vins villaplana - seguridad en capa de enlace [rootedcon 2011]

Vins Vilaplana

[email protected]

Introducción

¿Qué entendemos por capa de enlace?

¿Por qué es importante?

¿Seguridad? ¿En qué afecta?

Introducción

Erase una vez…

Topologías simples

Anillo Estrella Bus Malla

Erase una vez…

Vicios.

Erase una vez…

Multiples direccionamientos lógicos

Erase una vez…interface Vlan1234

ip address 10.0.0.254 255.255.255.0 secondary








ip address 10.100.15.2 255.255.255.0

standby 1 ip 10.100.15.3

standby 1 priority 99

standby 2 ip 172.1.28.3


standby 3 ip 172.1.28.35


standby 3 preempt

standby 4 ip 172.1.28.131


Erase una vez…

Tráfico heterogéneo

Erase una vez…

Protocolos mal configurados

Erase una vez…

Multiples direccionamientos lógicos

Tráfico heterogéneo

Protocolos mal configurados

Hoy día…

Evolución de las topologías

Anillo Estrella Bus Malla

Hoy día…

Topologías

complejas

• Conectividad heterogénea

• Distanciamiento físico y lógico

• Demasiada conmutación

Hoy día…

• Especialización del hardware

• Ampliación de funcionalidades

Riesgos y amenazas

Clasificación

• Implementación

• Diseño de protocolo

ARP

Inconvenientes

• Mensajes anónimos

• ARPs gratuitos

• Inundación de Vlan

• Respuestas ARP unicast

ARP

Ataques

• Denegación de Servicio

• Espiar tráfico

• Ataques MITM

• Robar puertos

ARP

Soluciones

• Activar ip arp inspection

• Activar port security

• Activar macsec

• Cifrar tráfico

• Modo PARANOIC

STP

Inconvenientes

• Menajes anónimos

• No hay chequeos

• Convergencia lenta

• No hay balanceo de carga

STP

Ataques


• Bypass de equipos

• Ataques MITM

• Espiar tráfico

STP

Soluciones

• Activar bpdu / root / loop guard

• Activar portfast

•Limitar broadcasts

• Activar etherchannel guard

• Activar bpdu filtering

VTP

Inconvenientes


• No hay chequeos

VTP

Ataques


• Reconfigurar Vlanes de otros switches

• Crear, borrar, modificar Vlanes

VTP

Soluciones

• Activar hashing md5

• En entornos pequeños, no usar VTP

DHCP

Inconvenientes

• Cualquiera puede ser servidor DHCP

• Sin cifrar

DHCP

Ataques


• Levantar un servidor DHCP

• Forzar un cambio de IP

DHCP

Soluciones

• Filtrar por mac

• Activar ip dhcp snooping

Redundancia

Inconvenientes

• Falsas apariencias

• MACs cantosas

HSRP: 00-00-0c-07-ac-xxVRRP/CARP: 00-00-5e-00-01-xx

Redundancia

Ataques


• Forzar equipo activo / master

Redundancia

Soluciones

• ¿Cifrar? ¿IPSEC? ¿Autenticar?

• Cambiar MAC

• Controlar el acceso al medio

• Activar 802.1x

DTP / Vlan Tagging

Inconvenientes

• DTP activo por defecto

• No descarta tags

DTP / Vlan Tagging

Ataques

• Crear trunks

• Saltar de VLAN

DTP / Vlan Tagging

Soluciones

• Desactivar negociación DTP

• Activar VRF

• Desactivar puertos sin uso

• ¡No usar vlan 1 para nada!

CDP

Inconvenientes


• Sin cifrar

CDP

Ataques

• Obtención de información

• Crear dispositivos virtuales

• DoS (B.O. Fx)

CDP

Soluciones

• Desactivar CDP

• Limitar CDP a redes de gestión

802.1x / EAP

Inconvenientes

• Gran despliegue de infraestructura

• Solo autentica al iniciar la conexión

• Implementación limitada

• Afecta a la estabilidad de la red

802.1x / EAP

Ataques


• EAP-LEAP

• Shadow host

802.1x / EAP

Soluciones

• EAP-PEAP o EAP-TTLS

• Cisco MAB

• OpenSEA

MPLS / VRF

Inconvenientes

• Ninguno.

MPLS / VRF

Ataques

• Revelación de etiquetas o rutas

• Protocolos externos

• Inyección de etiquetas

• Modificación de rutas

MPLS / VRF

Soluciones

• Configuración adecuada

Cisco IOS

Inconvenientes

• Arquitectura rudi

• Imagen firmware

• Código inseguro

• Ejecución de código

Cisco IOS

Ataques

• Cambiar configuración

• Ganar acceso privilegiado (enable)

• Infectar otros equipos

• Matar procesos (autenticación, logging)

Cisco IOS

Soluciones

• Evitar obsolescencia

• Gestión proactiva de la plataforma

• Controlar imagen exterior

Ruegos y preguntas

Despedida

• Agradecimientos

Anexo I :: Referencias

• Documentación técnica

Securing Layer 2 in LAN (Altunbasak, Krasser, Owen, Grimminger, Huth y Sokol)

http://users.ece.gatech.edu/~owen/Research/Conference%20Publications/altunbasak_ICN2005.pdf

A Survey of BGP Security Issues and Solutions (T. Farley, P. McDaniel y Kevin Butler)

http://www.cs.purdue.edu/homes/ninghui/readings/TruSe_fall04/td-5ugj33.pdf

Secure Use of VLANs: An @stake Security Assessment

http://www.cisco.com/warp/public/cc/pd/si/casi/ca6000/tech/stake_wp.pdf



Fun with Ethernet switches (Sean Connery)

http://www.blackhat.com/presentations/bh-usa-02/bh-us-02-convery-switches.pdf

ARP Vulnerabilities (Mike Beekey)

http://www.blackhat.com/presentations/bh-usa-01/MikeBeekey/bh-usa-01-Mike-Beekey.ppt

Protecting your IP network infrastructure (Nicolas Fischbach y Sebastien Lacoste-Seris)

http://www.blackhat.com/presentations/bh-europe-01/fischbach/bh-europe-01-fischbach.ppt



Understanding, Preventing, and Defending Against Layer 2 Attacks (Yusuf Bhaiji)

http://www.cisco.com/web/ME/exposaudi2009/assets/docs/layer2_attacks_and_mitigation_t.pdf

Cisco IOS Shellcode And. Exploitation Techniques (Michael Lynn)

http://www.jwdt.com/~paysan/lynn-cisco.pdf

Killing the myth of Cisco IOS rootkits (Sebastian Muñiz)

http://eusecwest.com/esw08/esw08-muniz.pdf


• Herramientas

Mausezahn (Herbert Haas)

http://www.perihel.at/sec/mz

Yersinia (Slayer y Tomac)

http://www.yersinia.net

Taranis (Jonathan Wilkins)

http://www.bitland.net/taranis

Hunt (Pavel Krauz)

http://packetstorm.securify.com/sniffers/hunt/indexsize.shtml


• Herramientas

Ettercap (Alor y Naga)

http://ettercap.sf.net

Guillermo Marro, Seclab

SToP y storm

Dsniff (Dug Song)

http://monkey.org/~dugsong/dsniff

irm-mpls-tools

http://www.irmplc.com/researchlab/tools

vins villaplana - seguridad en capa de enlace [rootedcon 2011]

Documents