia Inconvenientes • Falsas apariencias • MACs cantosas HSRP: 00-00-0c-07-ac-xx VRRP/CARP: 00-00-5e-00-01-xx
  • 29. Redundancia Ataques • Denegación de Servicio • Forzar equipo activo / master
  • 30. Redundancia Soluciones • ¿Cifrar? ¿IPSEC? ¿Autenticar? • Cambiar MAC • Activar 802.1x • Controlar el acceso al medio
  • 31. DTP / Vlan Tagging Inconvenientes • DTP activo por defecto • No descarta tags
  • 32. DTP / Vlan Tagging Ataques • Crear trunks • Saltar de VLAN
  • 33. DTP / Vlan Tagging Soluciones • Desactivar negociación DTP • Activar VRF • ¡No usar vlan 1 para nada! • Desactivar puertos sin uso
  • 34. CDP Inconvenientes • Menajes anónimos • Sin cifrar
  • 35. CDP Ataques • Obtención de información • DoS (B.O. Fx) • Crear dispositivos virtuales
  • 36. CDP Soluciones • Desactivar CDP • Limitar CDP a redes de gestión
  • 37. 802.1x / EAP Inconvenientes • Gran despliegue de infraestructura • Solo autentica al iniciar la conexión • Afecta a la estabilidad de la red • Implementación limitada
  • 38. 802.1x / EAP Ataques • Denegación de Servicio • Shadow host • EAP-LEAP
  • 39. 802.1x / EAP Soluciones • EAP-PEAP o EAP-TTLS • Cisco MAB • OpenSEA
  • 40. PVLAN
  • 42. MPLS / VRF Ataques • Revelación de etiquetas o rutas • Inyección de etiquetas • Modificación de rutas • Protocolos externos
  • 43. MPLS / VRF Soluciones • Configuración adecuada
  • 44. Cisco IOS Inconvenientes • Arquitectura rudi • Código inseguro • Imagen firmware • Ejecución de código
  • 45. Cisco IOS Ataques • Cambiar configuración • Ganar acceso privilegiado (enable) • Matar procesos (autenticación, logging) • Infectar otros equipos
  • 46. Cisco IOS Soluciones • Evitar obsolescencia • Gestión proactiva de la plataforma • Controlar imagen exterior
  • 47. Anexo I :: Referencias • Documentación técnica Securing Layer 2 in LAN (Altunbasak, Krasser, Owen, Grimminger, Huth y Sokol) http://users.ece.gatech.edu/~owen/Research/Conference%20Publications/altunbasak_ICN2005.pdf A Survey of BGP Security Issues and Solutions (T. Farley, P. McDaniel y Kevin Butler) http://www.cs.purdue.edu/homes/ninghui/readings/TruSe_fall04/td-5ugj33.pdf Secure Use of VLANs: An @stake Security Assessment http://www.cisco.com/warp/public/cc/pd/si/casi/ca6000/tech/stake_wp.pdf
  • 48. Anexo I :: Referencias • Documentación técnica Fun with Ethernet switches (Sean Connery) http://www.blackhat.com/presentations/bh-usa-02/bh-us-02-convery-switches.pdf ARP Vulnerabilities (Mike Beekey) http://www.blackhat.com/presentations/bh-usa-01/MikeBeekey/bh-usa-01-Mike-Beekey.ppt Protecting your IP network infrastructure (Nicolas Fischbach y Sebastien Lacoste-Seris) http://www.blackhat.com/presentations/bh-europe-01/fischbach/bh-europe-01-fischbach.ppt
  • 49. Anexo I :: Referencias • Documentación técnica Understanding, Preventing, and Defending Against Layer 2 Attacks (Yusuf Bhaiji) http://www.cisco.com/web/ME/exposaudi2009/assets/docs/layer2_attacks_and_mitigation_t.pdf Cisco IOS Shellcode And. Exploitation Techniques (Michael Lynn) http://www.jwdt.com/~paysan/lynn-cisco.pdf Killing the myth of Cisco IOS rootkits (Sebastian Muñiz) http://eusecwest.com/esw08/esw08-muniz.pdf
  • 50. Anexo I :: Referencias • Herramientas Mausezahn (Herbert Haas) http://www.perihel.at/sec/mz Yersinia (Slayer y Tomac) http://www.yersinia.net Taranis (Jonathan Wilkins) http://www.bitland.net/taranis Hunt (Pavel Krauz) http://packetstorm.securify.com/sniffers/hunt/indexsize.shtml
  • 51. Anexo I :: Referencias • Herramientas Ettercap (Alor y Naga) http://ettercap.sf.net Guillermo Marro, Seclab SToP y storm Dsniff (Dug Song) http://monkey.org/~dugsong/dsniff irm-mpls-tools http://www.irmplc.com/researchlab/tools