10. Conceptos de seguridad de LAN.

Ataques de red actuales.

● Negación de servicio distribuido (DDoS): ataque coordinado desde muchos dispositivos con
la intención de degradar o detener acceso público al sitio web.
● Filtración de datos: ataque en el que los servidores de datos o los hosts de una organización
han sido comprometidos con el fin de robar información.
● Malware: ataque en que los hosts de una organización son infectados con software malicioso
que causa una serie de problemas.

Protección de terminales.

Los puntos terminales son hosts que generalmente consisten en computadoras portátiles,
computadoras de escritorio, servidores y teléfonos IP, así como dispositivos propiedad de los
empleados (BYOD), los puntos finales están más protegidos por una combinación de NAC, software
AMP basado en host, un dispositivo de seguridad de correo electrónico (ESA) y un dispositivo de
seguridad WEB (WSA).

Dispositivo de seguridad de correo electrónico Cisco (ESA).

El dispositivo Cisco ESA está diseñado para monitorear el protocolo simple de transferencia de
correo (SMTP), Cisco ESA se actualiza en tiempo real de Cisco Talos, el cual detecta y correlaciona
las amenazas con un sistema de monitoreo que utiliza una base de datos mundial.

funciones de Cisco ESA:

● Bloquear las amenazas.

● Remediar contra el malware invisible que evade la detección inicial.
● Descartar correos con enlaces malos.
● Bloquear el acceso a sitios recién infectados.
● Encriptar el contenido de los correos salientes para prevenir pérdida de datos.
Dispositivo de seguridad de la red de Cisco (WSA).

Cisco WSA proporciona un control completo sobre cómo los usuarios acceden a internet, ciertas
funciones y aplicaciones, como chat, mensajería, video y audio. La WSA puede realizar listas negras
de URL, filtrado de URL, escaneo de malware, categorización de URL, filtrado de aplicaciones web y
cifrado y descifrado del tráfico web.

Funcionamiento de WSA, cuando un usuario intenta conectarse a un sitio marcado en la lista negra.

● Un usuario intenta conectarse a un sitio web.

● El firewall reenvía la solicitud del sitio web a la WSA.
● La WSA evalúa la URL y determina si es un sitio en la lista negra, el WSA descarta el paquete
y envía un mensaje de acceso denegado al usuario.

Control de acceso.

Autenticación con una contraseña local.

SSH es un tipo de acceso remoto más seguro:

● Requiere un nombre de usuario y una contraseña, que se encriptan durante la transmisión.

● El nombre de usuario y la contraseña pueden ser autenticados por el método de base de
datos local.
● Proporciona más responsabilidad porque el nombre de usuario queda registrado cuando un
usuario inicia sesión.

Componentes AAA.

AAA significa autenticación, autorización y registro, estos servicios proporcionan el marco principal
para ajustar el control de acceso en un dispositivo de red, AAA es un modo de controlar quién tiene
permitido acceder a una red (autenticar), controlar lo que las personas pueden hacer mientras se
encuentran allí (autorizar) y qué acciones realizan mientras acceden a la red (registrar).
Autenticación AAA local.

Los AAA locales guardan los nombres de usuario y contraseñas localmente en un dispositivo de red
como el router de cisco, los usuarios se autentican contra la base de datos local, AAA local es ideal
para las redes pequeñas.

Funcionamiento:

● El cliente establece una conexión con el router.

● El router AAA solicita al usuario un nombre de usuario y una contraseña.
● El router auténtica el nombre de usuario y la contraseña mediante la base de datos de local y
el usuario obtiene acceso.

Autenticación AAA basada en el servidor.

Con el método basado en servidor, el router accede a un servidor central de AAA, el servidor AAA
contiene los nombres de usuario y contraseñas de todos los usuarios, el router AAA usa el protocolo
TACACS+ o protocolo RADIUS, para comunicarse con el servidor AAA.

Funcionamiento:

● El usuario establece una conexión con el router.

● El router AAA solicita al usuario un nombre de usuario y una contraseña.
● El router auténtica el nombre de usuario y la contraseña mediante un servidor de AAA
remoto.
● El usuario obtiene acceso a la red en función de la información en el servidor AAA remoto.

Autorización.

La autenticación es automática y no requiere que los usuarios tomen medidas adicionales después
de la autenticación, la autorización utiliza un conjunto de atributos que describe el acceso del
usuario a la red.

Funcionamiento:

● Cuando un usuario ha sido autenticado, una sesión es establecida entre el router y el

servidor AAA.
● El router pide autorización al servidor AAA para la solicitud de servicio del cliente.
● El servidor AAA responde con un PASS/FAIL a la solicitud.
Registro.

El registro de AAA recopila y reporta datos de uso, el registro contiene varios campos de datos,
incluidos el nombre de usuario, la fecha y hora, y el comando real que introdujo el usuario.

Funcionamiento:

● Cuando se autentica a un usuario, el proceso de registro AAA genera un mensaje para

comenzar el proceso de contabilidad.
● Cuando el usuario termina, se registra un mensaje de finalización y se da por terminado el
proceso de contabilidad.

802.1X

El estándar IEEE 802.1X define un control de acceso y un protocolo de autenticación basados en

puertos, este protocolo evita que las estaciones de trabajo no autorizadas se conecten a una LAN a
través de puertos de switch de acceso público.

Con la autenticación 802.1X basada en puertos, los dispositivos de la red cumplen roles específicos:

Cliente (suplicante): dispositivo ejecutando software de cliente 802.1X.

Switch (autenticador): el switch funciona como como intermediario (proxy) entre el cliente y el
servidor de autenticación.
Servidor de autenticación: valida la identidad del cliente y notifica al switch o al punto de acceso
inalámbrico si el cliente está o no autorizado.
Amenazas de seguridad de capa 2.

Categorías de ataques a switches.

los ataques contra la infraestructura LAN de capa 2 se describen en la tabla

Layer 2 attacks

Categoría Ejemplos

Ataques a la tabla MAC Incluye ataques de saturación de direcciones

MAC

Ataques de VLAN Incluye ataques VLAN hopping y VLAN double

tagging

Ataques de DHCP Incluye ataques de agotamiento y suplantación

DHCP

Ataques ARP Incluye la suplantación de ARP y los ataques de

envenenamiento de ARP

Ataques de suplantación de direcciones Incluye los ataques de suplantación de

direcciones MAC e IP

Ataque de STP Incluye ataques de manipulación al protocolo

de árbol de extensión.

Técnicas de mitigación en el switch.

Layer 2 attack mitigation

Solución Descripción

Seguridad de puertos Previene muchos tipos de ataques incluyendo

ataques MAC address flooding ataque por
agotamiento del DHCP

DHCP Snooping Previene ataques de suplantación de identidad

y de agotamiento de DHCP

Inspección ARP dinámica (DAI) Previene la suplantación de ARP y los ataques

de envenenamiento de ARP

Protección de IP de origen (IPSG) Impide los ataques de suplantación de

direcciones MAC e IP
Ataque de tablas de direcciones MAC.

Saturación de tablas de direcciones MAC.

Los ataques de saturación de direcciones MAC aprovechan la limitación de tamaño fijo de las tablas
MAC al bombardear el switch con direcciones MAC de origen falsas hasta que la tabla MAC del
switch se llene

Cuando esto ocurre, el switch trata la trama como un unicast desconocido y comienza a inundar
todo el tráfico entrante por todos los puertos en la misma VLAN sin hacer referencia a la tabla MAC,
esta condición permite que un atacante capture todas las tramas enviadas desde un host a otro en la
LAN local o VLAN local.

Mitigación de ataques a la tabla de direcciones MAC.

Para mitigar los ataques de saturación de la tabla de direcciones MAC, los administradores de red
deben implementar la seguridad del puerto, esto permitirá que el puerto aprenda solo un número
específico de direcciones MAC de origen.

Ataque VLAN Hopping.

El VLAN hopping permite que una VLAN pueda ver el tráfico de otra VLAN sin cruzar primero un
router, en un ataque de VLAN hopping básico, el atacante configura un host para que actúe como un
switch para aprovechar la función de enlace troncal automático habilitada de forma
predeterminada en los puertos switch, el atacante puede enviar y recibir tráfico en cualquier VLAN,
saltando efectivamente entre VLAN.

Ataque VLAN Double-Tagging

Un atacante, en situaciones específicas, podría insertar una etiqueta 802.1Q oculta dentro de la
trama que ya tiene una etiqueta 802.1Q, esta etiqueta permite que la trama envíe a una VLAN que la
etiqueta 802.1Q externa no especificó.

Un ataque VLAN double-tagging es unicast y funciona unidireccional, y funciona cuando el atacante

está conectado a un puerto que reside en la misma VLAN que la VLAN nativa del puerto troncal, el
doble etiquetado permite al atacante enviar datos a hosts o servidores en una VLAN.
Mitigación de ataques a VLAN.

los ataques de VLAN hopping y VLAN double-tagging se puede evitar mediante la implementación
de las siguientes pautas de seguridad troncal:

● Deshabilitar troncal en todos los puertos de acceso.

● Deshabilitar el enlace troncal automático en enlaces troncales para poder habilitarlos de
manera manual.
● Asegurarse que la VLAN nativa solo se usa para los enlaces troncales.

Mensajes DHCP.

Los servidores DHCP, de manera dinámica, proporcionan información de configuración de IP a los

clientes, como la dirección IP, la máscara de subred, el gateway predeterminado y los servidores
DNS.

Ataques DHCP.

Los dos tipos de ataques DHCP son agotamiento y suplantación de identidad.

Ataque por agotamiento DHCP: el objetivo de un ataque de agotamiento DHCP es crear un DDoS
para la conexión de clientes, los ataques de agotamiento de DHCP requieren una herramienta de
ataque, como gobbler.

Ataque de suplantación DHCP: se produce cuando un servidor DHCP no autorizado se conecta a la

red y brinda parámetros de configuración IP falsos a los clientes legítimos, un servidor no
autorizado puede proporcionar una variedad de información engañosa:

● Puerta de enlace predeterminada incorrecta

● Servidor DNS incorrecto.
● Dirección IP incorrecta.

Ataques ARP.

Un ataque ARP consiste en que un atacante puede enviar un mensaje ARP gratuito al switch y el
switch podría actualizar su tabla MAC de acuerdo a esto, por lo que cualquier host puede reclamar
ser el dueño de cualquier combinación de direcciones IP y MAC que ellos elijan, en un ataque típico
el atacante puede enviar respuestas ARP, no solicitas a otros hosts en la subred con la dirección MAC
del atacante y la dirección IP de la puerta de enlace predeterminada.
Ataque de suplantación de dirección.

El ataque de suplantación de identidad se da cuando un atacante secuestró una dirección IP válida

de otro dispositivo en la subred o usa una dirección IP al azar.

Los atacantes cambian la dirección MAC de su host para que coincida con la dirección MAC conocida
de un host objetivo.

La suplantación de identidad de direcciones IP y direcciones MAC puede ser mitigada

implementando IPSG.

Ataque de STP.

Un ataque de STP consiste en que un atacante transmite unidades de datos de protocolo de puente
STP (BPDU), que contienen cambios de configuración y topología que forzaran los re-cálculos de
árbol de expansión.

El ataque STP es mitigado implementando BPDU Guard en todos los puertos de acceso.

Reconocimiento CDP.

Cisco Discovery Protocol (CDP) es un protocolo de detección de enlaces de capa 2 patentado, está
habilitado en todos los dispositivos de Cisco de manera predeterminada, CDP puede detectar
automáticamente otros dispositivos con CDP habilitado y ayudar a configurar automáticamente la
conexión, los administradores de red también usan CDP para configurar dispositivos de red y
solucionar problemas.

Las transmisiones CDP se envían sin encriptación ni autenticación, por lo que un atacante puede
interferir con la infraestructura de la red enviando tramas CDP fabricadas con información falsa.

Para mitigar la explotación de CDP, se debe limitar el uso de CDP en los dispositivos o puertos, por
ejemplo deshabilitar CDP en los puertos de extremo que se conectan a dispositivos no confiables.

Configuración de seguridad del Switch.

Asegurar los puertos sin utilizar.

El método simple que muchos administradores usan para contribuir a la seguridad de la red ante
accesos no autorizados es inhabilitar todos los puertos del switch que no se utilicen.
Mitigación de ataques por saturación de tabla de direcciones MAC.

El método simple y eficaz para evitar ataques por saturación de la tabla de direcciones MAC es
habilitar el port security.

La seguridad de puertos limita la cantidad de direcciones MAC válidas permitidas en el puerto,

permite a un administrador configurar manualmente las direcciones MAC para un puerto o permitir
que el switch aprenda dinámicamente un número limitado de direcciones MAC.

Habilitar la seguridad del puerto.

El comando switchport port-security solo se puede configurar en puertos de acceso o trunks

configurados manualmente.

Limitar y aprender direcciones MAC.

Para poner el número máximo de direcciones MAC permitidas en un puerto se usa el comando
switchport port-security maximum [número de direcciones MAC].

Vencimiento de la seguridad del puerto.

El vencimiento de la seguridad del puerto puede usarse para poner el tiempo de de vencimiento de
las direcciones seguras estaticas y dinamicas en un puerto, hay dos tipos por puerto:

● Absoluto: las direcciones seguras en el puerto se eliminan después del tiempo de caducidad
especificado.
● Inactivo: las direcciones seguras en el puerto se eliminan solo si están inactivas durante el
tiempo de caducidad especificado.

El vencimiento se utiliza para eliminar las direcciones MAC seguras en un puerto seguro sin
necesidad de eliminar manualmente las direcciones MAC existentes.
Seguridad de puertos: modos de violación de seguridad.

Si la dirección MAC de un dispositivo conectado al puerto difiere de la lista de direcciones seguras,

entonces ocurre una violacion de puerto, el puerto entra en el estado error-disabled de manera
predeterminada.

Descripción de los modos de violación de seguridad

Del router Descripción

Shutdown (predeterminados) El puerto transiciona al estado de

error-disabled inmediatamente, el
administrador debe rehabilitador con los
comandos shutdown y no shutdown

Restrict El puerto descarta los paquetes con direcciones

MAC de origen desconocidas hasta que se
renueva un número suficiente de direcciones
MAC seguras

Protect Modo menos seguro

Descripción de los modos de violación de seguridad

Modo de Descarta el Envía mensaje de Incrementa el Desactiva el

violación tráfico ofensor syslog contador de puerto
violaciones

Protect Si No No No

Restrict Si Si Si No

Apagado Si Si Si Si
Mitigación de ataques de VLAN.

Pasos para mitigar ataques de VLAN hopping.

● Deshabilitar la negociación DTP en puertos que no sean enlaces mediante el switchport

mode access.
● Deshabilitar los puertos no utilizados y colocarlos en una VLAN no utilizada.
● Activar manualmente el enlace troncal en un puerto de enlace troncal.
● Deshabilitar las negociaciones DTP en los puertos de enlace mediante switchport
nonegotiate.
● Establecer la VLAN nativa en otra VLAN que no sea la VLAN 1

Mitigación de ataques de DHCP

Indagación de DHCP.

La inspección de DHCP determina si los mensajes de DHCP vienen de una fuente configurada
administrativamente como confiable o no confiable, luego filtra los mensajes DHCP y limita la
velocidad del tráfico DHCP viniendo de fuentes no confiables.

Los dispositivos que estén bajo su control administrativo como switches, routers y servidores, son
fuentes confiables, cualquier dispositivo más allá del cortafuegos fuera de su red son fuentes no
confiables.

Pasos para implementar DHCP Snooping:

● Habilitar DHCP snooping mediante el comando ip dhcp snooping.

● En puertos de confianza, se configuran las interfaces con el comando ip dhcp snooping trust.
● Limitar la cantidad de mensajes de descubrimiento de DHCP que puede recibir por segundo
en puertos no confiables con el comando ip dhcp snooping limit rate.
● Habilitar DHCP snooping por VLAN o en un rango de VLAN.

Mitigación de ataques de ARP.

La inspección dinámica (DAI) requiere DHCP snooping y ayuda a prevenir ataques ARP así:

● No retransmitiendo respuestas ARP inválidas o gratuitas a otros puertos en la misma VLAN.

● Intercepta todas las solicitudes y respuestas ARP en puertos no confiables.
● Verificando cada paquete interceptado para un enlace IP-to-MAC válido.
● Descarte y registro de respuestas no válidas de ARP para evitar el envenenamiento por ARP.
● Error-disbling deshabilita la interfaz si se excede el número de DAI configurado de paquetes
ARP.
Pautas de implementación DAI:

● Habilitar la detección de DHCP.

● Habilitar la detección de DHCP en las VLAN seleccionadas.
● Habilitar el DAI en las VLANs seleccionadas.
● Configurar las interfaces de confianza para la detección de DHCP y la inspección de ARP.

Mitigación de ataques de STP.

PortFast y protección BPDU.

Para mitigar los ataques de manipulación del protocolo de árbol de expansión (STP), use PortFast y
la unidad de datos de protocolo de puente (BPDU) Guard:

● PortFast: portfast trae inmediatamente una interfaz configurada como puerto de acceso o
troncal al estado de reenvio desde un estado de bloqueo, sin pasar por los estados de
escucha y aprendizaje, se configura en interfaces conectadas a dispositivos finales.
● Protección BPDU: el error de protección BPDU deshabilita inmediatamente un puerto que
recibe una BPDU, solo se configuran en interfaces conectadas a dispositivos finales.

Conceptos de ACL.

Filtrado de paquetes.

El filtrado de paquetes controla el acceso a una red mediante el análisis de los paquetes entrantes y
salientes y la transferencia o el descarte de estos, el filtrado de paquetes se produce en la capa 3 o 4.

Los enrutadores cisco admiten dos tipos de ACL:

ACL estándar: solo filtran en la capa 3 utilizando únicamente la dirección IPv4 de origen.
ACL extendida: filtran en la capa 4 usando TCP, puertos UDP e información de tipo de protocolo
opcional para un control más fino.

Funcionamiento de las ACL.

Las ACL definen el conjunto de reglas que proporciona un control adicional para los paquetes que
ingresan por las interfaces de entrada.

Las ACL se pueden configurar para aplicarse al tráfico entrante y al tráfico saliente:

ACL entrante: filtra los paquetes antes de que se enrutar a la interfaz saliente, son frecuentes porque
ahorran sobrecarga de enrutar búsquedas si el paquete se descarta.
ACL saliente: filtran los paquetes después de que se enrutan independientemente de la interfaz de
entrada, los paquetes entrantes se enrutan a la interfaz saliente y luego se procesan a través de la
ACL saliente.

Palabras clave de las máscaras wildcard.

Cisco IOS proporciona dos palabras clave para identificar los usos más comunes del
enmascaramiento de comodines, las dos palabras clave son:

● Host: esta palabra clave sustituye a la máscara 0.0.0.0, esta máscara indica que todos los bits
de direcciones IPv4 deben coincidir para filtrar solo una dirección de host.
● Any: esta palabra clave sustituye a la máscara 255.255.255.255, esta máscara establece que
se omita la dirección Pv4 completa o que se acepte cualquier dirección.

Pautas para la creación de ACL.

Limitado número de ACL por interfaz.

Existe un límite en el número de ACL que se pueden aplicar en una interfaz de enrutador, una
interfaz de enrutador de doble apilado (IPv4 e IPv6) puede tener hasta cuatro ACL aplicadas, una
interfaz de router puede tener:

● Una ACL IPv4 saliente.

● Una ACL IPv4 entrante.
● Una ACL IPv6 entrante.
● Una ACL IPv6 saliente.
Optimizaciones de las ACL.

El uso de las ACL requiere prestar atención a los detalles y un extremo cuidado.

La tabla presenta pautas que forman la base de una lista de mejoras prácticas de ACL.

Pautas Ventajas

Fundamente sus ACL según las políticas de Asegura la implementación de las pautas de
seguridad de la organización. seguridad de la organización

Escribe lo que quieres que haga la ACL Ayuda a evitar crear inadvertidamente acceso
potential al switch

Utilice un editor de texto para crear, editar y Ayuda a crear una biblioteca de ACL
guardar las ACL reutilizables

Documentar las ACL mediante el comando de Ayuda a entender el propósito de un ACE

observación

Pruebe las ACL en una red de desarrollo antes Ayuda a evitar errores costosos
de implementarlas en una red de producción

Tipos de ACL IPv4.

Existen dos tipos de ACL IPv4:

ACL estándar: permiten o deniegan paquetes basados únicamente en la dirección IPv4 de origen.
ACL extendidas: permiten o deniegan paquetes basados en la dirección IPv4 de origen y la dirección
IPv4 de destino, el tipo de protocolo, los puertos TCP o UDP de origen y destino.

Listas ACL denominadas y numeradas.

ACLs numeradas: las ACL número 1 a 99, o 1300 a 1999 son ACL estándar, mientras que las ACL
número 100 a 199, o 2000 a 2699 son ACL extendidas.
ACL nombradas: Las ACL con nombre son el método preferido para configurar ACL, las ACL
estándar y extendidas se pueden nombrar para proporcionar información sobre el propósito de la
ACL.
Dónde ubicar las ACL.

Cada ACL se debe colocar donde tenga más impacto en la eficiencia.

Las ACL extendidas deben ubicarse lo más cerca posible del origen del tráfico que se desea filtrar,
así el tráfico no deseado se deniega cerca de la red de origen, sin que cruce la infraestructura de red.
Las ACL estándar deben aplicarse lo más cerca posible del origen, si una ACL se ubicada en el origen
del tráfico, la instrucción ‘permit’ o ‘deny’ se ejecutará según la dirección de origen determinada
independientemente de dónde se dirige el tráfico.

La colocación de la ACL también puede depender de una variedad de factores que se enumeran en la
tabla:

Factores que influyen en la colocación de ACL Explicación

El alcance del control organizacional La ubicación de la ACL puede depender de si la

organización tiene o no las redes origen y de
destino

Ancho de banda de las rede implicadas Puede ser deseable filtrar el tráfico no deseado
en el origen para evitar transmisión de tráfico
que consume ancho de banda.

Ease of configuration Puede ser más fácil implementar una ACL en el

destino, pero el tráfico utilizara el ancho de
banda innecesariamente.

Se podría usar una ACL extendida en cada

enrutador donde el tráfico se originó, esto
ahorra ancho de banda filtrando el tráfico en la
fuente, pero requiere crear ACL extendidas en
múltiples adyacentes.