Tipos de ataques en switches de capa 2.

CAM table overflow Media Access Control (MAC) address spoofing DHCP starvation VLAN hopping Manipulaciones en Spanning-Tree Protocol (STP)

CAM table overflow . MAC Flooding

Escenario: La mquina del atacante est conectada a una boca del switch que pertenece a la VlLAN 10. Mediante un ataque de floods MAC addresses en esa boca del switch inyecta muchos paquetes con MAC de origen y destinos aleatorios que el switch intenta memorizar. Cuando la tabla CAM (content addressable memory ) alcanza su lmite el switch empieza a operad como un hub emitiendo las tramas de procedentes de la VLAN 10 a todas las bocas que pertenezcan a dicha VLAN incluyendo la de los switches adyacentes que tambin tengan bocas para la VLAN 10. Permitiendo a un sniffer capturar todo el trafico de esa y solo esa VLAN durante el periodo de tiempo que se mantenga el flujo de tramas con MAC aleatorias o durante el tiempo que tarda el switch en ir borrando MAC de su tabla CAM al considerarlas caducadas. Si el atacante no mantiene el flujo de MAC de origen invlidas en el switch eventualmente irn alcanzando su time out las entradas MAC ms antiguas de la tabla CAM y volver a actuar como un switch. En Mayo de 1999 la herramienta MACOF fue desarrollada inicialmente en PERL y luego recodificado en lenguaje C para ser incorporado al paquete DSNIFF. Esta herramienta desbordaba a un switch con paquetes conteniendo MAC e IP de origen y destino aleatorios. Cuando la tabla CAM del switch de llenaba de estas direcciones MAC, el switch comenzaba a reenviar por todas las bocas las tramas recibidas permitiendo capturar el trafico de los servidores y equipos crticos de la red. Para mitigar este tipo de ataque en un switch se debe configurar el nmero mximo de MAC que debe aprender en cada boca de accesos de un switch.

MAC spoofing y man in the middle attacks

Este ataque implica falsear una MAC de un equipo vlido en la red. Si el equipo no est conectado y conocemos la boca fsica del switch donde debera estar conectado permite saltarse la seguridad anterior. Otra opcin es que no existan puertos asegurados y si el equipo est conectado enviar desde la mquina atacante una simple trama con la MAC de origen falseada con la del objetivo y provocar que el switch modifique su tabla CAM para que dirija el trfico con esa MAC de destino hacia la del atacante. Esto slo funcionar hasta que la mquina objetivo enve una trama y se vuelva a reescribir la tabla CAM.

Una versin mas elaborada consiste en el envenenamiento ARP que permite un ataque denominado hombre en el medio. Que consiste en enviar GARP (respuestas ARP gratuitas) a un equipo victima para que memorice la MAC del atacante como la asociada a una IP en la tabla ARP del objetivo y adems provocar que el switch tambin aprenda la MAC envenenada en su tabla CAM. Normalmente este ataque se perpetua para capturar el trfico entre la mquina objetivo y el Gateway. DHCP spoofing Que ocurre si el falseamiento proviene desde el mismo momento de la concesin desde un servidor DHCP furtivo Normalmente los usuarios no se fijan en la IP del servidor DHCP que les ha concedido la configuracin de direccin IP, Mascara, gateway, DNS, etc. Existe una solucin en capa 2 llamada DHCP Snooping que permite configurar en el switch desde que bocas se pueden recibir paquetes de respuesta de servidor DHCP para cada VLAN

Ataque de salto de VLAN (VLAN hopping attacks)

El ataque de salto de VLAN consiste en un atacante que enva paquetes destinados a un equipo perteneciente a una Vlan distinta que en circunstancias normales no debera alcanzar. Para ello el atacante debe hacer creer al switch que el es otro switch y asi poder etiquetar sus tramas con destino a una Vlan distinta a la suya. El atacante tambien puede negociar que es una puerto de trunking y asi poder enviar y recibir trafico de multiples Vlans Switch Spoofing Este tipo de ataque consiste en simular que el atacante es un switch, para ello requiere que el software que emplee sea capaz de emular ISL o 802.1q ademas de DTP (Dinamic Trunk Protocol). Todo ello le permite aparentar que es un swicth conectado por un puerto de trunk, y si el ataque tiene xito le permite ser miembro de todas las VLANs Double Tagging El ataque de doble etiquetado consiste en enviar tramas 802.1q etiquetada con la Vlan de destino dentro de otra trama. El switch encuentra entonces una trama doblemente etiquetada y cunado elimina la primera etiqueta y se encuentra una trama etiquetada y la encamina por sus puertos de trunking que se encuentren configurados para tramitar VLAN nativa el segundo switch entonces encamina basndose en el 2 identificador de Vlan 802.1q

Nota : El ataque de doble etiquetado solo es posible si el puerto de trunk est configurado para VLAN nativa. Sin embargo funciona aunque el puerto de trunk este en off. Private VLAN vulnerabilities Las Vlan privadas es un mecanismo comn para restringir el trafico entre equipos que estn en la misma Vlan y en la misma subred IP. El sistema consiste en limitar los puertos que se pueden comunicar con otros dentro de la misma VLAN. Los puertos aislados slo se pueden comunicar con los definidos como promiscuos. Los puertos comunitarios slo pueden comunicarse con los de su misma comunidad y con los puertos promiscuos. Los puertos promiscuos se pueden comunicar con cualquier puerto. Private VLAN Proxy Attack En este tipo de ataque las tramas se dirigen a un host conectado a un puerto en modo promiscuo, como por ejemplo debera de ser en el que se conecte un router. Supongamos un escenario de varios equipos en modo aislado y uno slo en modo promiscuo. El atacante enviara paquetes con su IP y MAC como direcciones fuente y con la IP destino del equipo destino pero la MAC de destino del router. El switch enviar la trama al router el router intenta encaminar el paquete pero lo devuelve reescribiendo primero bien la MAC de destino. Ahora el paquete tiene el formato correcto y es encaminado desde un equipo tipo promiscuo a uno aislado con ello el origen consigue que llegue un paquete desde un equipo aislado a otro aislado aunque pasando por uno promiscuo previamente. Esto ltimo es importante porque el receptor no podr responder a menos que use la misma tcnica, por ello se dice que es un ataque de camino nico. Los dos host comprometidos pueden usar entradas ARP estticas falseadas para conseguir una comunicacin bidireccional. Este escenario no es en realidad un ataque sino una burla del sistema de seguridad. NOTA: Las VLANs privadas son configurable en modelos superiores a Cisco Catalyst

2950 switch
Este tipo de ataque se puede mitigar colocando reglas de filtrado en la interfaz del router que denieguen el trafico cuando en el paquete la IP de origen y la de destino pertenezcan a la misma subred. El siguiente ejemplo en un router CISCO aplicar este criterio para la red 172.16.34.0 en la interfaz que est en contacto con ella.

Spanning-Tree Protocol vulnerabilities Otro ataque contra los switches implica interceptar trafico atacando al STP.
Atacando el STP el atacante intenta hacer creer al resto de los switches STP que el es el switch raiz de la topologa. Para ello envia BPDUs con seal de cambio de topologa para intentar el recalculo de la topologa pero esta vez en sus paquetes anuncia que l dispone de la

prioridad de puente menor. En el ejemplo ahora los paquetes que circulen desde un switch a otro pasarn por el puente raz que en este caso es un spoofed switch. Este ataque exige que el atacante est conectado a los dos switches ya sea con dos NIC o mediante un HUB.