Protección contra ataques de inundación de MAC

En un ataque de inundación de MAC típico, un conmutador se inunda con paquetes, cada uno con direcciones MAC de origen diferentes. La intención es consumir la memoria limitada reservada en el conmutador para almacenar la tabla de traducción de direcciones MAC a puertos físicos.

El resultado de este ataque hace que el conmutador entre en un estado llamado modo de apertura ante fallos, en el que todos los paquetes entrantes se transmiten en todos los puertos (como con un concentrador), en lugar de solo bajar por el puerto correcto según la operación normal. Un usuario malicioso podría usar un rastreador de paquetes que se ejecuta en modo promiscuo para capturar datos confidenciales de otros equipos, a los que no se podría acceder si el conmutador funcionara normalmente.

Cisco le brinda la oportunidad de configurar la protección contra este ataque limitando y/o cableando algunas direcciones MAC a un puerto dedicado.

Comprender el ataque de inundación de MAC
Supongamos que tiene un interruptor con 3 PC: PC A, PC B y PC C; en situación normal, cuando PC A envía un paquete a PC B, PC C no ve el paquete enviado entre PC A y PC B.

 mac_learning

Esto se debe a que las 3 PC están conectadas a un conmutador y NO a un concentrador.

Bajo el ataque de inundación de MAC, el comportamiento del interruptor es diferente. Durante el ataque de inundación de MAC, el atacante (en este caso PC C) inunda el conmutador con paquetes, cada uno con una dirección MAC de origen diferente.

mac_flooding_attack

Si la Memoria direccionable de contenido (la memoria donde se almacenan las direcciones MAC) está llena, el conmutador funciona como un concentrador; por lo tanto, si el PC A envía un paquete al PC B, el paquete también se recibirá al PC C.

 mac_flooding_attack_2

Protección contra ataques de inundación de MAC
Cisco ha implementado una función, llamada switchport port-security, para proteger contra este tipo de ataques. Puede usar la función de seguridad de puertos para restringir la entrada a una interfaz limitando e identificando las direcciones MAC de las estaciones a las que se permite acceder al puerto.

Hay tres tipos de direcciones MAC seguras:

  • Direcciones MAC estáticas seguras: Estos se configuran manualmente mediante el comando de configuración de interfaz de dirección mac de seguridad de puerto de switchport, se almacenan en la tabla de direcciones y se agregan a la configuración de ejecución del conmutador.
  • Direcciones MAC seguras dinámicas: Se aprenden dinámicamente, se almacenan solo en la tabla de direcciones y se eliminan cuando se reinicia el conmutador.
  • Direcciones MAC seguras adhesivas: Se pueden aprender dinámicamente o configurar manualmente, almacenarse en la tabla de direcciones y agregarse a la configuración en ejecución. Si estas direcciones se guardan en el archivo de configuración, la interfaz no necesita volver a aprenderlas dinámicamente cuando se reinicie el conmutador.

Recuerde: Un puerto seguro puede tener de 1 a 132 direcciones seguras asociadas. El número total de direcciones seguras disponibles en el conmutador es de 1024.

Cuando se ha agregado el número máximo de direcciones MAC seguras a la tabla de direcciones y una estación cuya dirección MAC no está en la tabla de direcciones intenta acceder a la interfaz, se produce una violación de seguridad.

El conmutador puede reaccionar a una violación de seguridad de tres maneras diferentes:

  • proteger: Cuando el número de direcciones MAC seguras alcanza el límite permitido en el puerto, los paquetes con direcciones de origen desconocidas se eliminan hasta que elimine un número suficiente de direcciones MAC seguras o aumente el número máximo de direcciones permitidas. No se le notifica que se ha producido una violación de seguridad.
  • restringir: Cuando el número de direcciones MAC seguras alcanza el límite permitido en el puerto, los paquetes con direcciones de origen desconocidas se eliminan hasta que elimine un número suficiente de direcciones MAC seguras o aumente el número máximo de direcciones permitidas. En este modo, se le notifica que se ha producido una violación de seguridad. Específicamente, se envía una captura SNMP, se registra un mensaje de registro de sistema y el contador de violaciones aumenta.
  • apagado: En este modo, una violación de la seguridad del puerto hace que la interfaz se desactive de inmediato y apague el LED de puerto. También envía una captura SNMP, registra un mensaje de registro de sistema e incrementa el contador de violaciones. Cuando un puerto seguro está en el estado de error desactivado, puede sacarlo de este estado introduciendo el comando de configuración global errdisable recovery cause psecure-violation, o puede volver a activarlo manualmente introduciendo los comandos de configuración de la interfaz de apagado y sin apagado. Este es el modo predeterminado.

Ejemplo: Limite a diez direcciones MAC, dos de las cuales son estáticas (aaaa.aaaa.aaaa, bbbb.bbbb.bbbb), en puerto FastEthernet 0/1. La violación requerida es “restringida”.

Ciscozine# conf tCiscozine(config)# interface fastethernet0/1Ciscozine(config-if)# switchport mode accessCiscozine(config-if)# switchport port-securityCiscozine(config-if)# switchport port-security maximum 10Ciscozine(config-if)# switchport port-security violation restrictCiscozine(config-if)# switchport port-security mac-address aaaa.aaaa.aaaaCiscozine(config-if)# switchport port-security mac-address bbbb.bbbb.bbbb

acceso en modo switchport: La seguridad del puerto solo funciona en el puerto de acceso, así que defínelo.
switchport port-security: Habilite la seguridad del puerto en la interfaz.
switchport port-seguridad máxima 10: Establece el número máximo de direcciones MAC seguras para la interfaz en 10.
switchport port-restricción de violación de seguridad: Define como “restringir” el modo de violación.
switchport puerto de seguridad dirección mac aaaa.aaaa.aaaa: Defina la dirección MAC estática; recuerde que si configura menos direcciones MAC seguras que el máximo, las direcciones MAC restantes se aprenden dinámicamente.

Los comandos útiles para mostrar el estado y la configuración del control de tráfico son:

  • mostrar puerto de conmutación de interfaces: Muestra el estado administrativo y operativo de todos los puertos de conmutación (sin enrutamiento) o del puerto especificado, incluidos los ajustes de bloqueo y protección de puertos.
  • mostrar seguridad del puerto : Muestra la configuración de seguridad del puerto para el conmutador o para la interfaz especificada, incluido el número máximo permitido de direcciones MAC seguras para cada interfaz, el número de direcciones MAC seguras en la interfaz, el número de infracciones de seguridad que se han producido y el modo de infracción.
  • mostrar dirección de seguridad de puerto: Muestra todas las direcciones MAC seguras configuradas en todas las interfaces de conmutadores o en una interfaz especificada con información de antigüedad para cada dirección.

Recuerda: puede habilitar la seguridad de puertos en una interfaz solo si el puerto no está configurado como uno de estos:

  • Puertos troncales: Si intenta habilitar la seguridad de puertos en un puerto troncal, aparece un mensaje de error y la seguridad de puertos no está habilitada. Si intenta cambiar el modo de un puerto seguro a troncal, el modo de puerto no se cambia.
  • Puerto dinámico: Un puerto en modo dinámico puede negociar con su vecino para convertirse en un puerto troncal. Si intenta habilitar la seguridad de puerto en un puerto dinámico, aparecerá un mensaje de error y la seguridad de puerto no estará habilitada. Si intenta cambiar el modo de un puerto seguro a dinámico, el modo de puerto no se cambia.
  • Puerto de acceso dinámico: Si intenta habilitar la seguridad de puerto en un puerto de acceso dinámico (Protocolo de consulta VLAN), aparece un mensaje de error y la seguridad de puerto no está habilitada. Si intenta cambiar un puerto seguro a una asignación dinámica de VLAN, aparecerá un mensaje de error y la configuración de VLAN no se cambiará.
  • Puerto EtherChannel: Antes de habilitar la seguridad del puerto en el puerto, primero debe eliminarlo del EtherChannel. Si intenta habilitar la seguridad de puerto en un EtherChannel o en un puerto activo en un EtherChannel, aparecerá un mensaje de error y la seguridad de puerto no estará habilitada. Si habilita la seguridad de puerto en un puerto aún no activo de un EtherChannel, el puerto no se une al EtherChannel.
  • Puerto 802.1 X: No se puede configurar un puerto 802.1 X como puerto seguro. Si intenta habilitar la seguridad de puerto en un puerto 802.1 X, aparecerá un mensaje de error y la seguridad de puerto no estará habilitada. Si intenta cambiar un puerto seguro a un puerto 802.1 X, aparecerá un mensaje de error y la configuración de 802.1 X no se cambiará.
  • Puerto de destino del Analizador de puertos de conmutación (SPAN): Puede habilitar la seguridad de puertos en un puerto que sea un puerto de destino de SPAN; sin embargo, la seguridad de puertos se deshabilita hasta que el puerto se elimine como destino de SPAN. Puede habilitar la seguridad de puertos en un puerto de origen SPAN.

Write a Comment

Tu dirección de correo electrónico no será publicada.