Professional Documents
Culture Documents
com
Katiusca Pinto katiusca.pinto
En base a esto, tomamos como punto de partida la necesidad de switches y ya que una estructuracin en VLANS impone necesidad de comunicacin entre dichos segmentos, esta comunicacin es posible gracias a un elemento clave en este tipo de estructuras, un enrutador. Determinando esto, se elabor una red de 4 vlans, refirindose al departamento de atencin al cliente, administracin, finanzas y recursos humanos en el programa GNS3.
Para representar estos departamentos se coloco una PC en cada una de las vlans. La topologa de red utilizada, se muestra en la Figura 1, donde se observa claramente a que interfaz del switch esta cada PC, lo que nos dice que ese puerto lo seleccionamos como parte de una vlans en especifica.
Para configurar la red y poner en funcionamiento los equipos, se empez por los switch, donde se le asigno un nombre al equipo. Para la creacin de las Vlans, el primer paso para configurarlas es declararlas en el switch asignndole el nmero y el nombre de cada Vlans. Se procede entonces a declarar los enlaces de trunk, y la asignacin de los puertos a una Vlans en especfica. Para configurar el router es necesario crear en enlace de trunk entre el router y el switch. Cabe destacar que en la interfaz del router que conecta al swicth al ser configurada como trunk, se configuran virtualmente como caminos para la vlan. Luego de configurar cada equipo como corresponde, se procedi a realizar las pruebas necesarias para verificar que la red estaba funcionando correctamente. El anlisis de trfico en nuestra red es el punto focal del estudio realizado, ya que los problemas que presenta una red en la mayora de ocasiones, las causas de por qu ocurren, tienen un origen no premeditado y se deben a una mala configuracin de la red como puede ser tormentas broadcast, spanning-tree mal configurado, enlaces redundantes,etc. Pero, en otras ocasiones, puede tratarse de ataques inducidos por terceros que pretenden dejar fuera de servicio un servidor web mediante un ataque Dos ,husmear trfico mediante un envenenamiento ARP o simplemente infectar los equipos con cdigo malicioso para que formen parte de una red zombi o botnet. Wireshark es un analizador de protocolos opensource diseado por Gerald Combs y que actualmente est disponible para plataformas
Windows y Unix que tiene como su principal objetivo es el anlisis de trfico adems de ser una excelente aplicacin didctica para el estudio de las comunicaciones y para la resolucin de problemas de red. Cabe destacar que podemos utilizar GNS3 y Wireshark de manera conjunta. El primer paso para poder auditar la red ser definir dnde analizar el trfico. Si conectsemos un equipo con Wireshark a uno de los puertos del switch, solo veramos las tramas que transcurren entre el switch y nuestra mquina, y eso no es lo que pretendemos. El switch divide la red en segmentos, creando dominios de colisin separados y eliminando, de esta forma, la necesidad de que cada estacin compita por el medio. nicamente enva las tramas a todos los puertos (pertenecientes a la misma VLAN) cuando se trata de difusiones broadcast (por ejemplo, para saber la direccin fsica de alguna mquina). Es por ello que el anlisis se decidi hacer en las interfaces configuradas como trunk. Estos enlaces son mostrados en la Figura 2 por medio de valos en lnea de color negro.
El anlisis de trfico que realizamos es centrado en seguridad y cmo verificar mediante la auditoria constante de la red cuando hay un atacante de la red, especficamente refirindonos a VLAN HOPPING. 3. Resultados En nuestro proyecto nos planteamos observar el trfico dentro de una vlan corporativa y estos fueron los resultados obtenidos. Primero se verifica que la red este funcionando correctamente y generamos trfico manualmente haciendo ping entre computadoras y redes siguiendo los siguientes pasos: Procedemos hacer ping entre las computadoras para comprobar que haya comunicaciones generando trafico manualmente mediante el
ping.Una vez comprobado esto pasamos a plantear problemas de seguridad que generan traficos indeseados en las vlans
Problemas de seguridad en una Vlan: Vlan Hopping consiste en un ataque a los recursos de la red que soportan una VLAN. Hay dos mtodos para lograr realizar el ataque: suplantacin del switch y/o doble etiquetado de los paquetes. El objetivo que busca el atacante con estos mtodos es lograr acceso al trfico de otras VLAN, diferentes a donde se encuentra el dispositivo atacante, que en condiciones normales no estara disponible. Ataque de suplantacin del switch Para que este tipo de ataque prospere el equipo atacante debe estar configurado de tal manera que sea capaz de manejar los protocolos de etiquetado y concentracin de enlaces utilizados entre switches de la red (los protocolos 802.1Q/ISL y DTP), imitando el comportamiento de un switch ms en la red. De esa forma se lograra acceso al trfico del resto de la red ya que el equipo se volvera miembro de todas las VLAN, siempre y cuando el/los puerto/s del switch estn configurados como dynamic auto o desirable. La captura de los paquetes que proveen informacin de 802.Q se muestra en la Figura 3.
de switches vecinos que tengan intencin de crear un enlace trunk. Mientras que en el segundo caso (dynamic desirable), es el propio puerto el interesado en crear dicho enlace mediante el envo de tramas de negociacin DTP a los switches vecinos. En este escenario, un atacante podra crear tramas DTP especialmente diseadas y enviarlas al switch hacindose pasar por otro switch que tiene intencin de negociar un enlace trunk. Lejos de parecer complejo,Yersinia incorpora dicha funcionalidad permitindole negociar la configuracin de un puerto trunk. La Figura 4 nos muestra cmo se crea el envo de paquetes DTP y as lograr la negociacin. Este proceso se ve reflejado en la ventana donde vemos el trfico de la red. La lnea resaltada es la que nos muestra este proceso.
Figura 4. Envo de paquetes DTP Ahora bien, para solucionar esto se recomienda configurar aquellos puertos expuestos a usuarios como access port o configurar el estado DTP como no negociable (nonegotiate), para que de esta forma se ignoren negociaciones trunk.
Figura 3. Paquetes VTP capturados En el primer caso (dynamic auto), el puerto simplemente escuchara tramas DTP provenientes