Mitigar Ataques VLAN

junio 17, 2020

Mitigar Ataques VLAN CCNA

Mitigar Ataques VLAN

Resumen

Se explica cómo configurar el DTP y la VLAN nativa para mitigar los ataques de la VLAN. ¡¡Empieza a aprender CCNA 200-301 gratis ahora mismo!!

¡Bienvenido!: Este tema forma parte del Módulo 11 del curso de Cisco CCNA 2, para un mejor seguimiento del curso puede ir a la sección CCNA 2 para guiarte del índice.

Tabla de Contenido

1. Revisión de Ataques a VLAN
2. Pasos para mitigar ataques Salto de VLAN
3. Verificador de Sintaxis - Mitigar Ataques de salto de VLAN

1. Revisión de Ataques a VLAN

Como una revisión rápida, un ataque de salto de VLAN (VLAN hopping) puede ser lanzado en una de 3 maneras:

La suplantación de mensajes DTP del host atacante hace que el switch entre en modo trunking. Desde aquí, el atacante puede enviar tráfico etiquetado con la VLAN del objetivo, y el switch luego entrega los paquetes al destino.
Introduciendo un switch engañoso/rogue y habilitando enlaces troncales. El atacante puede acceder todas las VLANs del switch victima desde el switch rogue.
Otro tipo de ataque de salto a VLAN es el ataque doble etiqueta o doble encapsulado. Este ataque toma ventaja de la forma en la que opera el hardware en la mayoría de los switches.

2. Pasos para mitigar ataques Salto de VLAN

[anuncio_b30 id=1]
[anuncio_b30 id=2]

Usa los siguiente Pasos para mitigar ataques VLAN Hopping o Salto de VLAN

Paso 1: Deshabilita las negociaciones de DTP (auto trunking) en puertos que no sean trunking mediante el comando de configuración de la interfaz switchport mode access.

Paso 2: Deshabilita los puertos no utilizados y colócalos en una VLAN no utilizada.

Paso 3: Activa manualmente el enlace troncal en un puerto trunking utilizando el comando switchport mode trunk.

Paso 4: Deshabilita las negociaciones de DTP (auto trunking) en los puertos trunking mediante el comando switchport nonegotiate.

Paso 5: Establece la VLAN nativa en otra VLAN que no sea la VLAN 1 mediante el comando switchport trunk native vlan vlan_number.

Por ejemplo, asumamos lo siguiente

Los puertos FastEthernet 0/1 hasta fa0/16 son puertos de acceso activos
Los puertos FastEthernet 0/17 hasta 0/24 no están en uso
Los puertos FastEthernet 0/21 a 0/24 son puertos troncales.

Salto de VLAN puede ser mitigado implementando la siguiente configuración.

S1(config)# interface range fa0/1 - 16
S1(config-if-range)# switchport mode access
S1(config-if-range)# exit
S1(config)# 
S1(config)# interface range fa0/17 - 20
S1(config-if-range)# switchport mode access
S1(config-if-range)# switchport access vlan 1000
S1(config-if-range)# exit
S1(config)# 
S1(config)# interface range fa0/21 - 24
S1(config-if-range)# switchport mode trunk
S1(config-if-range)# switchport nonegotiate 
S1(config-if-range)# switchport trunk native vlan 999
S1(config-if-range)# end
S1#

Los puertos Fastethernet 0/1 al 0/16 son puertos de acceso y por lo tanto trunking se deshabilita poniéndolos explícitamente como puertos de acceso.
Los puertos FastEthernet 0/17 al 0/20 son puertos que no están en uso y están deshabilitados y asignados a una VLAN que no se usa.
Los puertos FastEthernet 0/21 al 0/24 son enlaces troncales y se configuran manualmente como troncales con DTP deshabilitado. La VLAN nativa también se cambia de la VLAN predeterminada 1 a la VLAN 999 que no se usa.

3. Verificador de Sintaxis – Mitigar Ataques de salto de VLAN

Mitigar ataques de salto de VLAN en el switch basado en los requerimientos específicos.

[anuncio_b30 id=3]

Actualmente te encuentras en una sesión en S1. El estado de los puertos es el siguiente:

Los puertos FastEthernet 0/1 hasta 0/4 se usan para trunking con otros switches.
Los puertos FastEthernet 0/5 hasta 0/10 no están en uso.
Los puertos FastEthernet 0/11 hasta 0/24 son puertos activos en uso.

Utiliza range fa0/1 – 4 para ingresar al modo de configuración de interfaz para las troncales.

S1(config)#interface range fa0/1 - 0/4

Configura las interfaces para que no negocie troncales (trunks) asignados al VLAN 99 por defecto.

S1(config-if-range)#switchport mode trunk
S1(config-if-range)#switchport nonegotiate
S1(config-if-range)#switchport trunk native vlan 99
S1(config-if-range)# exit

Utiliza range fa0/5 – 10 para ingresar al modo de configuración de interfaz para las troncales.

S1(config)#interface range fa0/5 - 10

Configura los puertos en desuso como puertos de acceso y asígnalos a la VLAN 86, y apaga los puertos.

S1(config-if-range)#switchport mode access
S1(config-if-range)#switchport access vlan 86
% Access VLAN does not exist. Creating vlan 86
S1(config-if-range)#shutdown
\*Mar 1 00:28:48.883: %LINK-5-CHANGED: Interface FastEthernet0/5, changed state to administratively down
\*Mar 1 00:28:48.900: %LINK-5-CHANGED: Interface FastEthernet0/6, changed state to administratively down
\*Mar 1 00:28:48.908: %LINK-5-CHANGED: Interface FastEthernet0/7, changed state to administratively down
\*Mar 1 00:28:48.917: %LINK-5-CHANGED: Interface FastEthernet0/8, changed state to administratively down
\*Mar 1 00:28:48.942: %LINK-5-CHANGED: Interface FastEthernet0/9, changed state to administratively down
\*Mar 1 00:28:48.950: %LINK-5-CHANGED: Interface FastEthernet0/10, changed state to administratively down
\*Mar 1 00:28:49.890: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changed state to down
\*Mar 1 00:28:49.907: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/6, changed state to down
S1(config-if-range)# exit

Utiliza range fa0/11 – 24 para ingresar al modo de configuración de interfaz para los puertos activos y luego configúralos para evitar el trunking.

S1(config)#interface range fa0/11 - 24
S1(config-if-range)#switchport mode access
S1(config-if-range)# end
S1#

Exitosamente has mitigado ataques de salto a VLANs en este Switch.

Glosario: Si tienes dudas con algún término especial, puedes consultar este diccionario de redes informáticas.

¡Listo! Sigue visitando nuestro blog de curso de redes, dale Me Gusta a nuestra fanpage; y encontrarás más herramientas y conceptos que te convertirán en todo un profesional de redes.