Ataque a la Tabla de Direcciones MAC

1. Revisión de la Operación del Switch

En este tema el foco esta aun en los switches, específicamente en la tabla de direcciones MAC y como estas tablas son vulnerables a ataques.

Recuerda que para tomar decisiones de reenvío, un Switch LAN de Capa 2 crea una tabla basada en las direcciones MAC de origen que se encuentran en las tramas recibidas. Como se muestra en la figura, esto es llamado un tabla de direcciones MAC. Tabla de direcciones MAC se guarda en la memoria y son usadas para reenviar tramas de forma eficiente.

S1# show mac address-table dynamic
          Mac Address Table
-------------------------------------------
Vlan    Mac Address       Type        Ports
----    -----------       --------    -----
   1    0001.9717.22e0    DYNAMIC     Fa0/4
   1    000a.f38e.74b3    DYNAMIC     Fa0/1
   1    0090.0c23.ceca    DYNAMIC     Fa0/3
   1    00d0.ba07.8499    DYNAMIC     Fa0/2
S1#

2. Inundación de la Tabla de Direcciones MAC

Todas las tablas MAC tiene un tamaño fijo, por lo que un switch puede quedarse sin espacio para guardar direcciones MAC. Los ataques de inundación/flooding de direcciones MAC aprovechan esta limitación al bombardear el switch con direcciones MAC de origen falsas hasta que la tabla de direcciones MAC del switch esté llena.

Cuando esto ocurre, el switch trata la trama como un unicast desconocido y comienza a inundar todo el tráfico entrante por todos los puertos en la misma VLAN sin hacer referencia a la tabla MAC. Esta condición ahora permite que un atacante capture todas las tramas enviadas desde un host a otro en la LAN local o VLAN local.

La figura muestra como el atacante puede fácilmente usar la herramienta de ataque de red llamada macof para desbordar una tabla de direcciones MAC.

1. El atacante esta conectado a VLAN 10 y usa macof para rápidamente generar de manera aleatoria muchas direcciones MAC y IP de origen y destino.
2. En un corto periodo de tiempo la tabla MAC del switch se llena.
3. Cuando la tabla MAC esta llena, el switch empieza a reenviar todas las tramas que recibe. Mientras que macof continúe ejecutándose, la tabla MAC se mantiene llena y el switch continua reenviando todas las tramas que ingresan hacia cada puerto asociado a la VLAN 10.
4. Luego, el atacante usa el software de analizador de paquetes para capturar tramas desde cualquier dispositivo conectado en la VLAN 10.

Si el atacante detiene la ejecución de macof o si es descubierto y detenido, el switch eventualmente elimina las entradas más viejas de direcciones MAC de la tabla y empieza a funcionar nuevamente como un switch.

3. Mitigación de Ataques a la Tabla de Direcciones MAC

Lo que hace que herramientas como macof sean peligrosas es que un atacante puede crear un ataque de saturación de tabla MAC muy rápidamente. Por ejemplo, un switch Catalyst 6500 puede almacenar 132,000 direcciones MAC en su tabla de direcciones MAC. Una herramienta como macof puede saturar un switch con hasta 8,000 tramas falsas por segundo; creando un ataque de saturación de la tabla de direcciones MAC en cuestión de segundos. Este ejemplo muestra la salida del comando macof en un host Linux.

# macof -i eth1
36:a1:48:63:81:70 15:26:8d:4d:28:f8 0.0.0.0.26413 > 0.0.0.0.49492: S 1094191437:1094191437(0) win 512 
16:e8:8:0:4d:9c da:4d:bc:7c:ef:be 0.0.0.0.61376 > 0.0.0.0.47523: S 446486755:446486755(0) win 512 
18:2a:de:56:38:71 33:af:9b:5:a6:97 0.0.0.0.20086 > 0.0.0.0.6728: S 105051945:105051945(0) win 512 
e7:5c:97:42:ec:1 83:73:1a:32:20:93 0.0.0.0.45282 > 0.0.0.0.24898: S 1838062028:1838062028(0) win 512 
62:69:d3:1c:79:ef 80:13:35:4:cb:d0 0.0.0.0.11587 > 0.0.0.0.7723: S 1792413296:1792413296(0) win 512 
c5:a:b7:3e:3c:7a 3a:ee:c0:23:4a:fe 0.0.0.0.19784 > 0.0.0.0.57433: S 1018924173:1018924173(0) win 512 
88:43:ee:51:c7:68 b4:8d:ec:3e:14:bb 0.0.0.0.283 > 0.0.0.0.11466: S 727776406:727776406(0) win 512 
b8:7a:7a:2d:2c:ae c2:fa:2d:7d:e7:bf 0.0.0.0.32650 > 0.0.0.0.11324: S 605528173:605528173(0) win 512 
e0:d8:1e:74:1:e 57:98:b6:5a:fa:de 0.0.0.0.36346 > 0.0.0.0.55700: S 2128143986:2128143986(0) win 512

Otra razón por la que estas herramientas de ataque son peligrosas, es porque no solo afectan el switch local sino que también afectan switches conectados de Capa 2. Cuando la tabla de direcciones MAC de un switch está llena, comienza a inundar todos los puertos, incluidos los conectados a otros switches de Capa 2.

Para mitigar los ataques de saturación de la tabla de direcciones MAC, los administradores de red deben implementar la seguridad del puerto. Seguridad de puertos (Port security) permitirá que el puerto aprenda sólo un número específico de direcciones MAC de origen. Seguridad de puertos (Port security) será discutido más adelante en otro módulo.

¡Listo! Sigue visitando nuestro blog de curso de redes, dale Me Gusta a nuestra fanpage; y encontrarás más herramientas y conceptos que te convertirán en todo un profesional de redes.