Seguridad en capa 2

Ataques VLAN Switch spoofing Doble etiquetado

Ataques VLAN
Las VLANs se implementan para generar un control de trfico entre las mismas, de forma que los equipos conectados a una VLAN no posean acceso a otras. Pues precisamente este tipo de ataque pretende engaar a un switch, sobre el cual se implementan VLANs, mediante tcnicas que logran conocer los paquetes de informacin que circulan entre ellas, y como consecuencia alcanzar un host de otra VLAN distinta a la del atacante. Los dos enfoques para ejecutar este tipo de ataque son Switch Spoofing y Doble Etiquetado (double tagging). Antes de continuar, un inciso para recordar que los puertos trunk por defecto tienen acceso a todas las VLANs. Se emplean para transmitir trfico de mltiples VLANs a travs del mismo enlace fsico (generalmente empleado para conectar switches). La encapsulacin puede ser IEEE 802.1Q o ISL.

Switch Spoofing
Se deduce de lo anterior que por defecto, los enlaces troncales de los switches Ethernet portan trfico de todas las VLAN. El ataque Switch Spoofing consiste en hacerse pasar por un switch, intentando conectarse a un puerto del mismo y forzndolo a trabajar en modo trunk para tener acceso a todas las VLANs. El efecto es que el equipo se vuelve miembro de todas las VLAN. Esta amenaza se suele usar con el fin de descubrir las credenciales de autenticacin de los usuarios de la red. La forma de llevarla a cabo es mediante un software especial que permita al PC actuar como una especie de switch virtual, que usara DTP para negociar un trunk, y de esa manera conseguir capturar el trfico de todas las VLAN. Para mitigar esta amenaza se pueden configurar los puertos del switch en modo acceso.

Doble Etiquetado
En un enlace troncal, una VLAN es designada como la nativa. Esta VLAN no aade ningn etiquetado a sus tramas pero s etiqueta las tramas de las dems VLANs. Si un PC de usuario pertenece a la VLAN nativa, el atacante puede aprovecharse de esta situacin.

Este ataque es unidireccional (no recibe respuesta) y slo puede utilizarse si el atacante se encuentra en la misma VLAN nativa que el puerto trunk, sin embargo, funciona aunque el puerto del atacante tenga el estado de trunking off.
Su filosofa consiste en etiquetar dos veces una trama, primero con la etiqueta de la VLAN destino y despus con la de la VLAN nativa. El atacante enva esta trama al primer switch y ste al ver que se dirige a la VLAN nativa, elimina su etiqueta e inunda la trama por todos los puertos de la VLAN nativa (en el caso que desconozca el destinatario), incluyendo a travs del enlace troncal, y conservando el etiquetado de la VLAN destino que insert el atacante. Cuando llega al segundo switch, ste observa que se dirige a la VLAN de destino e inunda la trama por todos los puertos de la VLAN destino (en el caso que desconozca el destinatario), consiguiendo con esto alcanzar una VLAN distinta sin pasar por un dispositivo de Capa 3.

Ataques VLAN Deshabilitar auto trunking para todas las interfaces: (Dentro del modo configuracin de interface del puerto a configurar) Switch(config-if)# switchport mode access Deshabilitar VTP: (Dentro del modo configuracin global) Switch(config)# vtp mode transparent Si es realmente necesario, usar la versin 2: (Dentro del modo configuracin global) Switch(config)# vtp version 2 Switch(config)# vtp password password-value Siempre utilizar una VLAN dedicada para los puertos trunk. Deshabilitar los puertos no utilizados y colocarlos en una VLAN no utilizada. No utilizar la VLAN 1 para nada. Colocar todos los puertos de los usuarios como non-trunking (Deshabilitar DTP): (Dentro del modo configuracin de interface del puerto a configurar) Switch(config-if)# switchport mode access Switch(config-if)# switchport nonegotiate