Triunfan aquellos que saben cuándo luchar y cuándo no.
Sun Tzu
Mientras estudiaba la Licenciatura en Sistemas Informáticos, tuve un profesor que siempre ponía énfasis en que la seguridad en redes de computadoras debía pensarse desde la Capa 1 (Física) del modelo OSI[i]; él decía que todos aquellos que solo se enfocaban en proteger los sistemas (y por lo tanto la información) a partir de Capa 3 (Red) estaban teniendo una visión muy limitada respecto a la seguridad. Ese fue un concepto que por aquella época me fue difícil asimilar, sin embargo, al pasar el tiempo he podido comprender lo que mi profesor quiso enseñarme.
Las organizaciones que tienen una especialización de funciones cuentan con diversas áreas separadas entre sí que funcionan tanto para la administración de la seguridad como de las telecomunicaciones. Cuando se habla de Capa 2 (enlace de datos) casi siempre se asocia a Ethernet[ii]; por lo tanto, se asocia con switches o hubs y el área responsable es la de comunicaciones.
En la actualidad todavía existen ciertos mitos respecto a la seguridad en capa 2. Hoy me referiré a algunos de ellos.
El modelo OSI fue diseñado para que cada capa trabaje de manera independiente de las otras, su relación existe cuando una capa brinda servicios a la siguiente en jerarquía; sin embargo la capa superior no puede validar si la capa inferior fue comprometida o no.
En capa 2 los equipos son visibles unos a otros mediante una dirección física MAC[iii] . El tráfico entre equipos es administrado por un switch, el cual permite el uso de los recursos de la red de manera eficiente. El uso de switches ha creado algunos mitos, como son:
- La dirección MAC de un equipo es física por lo tanto no puede ser cambiada o falsificada.
- El switch no es vulnerable a Sniffing de tráfico.
- Si creo VLANS[iv] aíslo completamente el tráfico ente equipos.
A continuación daré algunos ejemplos de ataques que se pueden realizar en capa 2, los cuales comprometen las siguientes capas de modelo y, por lo tanto, la información que fluye sobre las redes de datos.
CAM Table Overflow: Un switch guarda la asociación entre MAC y el puerto físico donde está conectado un equipo en una tabla que se llama CAM, la cual tiene un tamaño fijo. Cuando este espacio ha sido usado en su totalidad, el switch envía todas las tramas de comunicación a un MAC que no existe en su tabla MAC; por lo tanto, un switch se convierte en un hub para todo equipo que no esté en su tabla CAM.
Desde mayo de 1999 existe una herramienta que permite realizar este tipo de ataque.
ARP Spoofing: Para que capa 2 pueda dar servicios a capa 3 existen dos protocolos llamado ARP y RARP[v] , cada dirección MAC (de capa 2) está asociada a una dirección IP[vi]. Estas relaciones son almacenadas en una tabla de direcciones MAC contra direcciones IP, tanto en los switches como en los dispositivos que estén conectados en una red.
Ejemplo de tabla de MAC vs IP
Interface: 10.10.10.100 — 0xb
Internet Address Physical Address Type
10.10.10.1 00-1f-b3-d2-c1-c1 dynamic
10.10.10.255 ff-ff-ff-ff-ff-ff static
Mediante peticiones falsas de ARP es posible falsificar cualquier dirección MAC en una red de cómputo; por lo tanto, cualquier tráfico puede ser re direccionado a un equipo falso y esto permite:
- Robo de sesiones de aplicaciones.
- Sniffing de tráfico de la red interna (incluso en un switch).
- Ataques de denegación de servicio.
- Ataques de “hombre en medio”.
Desde 1997 se tiene conocimiento de este tipo de ataques[vii].
VLAN hopping Attack: Para que un switch administre VLANs requieredela creación de un puerto truck que tiene acceso a todas las VLANs, este puerto se usa para transmitir tráfico de múltiples VLAN en un mismo enlace físico. Para la administración se usa el protocolo DTP, el cual por defecto se encuentra configurado de manera “Auto”. Cualquier equipo de cómputo que soporte los protocolos 802.1Q/ISL o DTP, puede convertirse en miembro de todas las VLAN, y por lo tanto tener acceso a servicios y/o información de toda la red.
Ataques a STP: Spanning Tree Protocol permite crear topologías de red redundantes libres de de bucles[viii]. Cuando un atacante logra estar conectado en dos switches, puede inundar la red con paquetes del tipo BPDU, con lo que puede re direccionar todo el tráfico a su equipo de cómputo y con ello lograr:
- Robo de sesiones de aplicaciones.
- Sniffing de tráfico de la red interna (incluso en un).
- Ataques de negación de servicio.
- Ataques de “hombre en medio”.
Algunos de los ataques anteriormente descritos, como el ARP Spoofing son relativamente fáciles de llevar a cabo, mientras que algunos otros requieren ciertas características para ser posibles. Sin embargo la pregunta aquí es: ¿de quién es responsabilidad asegurar los servicios en Capa 2, del área redes o de la de seguridad?
Para poder contestar, considero que hay que remontarnos a lo básico de la seguridad informática “Un sistema es seguro si se comporta como los usuarios esperan que lo haga”. Dr. Eugene Spafford. Pero, ¿cómo sabremos que un sistema se comporta como lo esperamos?
La tecnología debe ayudar a cumplir con los objetivos de la organización y la seguridad informática ayuda a asegurar los servicios que soportan a los objetivos. La seguridad debe basarse en una política organizacional. Por tanto, quien debe regular la seguridad en capa 2, es por supuesto la política de seguridad organizacional. Esto elimina cualquier posibilidad de enfrentamiento entre áreas, independientemente de quien rige o administra los equipos.
Para terminar, considero que es importante ver la seguridad desde todos los ángulos posibles, y recordar la conocida frase: “la seguridad es tan fuerte como su eslabón más débil.”.
La seguridad en capa 2 es, en ocasiones, el eslabón más débil de las organizaciones. En mi experiencia el 90% de las redes internas de las organizaciones son propensas a ataques en capa 2. El saber que estos ataques son difíciles de detectar y el impacto que tienen es alto debería encender un foco rojo en las mismas organizaciones. En la mayoría de las ocasiones no es necesario adquirir nueva tecnología para evitar estos ataques, simplemente se debe aplicar una política de seguridad a los dispositivos actuales, como son los switches.
Si usted tiene algún comentario o duda acerca de si su red interna puede estar propensa a estos ataques, no dude en buscar asesoría profesional.
[i] El modelo de referencia de Interconexión de Sistemas Abiertos (OSI,Open System Interconnection) es un marco descriptivo y de referencia para la definición de las arquitecturas de interconexiones de sistemas de comunicación. Más información en http://standards.iso.org/ittf/PubliclyAvailableStandards/s020269_ISO_IEC_7498-1_1994(E).zip
[ii] Ethernet es un estándar de redes de computadoras de área local con acceso al medio por contienda CSMA/CD. Más información en http://www.rfc-es.org/rfc/rfc0894-es.txt
[iii] Media Access Control Address ,el cual es un identificador de 48 bits que corresponde de manera única a su tarjeta o interfaz de red.
[iv] Método de creación de redes lógicas independientes dentro de una misma red física.
[v] Address resolution protocol y Reverse Address resolition protocol, cuya función es traducir direcciones MAC a direcciones IP y direcciones IP a direcciones MAC respectivamente.
[vi] Es un número que identifica de manera lógica una NIC dentro de una red que use el protocolo IP ( Internet protocol)
[vii] Más información en http://insecure.org/sploits/arp.games.html
[viii] Más información en http://es.wikipedia.org/wiki/Spanning_tree
Es necesario tener un enfoque sistemático de la seguridad de la información, si fuera posible opinar sobre las demás capas, sería de mucho beneficio. Gracias,