CAPTULO 10: SEGURIDAD EN LA RED DEL CAMPUS

CCNP SWITCH: Implementing Cisco IP Switched Networks

Ricardo Muoz C.

Resea Sobre los Problemas de

Seguridad en la Conmutacin Enfoque comn: Dispositivos de borde. Filtrado de paquetes en capas 3 y 4.

Firewalls y dispositivos de borde: Diseados para proteger la seguridad de la red. Por defecto bloquean todo el trfico hasta que se configuren para

permitirlo.

Routers y switches internos: Diseados para facilitar la comunicacin. Por defecto permiten el trfico hasta que se configuren para

bloquearlo.

ACI Application Centric Infrastructure: nuevo paradigma para una proteccin por defecto. Actualmente enfocado en Data Centers. Adopcin futura para switches Cisco del campus.

Beneficios de agregar seguridad en la infraestructura de

campus:

Aade capas adicionales de seguridad en lugar de depender

nicamente en la infraestructura de borde.

Seguridad adicional en el caso de visitantes. No basta con la

seguridad fsica.

El acceso externo no siempre se limita al Edge. Muchas veces se

requiere acceso indirecto a otros recursos del campus.

Proteccin a los recursos de la nube contra ataques desde el

interior del campus.

Mejores Prcticas para la Configuracin

de Seguridad de Switches Cisco Contraseas seguras: enable secret en lugar de enable password. service password-encryption para el resto de las contraseas. Servidores externos AAA: facilita la administracin.

Mensajes del sistema: banner login o banner motd.

Acceso seguro a consola: Seguridad fsica. Controlar el acceso a consola mediante contrasea. Es aceptable usar la misma contrasea que para VTY.

Acceso seguro a VTY: SSH en lugar de TELNET. ACLs.

Seguridad para la interfaz web: Deshabilitarla si no ser utilizada. Usar HTTPS en lugar de HTTP: ()# ip http secure server. Limitar el acceso mediante ACL: ()# ip http access-class Nota: HTTP deshabilitado por defecto en IOS recientes.

Acceso seguro a SNMP: Deshabilitar el acceso de escritura si no es necesario. Preferir SNMPv3 si es posible.

Operacin segura de STP: Usar BPDU Guard en todos los puertos de acceso. No combinar BPDU Guard y BPDU Filter.

Asegurar CDP: Deshabilitarlo en puertos de usuarios y redes externas.

Puertos sin utilizarse:

Apagar puertos en desuso o ubicarlos en una VLAN aislada.

Configurar puertos de usuario como puertos de acceso

explcitamente: ()# switchport mode access.

10.1.

Vulnerabilidades de la

Red del Campus

Acceso no Autorizado (Rogue)

APs o routers inalmbricos no autorizados:

Conexin abierta detrs del firewall

y sin consentimiento.

Acceso libre para externos o atacantes.

Vulnerabilidades del Switch

Caso 1: Usuario que obtuvo un acceso no autorizado.

Caso 2: Atacante con el control de un dispositivo autorizado.

En cualquier caso, la red percibe el trfico como legtimo.

Tipos de ataques en capa 2:

Ataques de capa MAC.

Ataques de VLAN.

Ataques de Spoofing.

Ataques en dispositivos de conmutacin.

Ataques de capa MAC:

Flooding de direcciones MAC.

Mitigacin: Seguridad de puerto, MAC address VLAN access maps.

Ataques de VLAN:

VLAN hopping:

Modificacin del VLAN ID en troncales.

Mitigacin: reforzar la seguridad y negociacin de troncales.

Ataques entre dispositivos en una misma VLAN:

Servidores en una misma VLAN pero de distintos propietarios.

Mitigacin: PVLANs Private VLANs.

Ataques de Spoofing:

Inanicin y spoofing de DHCP: Saturacin y suplantacin del servidor DHCP. Mitigacin: Usar DHCP snooping.

Ataques a STP: Suplantacin del switch raz. Mitigacin: Configuracin proactiva de races primaria y secundaria.

Uso de root guard.

Spoofing de MAC: El atacante enva una trama con la direccin vlida de otro host. Mitigacin: DHCP snooping y seguridad de puerto.

ARP spoofing: El atacante responde con su MAC a peticiones ARP. Mitigacin: DAI, DHCP snooping, seguridad de puerto.

Ataques a los dispositivos de conmutacin:

Manipulacin de CDP:

Captura de informacin de CDP.

Mitigacin: Deshabilitar CDP donde no sea necesario.

Ataques a SSH y Telnet:

Telnet = texto plano; SSH: problemas de seguridad en la

versin 1.

Mitigacin: usar SSH v2, usar ACLs.

Ataques de MAC Flooding

Si la inundacin ocurre al inicio del da, los dispositivos

legtimos no podrn crear entradas en CAM.

En caso de no repetirse, la CAM eventualmente se libera

pero el ataque ya no puede ser detectado.

Mitigacin:

Seguridad de puerto.

Cantidad de direcciones MAC admitidas.

Permite especificar las direcciones MAC a permitir.

10.2. Introduccin a la Seguridad de Puerto

Restriccin para permitir solo un conjunto de direcciones MAC

en el puerto del switch.

Aprendizaje dinmico o configuracin esttica.

Sticky learning: combinacin de los dos anteriores.

Configuracin:

(-if)# switchport port-security maximum

(-if)# switchport port-security violation {protect | restrict | shutdown}

(-if)# switchport port-security limit rate invalid-source-mac

(-if)# switchport port-security mac-address

(-if)# switchport port-security mac-address sticky

(-if)# switchport port-security

Verificacin:

# show port-security address

# show port-security [address] interface

Condiciones de Error de Puerto Cusas para entrar al estado de err-disabled:

Violacin de la seguridad de puerto.

Violacin de STP BPDU Guard.

Error de configuracin de EtherChannel: debe tener los mismos parmetros en ambos extremos.

Dusplex mismatch.

Condicin de UDLD.

STP Root Guard: recepcin de una BPDU superior a la del switch Raz.

Link Flapping.

Otras: Colisiones tardas, L2TP Guard, DHCP snooping rate-limit, GBIC incorrectos, ARP inspection.

Ajustes para err-disabled:

()# errdisable detect cause {all | }

Recuperacin:

(-if)# shutdown

(-if)# no shutdown

Recuperacin automtica (ejemplo):

()# errdisable recovery cause psecure-violation

()# errdisable recovery interval 60 !Por defecto se establece en 300 segundos. !Tiempo mnimo = 30 segundos.

Verificacin:

# show errdisable recovery

Port Access Lists (PACLs)

ACLs aplicadas a puertos de capa 2, sean de Acceso o

Troncales.

No soportada en todos los switches Catalyst.

Las caractersticas varan dependiendo de la plataforma y

versin de software.

Anlisis en hardware, no aplica al trfico enrutado.

No se aplica al trfico de control (VTP, STP, DTP, etc.).

Dos tipos de PACLs:

IP ACLs: filtra paquetes IPv4 o IPv6.

MAC ACLs: filtra en base a MAC, solo ACLs nombradas.

Interaccin de PACLs con otras ACLs:

prefer mode: Sobrescribe cualquier otra ACL. El nico modo

disponible en enlaces troncales.

merge mode: Mezcla de PACL, ACL y VACL en sentido

entrante. Modo predeterminado.

* Puede usarse una PACL en un Port-Channel pero no en sus

puertos fsicos.

Configuracin de ejemplo:

()# mac access-list extended TEST-PACL

(-ext-macl)# permit host

(-if)# mac access-group TET-PACL in

(-if)# access-group mode [prefer port | merge]

10.3. Control de Tormentas

Introduccin a Storm Control Inundacin de paquetes en la red, trfico excesivo y

disminucin del performance de la red.

Storm Control:

Previene tormentas de broadcast, multicast o unicast.

Proteccin o aislamiento de tormentas de broadcast causadas por fallas de STP.

Proteccin contra ataques DoS o hosts con errores de funcionamiento.

Switch:

Ejecuta el proceso traffic storm control o traffic supression.

Monitorea el nivel de trfico a intervalos de 1 segundo.

Compara el nivel detectado con el umbral configurado.

Umbral inferior opcional para volver a habilitar el puerto.

El puerto se bloquea al exceder el umbral establecido.

Umbral definido en bps, pps o en porcentaje de ancho de banda.

Configuracin en cada interfaz segn tipo de trfico (unicast,

broadcast o multicast.)

Configuracin y Verificacin de Storm

Control en una Interfaz

Configuracin tpica en puertos de Acceso.

Configuracin adicional en Troncales como control

secundario.

(-if)# storm-control [broadcast | multicast | unicast] level

[ [] |bps | pps] []

!De no especificar una unidad, se sobreentiende el uso de

porcentajes.

!Umbral-Sup: umbral superior.

!Umbral-Inf: Umbral inferior.

(-if)# storm-control action {shutdown | trap}

Opcional

Ejemplo:

(-if)# storm-control broadcast level 40 25

(-if)# storm-control multicast level pps 50k 25k

(-if)# storm-control unicast level bps 20m

(-if)# storm-control action shutdown

(-if)# storm-control action trap

Verificacin:

# show storm-control [multicast | unicast]

!Por defecto muestra el estado del filtro de broadcast.

!Interfaz, estado, nivel superior, inferior, actual.

Enlaces adicionales:

Configuracin de storm control en Catalyst 3560:

http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3560/software/release/15-0_2_se/configuration/guide/scg3560/swtrafc.html#wp1063295.

Configuracin de storm control en Catalyst 4500:

http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst4500/12-2/15-02SG/configuration/guide/config/bcastsup.html.

Configuracin de storm control en Catalyst 6500:

http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst6500/ios/15-0SY/configuration/guide/15_0_sy_swcg/traffic_storm_control.html.

10.4. Mitigacin de Ataques de Spoofing

Ataques de DHCP Spoofing

El atacante suplanta a un servidor DHCP.

Proporciona datos falsos a los clientes legtimos.

Posteriormente puede actuar como

Gateway o DNS.

DHCP Snooping

Puertos de confianza:

Conectan a un servidor DHCP.

O sirven como enlace ascendente hacia el servidor DHCP.

Puertos no confiables:

Puertos destinados exclusivamente para clientes DHCP.

No se debe detectar paquetes de respuesta desde un servidor

DHCP: DHCP Offer, DHCP Ack, DHCP Nack.

El puerto se apaga al detectar una violacin.

Opcin 82: aade el ID de interfaz del puerto que recibe la

solicitud DHCP antes de retransmitirla hacia el servidor.

Opcin 82 de DHCP:

Habilita el agente de relay de DHCP.

El switch incluye informacin sobre s mismo y del cliente en la

solicitud de DHCP.

Puede usarse para propsitos de control, seguridad y QoS por

parte de operadores de ISP.

El servidor puede ignorar el paquete si la informacin no est

presente o es incorrecta.

Configuracin de ejemplo:

()# ip dhcp snooping

()# ip dhcp snooping vlan 10

!-- Ingresar a la interfaz ascendente hacia el servidor DHCP:

(-if)# ip dhcp snooping trust

!-- Todas las dems interfaces son untrusted.

Opcional: configurar o quitar la opcin 82:

()# [no] ip dhcp snooping information option

!-- Interfaces descendentes:

(-if)# ip dhcp snooping limit rate

Verificacin:

# show ip dhcp snooping

# show ip dhcp snooping binding

IP Source Guard Posible secuestro de direcciones IP de un host o servidor vlido.

IPSG IP Source Guard: proteccin contra spoofing de direcciones IP.

Mantenimiento dinmico de VLAN ACLs por puerto:

Asociaciones dinmicas entre IP-MAC-Puerto.

Habilitacin de IPSG:

El puerto bloquea todo el trfico menos los paquetes capturados por el proceso DHCP snooping.

Tambin se permite una asociacin esttica de IP.

Posteriormente, se instala una PVACL dinmicamente en el puerto.

Puertos de confianza IPSG: no necesitan filtrado dinmico.

Puertos no confiables IPSG: utilizan el filtrado dinmico.

Puertos no confiables: dos niveles de filtrado.

Filtrado de direcciones IP origen. Solo permite trfico de las

direcciones IP que figuren en la entrada de asociaciones.

Filtrado de direcciones IP y MAC origen.

Configuracin de IPSG

Configuracin previa de DHCP Snooping.

(-if)# ip verify source

!Habilita el filtrado por direccin IP.

(-if)# ip verify source port-security

!Aade el filtrado por direccin MAC.

Verificacin:

# show ip verify source

ARP Spoofing

Cach de ARP se almacena por hasta 4 hrs.

El atacante:

Responde (Actualiza) a la vctima con su propia MAC, asociada

a la IP de un gateway.

Actualiza al gateway con su propia MAC asociada a la IP del

cliente (vctima).

El trfico viaja temporalmente a travs del atacante sin que se

lo detecte.

Dynamic ARP Inspection (DAI)

Intercepta los ARP request y replies en los puertos no

confiables.

Se verifica una asociacin vlida IP-MAC similar a IPSG.

Respuestas que no pasen la verificacin son descartadas y es

posible generar un log.

Tambin se puede limitar la tasa de paquetes ARP y desactivar la

interfaz al excederla.

Al igual que IPSG, DAI se basa en las asociaciones IP-MAC de

DHCP snooping.

O pueden configurarse ACLs de ARP para direcciones estticas.

Configuracin de DAI

()# ip dhcp snooping

()# ip dhcp snooping vlan 10

()# ip arp inspection vlan 10

(-if)# ip dhcp snooping trust

(-if)# ip arp inspection trust

(-if)# ip arp inspection validate

{[] [] []}

!Descarta los paquetes si la IP es invlida o si las direcciones

MAC del paquete ARP no coinciden con el encabezado.

10.5. Aseguramiento

de Troncales de

VLANs

Switch Spoofing

Suplantacin de un switch

por parte del atacante.

Explotacin de DTP para formar

enlaces troncales.

Prevencin:

Configuracin manual de puertos

de acceso.

Apagar interfaces sin uso.

Restringir VLANs en puertos

troncales.

VLAN Hopping (Salto de VLAN)

Etiquetado doble.

Aprovechamiento de la VLAN nativa.

Ataque poco comn. No funciona de forma bidireccional.

Prevencin sencilla:

Definir una VLAN sin uso como la VLAN nativa.

Alternativa: eliminar la VLAN nativa del troncal.

(-if)# switchport trunk allowed vlan remove

Etiquetar todas las tramas en el troncal:

(-if)# vlan dot1q tag native

VLAN Access Lists Ventajas: Filtrado de trfico en capa 2, con ciertas limitaciones. Capture Port supera algunas limitaciones de SPAN.

Control para paquetes: Conmutados dentro de una VLAN. Enrutados desde o hacia una VLAN o interfaz WAN.

Aplica a todos los paquetes en interfaces VLAN o WAN, no solo a los paquetes enrutados (ACLs de IOS).

VLAN Access MAP: Varias secuencias con clusulas match. Cada match puede referirse a una ACL IP o MAC. Cada secuencia especifica la accin a tomar (permitir/descartar). Deny implcito al final.

Capture Port feature. Ventajas sobre SPAN:

Anlisis de trfico granular: Direcciones IP origen, destino,

protocolo de capa 4, puertos origen y destino, etc.

Nmero de sesiones: el nmero de Access Control Entries

(ACEs) depende del espacio en TCAM.

Sobresuscripcin de puertos destino: se reduce la cantidad de

trfico a reenviar por SPAN.

Desempeo de VACLs en hardware (Catalyst 6500).

Dos tipos de VACL, igual que con PACL:

IP ACL (IPv4 e IPv6).

MAC ACL.

Interaccin de VACL con ACL y PACL:

Funcionamiento normal al combinarlas.

Precauciones:

PACL se aplica primero.

VACL se aplica despus.

Finalmente se aplica la ACL de capa 3 del IOS.

Orden inverso para

paquetes salientes.

** PACL:

Se sobrepone ante VACLs y ACLs de IOS al usar prefer port

mode.

Excepciones: cuando el paquete no puede ser enrutado por

hardware y debe hacerse por software.

Ejemplos: NAT, paquetes con opciones IP.

En esos casos el Router Processor aplica la ACL de ingreso.

Configuracin de VACLs

Configuracin mediante VLAN Access Maps.

()# mac access-list extended MAC-ACL

(-ext-macl)# permit host 1111.1111.1111 any

()# ip access-list standard IP-ACL

(-std-nacl)# permit ip 1.1.1.1

()# vlan access-map MAP-1 []

(-access-map)# match [mac address MAC-ACL | ip address IP-ACL]

(-access-map)# action [drop | forward | redirect ] [log]

()# vlan filter MAP-1 vlan-list 2-10 [all]

10.6. VLANs Privadas

Introduccin a las VLANs Privadas

PVLAN: en esencia, una VLAN dentro de otra VLAN.

Al igual que entre dos VLANs, se necesita un dispositivo de

capa 3 para enrutar trfico entre dos PVLANs.

Diferencias:

Al particionar una VLAN en varias PVLANs, estas ltimas

mantienen una misma subred IP.

Se obliga a conmutar el trfico entre PVLANs mediante un

dispositivo de capa 3.

Tipos de puertos de PVLAN Dominio de PVLAN: tiene una VLAN primaria.

Cada puerto en el dominio es un miembro de la VLAN primaria.

VLANs secundarias: subdominios con aislamiento entre puertos del mismo dominio.

Dos tipos de VLANs:

Isolated VLAN: Contiene puertos aislados, incapaces de comunicarse entre s.

Community VLAN: Contiene puertos comunitarios, que pueden comunicarse entre s. No pueden comunicarse con puertos de otra VLAN comunitaria.

Un puerto comunitario no puede comunicarse con un puerto aislado y viceversa.

Puerto promiscuo: Pertenece a la VLAN primaria. Puede comunicarse con puertos aislados y comunitarios.

Configuracin de PVLAN

Simple, pero primero deben definirse las VLANs primaria y

secundarias.

No compatible con VTP. VTP debe apagarse o configurarse en

Transparente.

Ejemplo: Creacin de VLANs primaria y secundarias. Asociacin de la VLAN primaria a las secundarias.

()# vlan 100 (-vlan)# private-vlan primary

()# vlan 101 (-vlan)# private-vlan isolated

()# vlan 102 (-vlan)# private-vlan community

()# vlan 100 (-vlan)# private-vlan association 101 , 102

Configuracin de PVLAN en las interfaces: ! Interfaz 1: puerto promiscuo: (-if)# switchport mode private-vlan promiscuous (-if)# switchport private-vlan mapping 100 add 101 , 102 ! Interfaz 2: puerto de la PVLAN 101: (-if)# switchport mode private-vlan host (-if)# switchport private-vlan host-association 100 101 !Interfaz 3: puerto de la PVLAN 102: ()# switchport mode private-vlan host (-if)# switchport private-vlan host-association 100 102

Verificacin:

# show vlan private-vlan

!VLANs primaria, secundaria, tipo de PVLAN y puertos

asociados.

# show interfaces [] switchport | include private-vlan

PVLANs a travs de Mltiples Switches Depende del tipo de puertos troncales en uso:

Puerto troncal estndar. Transporta todas las VLANs, primarias y secundarias.

Puerto troncal aislado. til para conectar con otro switch que no soporta PVLAN. El trfico recibido en el troncal se aisla de los puertos de la VLAN aislada, pero no en sentido contrario.

Puerto troncal promiscuo de PVLAN. Remplaza a un puerto promiscuo normal, para el transporte de mltiples dominios de PVLAN o VLAN normales.

El uso de troncales estndar es ms simple si todos los switches soportan PVLAN.

La configuracin de PVLAN debe ser similar en todos los switches, incluso si no tienen puertos asignados a las PVLAN.

Uso de Protected Port

Feature ms simple y similar a PVLAN. Llamado PVLAN

edge.

Significativo solo de forma local para el switch.

Un puerto protegido no puede comunicarse con otro puerto

protegido.

Un puerto protegido s puede comunicarse con un puerto

no protegido.

(-if)# switchport protected

Enlaces adicionales:

Isolated PVLANs en switches Catalyst: http://www.cisco.com/c/en/us/support/docs/lan-

switching/private-vlans-pvlans-promiscuous-

isolatedcommunity/40781-194.html.

Configuracin de PVLANs:

http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst4500/12-2/54sg/configuration/guide/config/pvlans.html.