Amenazas a Seguridad de Capa 2
Resumen
Este tema identifica las vulnerabilidades de la Capa 2. ¡¡Empieza a aprender CCNA 200-301 gratis ahora mismo!!
¡Bienvenido!: Este tema forma parte del Módulo 10 del curso de Cisco CCNA 2, para un mejor seguimiento del curso puede ir a la sección CCNA 2 para guiarte del índice.
Tabla de Contenido
1. Vulnerabilidades de Capa 2
Los dos temas anteriores discutieron seguridad en puntos terminales. En este tema, vas a seguir aprendiendo sobre formas de asegurar una LAN, enfocándose en las tramas de la Capa de Enlace (Capa 2) y el switch.
Recuerda que el modelo de referencia OSI está dividido en siete capas, las cuales trabajan de manera independiente una de otra. La figura muestra la función de cada capa y los principales componentes que pueden ser explotados.
Los administradores de red regularmente implementan soluciones de seguridad para proteger los componentes en la Capa 3 y hasta la Capa 7. Ellos usan VPNs, firewalls, y dispositivos IPS para proteger estos elementos. Si la Capa 2 se ve comprometida, todas las capas superiores también se ven afectadas. Por ejemplo, si un atacante con acceso a la red interna captura las tramas de la Capa 2, entonces toda la seguridad implementada en las capas anteriores sería inútil. El atacante podría causar mucho daño en la infraestructura de red LAN de Capa 2.
2. Categorías de Ataques a Switches
La seguridad es solamente tan sólida como el enlace más débil en el sistema, y la Capa 2 es considerada el enlace más débil. Esto se debe a que las LAN estaban tradicionalmente bajo el control administrativo de una sola organización. Nosotros confiábamos inherentemente en todas las personas y dispositivos conectados a nuestra LAN. Hoy, con BYOD y ataques más sofisticados, nuestras LAN se han vuelto más vulnerables a la penetración. Además de proteger de la Capa 3 a la Capa 7, los profesionales de seguridad de red también deben mitigar los ataques a la infraestructura LAN de la Capa 2.
El primer paso para mitigar los ataques a la infraestructura de Capa 2 es comprender el funcionamiento de la Capa 2 y las amenazas de la infraestructura de Capa 2.
Los ataques contra la infraestructura LAN de capa 2 se describen en la tabla y se analizan con más detalle más adelante en este módulo
Ataques de Capa 2
| Categoría | Ejemplos |
|---|---|
| Ataques a la tabla MAC | Incluye ataques de saturación de direcciones MAC. |
| Ataques de VLAN | Incluye ataques VLAN Hopping y VLAN Double-Tagging Esto tambien incluye ataques entre dispositivos en una misma VLAN. |
| Ataques de DHCP | Incluye ataques de agotamiento/starvation y suplantación/spoofing DHCP. |
| Ataques ARP | Incluye la suplantación/spoofing de ARP y los ataques de envenenamiento/poisoning de ARP. |
| Ataques de Suplantación de Direcciones | Incluye los ataques de suplantación/spoofing de direcciones MAC e IP. |
| Ataque de STP | Incluye ataques de manipulación al Protocolo de Árbol de Expansión |
3. Técnicas de Mitigación en el Switch
La tabla provee una visión general de soluciones Cisco para mitigar ataques en Capa 2.
Mitigación de Ataques en Capa 2
| Solución | Descripción |
|---|---|
| Seguridad de Puertos / Port Security | Previene muchos tipos de ataques, incluyendo los ataques de inundación de direcciones MAC y los ataques de inanición/agotamiento de DHCP. |
| DHCP Snooping | Previene ataques de suplantación de identidad y de agotamiento de DHCP |
| Inspección ARP dinámica / Dynamic ARP Inspection (DAI) | Previene la suplantación de ARP y los ataques de envenenamiento de ARP. |
| Protección de IP de origen / IP Source Guard (IPSG) | Impide los ataques de suplantación de direcciones MAC e IP. |
Estas soluciones de Capa 2 no serán efectivas si los protocolos de administración no son seguros. Por ejemplo, los protocolos administrativos Syslog, Protocolo Simple de Administración de Red (SNMP), Protocolo Trivial de Transferencia de Archivos (TFTP), Telnet, Protocolo de Transferencia de Archivos (FTP) y la mayoría de otros protocolos comunes son inseguros, por lo tanto, se recomiendan las siguientes estrategias:
- Utiliza siempre variantes seguras de protocolos de administración como SSH, Secure Copy Protocol (SCP), Secure FTP (SFTP), y Secure Socket Layer/Transport Layer Security (SSL/TLS).
- Considera usar una red de administración fuera de banda para administrar dispositivos.
- Usar una VLAN de administración dedicada que solo aloje el tráfico de administración.
- Usa ACL para filtrar el acceso no deseado.
Glosario: Si tienes dudas con algún término especial, puedes consultar este diccionario de redes informáticas.
¡Listo! Sigue visitando nuestro blog de curso de redes, dale Me Gusta a nuestra fanpage; y encontrarás más herramientas y conceptos que te convertirán en todo un profesional de redes.
