INFO04

Seguridad de L2 y WLAN

Módulos 10-13

Conceptos de seguridad de lan

Los punto terminales son particularmente susceptibles a ataques malware que se originan a través de correo electrónico o el navegador web, como DDOS, filtración de datos y malware. Estos puntos terminales suelen utilizar características de seguridad tradicionales basadas en host, como antivirus/antimalware, firewalls basados en host y sistemas de prevención de intrusiones (HIPSs) basados en host

Los puntos terminales son hosts que generalmente consisten en computadoras portátiles, computadoras de escritorio, servidores y teléfonos IP, así como dispositivos propiedad de los empleados (BYOD). Los puntos terminales son particular mente susceptibles a ataques relacionados con malware que se originan a través del correo electrónico o la navegación web.

El dispositivo Cisco ESA está diseñado para monitorear el Protocolo Simple de Transferencia de Correo (SMTP). Cisco ESA se actualiza en tiempo real de Cisco Talos, quien detecta y correlaciona las amenazas con un sistema de monitoreo que utiliza una base de datos mundial. Cisco ESA extrae estos datos de inteligencia de amenazas cada tres o cinco minutos.

El dispositivo Cisco ESA está diseñado para monitorear el Protocolo Simple de Transferencia de Correo (SMTP). Cisco ESA se actualiza en tiempo real de Cisco Talos, quien detecta y correlaciona las amenazas con un sistema de monitoreo que utiliza una base de datos mundial. Cisco ESA extrae estos datos de inteligencia de amenazas cada tres o cinco minutos.

El VLAN Hopping permite que una VLAN pueda ver el tráfico de otra VLAN sin cruzar primero un router. En un ataque de VLAN Hopping básico, el atacante configura un host para que actúe como un switch para aprovechar la función de entroncamiento automático habilitada de forma predeterminada en la mayoría de los puertos del switch.

En la figura, una captura de Wireshark de ejemplo, muestra el contenido de un paquete de CDP. El atacante puede identificar la versión del software Cisco IOS del dispositivo. Esto permite que el atacante determine si hay vulnerabilidades de seguridad específicas a esa versión determinada de IOS.

CONFIGURACIÓN DE SEGURIDAD DE SWITCH

El objetivo de un ataque de inanición de DHCP es crear una denegación de servicio(DoS) para la conexión de los clientes. Los ataques de suplantación de DHCP se pueden mitigar mediante el uso de detección DHCP en puertos confiables. La inspección DHCP determina si los mensajes DHCP provienen de una fuente confiable o no confiable configurada administrativamente.

PortFast - PortFast trae inmediatamente una interfaz configurada como puerto de acceso o troncal al estado de reenvío desde un estado de bloqueo, sin pasar por los estados de escucha y aprendizaje. Aplicar a todos los puertos de acceso de usuario final. PortFast solo debe configurarse en interfaces conectadas a dispositivos finales. PortFast omite los estados de escucha y aprendizaje de STP para minimizar el tiempo que los puertos de acceso deben esperar a que STP converja. Si habilita PortFast en un puerto que se conecta a otro switch, corre el riesgo de crear un bucle de árbol de expansión.

Se deben proteger todos los puertos (interfaces) del switch antes de implementar el dispositivo para la producción. El método más simple y eficaz de evitar ataques por saturación de la tabla de direcciones MAC es habilitar la seguridad de puertos. Los puertos capa 2 del switch están definidos como dynamic auto (troncal encendido), de manera predeterminada.

Para mitigar las probabilidades de ARP spoofing Y ARP poisoning, siga estas pautas de implementación DAIHabilite la detección de DHCP en las VLAN seleccionadas. Habilite el DAI en los VLANs seleccionados. Configure las interfaces de confianza para la detección de DHCP y la inspección de ARP ("no confiable" es la configuración predeterminada).

DAI se puede configurar para revisar si hay direcciones MAC e IP de destino o de origen: MAC de destino - comprueba la dirección MAC de destino en el encabezado de Ethernet con la dirección MAC de destino en el cuerpo ARP. MAC de origen - comprueba la dirección MAC de origen en el encabezado de Ethernet con la dirección MAC del remitente en el cuerpo ARP. Dirección IP - comprueba el cuerpo ARP en busca de direcciones IP no válidas e inesperadas, incluidas las direcciones 0.0.0.0, 255.255.255.255 y todas las direcciones de multidifusión IP.

No retransmitiendo respuestas ARP invalidas o gratuitas a otros puertos en la misma VLAN. Intercepta todas las solicitudes y respuestas ARP en puertos no confiables. Verificando cada paquete interceptado para un enlace IP-to-MAC válido. Descarte y registre respuestas de ARP inválidas para evitar el envenenamiento por ARP. Error-disabling deshabilita la interfaz si se excede el número DAI configurado de paquetes ARP.

CONCEPTOS DE WLAN

El estándar 802.11 identifica dos modos principales de topología inalámbrica: modo Ad hoc y modo Infraestructura. El anclaje a red es usado para proveer un acceso inalámbrico rápido. El modo de infraestructura define dos bloques de construcción de topología: un conjunto de servicios básicos (BSS) y un conjunto de servicios extendidos (ESS). Todas las tramas 802.11 contienen los siguientes campos: control de frame, duración, dirección 1, dirección 2, dirección 3, control de secuencia y dirección 4. WLANs usan CSMA/CA como el método para determinar cómo y cuándo enviar datos en la red. Una parte importante del proceso 802.11 es descubrir una WLAN y conectarse a esta. Los dispositivos inalámbricos descubren un AP inalámbrico, se autentican con él y luego se asocian con él. Los clientes inalámbricos se conectan al AP mediante un proceso de exploración (sondeo) pasivo o activo.

El estándar 802.11 identifica dos modos principales de topología inalámbrica: modo Ad hoc y modo Infraestructura. El anclaje a red es usado para proveer un acceso inalámbrico rápido. El modo de infraestructura define dos bloques de construcción de topología: un conjunto de servicios básicos (BSS) y un conjunto de servicios extendidos (ESS). Todas las tramas 802.11 contienen los siguientes campos: control de frame, duración, dirección 1, dirección 2, dirección 3, control de secuencia y dirección 4. WLANs usan CSMA/CA como el método para determinar cómo y cuándo enviar datos en la red. Una parte importante del proceso 802.11 es descubrir una WLAN y conectarse a esta. Los dispositivos inalámbricos descubren un AP inalámbrico, se autentican con él y luego se asocian con él. Los clientes inalámbricos se conectan al AP mediante un proceso de exploración (sondeo) pasivo o activo.

DAI se puede configurar para revisar si hay direcciones MAC e IP de destino o de origen: MAC de destino - comprueba la dirección MAC de destino en el encabezado de Ethernet con la dirección MAC de destino en el cuerpo ARP. MAC de origen - comprueba la dirección MAC de origen en el encabezado de Ethernet con la dirección MAC del remitente en el cuerpo ARP. Dirección IP - comprueba el cuerpo ARP en busca de direcciones IP no válidas e inesperadas, incluidas las direcciones 0.0.0.0, 255.255.255.255 y todas las direcciones de multidifusión IP.

Para comunicarse de forma inalámbrica, la mayoría de los dispositivos incluyen NIC inalámbricas integradas que incorporan un transmisor / receptor de radio. El router inalámbrico sirve como un punto de acceso, un switch, y un router. Los clientes inalámbricos usan su NIC inalámbrica para descubrir puntos de acceso cercanos compartiendo el SSID Luego, los clientes intentan asociarse y autenticarse con un AP. Después de ser autenticados, los usuarios inalámbricos tienen acceso a los recursos de la red. Los AP se pueden clasificar como AP autónomos o AP basados en controladores. Hay tres tipos de antenas para AP de clase empresarial: omnidireccionales, direccionales y MIMO..

Autor: Yamilet Cristel Vazqueza S.Act.:Info4 , Fecha:04/04/24 , Grupo: 6M