Hacking de VLAN - ¿ Redes  convergentes & Seguridad ?

Hacking de VLAN - ¿ Redes convergentes & Seguridad ?

En este artículo, revisaremos técnicamente algunos de los métodos utilizados por los ciber-delincuentes y los profesionales de hacking ético para vulnerar la seguridad establecida en redes convergentes aprovechando ciertas vulnerabilidades asociadas a los propios sistemas o a un diseño fallido por parte de un diseñador sin experiencia en este tipo de soluciones.

Existen diferentes tipos de ataques a VLAN en las redes conmutadas modernas. La arquitectura VLAN simplifica el mantenimiento de la red y mejora el rendimiento, pero también posibilita el uso indebido. Es importante comprender la metodología general detrás de estos ataques y los métodos principales para mitigarlos.

Un mal análisis dentro de la fase de diseño, seria determinante sobre el resultado final de seguridad facilitando un posible ataque cruzado entre diferentes VLAN's interrelacionadas entre negocio y otros sistemas gestionados ajenos a las políticas corporativas . Este tipo de ataques tienen como objetivo el control / acceso y secuestro de la red corporativa con fines delictivos por un posible atacante. Si tienes alguna responsabilidad en cuanto este tipo de diseño de seguridad , te interesara revisar los puntos clave previo a cualquier toma de decisión.

No hay texto alternativo para esta imagen

Desde el mismo momento de en que iniciamos nuestro diseño de seguridad, no debemos de perder el objetivo básico de que un fallo de seguridad originado en un dispositivo no corporativo nunca debería de ser el punto de origen y apalancamiento que un ciberdelincuente explote para poder dirigir un ataque hacia la propia infraestructura interna de la compañía a la que estamos protegiendo.

"Un atacante intentará aprovechar las vulnerabilidades del diseño tecnológico de seguridad, para alcanzar la infraestructura corporativa, y desplegar así ataques de encriptación , secuestro de datos, robo de información , alteración de información, etc..."  

En base a este objetivo comenzaremos con la explicación que da objeto a este articulo:

Las VLAN se crean con fines funcionales o organizativos, por ejemplo, para dividir el tráfico que pertenece a diferentes departamentos corporativos. Sin embargo, existen profesionales del sector que consideran que las VLAN son una característica de seguridad que debe incorporarse a su política de seguridad y diseño de red segura, mezclando diferentes subsistemas negocio, seguridad, detección incendios, servicios auxiliares megafonía, interfonia, etc.... las cuales dependen de equipos ajenos a los Dptos. de IT de negocio. Este es un error que vamos a explorar en esta sección.

La tecnología Virtual LAN (VLAN) está disponible para crear LAN separadas lógicamente en el mismo conmutador. Las VLAN pueden ser estáticas (asignadas según el puerto) o dinámicas (normalmente asignadas según la dirección MAC). 

En base a lo anterior indicar una VLAN puede abarcar varios conmutadores; Los puertos de conmutador que transportan tráfico desde más de una VLAN se denominan puertos troncales . Los protocolos troncales, como 802.1q o Cisco Inter Switch Link (ISL), etiquetan paquetes que viajan entre los puertos troncales para distinguir los datos que pertenecen a diferentes VLAN. Sin embargo, estos paquetes todavía pasan por la misma tubería o troncal física.

"Los ataques contra las VLAN tienen como objetivo poder atravesarlas tanto en términos de envío, como de recepción de tráfico, a pesar de su separación virtual." 

En Virtual LAN o VLAN hay un grupo de hosts que se comunican entre sí, incluso aunque se encuentren en diferentes ubicaciones físicas. La LAN virtual proporciona independencia de ubicación a los usuarios, lo cual permite optimizar ancho de banda y administrar el dispositivo de un modo rentable para la organización.

El protocolo VLAN se basa en la capa 2 "Enlace de datos" del modelo OSI. Es importante por lo tanto conocer que aunque las capas OSI son independientes entre sí , tienen comunicación en vertical. Si alguna de las capas se ve comprometida, las otras capas también podrían verse influenciadas. 

"La VLAN está en la capa de enlace de datos, que es tan vulnerable a los ataques como cualquier otra capa del modelo OSI"

Problemas de seguridad que enfrenta una VLAN

Por definición aunque a través de VLAN, podemos segmentar redes " aislándolas entre si" , realmente es un concepto mas orientado hacia la gestión del tráfico que para poder mantener un alto ratio de seguridad. 

Revisaremos algunos de los problemas de seguridad mas comunes.

Ataque ARP

ARP es un protocolo de resolución de direcciones que está diseñado para un entorno amigable. ARP funciona asociando la dirección IP de la Capa 3 con la dirección MAC de la Capa 2.

Utilizando ARP, un usuario malintencionado puede usar una dirección IP falsificada de Capa 3 y una dirección MAC de Capa 2El usuario malintencionado lo identifica como un usuario legítimo y comienza a utilizar los recursos disponibles en la red. Incluso podría transmitir paquetes ARP a un dispositivo en una VLAN diferente utilizando esos detalles falsificados.

El usuario malintencionado ejecutaría en tal caso un ataque Man-in-the-middle (MiM) . Al final del ataque, el atacante corrige las tablas ARP y la red vuelve a la normalidad.

Las herramientas que se pueden utilizar para realizar la suplantación de ARP son Arpspoof, Arpoison, Cain y Abel, y Ettercap, Trapper que se inspiró en la famosa herramienta llamada Cain.

No hay texto alternativo para esta imagen

Una contramedida eficaz para los ataques ARP es la inspección ARP dinámica (DAI). DAI es una función de seguridad que valida todos los paquetes ARP en una red. Descarta los paquetes ARP con direcciones IP y MAC no válidas.

Ataque de inundación MAC

El ataque de inundación de MAC es uno de los ataques comunes en una VLAN. En un ataque de inundación de MAC, el switch se inunda con paquetes de diferentes direcciones MAC, por lo que consume memoria del conmutador. Durante el ataque de inundación de MAC, el conmutador comienza a comportarse como un "concentrador" de modo comienza a compartir los datos con todos los puertos. Por lo tanto, un usuario malintencionado puede utilizar un rastreador de paquetes para extraer los datos confidenciales o inyectar malware sobre la propia red con el objetivos delictivos.

Por ejemplo, hay 3 estaciones de trabajo WA, WB y WC. En este ejecución WC y WA estarían en una VLAN diferente con respecto WC, de modo cuando WA intenta enviar un dato a WB, el WC no lo ve debido a la separación mediante VLAN en el switch aísla ambos equipos. 

En este tipo de ataque básicamente el usuario malintencionado considera WC, inicia un ataque de inundación de MAC en el conmutador con una dirección MAC diferente, de modo que la memoria del conmutador atacado se "desborda". A partir de este momento, el conmutador comienza a comportarse como un HUB, por lo que el atacante podría desde WA enviar datos a WB y también hacia WC dado los datos ahora si serian visibles pudiendo ejecutar un ataque sobre esta infraestructura teóricamente aislada y protegida.

No hay texto alternativo para esta imagen

La manera de mitigar este riesgo es proteger la VLAN del ataque de inundación de MAC a través de la dirección MAC segura estática. 

Ataque DHCP

DHCP es un protocolo de configuración dinámica de host que permite a un servidor asignar automáticamente una dirección IP a un host con otra información, como la máscara de subred y la puerta de enlace predeterminada. Hay dos tipos de ataques DHCP en VLAN; son el ataque de inanición de DHCP y el ataque suplantación de DHCP.

En el ataque de inanición de DHCP, un usuario malintencionado envía numerosas solicitudes de DHCP con una dirección MAC falsificada. Esto provoca una denegación de servicio en el servidor DHCP, por lo que no permite que un usuario auténtico utilice la red. Puede minimizarse limitando el número de direcciones MAC.

En el ataque de enrutamiento DHCP, un usuario malintencionado actúa como si fuera un servidor DHCP y proporciona a un usuario confiable una puerta de enlace incorrecta, un DNS incorrecto y una IP incorrecta. El usuario experimentará numerosos problemas que van desde problemas de conexión hasta problemas de comunicación con otro host. Esto se puede minimizar mediante el uso de un conmutador multicapa que tiene la capacidad de eliminar los paquetes.

No hay texto alternativo para esta imagen
No hay texto alternativo para esta imagen

Una de las herramientas que se puede utilizar para este tipo de ataques es Yersinia, que es una herramienta de red diseñada para aprovechar algunas debilidades en diferentes protocolos de red. Esto también se puede utilizar para ataques de protocolo de árbol de expansión.

Ataque de protocolo de árbol de expansión

Cuando un usuario malintencionado envía un mensaje STP con un valor de prioridad cero, la creación de un nuevo puente raíz, comprometiendo así toda la red, se conoce como ataque de protocolo de árbol de expansión. Puede minimizarse desactivando la función de árbol de expansión en toda la interfaz de usuario. 

Ataque de fuerza bruta de multidifusión

El ataque de fuerza bruta de multidifusión se produce cuando un conmutador recibe una serie de tramas de multidifusión en rápida sucesión. Esto hace que las tramas se filtren en otra VLAN en lugar de contenerlas en la VLAN original. Este tipo de ataque también podría provocar un escenario similar a la denegación de servicio.

El ataque de fuerza bruta de multidifusión se puede minimizar mediante un conmutador bien equipado que evita que las tramas se filtren a otra VLAN y, por lo tanto, las contenga en la VLAN original.

Ataque de VLAN privada

Una VLAN privada es una función de la capa 2 que se utiliza para aislar el tráfico solo en la capa 2. Cuando un dispositivo de capa 3, como un enrutador, está conectado a una VLAN privada, se supone que debe reenviar todo el tráfico recibido por el enrutador a cualquier destino al que esté destinado. A veces, un usuario malintencionado puede usarlo para su beneficio.

Este riesgo podría minimizarse a través de la configuración de una Lista de acceso de VLAN.

Ataque VMPS / VQP:

Este tipo de ataque ocurre normalmente en los puertos de acceso a VLAN dinámicos. Este VMPS utiliza el protocolo VQP. La desventaja de VMPS es que no usa autenticación para asignar VLANs en función de la dirección MAC y también está sobre UDP, lo que lo hace más vulnerable al ataque.

Normalmente, ocurre un ataque de DOS para unirse a la VLAN no autenticada.

Ataque de salto de VLAN

El salto de VLAN funciona enviando paquetes a un puerto que no debería ser accesible. Básicamente, en el ataque de salto de VLAN hay dos tipos

  • Cambiar suplantación de identidad
  • Etiquetado doble

Cambiar suplantación de identidad

La suplantación de un conmutador se produce cuando un usuario malintencionado intenta configurar un sistema para que se haga pasar por un conmutador al coincidir con 802.1q o ISL. 

No hay texto alternativo para esta imagen

En el ejemplo mostrado, el atacante aprovecha el hecho de que la configuración predeterminada del puerto del switch sea dinámica automática, configurando el sistema para suplantar su propia identidad y hacerse pasar por un switch. Esta suplantación de identidad requiere que el atacante de la red pueda emular mensajes 802.1Q y DTP. Al hacerle creer al switch que otro switch intenta crear un enlace troncal, el atacante puede acceder a todas las VLAN permitidas en el puerto de enlace troncal.

La mejor manera de prevenir un ataque de suplantación de identidad de switch es inhabilitar los enlaces troncales en todos los puertos, excepto en los que específicamente requieren enlaces troncales. En los puertos de enlace troncal requeridos, inhabilite DTP y habilite los enlaces troncales manualmente.

Etiquetado doble

El etiquetado doble es un método que consiste en etiquetar tramas transmitidas con dos encabezados 802.1q, uno de los encabezados se usa para el conmutador de la víctima y otro se usa para el interruptor del atacante.

No hay texto alternativo para esta imagen

Los ataques con salto de VLAN de etiquetado doble implican los siguientes tres pasos:

  1. El atacante envía una trama 802.1Q con doble etiqueta al switch. El encabezado externo tiene la etiqueta VLAN del atacante, que es la misma que la VLAN nativa del puerto de enlace troncal. Se supone que el switch procesa la trama que recibe del atacante como si estuviera en un puerto de enlace troncal. En base al ejemplo mostrado en el grafico suponemos que la VLAN nativa es la VLAN 10. La etiqueta interna es la VLAN víctima; en este caso, la VLAN 20.
  2. La trama llega al switch, que observa la primera etiqueta 802.1Q de 4 bytes. El switch observa que la trama está destinada a la VLAN 10, que es la VLAN nativa de modo reenvía el paquete por todos los puertos de la VLAN 10 después de eliminar la etiqueta de VLAN 10. En el puerto de enlace troncal, se elimina la etiqueta de VLAN 10, y no se vuelve a etiquetar el paquete porque esta forma parte de la VLAN nativa. En este punto, la etiqueta de VLAN 20 sigue intacta, y el primer switch no la inspeccionó.
  3. El segundo switch observa solo la etiqueta 802.1Q interna que envió el atacante y ve que la trama está destinada a la VLAN 20, ( el objetivo) , de modo envía la trama al puerto víctima saturando la tabla de direcciones MAC del host atacado.

Este tipo de ataque es unidireccional y funciona cuando el atacante se conecta a un puerto que reside en la misma VLAN que la VLAN nativa del puerto de enlace troncal. Frustrar este tipo de ataque no es tan fácil .

Ataque de estrés de fotograma aleatorio

El ataque de estrés de cuadro aleatorio tiene muchos tipos, pero generalmente es un ataque de fuerza bruta realizado en varios campos. En este tipo de ataque de fuerza bruta, la dirección de origen y la dirección de destino se mantienen constantes. Se realizan principalmente para probar la capacidad del switch cuando encuentra anomalías en las entradas y los cálculos.

El ataque de estrés de trama aleatorio se puede prevenir cuando se usa una VLAN privada o PVLAN para separar el host de recibir esas entradas no deseadas.

Conclusión:

Espero que esto ayude a comprender la gran variedad de ataques de VLAN y simplifique el concepto. La recomendación siempre que sea posible , es la independizar cualquier red de negocio física/lógicamente del resto de servicios con el objetivo de poder minimizar riesgos de sabotaje y de seguridad utilizando como punto de origen de ataque una VLAN con sistemas no gestionados directamente por el Dpto de IT de una organización. Además será imprescindible disponer de un plan de seguridad y actualizaciones asociado a todos los equipos de seguridad para evitar estos generen vulnerabilidades que puedan ser explotadas por un posible atacante con el objetivo de acceder a nuestra red con fines delictivos.

Mi recomendación dado el impacto que podría ocasionar un mal diseño en la organización de este tipo de tecnologías , es realizar un estudio previo detallado de cara poder entender todos los factores asociados a la instalación de un sistemas de seguridad , realizando en todo caso un diseño redes física/lógicamente independiente evitando caer en vulnerabilidades a través de la elaboración de un plan integral acorde a un análisis de riesgos inicial que nos permita poder contar con un modelo completo de seguridad, incluyendo formación , protocolos de actuación , servicios y actualizaciones que permita que la solución final evolucione acorde los riesgos y las futuras necesidades de seguridad.

Si tiene alguna duda al respecto no dude en contactar conmigo para poder asesorarle en su caso particular.

FIN
“La SEGURIDAD es lo que distingue a una empresa líder de las demás”
Jaime Sánchez Micieces

Responsable de Diseño de Soluciones de Seguridad en Securitas | Director Seguridad | Seguridad Integral | Transformación Digital | IoT | Biometría | RGPD | AEPD | Phygital Identity

2 años

Excelente artículo Luis Alberto Nieto. Has dado en el clavo. Es verdad que está bastante extendido el concepto de que una VLAN o red privada virtual es suficiente para separar redes a nivel de seguridad dentro de redes convergentes. Aplicar unas "políticas de seguridad IT" adecuadas por parte del cliente con un adecuado asesoramiento del ingeniero de proyectos contratado mejorará o incluso “blindará” la seguridad de las redes (seguridad y corporativa), cuando comparten el mismo hardware. No obstante, como bien indicas, siempre que sea posible la red de seguridad deberá implantarse en una red física independiente de la red corporativa para minimizar entonces al máximo los riesgos de sabotaje y seguridad.   Muy bueno!!!

Inicia sesión para ver o añadir un comentario.

Otros usuarios han visto

Ver temas