Seguridad en VLANs. II

Ataque de suplantación del switch

Uno de los ataques comunes en VLANs suele ser el ataque de suplantación de switch y este se basa en que el atacante conecta un cable en un puerto del switch, que este configurado de manera predeterminada como dynamic desirable y en el extremo opuesto del cable simule un enlace troncal (802.1q) y de esta manera poder acceder a todos los paquetes de las distintas VLANs. Es por ello que se recomienda que los puertos no utilizados estén apagados con el comando shutdown y además tengan un modo acceso predefinido por el usuario, que no sea dynamic desirable.

Para realizar este ataque sería tan fácil como ejecutar Yersinia, y enviar algunas tramas DTP al Switch y hacer que este convierta el enlace en troncal.

dynamicdesirable
Imagen 1. Puerto Et0/0 en modo Dynamic Desirable

Como vemos en la imagen 1, el puerto esta en el modo operacional Access pero el modo administrativo se encuentra en dynamic desirable, estado por defecto para este tipo de Switch de Cisco, valor por defecto, no recomendado.

yersinia
Imagen 2. Yersinia, ataque de Suplantación de Switch.

 Cuando iniciamos la conversación enviado los paquetes DTP e intentamos activar el enlace troncal, podemos detallar en la consola del Switch como la interfaz de red se apaga y se vuelve a activar (Imagen 3), momento en el cual el modo ha cambiado de Static Access a Trunk (Imagen 4) .

cambio de interfaces
Imagen 3. Cambio de estado en la interfaz.
trunk
Imagen 4. Cambio de modo Trunk de la interfaz Et0/0.

Ataque de etiquetado doble

El ataque de doble etiquetado, puede ocurrir cuando la VLAN de un puerto de acceso es igual a la VLAN de un enlace troncal, de esta forma el atacante puede realizar el ataque, ya que etiqueta el trama con la ID de VLAN a la que desea llegar y luego lo etiqueta con la ID de su VLAN.

etiquetadodoble
Imagen 5. Ejemplo de ataque.

Por ejemplo en la imagen 5, vemos como el equipo se conecta a una VLAN 10 y llega hasta la VLAN 20 con el etiquetado doble; aquí el proceso es el siguiente:

  • Se envía una trama 802.1q con doble etiquetado.
  • El Switch detecta como destino VLAN 10, quita la etiqueta, y no vuelve a etiquetar, ya que es la VLAN nativa y envía al enlace troncal, pero la segunda etiqueta de la VLAN 20 no ha sido manipulada.
  • La trama llega al segundo switch que detecta como destino la VLAN 20 y así lo envía hasta el objetivo.

Con Yersinia podemos hacer un ataque de etiqueta doble, desde la pestaña 802.1q. Si entramos en el modo edición, podemos editar los parámetros inferiores y cambiar las IPs, o los ID’s de VLAN correspondientes.

yersinia8021q
Imagen  6. Etiquetado doble en Yersinia.

Si analizamos el enlace troncal con Wireshark, podemos ver la trama con el etiquetado doble claramente, como se ve en la imagen 7.

8021qdoble
Imagen 7. Análisis con Wireshark.

Para mitigar este tipo de ataques es necesario el tener las VLANs de Acceso separadas de las VLANs troncales, con un ID totalmente distinto.

VLANs Privadas (PVLAN)

Otra característica que se puede aplicar en un Switch Cisco son las VLANs privadas, de esta manera, podríamos aislar ciertos host dentro de una misma VLAN. Funciona de la siguiente manera: En el switch se asignan puertos protegidos, los cuales no podrán recibir datos de otros puertos protegidos, solamente de los que están desprotegidos:

  • Puerto protegido -> Puerto protegido = No se envían datos
  • Puerto desprotegido -> Puerto protegido y viceversa = Se envían datos.

Los puertos protegidos se asignan manualmente desde la configuración de la interfaz con el comando:

S1(Config-if)# Switchport protected

De esta forma conseguimos designarlo como protegido aislándolo de los demás puertos protegidos.

 

 

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s