Ataque a Tabla Direcciones MAC
Resumen
Este tema explica cómo un ataque a la tabla de direcciones MAC compromete la seguridad de la red. ¡¡Empieza a aprender CCNA 200-301 gratis ahora mismo!!
¡Bienvenido!: Este tema forma parte del Módulo 10 del curso de Cisco CCNA 2, para un mejor seguimiento del curso puede ir a la sección CCNA 2 para guiarte del índice.
1. Revisión de la Operación del Switch
En este tema el foco esta aun en los switches, específicamente en la tabla de direcciones MAC y como estas tablas son vulnerables a ataques.
Recuerda que para tomar decisiones de reenvío, un Switch LAN de Capa 2 crea una tabla basada en las direcciones MAC de origen que se encuentran en las tramas recibidas. Como se muestra en la figura, esto es llamado un tabla de direcciones MAC. Tabla de direcciones MAC se guarda en la memoria y son usadas para reenviar tramas de forma eficiente.
S1# show mac address-table dynamic
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
1 0001.9717.22e0 DYNAMIC Fa0/4
1 000a.f38e.74b3 DYNAMIC Fa0/1
1 0090.0c23.ceca DYNAMIC Fa0/3
1 00d0.ba07.8499 DYNAMIC Fa0/2
S1#2. Inundación de la Tabla de Direcciones MAC
Todas las tablas MAC tiene un tamaño fijo, por lo que un switch puede quedarse sin espacio para guardar direcciones MAC. Los ataques de inundación/flooding de direcciones MAC aprovechan esta limitación al bombardear el switch con direcciones MAC de origen falsas hasta que la tabla de direcciones MAC del switch esté llena.
Cuando esto ocurre, el switch trata la trama como un unicast desconocido y comienza a inundar todo el tráfico entrante por todos los puertos en la misma VLAN sin hacer referencia a la tabla MAC. Esta condición ahora permite que un atacante capture todas las tramas enviadas desde un host a otro en la LAN local o VLAN local.
Nota: El tráfico se satura solo dentro de la LAN o VLAN local. El atacante solo puede capturar el tráfico dentro de la LAN o VLAN local a la que está conectado el actor de la amenaza.
La figura muestra como el atacante puede fácilmente usar la herramienta de ataque de red llamada macof para desbordar una tabla de direcciones MAC.
Inundación de Tabla Direcciones MAC
- El atacante esta conectado a VLAN 10 y usa macof para rápidamente generar de manera aleatoria muchas direcciones MAC y IP de origen y destino.
- En un corto periodo de tiempo la tabla MAC del switch se llena.
- Cuando la tabla MAC esta llena, el switch empieza a reenviar todas las tramas que recibe. Mientras que macof continúe ejecutándose, la tabla MAC se mantiene llena y el switch continua reenviando todas las tramas que ingresan hacia cada puerto asociado a la VLAN 10.
- Luego, el atacante usa el software de analizador de paquetes para capturar tramas desde cualquier dispositivo conectado en la VLAN 10.
Si el atacante detiene la ejecución de macof o si es descubierto y detenido, el switch eventualmente elimina las entradas más viejas de direcciones MAC de la tabla y empieza a funcionar nuevamente como un switch.
3. Mitigación de Ataques a la Tabla de Direcciones MAC
Lo que hace que herramientas como macof sean peligrosas es que un atacante puede crear un ataque de saturación de tabla MAC muy rápidamente. Por ejemplo, un switch Catalyst 6500 puede almacenar 132,000 direcciones MAC en su tabla de direcciones MAC. Una herramienta como macof puede saturar un switch con hasta 8,000 tramas falsas por segundo; creando un ataque de saturación de la tabla de direcciones MAC en cuestión de segundos. Este ejemplo muestra la salida del comando macof en un host Linux.
# macof -i eth1 36:a1:48:63:81:70 15:26:8d:4d:28:f8 0.0.0.0.26413 > 0.0.0.0.49492: S 1094191437:1094191437(0) win 512 16:e8:8:0:4d:9c da:4d:bc:7c:ef:be 0.0.0.0.61376 > 0.0.0.0.47523: S 446486755:446486755(0) win 512 18:2a:de:56:38:71 33:af:9b:5:a6:97 0.0.0.0.20086 > 0.0.0.0.6728: S 105051945:105051945(0) win 512 e7:5c:97:42:ec:1 83:73:1a:32:20:93 0.0.0.0.45282 > 0.0.0.0.24898: S 1838062028:1838062028(0) win 512 62:69:d3:1c:79:ef 80:13:35:4:cb:d0 0.0.0.0.11587 > 0.0.0.0.7723: S 1792413296:1792413296(0) win 512 c5:a:b7:3e:3c:7a 3a:ee:c0:23:4a:fe 0.0.0.0.19784 > 0.0.0.0.57433: S 1018924173:1018924173(0) win 512 88:43:ee:51:c7:68 b4:8d:ec:3e:14:bb 0.0.0.0.283 > 0.0.0.0.11466: S 727776406:727776406(0) win 512 b8:7a:7a:2d:2c:ae c2:fa:2d:7d:e7:bf 0.0.0.0.32650 > 0.0.0.0.11324: S 605528173:605528173(0) win 512 e0:d8:1e:74:1:e 57:98:b6:5a:fa:de 0.0.0.0.36346 > 0.0.0.0.55700: S 2128143986:2128143986(0) win 512
Otra razón por la que estas herramientas de ataque son peligrosas, es porque no solo afectan el switch local sino que también afectan switches conectados de Capa 2. Cuando la tabla de direcciones MAC de un switch está llena, comienza a inundar todos los puertos, incluidos los conectados a otros switches de Capa 2.
Para mitigar los ataques de saturación de la tabla de direcciones MAC, los administradores de red deben implementar la seguridad del puerto. Seguridad de puertos (Port security) permitirá que el puerto aprenda sólo un número específico de direcciones MAC de origen. Seguridad de puertos (Port security) será discutido más adelante en otro módulo.
Glosario: Si tienes dudas con algún término especial, puedes consultar este diccionario de redes informáticas.
¡Listo! Sigue visitando nuestro blog de curso de redes, dale Me Gusta a nuestra fanpage; y encontrarás más herramientas y conceptos que te convertirán en todo un profesional de redes.
