Un switch mal configurado es un agujero de seguridad tan grande como un hub. Como ya sabemos un switch es un dispositivo intermedio de capa 2 es decir trabaja con direcciones MAC, dirección MAC destino y dirección MAC origen y de esta forma establece la conexión entre los dos hosts (puertos del switch) correctos, por defecto el switch es un dispositivo que “aprende”, es decir nada más encenderlo enviará toda la información por todos los puertos al igual que un hub, pero irá memorizando la MAC del dispositivo que hay conectado a ese puerto de forma que creara una tabla interna en la RAM en la que asociará una dirección MAC a un puerto (o interfaz).

Imaginemos ahora por un momento que pasaría si la memoria que tiene destinada el switch a guardar esta información se llenara con muchas MAC’s, se produciría un desbordamiento de buffer (buffer overflow) y el switch al ver que no puede acceder a la información de su tabla procedería a comportarse como un hub, es decir empezaría a enviar toda la información por todos los puertos, esto en un switch solo se daría si se está produciendo un ataque, con lo que si no tenemos monitorizada la red, estaremos ante un ataque de robo de información que no podremos detectar fácilmente si no somos muy perspicaces (como usuarios finales).

 

Buffer Overflow

 

Para protegernos de este tipo de ataques basta con asignar todas las direcciones MAC a un puerto determinado y configurar la tabla de forma estática, claro que en un sitio donde hay movimiento de equipos y de usuarios, es normal que tengamos que tener algunos puertos o dispositivos totalmente configurados de manera dinámica, esto no quita que podamos poner restricciones a los puertos como n MAC’s diferentes por puerto, o si se detecta que un puerto en el que sabemos que solo podría ir conectado un host empieza a enviar información de varias MAC’s en un periodo de tiempo ridículo tirar la conexión automáticamente. De esta forma nos estaremos quitando un gran porcentaje de ataques de este tipo.

Este es uno de los diferentes ataques que nos podemos encontrar en la red destinados mayormente a los Switch, muchos de ellos derivan de los protocolos de comunicación como DHCP (Protocolo que asigna dinámicamente direcciones IP), CDP (protocolo descubrimiento de de cisco), etc.

 

MITM

 

Otra de las vulnerabilidades que tienen los switches es el acceso remoto a ellos, como ya sabemos Telnet es una conexión no segura ya que no utiliza comunicación cifrada y deja en texto plano contraseña y usuario, con programas de análisis de trafico podríamos detectar datos de usuario y tener acceso Al host, por eso se recomienda SSH (Shell seguro) que utiliza cifrado de contraseña y de comunicación. Otro de los ataques que puede estar expuesto este servicio es el ataque de contraseña por fuerza bruta, en el cual el atacante utiliza un software que utiliza todas las posibles combinaciones de clave y si dispone con el tiempo suficiente podría llegar a codificar nuestra contraseña. Una de las recomendaciones asociadas a este ataque son: Cambio de contraseña periódicamente, utilizar mayúsculas y minúscula, números y símbolos, una utilización eficaz también es el uso de ACL. Mediante estas podríamos denegar el acceso a estos servicios para ciertas redes.

 

David Solano Alonso

Alumno del curso: Cisco CCNA R&S

Centro: Tajamar

Año: 2015-2016