Post on 11-Feb-2018
7/23/2019 Seguridad en La Capa2
1/92
Seguridad enla capa 2
MUM Argentina Noviembre de 2009Eng. Wardner Maia
7/23/2019 Seguridad en La Capa2
2/92
2
Nome: Wardner Maia
Ingeniero Electricista modalidad Eletrotcnica/Electrnica/Telecomunicaciones
Proveedor de Internet desde 1995, utilizando radio frecuencia para proveer acesodesde 2000
Suministra entrenamientos en radio frecuencia desde 2002 y en Mikrotik desde 2006
Posee las Certificaciones Mikrotik:-- Trainer (2007) Riga, Latvia-- MTCWE, MTCRE (2008) Krakow, Poland-- MTCUME, MTCTE (2009) Praga, Czech Republik
Introduccin
7/23/2019 Seguridad en La Capa2
3/92
3
MD Brasil TI & Telecom
Operadora de Servicios de Comunicaccin Multimedios y Servicios de Valor Aadido
Distribuidor mayorista de productos de Hardware e Software Mikrotik
Integradora y fabricante de equipos.
Socio de Mikrotik en entrenamientos
www.mdbrasil.com.br/ www.mikrotikbrasil.com.br
Introduccin
http://www.mdbrasil.com.br/http://www.mikrotikbrasil.com.br/http://www.mikrotikbrasil.com.br/http://www.mikrotikbrasil.com.br/http://www.mikrotikbrasil.com.br/http://www.mikrotikbrasil.com.br/http://www.mdbrasil.com.br/7/23/2019 Seguridad en La Capa2
4/92
4
Publico objetivo principal: Pequeos y medianos proveedores de servicio de acceso a Internet yTelecomunicaciones que operan Redes Ialambricas y Alambradas.
Objetivos: Discutir las distintas topologias de redes ms comunes empleadas por estosoperadores con respecto a la seguridad y disponibilidad de la Red.
Entender conceptualmente los riesgos y amenazas existentes con demonstracionespracticas de los ataques.
Discutir la implementacin de contramedidas posibles con Mikrotik RouterOS,proponiendo un conjunto de mejores practicas con respecto a las debilidades de lacapa 2.
Objetivos de la Presentacin
7/23/2019 Seguridad en La Capa2
5/92
5
Modelo OSI(Open Systems Interconnection)
CAPA 3: RED
CAPA 2: ENLACE
CAPA1: FSICA
CAPA 4: TRANSPORTE
CAPA 6: PRESENTACIN
CAPA 7: APLICACIN
CAPA 5: SESIN
Enderezamiento y enrutamiento
Conexiones fsicas
End. Fsico
7/23/2019 Seguridad en La Capa2
6/92
6
Seguridad es un proceso continuo y los administradores deben tener en cuentamuchos aspectos desde la capa fisica hasta la capa de aplicaciones. Del punto de vistadel acceso a la Red no es suficiente garantizar que la red no sea invadida para que losclientes tengan seguridad en sus datos.
Teniendo como referencia el modelo OSI, se puede decir que la seguridad de lascapas superiores siempre depende de las capas inferiores. Una red segura necesitagarantizar, adems de otras cosas, las informaciones coherentes entra la capa 2(enlace) e la capa 3 (red)
Adems de los problemas de seguridad de acceso existen inmeros ofensores a ladisponibilidad de la red por ataques de negacin de servicio que explotanvulnerabilidades inherentes a la capa II
Medidas de controle hechas en la capa II ayudan a mejorar el desarrollo de la red por
filtrar trfego intil/indeseado.
Por qu el foco en la capa II ?
7/23/2019 Seguridad en La Capa2
7/92
7
Topologias usuales de redes IP, Bridging, Switching y Firewalls de la Capa II
Vulnerabilidades y ataques tpicos a la capa II:
Inundacin de la tabla de Hosts / Tabela CAM y explotacin de protocolos dedescubierta del vecindario
Explotando VLANs y el Protocolo Spanning Tree
Inanicin en una red con DHCP
Ataques de envenenamiento de ARP Hombre del medio
Atacando usurios y proveedores de Hotspot y PPPoE Ataques de desautenticacin de usuarios Wireless
Contramedidas, mejores prcticas y demostraciones en tiempo real
AGENDA
7/23/2019 Seguridad en La Capa2
8/92
8
Topologias usuales de redes IP, Bridging, Switching yFirewalls de capa II (Filtros de Bridge)
7/23/2019 Seguridad en La Capa2
9/92
Tpica Red en Capa 2
Gateway de los clientes es el Gateway de borde
Solamente un domnio de Broadcast
7/23/2019 Seguridad en La Capa2
10/92
Tpica Red Enrutada
Gateway de los clientes es distribudo y cerca de los clientes
Domnios de broadcast segregados
Incluso en las redes roteadas pueden haber segmentos en capa 2
7/23/2019 Seguridad en La Capa2
11/92
Red Enrutada con Concentrador PPPoE
Bridge over Routing
Uso de protocolo de enrutamiento dinmico, pero con Tneles transparentes
hasta el concentrador.
7/23/2019 Seguridad en La Capa2
12/92
12
Redes en capa 2
Redes IP en Bridge:
Redes con IP fijo
DHCP
Hotspot
Mezcladas con Bridge sobreenrutamiento
Redes completamente en capa 2 con PPPoE
Vamos a abordar
Redes en ATM, Frame Relay, MPLS (capa 2.5), etc
7/23/2019 Seguridad en La Capa2
13/92
13
Bridging x Switching
Bridging x Switching
Bridging e Switching ocorrem na
camada II, porm em nveis distintos.
O processo de Switching normalmente mais rpido (wire speed)
A partir da v4.0 o Mikrotik RouterOSsuporta switching para vriosequipamentos,
BridgeSwitch
REDE
ENLACE
FSICA
TRANSPORTE
APRESENTAO
APLICAO
SESSO
7/23/2019 Seguridad en La Capa2
14/92
14
Switching
El switch mantiene una tabla con los MACs conectados a ella,relacionndolos con la puerta donde fueron aprendidos.
Cuando un MAC no existe en la tabla, l es buscado en todas las puertas,y la switch se porta como um HUB.
El espacio (Host table o CAM table) es limitado y cuando totalmente llenohace con que la switch se porte como un HUB !
(RB450G) (RB750) (RB450)
7/23/2019 Seguridad en La Capa2
15/92
15
Bridging
Como en las Switches, la Bridge mantiene una tabla con los MACsconectados a ella, relacionndolos con la puerta donde fueron aprendidos. EsosMACs son repasados para otras bridges conectadas en el mismo segmento dered.
El nmero de entradas no tiene propriamente un lmite pero depende delhardware pues consume recursos de memria que son finitos.
En las bridges es posible inspecionar los frames ethernet en capa 2 y seles puede aplicar filtros, marcaciones, etc
7/23/2019 Seguridad en La Capa2
16/92
16
Filtros de capa 2
http://wiki.mikrotik.com/wiki/File:Bridge_final.png7/23/2019 Seguridad en La Capa2
17/92
17
Atacando la capa 2
Inundacin de la Tabla de Hosts(MAC Flooding)
7/23/2019 Seguridad en La Capa2
18/92
18
Ataques a switches y bridgesInundacin de la tabla de hosts
Existen herramientas de instalacin extremadamente sencillas, desarrolladaspara programas para auditoria de seguridad de redes que ejecutan el floodde MACs en redes en bridge.
1
4
32
wds
7/23/2019 Seguridad en La Capa2
19/92
19
Ataques a switches y bridgesInundacin de la tabla de hosts
El flood puede ser hecho en qualquer puerta de las bridges, incluso en lasintefaces ialambricas donde corra una WDS
1
4
32
wds
7/23/2019 Seguridad en La Capa2
20/92
20
Inundacin de la Tabla de Hosts
(Mac Flooding)DEMO
wds
1 2 3
5
4
- Disparando el ataque a partir de 4- Averiguando el efecto en todos los otros- Protegiendo solamente 4- Protegiendo 4 y los otros
7/23/2019 Seguridad en La Capa2
21/92
21
Ataques a switches y bridgesContramedidas
Switches:
El ataque no causa DoS, pero una vez llena la CAM table, la Switch se
porta como HUB
Cuando utilizadas como switches, no hay qu hacer para prevenir esosataques sino dar acceso en capa 2 a los possibles atacantes.
Una feature como port security existente en las switches Cisco seradeseable para el Mikrotik RouterOS.
7/23/2019 Seguridad en La Capa2
22/92
22
Ataques a switches y bridges
Contramedidas
Antes de pasar por los filtros, los MACs deben ser aprendidos por la Bridge
Debido a eso, los filtros son intiles para la proteccin de esa Bridge enespecfico.
El ataque tendr xito y causar DoS en el equipo.
7/23/2019 Seguridad en La Capa2
23/92
23
Ataques a switches y bridgesContramedidas
Bridges:
Configurando la(s) puerta(s) para ExternalFDB (Forwarding DataBase) la tabla de hostsno ser cargada (para la(s) puerta(s)configuradas.
Esa medida evita el DoS en el equipo encuestin pero no en las otras bridges a l
conectados. El flood ser hecho para todas laspuertas.
Felizmente una vez aceptos los MACsatacantes, es possible filtrar la propagacin deellos.
7/23/2019 Seguridad en La Capa2
24/92
24
Ataques a switches y bridgesContramedidas
Pero cules filtros ejecutar?
El ideal sera solamente aceptar los MACs realmente conocidos y que hacenparte de la red.
Como eso ni siempre es possible, se puede escribir un script para activarlos onthe fly cuando y si la tabla de hosts aumenta de forma anmala..
7/23/2019 Seguridad en La Capa2
25/92
25
Atacando la capa 2
Explotando Protocolos deDescubierta de Vecindario
7/23/2019 Seguridad en La Capa2
26/92
26
Explotando protocolos deDescubierta de vecindario
Protocolos de descubierta de vecindario ayudan en las tareas administrativasy de control de red.
Mikrotik RouterOS utiliza MNDP - Mikrotik Neighbor Discovery Protocol. (Ciscoutiliza protocolo semejante - CDP).
MNDP trabaja com protocolo UDP, puerta 5678 que es divulgada porbroadcast a cada 60 segundos en cada interface.
7/23/2019 Seguridad en La Capa2
27/92
27
Explotando protocolos deDescubierta de vecindario
Herramientas de ataque desarolladaspara Cisco y disponibles en la Internetatacan tanto Mikrotik RouterOS comoCisco CDP
Esas herramientas pueden serutilizadas solamente para obtenerinformaciones de la red y equipos o causaDoS.
El ataque puede ser disparado decualquier puerta de la bridgecontaminando todos los equipos de larede.
15 segundos de ataque en una RB433AH
7/23/2019 Seguridad en La Capa2
28/92
28
Explotando de Protocolos de
Descubierta de VecindarioDEMO
- Disparando el ataque a partir del equipo 4- Averiguando el efecto en 1- Tomando las medidas preventivas en 1- Haciendo los filtros en 4
wds
1 2 3
5
4
7/23/2019 Seguridad en La Capa2
29/92
29
Contramedidas para ataques basados enprotocolos de Descubierta de vecindario
Desabilitar el MNDP en todas las interfaces
Aunque el MNDP est bloqueado, el trfego
generado por tentativas de ese tipo de ataqueexistir. Bloquear la puerta UDP 5678 en todos losfiltros de bridge puede ayudar a evitar ese trfego
Acordarse que toda Interfaz ethernet-like (EoIP,IPIP, PPtP esttica, etc) tiene por default el MNDP
habilitado.
7/23/2019 Seguridad en La Capa2
30/92
30
Atacando la capa 2
Inanicin de Redes con DHCP(DHCP Starvation)
7/23/2019 Seguridad en La Capa2
31/92
31
Fundamentos do DHCP
El protocolo DHCP es ejecutado en 4 fases:
1) El Cliente busca en su barramiento fsico un servidor de DHCP
DHCP DiscoverySrc-mac=, dst-mac=, protocolo=udp, src-ip=0.0.0.0:68, dst-ip=255.255.255.255:67
2) El Servidor de DHCP oferece (y reserva durante un rato) un IP al solicitante
DHCP OfferSrc-mac=, dst-mac=,protocolo=udp, src-ip=:68, dst-ip=255.255.255.255:67
7/23/2019 Seguridad en La Capa2
32/92
32
Fundamentos de DHCP
3 ) El cliente requisita (acepta) el IP ofrecido
DHCP Request
Src-mac=, dst-mac=, protocolo=udp, src-ip=0.0.0.0:68, dst-ip=255.255.255.255:67
4) El Servidor confirma la atribucin del IP
DHCP AcknowledgmentSrc-mac=, dst-mac=,protocolo=udp, src-ip=:68, dst-ip=255.255.255.255:67
7/23/2019 Seguridad en La Capa2
33/92
33
Ataques contra el DHCP
Existen dos tipos de ataques de Starvation del DHCP conocidos:
1) El atacante genera inmeros pedidos de DHCP y cumple todas las fasesdel proceso hasta obtener los IPs
2) El atacante genera inmeros pedidos de DHCP pero no los confirma
Tanto uno como otro ataque utilizan MACs generados aleatoriamente y causan lanegacin del servicio por el agotamiento de los IPs disponibles. El ataque de tipo1 es ms lento y ms persistente y del tipo 2 es ms rpido y tiene que ser hechocontinuamente, pues el tiempo de offer es pequeo.
7/23/2019 Seguridad en La Capa2
34/92
34
Inanicin de redes con DHCP
(DHCP starvation)
El ataque se basa en enviar paquetesde dhcp discovery para todos los hosts dela red, haciendo con que el DHCP los
ofrezca.
En ese momento se puede poner en lared um DHCP falso atribuyendo otrosIPs, gateways, DNSs, etc.
Alternativamente se puede aceptar losIPs manteniendo el DHCP sin ms IPspara entrega
...
Menos de 5 segundos de ataqueagota una classe C !
7/23/2019 Seguridad en La Capa2
35/92
35
Inanicin de Redes con DHCP
(DHCP Starvation)DEMO
wds
1 2 3
5
4
- Disparando los ataques de tipo 1 e 2 a partir del host 4- Observando el efecto en 1 (Servidor de DHCP)
7/23/2019 Seguridad en La Capa2
36/92
36
DHCP StarvationContramedidas
Filtros permitiendo pasar solamente los MAC
s conocidos
Leases estticos en el DHCP
Considerar la posibilidade de utilizar Radius o User Manager
7/23/2019 Seguridad en La Capa2
37/92
37
Atacando la capa 2
Explotando Vlans
7/23/2019 Seguridad en La Capa2
38/92
38
VLANs
Una Vlan es un grupo de hosts que se comunican entre si como siestuvieran el el mismo domnio de broadcast independiente de la ubicacinfsica. Pueden ser utilizadas para muchas funciones en una red, como:
Creacin de vrias redes de capa 3 sobre un dispositivo de capa 2
Segmentacin de trfego y limitacin de domnios de Broadcasts Possibilidad de aplicar reglas de QoS individuales
Seguridad?
7/23/2019 Seguridad en La Capa2
39/92
39
Explotando las VLANs
La primera fragilidad es obvia pues no habiendo cualquier cuidado parafiltrar, cualquier host que tenga la misma Vlan Tag ID puede hacer parte dela Vlan
1
4
32
Vlan ID = 13
7/23/2019 Seguridad en La Capa2
40/92
40
Explotando las VLANs
Ataque de proxy de Vlans
- El atacante manda un paquete con su direccin IP y MAC de origen (4), IPde destino del objeto (3) y MAC de destino el MAC del enrutador (1) quenormalmente es la porta promscua.
- El enrutador reescribe el MAC y manda el paquete para (3)- El ataque es unidirecional pues la vuelta del pacote es desechada.
1
4
32
Vlan ID = 13
7/23/2019 Seguridad en La Capa2
41/92
41
Explotando las VLANs
Ataque de rtulo doble (double tagging) en Vlans
- El atacante forma un paquete con la Vlan Tag ID = 13 (Vlan al que l nopertenece), encapsulado con la Vlan Tag ID = 14 (al que pertenece)
- La switch (bridge) saca la Tag 14 enviando el paquete para la Vlan 13
- El ataque es tambin unidirecional.
1
4
32
Vlan ID = 13
Vlan ID = 14
7/23/2019 Seguridad en La Capa2
42/92
42
Ataques a Vlans
DEMO
1
4
32
Vlan ID = 13
- Restringiendo la participacin en una Vlan- Ataque unidirecional de rtulo doble
7/23/2019 Seguridad en La Capa2
43/92
43
Explorando VLANs
Contramedidas
Siendo el VLAN ID el nico parmetro a serconfigurado en una VLAN, la nica medida esbloquear el MAC Protocolo 8100 Vlans en
todas las puertas de entrada de la red;
El bloqueo de ataques de proxy de Vlanssolamente pueden ser controlados a traves delistas de acceso de MACs.
El Bloqueo de ataques de rtulo doble puedenser controlados a traves de lista de acceso deMACs y podran ser por el exmen del contenidode los paquetes IP en la capa 3
7/23/2019 Seguridad en La Capa2
44/92
44
Atacando la capa 2
Explotando el Spanning Tree
7/23/2019 Seguridad en La Capa2
45/92
45
Aplicaciones del Spanning Tree
STP es utilizado para:
Evitar la formacin de loops en redes en Bridge
Posibilitar topologas con redundancia de caminos
1 322 2 3 3
4
4 5
5
1
4
Camino desabilitado
7/23/2019 Seguridad en La Capa2
46/92
46
Aplicaciones del Spanning Tree
7/23/2019 Seguridad en La Capa2
47/92
47
Spanning Tree x Rapid Spanning Tree (RSTP)
RSTP fue propuesto por el IEEE 802.1w para hacer frente a una necesidad dems velocidad de respuesta a la adaptacin de cambios de topologia.
RSTP trabaja con el concepto de estados de las portas. Una puerta puede estar:
Desconocida (cuando el estado todava no fue determinado)
Alternativa (no hace parte de la topologa activa en el momento backup)
Designada (cuando la porta est designada para uma lan a ella conectada)
Root (camino para la bridge root)
Los mensajes de BPDU en el RSTP incorporam el estado de las puertas y unasrie de cambios en relacin al STP que hacen el protocolo mucho ms rpido. Sinembargo, el RSTP es compatible con STP.
7/23/2019 Seguridad en La Capa2
48/92
48
Princpios de funcionamiento del (R)STP
La bridges participantes del Spanning Tree eligen entre si una bridge root(normalmente la de menor Bridge ID)
Cada dispositivo calcula el menor camino a partir de si para la bridge root
Para cada bridge es elegida una puerta root, que tiene el menor camino para labridge root
Los dispositivos intercambian mensagens de BPDU (Bridge Protocol Data Unit)
Dir. Destino Dir. Origen
Root ID
Mens. configuracin
Bridge IDRoot Path Cost
Protocol IDVersionBDOU TypeFlags
Port IDMessage Age
Hello TimeForw Delay
7/23/2019 Seguridad en La Capa2
49/92
49
Princpios de funcionamiento del (R)STP
Una vez elegida la Bridge Root, sta pasa a anunciar peridicamente mensajesde configuracin que son repasadas por las bridges participantes del STP con suprprio MAC como MAC de origen. (conf BPDU)
Cuando ocurre un cambio en la topologia en qualquier segmento de la red, labridge responsble por ese segmento enva mensajes comunicando ese cambio (tcnBPDU Topology Change Notification BPDU)
Root ID Bridge IDRoot Path Cost
Protocol ID Mes. TypeVersion
7/23/2019 Seguridad en La Capa2
50/92
50
Princpios de funcionamiento del (R)STP
BridgeRoot
Br01
Br03 Br04
Br02
Br05
Conf BPDUConf BPDU
tcn BPDU tcn BPDU
7/23/2019 Seguridad en La Capa2
51/92
51
Seguridad con STP y RSTP
Tanto STP como RSTP tienen caracteristicas que proporcionan la posibilidad deataques diversos, pues la raz del problema es la inexistencia de autenticacin en lasmensajes de BPDU
As es posible practicar ataques diversos tanto de DoS como de MiTM, al hacer:
Flooding de mensajens de conf BPDU
Flooding de mensajens de tcn BPDU
Flooding de mensajens BPDU asumiendo el papel de bridge rootAtaque de hombre del medio cuando se tiene acceso a dos bridges de latopologa.
7/23/2019 Seguridad en La Capa2
52/92
52
Atacando el Spanning Tree
Ataque de DoS basado en muchos mensajens de conf BPDU
Ataque de DoS basado en muchos mensajens de tcn BPDU
Atacante mandando un mensaje de conf BPDU
Atacante mandando un mensaje de tcn BPDU
7/23/2019 Seguridad en La Capa2
53/92
53
Atacando el Spanning Tree
Atacante asumiendo el papel de root
7/23/2019 Seguridad en La Capa2
54/92
54
Atacando el Spanning Tree
Atacante asumiendo el papel de una bridge comm
Atacante asumiendo el papel de root + Hombre del Medio
32
3 3
4
4
4
Root
7/23/2019 Seguridad en La Capa2
55/92
55
Ataques al Spanning Tree
DEMO
wds
1 2 3
5
4
- Mandando mensajes de conf o tcn BPDU para causar DoS- Convirtindose en una Bridge participante del STP- Convirtindose en puerta Root en RSTP
7/23/2019 Seguridad en La Capa2
56/92
56
Atacando el Spanning TreeContramedidas
Mensajes de Spanning Tree son enviadas por default para la direccin MAC
01:80:C2:00:00:00 .
Filtrar las puertas de borde de la red para esa direccin es la solucin para que elatacante no tenga xito al convertirse en root.
7/23/2019 Seguridad en La Capa2
57/92
57
Atacando el Spanning TreeContramedidas
Es possible tambin filtrar selectivamente los mensajens de STP por losclasificadores:
Tipo de mensaje conf BPDU o tcn BPDU
Direccin del remitente
7/23/2019 Seguridad en La Capa2
58/92
Atacando la capa 2
Envenenamiento de ARP
(ARP Poisoning o ARP Spoof)
7/23/2019 Seguridad en La Capa2
59/92
59
Protocolo ARP
A pregunta para todos: Quin tiene el IP 192.168.1.3 ? C contesta a A: El IP 192.168.1.3 est en el MAC XX:XX:XX:XX:XX:XX A registra en su tabla arp el par: 192.168.1.3, MAC XX:XX:XX:XX:XX:XX
192.168.1.1
192.168.1.4
192.168.1.3
192.168.1.2
A
B
C
D
7/23/2019 Seguridad en La Capa2
60/92
60
Envenenamiento de ARP
Envenenamiento de ARP
Atacante emite para um objeto especfico ( o en broadcast),mensajes de ARP gratuitas anunciando que su MAC es el MAC de
quien quiere spoofar (normalmente el gateway)
Atacado tiene sus tablas ARP envenenadas y pasa a mandar lospacotes para el Atacante
Atacante manda para el gateway mensajes de ARP grtis
anunciando su MAC con el IP del Atacado
Atacado se comunica con el Gateway a traves del Atacante Hombredel medio
7/23/2019 Seguridad en La Capa2
61/92
61
Envenenamiento de
ARP
Z dice a A: El IP 192.168.1.3 est nel MAC ZZ:ZZ:ZZ:ZZ:ZZ:ZZ Z dice a C: El IP 192.168.1.1 est nel MAC ZZ:ZZ:ZZ:ZZ:ZZ:ZZ A empieza a hablar con C (y vice versa) a traves de Z (Hombre del
medio)
192.168.1.1
192.168.1.4
192.168.1.3
192.168.1.2
A
B
C
D
Z
7/23/2019 Seguridad en La Capa2
62/92
62
Spoof de ARP DEMO
wds
1 2 3
5
4
- Haciendo el arp-spoof a partir de 4- Averiguando en los otros hosts- Filtrando el ARP
Spoof
7/23/2019 Seguridad en La Capa2
63/92
63
Defensas para Arp-Spoof
1) Cambio en el comportamiento del protocolo ARP
Inconvenientes:
Arp esttico en todos los hosts es muy difcil de implementar en laprctica
Reply-Only no protege el lado del cliente.
ARP disabled todos los hosts deben
tener entradas estticas.
ARP Reply-Only Solamente elconcentrador tiene entradas estticas.
7/23/2019 Seguridad en La Capa2
64/92
64
Defensas para Arp-Spoof
2) Segregacin del trfego (aislamiento de clientes)
En una red tpica volteada para proveer acceso es deseable que los clientes en lacapa 2 apenas veanel gateway. Vamos a llamarles segregacin de trfego lasmedidas que deben ser tomadas para aislar todo tipo de trfego entre losclientes.
En el caso de una rede Ialambrica, con esas medidas, deben ser hechas en 2niveles:
En la Interfaz (Tarjeta Ialambrica)
En todas las puertas de la bridge.(Ialambricas y ethernet)
7/23/2019 Seguridad en La Capa2
65/92
65
Segregando el trfego en la capa 2(1 Tarjeta Ialambrica)
Default forward desabilitado en las interfaces y en los access lists
Cliente 1 Cliente 2
7/23/2019 Seguridad en La Capa2
66/92
66
Segregacin de trfego en la capa II(2 tarjetas Ialambricas en bridge)
Bridge
1 2 3 4
1 2
3 4
1 3, 42 3, 4
1 2
3 4
1 3, 4
2 3, 4
2 Reglas
7/23/2019 Seguridad en La Capa2
67/92
67
Segregando el trfego en la capa II4 Interfaces en Bridge
ether1
Wlan1, 2, 3 y 4
12 Reglas?
4 Reglas1 Regla !
Gracias, Edson
7/23/2019 Seguridad en La Capa2
68/92
Segregando el trfego en la capa IIVarios equipos en Bridge
/interface bridge filteradd chain=forward in-interface=ether1 out-interface=ether2 action=acceptadd chain=forward in-interface=ether2 out-interface=ether1 action=acceptadd chain=forward in-interface=!ether2 out-interface=!ether2 action=drop
/interface bridge filter
add chain=forward in-interface=!ether2out-interface=!ether2 action=drop
7/23/2019 Seguridad en La Capa2
69/92
69
Defensas para Arp-Spoof
En redes donde hayan otros equipos que no acepten la segregacin del trfego, loque puede ser hecho es juntar el ARP reply-only con algunos filtros e para evitar elenvenenamiento de los clientes por lo menos en los trozos donde el trfego pasa porel Mikrotik RouterOS.
2 - Acepta requisiciones de ARP de qualquier host
1 Gateway em reply-only (tabelas estticas)
7/23/2019 Seguridad en La Capa2
70/92
70
Defensas para Arp-Spoof
3 Descarta cualquier respuesta que no sea originada del Gateway
7/23/2019 Seguridad en La Capa2
71/92
Protegiendo el ARP(medidas complementarias)
Se puede aun eliminar paquetes inutiles descartando tramas que no sean ethernet
o IPV4
7/23/2019 Seguridad en La Capa2
72/92
72
Medidas para control de arp-poof en redes con PPPoE
Filtros de Bridge en las interfaces que escuchan el PPPoE permitiendosolamente PPPoE-discovery y PPPoE-session, son importantes y filtran totalmenteel protocolo ARP. Las interfaces pueden incluso tener el ARP desabilitado. Talesmedidas son importantes no solo para filtrar ARP pero tambin para otros trfegos
indeseables.
7/23/2019 Seguridad en La Capa2
73/92
Una rede que utiliza PPPoE est libre de ataquesde arp-spoof por parte de sus clientes?
Si la red utiliza solamente PPPoE y no utiliza IP en las interfaces que escuchanel PPPoE la respuesta es claramente s.
Sin embargo no se puede ignorar que tales redes estn sujetas a todos los otros
ataques abordados previamente y uno ms:
Ataques entre clientes por servidor PPPoE Falso:
Bridge
1 2 3 4
Atacante activaPPPoE Server
Usuario
7/23/2019 Seguridad en La Capa2
74/92
Solucin para el problema anterior
Desabilitar default forward en las interfaces y access lists
Efectuar los filtros de Bridge entre interfaces ANTES de liberar el PPPoE.
Aceptar los trafegos PPPoE session y PPPoE discovery
Descartar el restante
Bridge
1 2 3 4
Atacante conPPPoE Server
Usuario
7/23/2019 Seguridad en La Capa2
75/92
Atacando la capa 2
Atacando clientes y proveedores de
PPPoE y Hotspot
7/23/2019 Seguridad en La Capa2
76/92
76
Atacando Proveedores y Clientes deHotspot y PPPoE
Son ataques sencillos de capa 1 y 2 que consisten en poner un AP conel mismo SSID y Banda de operacin y ejecutar el mismo servicio (PPPoE oHotspot)
Dependiendo de la potencia de la seal y ubicacin relativa delatacante en relacin a los clientes no es necesario mayores medidas. Puedeser necesario hacer un ataque de DoS en proveedor inicialmente.
El ataque puede ser hecho para varios objetivos, como simple negacinde servicio, descubierta de contraseas de Hotspot y PPPoE, hombre del
medio, envenenamiento de cache, etc.
Para descubierta de contraseas se puede utilizar un Radius en modoPromscuo
7/23/2019 Seguridad en La Capa2
77/92
77
Atacando Proveedores y Clientes deHotspot y PPPoE
7/23/2019 Seguridad en La Capa2
78/92
78
Radius configurado para descubrir usuarios y senhas
maia@maia-laptop:/etc/freeradius/radiusd.conf
# Log authentication requests to the log file# allowed values: { no, yes }
log_auth = yes
# Log passwords with the authentication requests
# allowed values: { no, yes }log_auth_badpass = yes
log_auth_goodpass = yes
7/23/2019 Seguridad en La Capa2
79/92
79
Ataques a Hotspot y PPPoEContramedidas
Solamente criptografa bien implementada puede evitar esos ataques. Es estpidopensar que una red Wireless est segura cuando no usa criptografa.
La implementacin de la criptografa en una red puede ser hecha de inumerasmaneras, ms o menos eficientes. La manera ms segura sera con CertificadosDigitales instalados en todos los equipos (EAP-TLS) pero es en la prctica limitada porla punta cliente que ni siempre tiene el soporte adecuado.
El Mikrotik tiene una solucin intermedia muy interesante que es la distribucin declaves PSK individuales por cliente con las claves distribudas por Radius.
Para detalles de esa implementacin, vase http://mum.mikrotik.com Brazil 2008
7/23/2019 Seguridad en La Capa2
80/92
80
Ataques a Hotspots Pblicos
7/23/2019 Seguridad en La Capa2
81/92
81
Acceso seguro en Hotspots Pblicos
7/23/2019 Seguridad en La Capa2
82/92
82
Atacando la capa 2
Ataques de Desautenticacin(Deauth Attack)
7/23/2019 Seguridad en La Capa2
83/92
83
Ataques de negacin de servicio enRedes Ialambricas 802.11
Ataques basados en altas potencias de RF ( Jamming ) Capa 1
Teniendo en vista que estamos trabajando con bandas no licenciadas, ese es un
risco potencial y no hay mucho qu hacer sino reclamar con la autoridadresponsable por el espectro. Un buen proyecto de RF puede, sin embargo,ayudarnos a tener una exposicin ms pequea a ese tipo de ataque.
Ataques basados en el protocolo
Tiene como base la exploracin de vulnerabilidades en los frames de control queexisten gracias a una concepcin dbil de seguridade en el desarrollo del protocolo802.11 pues no hubo preocupacin cuanto a la autenticacin de esos frames.
7/23/2019 Seguridad en La Capa2
84/92
84
Proceso de Autenticacin / AsociacinState 1:
Unauthenticated
Unassociated
State 2:
Authenticated
Unassociated
DeauthenticationSuccessful
authentication
Disassociation
State 3:
Authenticated
Associated
Successful
authentication or
reassociation
Deauthentication
2 2 4 1 1 1 1 1 1 1 1
00 - Management Frame Type 01 - Control Frame Type 10 - Data Frame Type
0000 - association request
0001 - association response
0010 - reassociation request
0011 - reassociation response0100 - probe request
0101 - probe response
1000 - beacon
1010 - disassociation
1011 - authentication
1100 - deauthentication
00 - Protocol Version
1010 - power save poll
1011 - RTS
1100 - CTS
1101 - ACK1110 - CF-end
1111 - CF-end + CF-ACK
0000 - data
0001 - data + CF-ACK
0010 - data + CF-poll
0011 - data + CF-ACK + CF-poll0100 - NULL (no data)
0101 - CF-ACK (no data)
0110 - CF-poll (no data)
0111 - CF-ACK + CF-poll (no data)
802.11 Types and Subtypes
7/23/2019 Seguridad en La Capa2
85/92
85
Ataque de Deauth
1 El atacante utiliza cualquier herramienta como airodump, kismet, wellenreiter, o elprpio sniffer/snooper de Mikrotik RouterOS para descubrir :
MAC del AP
MAC del Cliente
Canal en uso
2 Se pone en cualquier posicin en la que el AP puede or su transmisin (incluso unaseal dbil ser suficiente desde que est algunos decibeles arriba de la sensibilidaddel AP)
3 Dispara el ataque solicitando al AP que desautentique el cliente;
Ese ataque puede ser combinado con otros, levantando un AP falso y haciendo el
Hombre del medio o incluso para facilitar la renovacin de la tabla ARP
7/23/2019 Seguridad en La Capa2
86/92
86
Atacando la capa 2
Ataques de Desautenticacin (Deauth Attack)
DEMO
7/23/2019 Seguridad en La Capa2
87/92
87
Ataque de Deauth
maia@maia:~$ sudo my-l2-attackss 00:0C:42:AA:AA:AAc 00:0C:42:CC:CC:CC- - deauth=10 wlan0
09:54:01 Sending 64 direct DeAuth. STMAC: [00:0C:42:CC:CC:CC] [86|84 ACKs]
09:54:02 Sending 64 direct DeAuth. STMAC: [00:0C:42:CC:CC:CC] [111|99 ACKs]
09:54:03 Sending 64 direct DeAuth. STMAC: [00:0C:42:CC:CC:CC] [54|64 ACKs]
09:54:04 Sending 64 direct DeAuth. STMAC: [00:0C:42:CC:CC:CC] [138|130 ACKs]
09:54:07 Sending 64 direct DeAuth. STMAC: [00:0C:42:CC:CC:CC] [305|301 ACKs]
09:54:09 Sending 64 direct DeAuth. STMAC: [00:0C:42:CC:CC:CC] [318|311 ACKs]
09:54:12 Sending 64 direct DeAuth. STMAC: [00:0C:42:CC:CC:CC] [266|266 ACKs]09:54:15 Sending 64 direct DeAuth. STMAC: [00:0C:42:CC:CC:CC] [322|316 ACKs]
09:54:17 Sending 64 direct DeAuth. STMAC: [00:0C:42:CC:CC:CC] [224|231 ACKs]
09:54:20 Sending 64 direct DeAuth. STMAC: [00:0C:42:CC:CC:CC] [346|344 ACKs]
7/23/2019 Seguridad en La Capa2
88/92
88
Ataques de deauth - soluciones
Despus de revelados los problemas con ataques de deauth e teniendo estostomado carter real, algunas medidas fueron propuestas como la expuesta en el
artculo abajo:
http://sysnet.ucsd.edu/~bellardo/pubs/usenix-sec03-80211dos-slides.pdf
Em los MUMs de Argentina en 2007 y de Polonia en 2008 fueron presentadasalgunas soluciones para hacer frente a esos ataques al utilizar Mikrotik RouterOS.Son soluciones meramente paliativas que podan hasta entonces ser adotadas.
http://wiki.mikrotik.com/images/2/20/AR_2007_MB_Wireless_security_Argentina_Maia.pdfhttp://mum.mikrotik.com/presentations/PL08/mdbrasil.pdf
7/23/2019 Seguridad en La Capa2
89/92
89
A partir de la V4 el MikrotikRouterOS incorpora la posibilidad deautenticacin de frames de control enlos perfiles de seguridad.
Ataques de Desautenticacin (Deauth Attack)
Contramedidas
7/23/2019 Seguridad en La Capa2
90/92
90
Ataques a la capa 2 y contramedidasConclusiones
La exposicin de cualquer red a ataques de capa 2 es muy grande cuando setiene acceso fsico a ella y los potenciales ataques de negacin de servicio son ensu mayora sobrepujantes y de difcil control.
Cuando se necesita dar acceso en capa 2 a una otra red, una poltica rgida de
control de direcciones fsicas deve ser implementada, adems de otros filtros.
El Mikrotik RouterOS posee herramientas que ayudan en esos contolres, pero enla medida del posible, se debe restringir al mximo las puertas de entrada para lared que puedan ser utilizados de los potenciales ataques a la capa 2.
Preferencialmente nunca permita aceso a la capa 2 por parte de clientes comunes.
Cambiar las Redes en capa 2 para Redes enrutadas en principio puede serdificil, pero las ventajes son muchas. Cambiar de una Red enrutada para MPLS conMikrotik es muy mas sencillo.
7/23/2019 Seguridad en La Capa2
91/92
Referencias
Articulo de Cisco Safe Layer 2 Security in depth versin 2
Seguridad en Capa 2 Ing Gabriel Arellano
Layer 2 filtering and transparent frewalling Cedric Blancher
Framework for Layer 2 attacksAndres Berrueta / David Barroso
Messing up with WiFi public networks Cedric Blancher
MUM Argentina 2007/ Poland 2008 / Brazil 2009 Seguridad Ialambrica
Mikrotik WIKI
7/23/2019 Seguridad en La Capa2
92/92
Gracias !
Wardner Maia maia@mikrotikbrasil.com.br
http://mum.mikrotik.com/2009/AR/http://mum.mikrotik.com/2009/BR/