Mitigar Ataques VLAN
Resumen
Se explica cómo configurar el DTP y la VLAN nativa para mitigar los ataques de la VLAN. ¡¡Empieza a aprender CCNA 200-301 gratis ahora mismo!!
¡Bienvenido!: Este tema forma parte del Módulo 11 del curso de Cisco CCNA 2, para un mejor seguimiento del curso puede ir a la sección CCNA 2 para guiarte del índice.
1. Revisión de Ataques a VLAN
Como una revisión rápida, un ataque de salto de VLAN (VLAN hopping) puede ser lanzado en una de 3 maneras:
- La suplantación de mensajes DTP del host atacante hace que el switch entre en modo trunking. Desde aquí, el atacante puede enviar tráfico etiquetado con la VLAN del objetivo, y el switch luego entrega los paquetes al destino.
- Introduciendo un switch engañoso/rogue y habilitando enlaces troncales. El atacante puede acceder todas las VLANs del switch victima desde el switch rogue.
- Otro tipo de ataque de salto a VLAN es el ataque doble etiqueta o doble encapsulado. Este ataque toma ventaja de la forma en la que opera el hardware en la mayoría de los switches.
2. Pasos para mitigar ataques Salto de VLAN
Usa los siguiente Pasos para mitigar ataques VLAN Hopping o Salto de VLAN
Paso 1: Deshabilita las negociaciones de DTP (auto trunking) en puertos que no sean trunking mediante el comando de configuración de la interfaz switchport mode access.
Paso 2: Deshabilita los puertos no utilizados y colócalos en una VLAN no utilizada.
Paso 3: Activa manualmente el enlace troncal en un puerto trunking utilizando el comando switchport mode trunk.
Paso 4: Deshabilita las negociaciones de DTP (auto trunking) en los puertos trunking mediante el comando switchport nonegotiate.
Paso 5: Establece la VLAN nativa en otra VLAN que no sea la VLAN 1 mediante el comando switchport trunk native vlan vlan_number.
Por ejemplo, asumamos lo siguiente
- Los puertos FastEthernet 0/1 hasta fa0/16 son puertos de acceso activos
- Los puertos FastEthernet 0/17 hasta 0/24 no están en uso
- Los puertos FastEthernet 0/21 a 0/24 son puertos troncales.
Salto de VLAN puede ser mitigado implementando la siguiente configuración.
S1(config)# interface range fa0/1 - 16 S1(config-if-range)# switchport mode access S1(config-if-range)# exit S1(config)# S1(config)# interface range fa0/17 - 20 S1(config-if-range)# switchport mode access S1(config-if-range)# switchport access vlan 1000 S1(config-if-range)# exit S1(config)# S1(config)# interface range fa0/21 - 24 S1(config-if-range)# switchport mode trunk S1(config-if-range)# switchport nonegotiate S1(config-if-range)# switchport trunk native vlan 999 S1(config-if-range)# end S1#
- Los puertos Fastethernet 0/1 al 0/16 son puertos de acceso y por lo tanto trunking se deshabilita poniéndolos explícitamente como puertos de acceso.
- Los puertos FastEthernet 0/17 al 0/20 son puertos que no están en uso y están deshabilitados y asignados a una VLAN que no se usa.
- Los puertos FastEthernet 0/21 al 0/24 son enlaces troncales y se configuran manualmente como troncales con DTP deshabilitado. La VLAN nativa también se cambia de la VLAN predeterminada 1 a la VLAN 999 que no se usa.
3. Verificador de Sintaxis – Mitigar Ataques de salto de VLAN
Mitigar ataques de salto de VLAN en el switch basado en los requerimientos específicos.
Actualmente te encuentras en una sesión en S1. El estado de los puertos es el siguiente:
- Los puertos FastEthernet 0/1 hasta 0/4 se usan para trunking con otros switches.
- Los puertos FastEthernet 0/5 hasta 0/10 no están en uso.
- Los puertos FastEthernet 0/11 hasta 0/24 son puertos activos en uso.
Utiliza range fa0/1 – 4 para ingresar al modo de configuración de interfaz para las troncales.
S1(config)#interface range fa0/1 - 0/4
Configura las interfaces para que no negocie troncales (trunks) asignados al VLAN 99 por defecto.
S1(config-if-range)#switchport mode trunk S1(config-if-range)#switchport nonegotiate S1(config-if-range)#switchport trunk native vlan 99 S1(config-if-range)# exit
Utiliza range fa0/5 – 10 para ingresar al modo de configuración de interfaz para las troncales.
S1(config)#interface range fa0/5 - 10
Configura los puertos en desuso como puertos de acceso y asígnalos a la VLAN 86, y apaga los puertos.
S1(config-if-range)#switchport mode access S1(config-if-range)#switchport access vlan 86 % Access VLAN does not exist. Creating vlan 86 S1(config-if-range)#shutdown \*Mar 1 00:28:48.883: %LINK-5-CHANGED: Interface FastEthernet0/5, changed state to administratively down \*Mar 1 00:28:48.900: %LINK-5-CHANGED: Interface FastEthernet0/6, changed state to administratively down \*Mar 1 00:28:48.908: %LINK-5-CHANGED: Interface FastEthernet0/7, changed state to administratively down \*Mar 1 00:28:48.917: %LINK-5-CHANGED: Interface FastEthernet0/8, changed state to administratively down \*Mar 1 00:28:48.942: %LINK-5-CHANGED: Interface FastEthernet0/9, changed state to administratively down \*Mar 1 00:28:48.950: %LINK-5-CHANGED: Interface FastEthernet0/10, changed state to administratively down \*Mar 1 00:28:49.890: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changed state to down \*Mar 1 00:28:49.907: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/6, changed state to down S1(config-if-range)# exit
Utiliza range fa0/11 – 24 para ingresar al modo de configuración de interfaz para los puertos activos y luego configúralos para evitar el trunking.
S1(config)#interface range fa0/11 - 24 S1(config-if-range)#switchport mode access S1(config-if-range)# end S1#
Exitosamente has mitigado ataques de salto a VLANs en este Switch.
Glosario: Si tienes dudas con algún término especial, puedes consultar este diccionario de redes informáticas.
¡Listo! Sigue visitando nuestro blog de curso de redes, dale Me Gusta a nuestra fanpage; y encontrarás más herramientas y conceptos que te convertirán en todo un profesional de redes.
