Seguridad en capa 2 para switches Cisco
La seguridad siempre tiene atención especial en las capas 3,4 y 7 obviando la capa que más tráfico maneja en nuestras redes de datos.
La capa 2, llamada Data Link Layer, utiliza protocolos específicos que en redes administrables algunos integradores tienden a olvidar su protección. El enfoque de un atacante a la capa 2 busca denegación de servicio, spoofing o starving de los recursos entregados por nuestra red.
Los ataques más comunes son:
1- Acceso no autorizado
2- Manipulación de CDP/LLDP
3- Mac Address Flooding
4- DHCP Starvation
5- DHCP Spoofing
6- ARP Spoofing/Poisoning
Iniciemos con los ataques mencionados, detallando los 3 primeros. Para conocer los demás te dejamos un Webinar al final del post para que disfrutes los laboratorios en vivo.
Acceso no autorizado
El acceso no autorizado consiste en dejar un puerto de red disponible/habilitado en alguna oficina o espacio común dentro de la empresa. Imaginemos un puerto de teléfono para invitados en una recepción o parqueo externo. Si el cableado está conectado a el switch y el puerto está habilitado, entonces tenemos una brecha de acceso a la red.
Para mitigar estos accesos debemos controlar los puertos habilitados de nuestro switch. Donde no sea necesario, debemos hacer un shutdown al puerto. Lo ideal es tener un sistema de monitoreo para observar en tiempo real los puertos activos de nuestros switches. Esto lo tratamos en otro post y puedes visitar aquí para conocer más.
CDP/LLDP
CDP (Cisco Discovery Protocol) o LLDP (Link Layer Discovery Protocol).
Es un protocolo de capa 2 para detectar equipos vecinos como switches, routers o teléfonos IP. Si el protocolo está habilitado, se envía un broadcast periódicamente informando la IP y MAC address del equipo a sus vecinos.
En los equipos como switches o routers se manejan varias interfaces. El protocolo se habilita por interfaces específicas, dando la flexibilidad de apagar o encenderlo en algunas interfaces que no necesitan informar su estatus.
Los teléfonos IP reciben su VLAN a través de CDP/LLDP de manera automática. El equipo envía un broadcast donde informa a su switch que es un teléfono. Conociendo esto, el switch envía una VLAN especial llamada la VLAN de VOZ con un DHCP independiente a la VLAN de data que está asignada a este puerto como acceso.
La recomendación es apagar el CDP o LLDP en los puertos que no necesitan informar en su red.
MAC Address Flooding
Consiste en inundar las tablas de MAC de los switches o routers para inhabilitar la grabación de MAC address reales de nuestra red. Esto se hace conectando un equipo malicioso capaz de suplantar la identidad de su MAC de manera dinámica con cambios cada 5 micro segundos.
Para mitigar este ataque configuramos los puertos con limites de MAC aprendidas desde un puerto específico. Algunos administradores limitan textualmente cada puerto a una MAC. Esto tiene su pro y contra ya que, al conectar otro equipo en este puerto nunca funcionará, imagínese una emergencia donde necesitamos acceso y no podemos por este filtrado de MAC.
Si deseas conocer más sobre estos ataques, su protección y ver el laboratorio en tiempo real, te invitamos a ver nuestro Webinar de seguridad en capa 2 para redes avanzadas.