Amenazas o vulnerabilidades de capa 2 (MAC, ARP, VLAN, STP,

CDP)
Ataques Basados En MAC Y ARP

Pare el ataque basado en MAC y ARP encontramos 3 tipos:

 CAM Table Overflow.

 ARP Spoofing

CAM Table Overflow

El ataque se basa en la limitación del hardware del switch para mantener la tabla
que relaciona las MAC con los puertos, dicha tabla se denomina CAM2 Obviamente
las tablas no son infinitas y cuando una llega a su tope un switch comienza a trabajar
como un HUB, es decir que todo paquete que recibe el switch si la MAC destino no
se encuentra en la tabla y ésta se encuentra llena, manda el paquete por todos sus
puertos. Esto nos permitiría capturar todo el tráfico con un sniffer obviamente
capturaríamos las tramas que se dirigen a MAC's que no se encuentren en la tabla,
pero como sabemos que las asignaciones son temporales, lo que se hace es
mandar las MAC's falsas en intervalos de tiempo lo suficientemente chicos como
para que se llene la tabla con MAC's falsas y cuando las verdaderas caen por
vencimiento de tiempo, estos espacios se llenan con más MAC's falsas; y así
lograríamos mantener el ataque.

Para producir este overflow lo que se hace es enviar muchas tramas con direcciones
MAC distintas a cualquier puerto del switch hasta que en un momento empecemos
a recibir las tramas que se dirigen a otras máquinas.
Este tipo de cosas producen inestabilidad sobre la red, no sería raro que se
encuentren con un DOS (Denial of service) en vez de empezar a recibir paquetes.
Existe una herramienta para producir este tipo de ataques denominada macof, es
parte del paquete Dsniff (GNU/Linux) y el codigo esta escrito en perl. Para utilizarlo
es suficiente con instalar el paquete dsniff y ejecutar macof. Existen medidas contra
este tipo de ataques, algunas de ellas son asignar a los puertos del switch un limite
de MAC's a asignar, y en el caso que esa cantidad se supere producir el bloqueo
de dicho puerto o directamente utilizando asignaciones estáticas de MAC a los
puertos

ARP Spoofing

También conocido como ARP Poisoning o ARP Poison Routing. Para este ataque
debemos tener claro el funcionamiento del protocolo ARP para cambiar la MAC.
Para poder comunicarnos en un ámbito local necesitamos la MAC, para ello
mandamos un pedido ARP que nos la retornara y luego se almacenara en la tabla
durante cierto intervalo de tiempo, ahora bien también existen los GARP3 estos son
paquetes que contienen la MAC y la IP de un host y se mandan en broadcast a toda
la red para que todos los hosts existentes en ella actualicen su caché ARP
Importante. Estos paquetes no generan una respuesta de parte de las máquinas
que los reciben pero cuando una máquina lo recibe lo asigna a su tabla.

Ataques a las VLAN

Tipos de ataque

Dentro de este tipo de ataque encontramos 2 tipos:

 VLAN HOPPING
 SPOOFING ATTACK

VLAN HOPPING

Es una vulnerabilidad de seguridad que puede aparecer en entornos LAN, donde

los Switch están conectados por puertos troncales. Además, trataremos algunas
posibilidades de configuración para evitar el problema de seguridad.

Un atacante intenta obtener acceso a una VLAN no autorizada mediante la adición

de dos etiquetas en los paquetes salientes desde el cliente, esto se llama doble
etiquetado. Estas etiquetas se agregan a los paquetes que identifican a qué VLAN
pertenecen (VLAN ID).

La primera etiqueta (802.1Q) es leída por el puerto de línea externa en el primer

switch al que el cliente-atacante está conectado, donde es eliminada y no se vuele
a etiquetar por otra y la envía al siguiente switch, en el segundo troncal se lee la
segunda etiqueta que envía tráfico desde el atacante a los clientes con el mismo ID
de VLAN como la segunda etiqueta y por ende estos datos serán reenviados.
SPOOFING ATTACK

Estos ataques pueden ocurrir sobre varios protocolos permitiendo a un atacante

realizar ataques de man-in-the-middle (MITM), de tal manera que tras el ataque todo
el tráfico fluye por el equipo del atacante antes de enviárselo al router, switch o
equipo de destino.

Donde el atacante adquiere control y permisos para leer, insertar y modificar las
comunicaciones.

El ataque de DHCP Spoofing lo podremos evitar mediante la característica DHCP

Snooping de Cisco, mientras que los ataques de ARP Spoofing los podremos evitar
mediante las técnicas de inspección dinámica ARP que viene por defecto en los
nuevos switches.

Ataques de IP Spoofing los podremos evitar configurando IP Source Guard que

uniéndolo a DHCP Snooping el switch conocerá la asociación IP – MAC por puerto,
evitando los ataques MitM.

Ataques STP

STP (Spanning Tree Protocol) es un protocolo usado en la red para evitar bucles a
nivel 2 en nuestra topología cuando se conectan distintos segmentos de red. Cada
uno de los paquetes STP se llaman BPDU (Bridge Protocol Data Unit). Los switches
mandan BPDUs usando una única dirección MAC de su puerto como mac de origen
y una dirección de multicast como MAC de destino

Existen dos tipos de BPDU: Configuration y Topology Change Notification (TCN). El

primero se envía periódicamente indicando la configuración de la red, mientras que
el segundo se envía cada vez que se detecta un cambio en la red
(activación/desactivación de un puerto).

¿Cual es el problema?

 STP es confiado, sin estado y no tiene ningún mecanismo solido de

autenticación.
 Por defecto los switches LAN aceptan cualquier BPDU.
El protocolo permite a los dispositivos de interconexión activar o desactivar
automáticamente los enlaces de conexión, de forma que se garantice que la
topología está libre de bucles.

Por lo cual, un atacante puede enviar a la red tramas BPDU falsas, de forma que
los dispositivos tengan que recalcular sus rutas, consumiendo recursos y creando
una inestabilidad en la red, la cual, en última instancia, podría provocar una
denegación de servicio, o por el contrario, podríamos intentar cambiar la topología
de la red para que parte del tráfico hacia el exterior se envíe hacia un equipo
atacante, donde se inspeccione y se vuelva a enviar a la red

El protocolo establece identificadores por puente y elige el que tiene la prioridad

más alta (el número más bajo de prioridad numérica), como el puente raíz. (Root
Bridge) Este puente raíz establecerá el camino de menor coste para todas las redes.

Un atacante puede enviar mensajes BPDU anunciándose como bridge con prioridad
0.Con lo cual podria ver tramas que no debería (esto permite ataques MiM, DoS,
etc ) que combinado con MAC flooding puede permitir capturar más tramas.
Ataques al CDP

CDP es un protocolo de red de capa 2 (capa de enlace de datos), propiedad de

Cisco, que se utiliza para descubrir información sobre equipos de esta empresa
conectados localmente. CDP se implementa en prácticamente todos los productos
de Cisco, incluidos conmutadores, enrutadores, teléfonos IP y cámaras, y todos
ellos salen de fábrica con CDP habilitado de forma predeterminada.

A continuación, se detallan las cinco vulnerabilidades junto a sus correspondientes

CVEs:

 CVE-2020-3110: Las cámaras IP de la serie 8000 de videovigilancia de

Cisco con CDP habilitado son vulnerables a un desbordamiento de pila en el
análisis del tipo-longitud-valor (TLV) de DeviceID. La vulnerabilidad se debe
a la falta de verificaciones al procesar los mensajes del Protocolo de
descubrimiento de Cisco (CDP). Un atacante podría aprovechar esta
vulnerabilidad enviando un paquete malicioso de Cisco Discovery Protocol a
la cámara IP objetivo, lo que permitiría exponer la cámara IP afectada para
la ejecución remota de código o hacer que se reinicie inesperadamente, lo
que provocaría una condición de denegación de servicio (DoS).
 CVE-2020-3111: Vulnerabilidad en la implementación del Protocolo de
descubrimiento de Cisco para el teléfono IP de Cisco. Al igual que la anterior
la vulnerabilidad se debe a la falta de verificaciones al procesar los mensajes
del Protocolo de descubrimiento de Cisco. Un atacante podría aprovechar
esta vulnerabilidad enviando un paquete de Cisco Discovery Protocol
diseñado al teléfono IP objetivo, y una explotación exitosa podría permitir al
atacante ejecutar código de forma remota con privilegios de root o causar un
reinicio de un teléfono IP afectado, resultando en una condición de
denegación de servicio (DoS).
 CVE-2020-3118: El subsistema CDP de Cisco en dispositivos que se
ejecutan o se basan en el software Cisco IOS XR son vulnerables a la
validación incorrecta de la entrada de cadenas de ciertos campos dentro de
un mensaje CDP. Un atacante podría explotar esta vulnerabilidad enviando
 un paquete malicioso de Cisco Discovery Protocol a un dispositivo afectado,
causar un desbordamiento de la pila, y ejecutar código arbitrario con
privilegios administrativos en un dispositivo afectado.
 CVE-2020-3119: Vulnerabilidad en la implementación del Protocolo de
descubrimiento de Cisco para el software Cisco NX-OS. La vulnerabilidad
existe porque el analizador de Cisco Discovery Protocol no valida
correctamente la entrada para ciertos campos en un mensaje de Cisco
Discovery Protocol. Un atacante podría explotar esta vulnerabilidad enviando
un paquete malicioso de Cisco Discovery Protocol a un dispositivo afectado,
causar un desbordamiento de la pila, y ejecutar código arbitrario con
privilegios administrativos en un dispositivo afectado.
 CVE-2020-3120: Vulnerabilidad en la implementación del Protocolo de
descubrimiento de Cisco para el software Cisco FXOS, el software Cisco IOS
XR y el software Cisco NX-OS. La vulnerabilidad se debe a una falta de
verificación cuando el software afectado procesa los mensajes del Protocolo
de descubrimiento de Cisco. Un atacante podría explotar esta vulnerabilidad
enviando un paquete malicioso de Cisco Discovery Protocol a un dispositivo
afectado, dando la posibilidad de agotar la memoria del sistema, provocando
un reinicio del mismo y una condición de denegación de servicio (DoS).