capitulo 20 llamado securing vlans

Como ya sabemos para tener una red ms estable y segura debemos configurar distintas polticas de seguridad, para asegurar la continuidad del servicio. Esto se hace aplicando distintas restrictciones y filtros en distintas zonas. Los filtros pueden variar dependiendo la capa como por ej. Filtraado IP en capa , filtrado de puertos en capa 4 o firewalls en la capa 7. En este capitulo se hbla de la seguridad a nivel de capa 2 y los puntos mas importantes desarrollados son vlan Access list, vlan privadas y securing vlan trunks

VACLLa caracterstica de un VACL's (vlan access-list) tiene la capacidad de filtro por dominio de vlanLas vlan Access list nos permite realizar el filtrado y la redireccin de trfico para su posterior anlisis . Esta redireccin se refiere a la capacidad de permitir y denegar paquetes cuando se encuentra una coincidencia con las listas de acceso creadas Se necesita filtrar el trfico dentro de la VLAN 99 para que el host al192.168.99.17 no se le sea permitido comunicarse con otro host en la subred local. Se crea la lista de acceso local 17para identificar el trfico entre este host y cualquier otra cosa en su subred local. A continuacin, VLAN Access map se define: Si la lista de acceso local-17 coincide con la direccin IP, el paquete se descarta; de lo contrario, el paquete se reenva.

Private VlansNormalmente, se permite que el trfico se mueva sin restricciones a travs de una vlan. Los paquetes enviados desde un host a otro normalmente son escuchados por el host destino, ya que asi funciona la conmutacin en la capa 2.

Las VLAN tradicionales permiten a los administradores de redes crear topologas ms seguras y adaptables limitando el tamao de los dominios de broadcast y as facilitar las tareas de administracin, operacin y seguridad. Sin embargo, hay situaciones donde la creacin de mltiples VLANs pueden ser ms un problema que una real solucin y es aqu donde entra a jugar un rol importante la siguiente parte del capitulo que habla sobre las VLAN privadas

Lo que hacen las vlans privadas bsicamente es permitir aislar los puertos de switch dentro de un mismo dominio de broadcast, evitando que los dispositivos conectados en estos puertos se comuniquen entre s, aunque pertenezcan a la misma VLAN y subred.

Esto se puede explicar de la siguiente manera resumida: una VLAN primaria, se asocia logicamente con una VLAN Secundaria. Los host que se encuentran asosciados a la VLAN Secundaria se pueden comunicar con los puertos de la VLAN Primaria (por ej. un router), pero no con otra VLAN SecundariaUna VLAN secundaria se configura con uno de los siguientes tipos: Isolated o Comunnity

Isolated: Cualquier puerto asociado con una VLAN aislada puede alcanzar la VLAN primaria pero ninguna otra secundaria. Aparte, los host asociados con la misma VLAN aislada no se pueden comunicar entre si. Ellos estan aislados de todo excepto la VLAN primaria

COmunnity: : Los puertos en este estado se comunican entre ellos y con la VLAN primaria. Pero no una vlan secundaria. Este modo se ocupa generalmente en las granjas de server y los grupos de trabajo.Por ej. Lo que se desea lograr es que cada uno de los tres servidores puedan tener acceso a internet pero no comunicarse directamente entre s (a nivel de capa 2). Entonces, lo que se hace es crear una VLAN primaria (VLAN5) en la que estn los tres puertos de los servidores; se crean tambin tres VLAN privadas y se asignan cada una de las VLAN privadas a cada uno de los tres puertos de los servidores. As, la nica forma de que un servidor se comunique con los dems sera yendo hasta el router y volviendo por l, quedando aisalado en capa 2 del resto de los servidores.

Cada vlan privada debe estar configurada localmente en cada switch que las interconecta. Se debe configurar cada puerto de switch que usa una vlan privada con alguno de los siguientes modos:

Promiscuo: un puerto en este estado puede comunicarse con todos los dems puertos, incluso en estado Isolated y Community dentro de una PVLAN.

Host: el puerto de switch se conecta a un host regular que see encuentra en una VLAN isolated o comunnity. Solo se comunica con un puerto promiscuo o puertos en la misma comunnity vlanPara configurar una VLAN privada, se parte por definir cualquier vlan secundaria que se necesite para aislarla. Se crea la vlan y con el comando private-vlan se define isolated o community.

Ahora se define la vlan primaria, usando el comando private vlan ASSOCIATION se asocia con la vlan secundaria.

Tambin se debe asociar los puerto del switch con sus respectivas vlan privadasPrimero, se define la funcion del puerto que participara en la vlan privda usando el siguiente comando. Si el host conectado a este puerto es un router, firewall o una puerta de enlace comun para la VLAN, se usa el modo promiscuo. De lo contrario usar el comando host. Para los puertos host, se debe asociar el puerto del switch con la apropida vlan primaria y secundaria utilizando este comando. para los puertos promiscuos se debe usar el siguiente comando "Mapping". lo que hace esto es mapear el puerto con las vlan primarias y secundariasSecuring VLAN TrunksComo los enlaces trunk generalmente estan entre 2 switches, talvez se piense que son ms o menos seguros. Como cada salida de la troncal esta conectaada a un dispositivo que conocemos estamos asegurados. Pero algunos de los ataques o debilidades pueden obtener accesos a las troncales o las VLAN que estas transportan. Por lo tanto uno debera estar familiarizado como funcionan los ataques y los pasos para prevenirlosSwitch spoofing

Como sabemos para que 2 switch intercambien informacion entre si, no necesariamente tiene que existir una troncal entre ellos, los switches pueden negoaciar a traves de VTP. dtp puede hacer el trabajo de la administrador ms facil, pero tambien puede exponerlos a que sean vulnerados.

EJEMPLO: Supongamos que un puerto del switch fue dejado con la configuracin por default, que es auto. Normalmente el puerto del switch tendria que esperar a otro switch en auto para volverse una troncal. Ahora, supongamos que un usuario esta conectdo a este puerto, un buen usuario no usaria DTP, sin embargo un usuario malintencionado, podria explotar la vulnerabilidad que tiene dtp e intentar negociar una troncal con el puerto. Esto hace parecer al pc como si fuera un switch.

Una de las soluciones es configurar cada puerto del switch para tener un comportamiento esperado. Por ej. en vez de dejar un puerto de usuario final en modo auto, configurarlo en modo de accesoVLAN Hooping

El atacante trata de inyectar trfico de la VLAN X en la VLAN Y sin que ningn router intervenga. El hecho de que no haya router involucrado hace que el ataque se unidireccional, ya que la victima no podr responder a los paquetes recibidos Se enva un paquete con dos tags 802.1q, 1 y 10.

El primer tag correponde a la vlan de acceso del atacante.

El segundo tag corresponde a la vlan de la vctima.

El paquete entra en el switch 1; donde es clasificado dentro de la VLAN 1.

Ya que el enlace troncal tiene como VLAN nativa la VLAN 1, el switch 1 quita el tag 1 y enva el paquete al switch 2.

El switch 2 recibe el paquete con un tag 10, por lo tanto es clasificado como perteneciente a la VLAN 10.

El paquete es enviado a la vctima en la VLAN 10.

Como se puede ver, el problema de este ataque tiene que ver con el uso VLAN nativas sin etiqueta.Crear la VLAN nativa de un trunk con una VLAN id no usada, luego remover la VLAN nativa desde los 2 extremos del trunk.

Ptra alternativa es forzar todos los trunks 802.1q que agreguen etiquetas a las tramas de la vlan nativa tambien