Bienvenidos a este capítulo de este Curso de redes para hackers – La Capa de Enlace de Datos. Comparte este articulo y síguenos para recibir más capítulos, guías y cursos gratis.

Esta guía es parte de un curso mucho más grande en donde te enseñamos a convertirte en hacker de 0 a 100. Desde los conocimientos más básicos hasta conseguir empleo.

En esta guía veremos desde cero un tema tan amplio como son las redes informáticas y lo haremos desde el punto de vista del hacking y la ciberseguridad.

Para saber más comente a continuación, respondemos todos y cada uno de los comentarios.

Índice

¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?

El Modelo de Referencia OSI

OSI (Open System Interconection – Interconexión de Sistemas Abiertos) y es un modelo de referencia que describe cómo la información de una aplicación de software en una computadora se mueve a través de un medio físico a la aplicación de software en otra computadora.

OSI consta de siete capas y cada capa realiza una función de red particular. El modelo OSI fue desarrollado por la Organización Internacional de Normalización (ISO) en 1984 y ahora se considera un modelo arquitectónico para las comunicaciones entre computadoras. El modelo OSI divide toda la tarea en siete tareas más pequeñas y manejables. A cada capa se le asigna una tarea específica.

Cada capa es autónoma, por lo que la tarea asignada a cada capa se puede realizar de forma independiente. Lo utilizamos para explicar y entender una comunicación entre un host y su destino en una red LAN, MAN o WAN. Hay dos tipos básicos de modelos para describir las funciones que deben estar presentes para que las comunicaciones de red sean exitosas: modelos de protocolo y modelos de referencia.

Este modelo de vinculación de sistemas presenta diferentes niveles que se encuentran relacionados entre sí, se estandariza la comunicación a fin de poder lograr, a través de diferentes niveles, el intercambio de información.

El modelo OSI en redes es muy útil cuando se trata de solucionar problemas relacionados con las redes . 

Por ejemplo, si alguien no puede conectar su computadora a Internet o un sitio web se vuelve inaccesible para cientos de usuarios, el modelo OSI ayuda a encontrar el problema y solucionarlo. Los profesionales de redes suelen llevar los problemas a una capa específica para solucionarlos fácilmente.

Lista de protocolos y dispositivos del modelo OSI en cada capa

Cada uno de sus niveles tiene una función específica, solucionando el problema de la incompatibilidad que existía en diferentes redes. Las capas: son niveles dentro de una estructura de red, y cada uno de los niveles tiene una función que debe cumplirse de manera concatenada.

Este modelo de comunicación permitía lograr que toda forma de enviar información a través de un dispositivo hacia Internet y viceversa tuviese un camino bien estructurado y fácil de comprender, a fin de que en cuestión de segundos lograra el resultado esperado. Ese camino se reflejaba en una estructura de 7 tipos de capas, teniendo en cuenta que se comienza desde la séptima hasta la primera.

A continuación se muestran los protocolos y dispositivos del modelo OSI compatibles en diferentes capas:

A continuación se muestran los protocolos y dispositivos del modelo OSI compatibles en diferentes capas:

Capa – FunciónProtocolosDispositivoUnidad de datos
7. Aplicación: Interacción humano-computadora a través de aplicaciones que acceden a servicios de red.SMTP, HTTP, FTP, POP3, SNMP, UPnP, DHCP, DNS, HTTPS, NFS, NPT, Telnet, SSH, TFTP, IMAP, etc.Gateway (puerta de enlace)Mensaje/datos
6. Presentación: Formato de datos y cifrado/descifradoMPEG, HTML, DOC, JPEG, MP3, MP4, ASCH, SSL, TLS, AFP, etc.Redireccionador de puerta de enlaceMensaje/datos
5. Sesión: Comunicación entre hosts.NetBIOS, SAP, RPC, SMB, Socks, SIP, RPT, etc.Gateway (puerta de enlace)Mensaje/datos
4. Transporte: Transmisión de datos.TCP, UDP, SCTP, SSL, TLSCortafuegosTCP: Segmentos – UDP: datagrama
3. Red: Determinación de ruta y direccionamiento lógico.(IPV) y (IPS). ARP, IP, NAT, ICMP, IGMP, IPsec, OSPF, etc.EnrutadorPaquete, datagrama
2. Enlace de datos: Direccionamiento físico.ARP, Ethernet, L2PT, LLDP, MAC, LLC, ATM, HDP, NDP, PPP, PPTP, VTP, VLAN, etc.Conmutador, puente, punto de accesoFrame, celda
1. Físico: Transmisión de señales binarias a través de medios físicos.Ethernet, IEEE802.11, ISDN, USB, Bluetooth, RS-232, SDH, DSL, etc.Concentrador, NIC, cable, inalámbrico, modembit, frame

Introducción a la Capa de enlace de datos

Consiste en brindar los medios de tránsito confiables de datos en un enlace físico. Se encarga de direccionar los datos y el control de flujo. Es responsable de la transferencia fiable de información a través de un circuito de transmisión.

Recibe peticiones de la capa de red y utiliza los servicios de la capa física. Lo que hace esta capa para evitar errores es que divide los datos en «tramas» (Unidad de envío de datos que verifica que no sean muy chicas y ni muy grandes) haciéndola más confiable al verificar que se hayan recibido bien los datos.

La capa de enlace, que se sitúa inmediatamente encima de la capa física, se ocupa de suministrar un transporte de bits, normalmente fiable, a la capa de red. La capa de enlace solo se ocupa de equipos física y directamente conectados, sin tener conocimiento o ‘conciencia’ de la red en su conjunto.

Esto no quiere decir que no pueda haber ningún dispositivo en el cable que conecta los dos equipos, puede haber amplificadores o repetidores; los amplificadores son dispositivos que amplifican la señal desde el punto de vista analógico, los repetidores interpretan bit a bit la información digital contenida en la señal y la regeneran de nuevo.

Los amplificadores distorsionan ligeramente la señal, por lo que si se conectan muchos en serie la deformación puede llegar a ser excesiva (algo parecido a hacer una fotocopia de fotocopia muchas veces).

En cambio los repetidores, al regenerar la señal digital original no introducen ninguna distorsión y por tanto por este lado se pueden encadenar en serie sin restricciones; sin embargo consideraciones del retardo introducido en la propagación de la señal también imponen un número máximo en este caso. En cualquier caso tanto los amplificadores como los repetidores son dispositivos que funcionan a nivel físico puesto que se limitan a reproducir la señal bit a bit sin alterarla ni interpretar su significado.

Una característica importante de la capa de enlace es que los bits han de llegar a su destino en el mismo orden en que han salido; en algunos casos puede haber errores o pérdida de bits, pero nunca debe producirse una reordenación en el camino.

Ataques y Defensa en la Capa de enlace de datos

La capa de enlace de datos, también conocida como la segunda capa del modelo OSI, es crucial para la comunicación en redes locales. Esta capa se encarga de la transferencia fiable de datos entre dos nodos conectados físicamente, gestionando el control de acceso al medio, el direccionamiento físico (direcciones MAC) y la detección de errores.

Sin embargo, su importancia también la convierte en un objetivo para diversos ataques. En este artículo, exploraremos en profundidad los ataques más comunes en la capa de enlace de datos y las estrategias de defensa para proteger las redes.

La capa de enlace de datos se encarga de estructurar los datos en tramas para su transmisión y gestionar el acceso a los medios compartidos. Sus funciones incluyen:

  • Control de Acceso al Medio (MAC): Define cómo los dispositivos en una red comparten el medio de transmisión y cómo los datos son enviados y recibidos.
  • Detección y Corrección de Errores: Asegura que los datos transmitidos lleguen sin errores a través de la detección de errores y, en algunos casos, la corrección.
  • Direccionamiento Físico: Usa direcciones MAC para identificar de manera única a cada dispositivo en la red.

Descripción de la Capa de Enlace de Datos

La capa de enlace de datos tiene dos subcapas principales:

  1. Subcapa de Control de Acceso al Medio (MAC): Gestiona cómo los dispositivos en la red acceden al medio compartido y cómo se envían los datos.
  2. Subcapa de Control de Enlace Lógico (LLC): Proporciona un enlace lógico entre dos dispositivos y maneja la comunicación entre la capa de red y la capa física.

Los protocolos más comunes en esta capa incluyen Ethernet, Wi-Fi, y PPP (Protocolo Punto a Punto). Las direcciones MAC, que son únicas para cada dispositivo de red, juegan un papel clave en la identificación de dispositivos en la red local.

Las principales funciones que desarrolla la capa de enlace son las siguientes:

  • Agrupar los bits en grupos discretos denominados tramas. Esto permite desarrollar de forma más eficiente el resto de funciones.
  • Realizar la comprobación de errores mediante el código elegido, que puede ser corrector o simplemente detector. En el caso de código corrector se procede a corregir los errores, en el de un código detector la trama errónea se descarta y opcionalmente se pide retransmisión al emisor.
  • Efectuar control de flujo, es decir pedir al emisor que baje el ritmo o deje momentáneamente de transmitir porque el receptor no es capaz de asimilarla información enviada.

El Modelo de Referencia OSI

OSI (Open System Interconection – Interconexión de Sistemas Abiertos) y es un modelo de referencia que describe cómo la información de una aplicación de software en una computadora se mueve a través de un medio físico a la aplicación de software en otra computadora.

OSI consta de siete capas y cada capa realiza una función de red particular. El modelo OSI fue desarrollado por la Organización Internacional de Normalización (ISO) en 1984 y ahora se considera un modelo arquitectónico para las comunicaciones entre computadoras. El modelo OSI divide toda la tarea en siete tareas más pequeñas y manejables. A cada capa se le asigna una tarea específica.

Cada capa es autónoma, por lo que la tarea asignada a cada capa se puede realizar de forma independiente. Lo utilizamos para explicar y entender una comunicación entre un host y su destino en una red LAN, MAN o WAN. Hay dos tipos básicos de modelos para describir las funciones que deben estar presentes para que las comunicaciones de red sean exitosas: modelos de protocolo y modelos de referencia.

Este modelo de vinculación de sistemas presenta diferentes niveles que se encuentran relacionados entre sí, se estandariza la comunicación a fin de poder lograr, a través de diferentes niveles, el intercambio de información.

El modelo OSI en redes es muy útil cuando se trata de solucionar problemas relacionados con las redes . 

Por ejemplo, si alguien no puede conectar su computadora a Internet o un sitio web se vuelve inaccesible para cientos de usuarios, el modelo OSI ayuda a encontrar el problema y solucionarlo. Los profesionales de redes suelen llevar los problemas a una capa específica para solucionarlos fácilmente.

Lista de protocolos y dispositivos del modelo OSI en cada capa

Cada uno de sus niveles tiene una función específica, solucionando el problema de la incompatibilidad que existía en diferentes redes. Las capas: son niveles dentro de una estructura de red, y cada uno de los niveles tiene una función que debe cumplirse de manera concatenada.

Este modelo de comunicación permitía lograr que toda forma de enviar información a través de un dispositivo hacia Internet y viceversa tuviese un camino bien estructurado y fácil de comprender, a fin de que en cuestión de segundos lograra el resultado esperado. Ese camino se reflejaba en una estructura de 7 tipos de capas, teniendo en cuenta que se comienza desde la séptima hasta la primera.

A continuación se muestran los protocolos y dispositivos del modelo OSI compatibles en diferentes capas:

Capa – FunciónProtocolosDispositivoUnidad de datos
7. Aplicación: Interacción humano-computadora a través de aplicaciones que acceden a servicios de red.SMTP, HTTP, FTP, POP3, SNMP, UPnP, DHCP, DNS, HTTPS, NFS, NPT, Telnet, SSH, TFTP, IMAP, etc.Gateway (puerta de enlace)Mensaje/datos
6. Presentación: Formato de datos y cifrado/descifradoMPEG, ASCH, SSL, TLS, AFP, etc.Redireccionador de puerta de enlaceMensaje/datos
5. Sesión: Comunicación entre hosts.NetBIOS, SAP, RPC, SMB, Socks, etc.Gateway (puerta de enlace)Mensaje/datos
4. Transporte: Transmisión de datos.TCP, UDP, SCTPCortafuegosTCP: Segmentos – UDP: datagrama
3. Red: Determinación de ruta y direccionamiento lógico.(IPV) y (IPS). ARP, IP, NAT, ICMP, IPsec, etc.EnrutadorPaquete, datagrama
2. Enlace de datos: Direccionamiento físico.ARP, Ethernet, L2PT, LLDP, MAC, NDP, PPP, PPTP, VTP, VLAN, etc.Conmutador, puente, punto de accesoFrame, celda
1. Físico: Transmisión de señales binarias a través de medios físicos.Ethernet, IEEE802.11, ISDN, USB, Bluetooth, xDSL, IsDA etc.Concentrador, NIC, cable, inalámbrico, modembit, frame

2 Capa de enlace de datos

La capa de enlace de datos es muy similar a la capa de red, excepto que la capa de enlace de datos facilita la transferencia de datos entre dos dispositivos en la MISMA red. La capa de enlace de datos toma paquetes de la capa de red y los divide en partes más pequeñas llamadas tramas. 

Al igual que la capa de red, la capa de enlace de datos también es responsable del control de flujo y el control de errores en las comunicaciones dentro de la red (la capa de transporte solo realiza el control de flujo y el control de errores para las comunicaciones entre redes).

El objetivo de la capa de enlace de datos en el modelo OSI es el mismo que el de la capa de red. La única diferencia es que funciona para dispositivos que se encuentran en la misma red. Por lo tanto, la capa de enlace de datos es responsable de la comunicación entre dos sistemas en una red local. 

Los protocolos principales utilizados en esta capa incluyen LAN virtual (VLAN), Protocolo de resolución de direcciones (ARP), Ethernet y Frame Relay. 

  • Esta capa es responsable de la transferencia sin errores de tramas de datos.
  • Define el formato de los datos en la red.
  • Proporciona una comunicación confiable y eficiente entre dos o más dispositivos.
  • Es principalmente responsable de la identificación única de cada dispositivo que reside en una red local.
  • Contiene dos subcapas:
    • Capa de control de enlace lógico
      • Es el encargado de transferir los paquetes a la capa de Red del receptor que los está recibiendo.
      • Identifica la dirección del protocolo de la capa de red desde el encabezado.
      • También proporciona control de flujo.
    • Capa de control de acceso a los medios
      • Una capa de control de acceso al medio es un enlace entre la capa de control de enlace lógico y la capa física de la red.
      • Se utiliza para transferir paquetes a través de la red.

Funciones de la capa de enlace de datos

  • Enmarcado: la capa de enlace de datos traduce el flujo de bits físico en paquetes conocidos como tramas. La capa de enlace de datos agrega el encabezado y el final a la trama. El encabezado que se agrega a la trama contiene la dirección de origen y destino del hardware.
  • Direccionamiento físico: La capa de enlace de datos agrega un encabezado a la trama que contiene una dirección de destino. La trama se transmite a la dirección de destino mencionada en el encabezado.
  • Control de flujo: el control de flujo es la función principal de la capa de enlace de datos. Es la técnica mediante la cual se mantiene una velocidad de datos constante en ambos lados para que no se corrompan los datos. Garantiza que la estación transmisora, como un servidor con una velocidad de procesamiento más alta, no supere a la estación receptora, con una velocidad de procesamiento más baja.
  • Control de errores: el control de errores se logra agregando un valor calculado de CRC (verificación de redundancia cíclica) que se coloca en el final de la capa de enlace de datos y que se agrega al marco del mensaje antes de enviarlo a la capa física. Si parece ocurrir algún error, el receptor envía el acuse de recibo para la retransmisión de los marcos dañados. La capa de enlace de datos utiliza información de encabezado o bits de suma de comprobación para identificar errores y también se ocupa de la velocidad de transmisión de datos para controlar el flujo de datos. Además, proporciona acceso a los datos mediante la dirección MAC.
  • Control de acceso: cuando dos o más dispositivos están conectados al mismo canal de comunicación, se utilizan los protocolos de la capa de enlace de datos para determinar qué dispositivo tiene control sobre el enlace en un momento determinado. Proporciona acceso a los medios a las capas superiores mediante tramas, ya que es responsable del direccionamiento físico de los datos.

Ataques y defensa de la Capa de enlace de datos

Ataques Comunes

  • MAC Flooding: El atacante sobrecarga la tabla de direcciones MAC de un switch, haciendo que funcione como un hub y enviando todo el tráfico a todos los puertos.
  • Switch Spoofing: Un atacante configura un dispositivo para hacerse pasar por un switch en la red, permitiendo la interceptación del tráfico.
  • ARP Spoofing: Un atacante envía mensajes ARP falsos para asociar su dirección MAC con la dirección IP de otro dispositivo en la red, permitiendo interceptar o redirigir el tráfico.

Estrategias de Defensa

  • Port Security: Limitar el número de direcciones MAC permitidas en cada puerto del switch para prevenir MAC flooding.
  • Implementación de VLANs: Segmentar la red en VLANs para limitar el alcance de cualquier ataque y mejorar la seguridad en el nivel de enlace de datos.
  • Dynamic ARP Inspection (DAI): Configurar los switches para verificar la validez de las respuestas ARP y prevenir ARP Spoofing.

La capa de enlace de datos proporciona los siguientes servicios:

El canal de comunicación que conecta los nodos adyacentes se conoce como enlaces, y para mover el datagrama desde el origen al destino, el datagrama debe moverse a través de un enlace individual. La responsabilidad principal de la capa de enlace de datos es transferir el datagrama a través de un enlace individual.

El protocolo de capa de enlace de datos define el formato del paquete intercambiado entre los nodos, así como las acciones como detección de errores, retransmisión, control de flujo y acceso aleatorio. Los protocolos de la capa de enlace de datos son Ethernet, Token Ring, FDDI y PPP.

Una característica importante de una capa de enlace de datos es que los datagramas pueden ser manejados por diferentes protocolos de capa de enlace en diferentes enlaces de una ruta. Por ejemplo, el datagrama es manejado por Ethernet en el primer enlace y por PPP en el segundo.

Servicios de La capa de enlace de datos:

  • Enmarcado y acceso al enlace: los protocolos de la capa de enlace de datos encapsulan cada trama de red dentro de una trama de la capa de enlace antes de la transmisión a través del enlace. Una trama consta de un campo de datos en el que se inserta un datagrama de la capa de red y una serie de campos de datos. Especifica la estructura de la trama, así como un protocolo de acceso al canal mediante el cual se transmitirá la trama a través del enlace.
  • Entrega confiable: La capa de enlace de datos proporciona un servicio de entrega confiable, es decir, transmite el datagrama de la capa de red sin ningún error. Un servicio de entrega confiable se logra con transmisiones y reconocimientos. Una capa de enlace de datos proporciona principalmente el servicio de entrega confiable a través de los enlaces, ya que tienen tasas de error más altas y se pueden corregir localmente, enlace en el que se produce un error en lugar de forzar la retransmisión de los datos.
  • Control de flujo: un nodo receptor puede recibir las tramas a una velocidad mayor que la que puede procesarlas. Sin control de flujo, el búfer del receptor puede desbordarse y las tramas pueden perderse. Para superar este problema, la capa de enlace de datos utiliza el control de flujo para evitar que el nodo emisor de un lado del enlace abrume al nodo receptor del otro lado del enlace.
  • Detección de errores: los errores pueden ser causados ​​por la atenuación de la señal y el ruido. El protocolo de capa de enlace de datos proporciona un mecanismo para detectar uno o más errores. Esto se logra agregando bits de detección de errores en la trama y luego el nodo receptor puede realizar una verificación de errores.
  • Corrección de errores: La corrección de errores es similar a la detección de errores, excepto que el nodo receptor no solo detecta los errores sino que también determina dónde ocurrieron los errores en el marco.
  • Half-Duplex y Full-Duplex: en el modo Full-Duplex, ambos nodos pueden transmitir datos al mismo tiempo. En el modo Half-Duplex, solo un nodo puede transmitir datos al mismo tiempo.

Protocolos Clave en la Capa de Enlace de Datos

  1. Ethernet: Estándar más común para redes LAN, que define cómo los dispositivos pueden acceder al medio de transmisión y cómo se estructuran los datos en tramas.
  2. Wi-Fi (IEEE 802.11): Protocolo para redes inalámbricas que también opera en la capa de enlace de datos, gestionando el acceso a canales de radiofrecuencia.
  3. PPP (Point-to-Point Protocol): Utilizado principalmente en conexiones punto a punto, como enlaces de internet a través de líneas telefónicas.

Seguridad de la red: capa de enlace de datos

El canal de comunicación que conecta los nodos adyacentes se conoce como enlaces, y para mover el datagrama desde el origen al destino, el datagrama debe moverse a través de un enlace individual. La responsabilidad principal de la capa de enlace de datos es transferir el datagrama a través de un enlace individual.

El protocolo de capa de enlace de datos define el formato del paquete intercambiado entre los nodos, así como las acciones como detección de errores, retransmisión, control de flujo y acceso aleatorio. Los protocolos de la capa de enlace de datos son Ethernet, Token Ring, FDDI y PPP.

Una característica importante de una capa de enlace de datos es que los datagramas pueden ser manejados por diferentes protocolos de capa de enlace en diferentes enlaces de una ruta. Por ejemplo, el datagrama es manejado por Ethernet en el primer enlace y por PPP en el segundo.

Hemos visto que el rápido crecimiento de Internet ha generado una gran preocupación por la seguridad de la red. Se han desarrollado varios métodos para proporcionar seguridad en la capa de aplicación, transporte o red de una red.

Muchas organizaciones incorporan medidas de seguridad en las capas superiores del sistema OSI, desde la capa de aplicación hasta la capa IP. Sin embargo, un área que generalmente se deja de lado es el fortalecimiento de la capa de enlace de datos. Esto puede exponer la red a una variedad de ataques y vulneraciones.

En este capítulo, analizaremos los problemas de seguridad en la capa de enlace de datos y los métodos para solucionarlos. Nuestro análisis se centrará en la red Ethernet.

La capa de enlace de datos en las redes Ethernet es muy propensa a diversos ataques. Los ataques más comunes son:

Suplantación de ARP

ARP (Address Resolution Protocol) es utilizado para mapear direcciones IP a direcciones MAC en una red local. En un ataque de ARP Spoofing, un atacante envía mensajes ARP falsos para asociar su dirección MAC con la dirección IP de otro dispositivo en la red, lo que permite interceptar, redirigir o alterar el tráfico de datos.

El protocolo de resolución de direcciones (ARP) es un protocolo que se utiliza para asignar una dirección IP a una dirección de máquina física reconocible en la red Ethernet local. Cuando una máquina host necesita encontrar una dirección MAC (control de acceso al medio) física para una dirección IP, transmite una solicitud ARP. El otro host que posee la dirección IP envía un mensaje de respuesta ARP con su dirección física.

Cada máquina host de la red mantiene una tabla, denominada «caché ARP». La tabla contiene la dirección IP y las direcciones MAC asociadas de otros host de la red.

Dado que ARP es un protocolo sin estado, cada vez que un host recibe una respuesta ARP de otro host, aunque no haya enviado una solicitud ARP, acepta esa entrada ARP y actualiza su caché ARP. El proceso de modificar la caché ARP de un host de destino con una entrada falsificada se conoce como envenenamiento ARP o suplantación ARP.

La suplantación de ARP puede permitir a un atacante hacerse pasar por un host legítimo y luego interceptar tramas de datos en una red, modificarlas o detenerlas. A menudo, el ataque se utiliza para lanzar otros ataques, como el de intermediario, secuestro de sesión o denegación de servicio.

Consecuencias:

  • Intercepción de Tráfico: El atacante puede redirigir todo el tráfico de la víctima a través de su dispositivo, lo que permite capturar y modificar los datos.
  • Ataques Man-in-the-Middle (MitM): El atacante puede espiar la comunicación entre dos dispositivos, inyectar datos maliciosos o robar información sensible.
  • Denegación de Servicio (DoS): Alrededor del 50% del tráfico de la red puede ser dirigido incorrectamente, lo que provoca una interrupción significativa en la red.

Defensa Contra ARP Spoofing

  1. Dynamic ARP Inspection (DAI): Implementar DAI en switches para verificar la autenticidad de los mensajes ARP antes de que sean aceptados. Esto ayuda a prevenir que los mensajes ARP falsos sean procesados.
  2. Tablas ARP Estáticas: Configurar tablas ARP estáticas en dispositivos críticos, de modo que las asociaciones IP-MAC no puedan ser manipuladas fácilmente.
  3. Monitoreo de Tráfico ARP: Utilizar herramientas de monitoreo para detectar y alertar sobre anomalías en el tráfico ARP, como múltiples cambios en la misma dirección MAC.

Sniffing

ARP SPOOFING:
# arpspoof -t 10.5.23.42 10.5.23.1
MOSTRAR CACHÉ ARP:
# ip neigh
SNIFF TRÁFICO:
# tcpdump [options] [filters]
FILTROS TCPDUMP ÚTILES:
not arp: No ARP packets
port ftp or port 23: Only port 21 or 23
host 10.5.23.31: Only from/to host
net 10.5.23.0/24: Only from/to hosts in
O UNA HERRAMIENTA GRÁFICA:
# ettercap -G
ELIMINAR CACHÉ ARP:
# ip neigh flush all

MAC Flooding

Los switches almacenan direcciones MAC en una tabla CAM (Content Addressable Memory) para dirigir el tráfico de manera eficiente. Un ataque de MAC Flooding implica inundar la tabla CAM con direcciones MAC falsas hasta que el switch no pueda gestionar más entradas y comience a comportarse como un hub, enviando el tráfico a todos los puertos.

Cada conmutador de Ethernet tiene una tabla de memoria direccionable por contenido (CAM) que almacena las direcciones MAC, los números de puerto del conmutador y otra información. La tabla tiene un tamaño fijo. En el ataque de inundación MAC, el atacante inunda el conmutador con direcciones MAC mediante paquetes ARP falsificados hasta que la tabla CAM se llena.

Una vez que se inunda el CAM, el conmutador pasa al modo de concentrador y comienza a transmitir el tráfico que no tiene entrada CAM. El atacante que está en la misma red ahora recibe todos los marcos que estaban destinados solo a un host específico.

Consecuencias:

  • Intercepción de Tráfico: El atacante puede capturar tráfico de toda la red, ya que el switch enviará los paquetes a todos los puertos.
  • Degradación del Rendimiento: El rendimiento de la red puede degradarse significativamente debido a la sobrecarga del switch.

Defensa Contra MAC Flooding

  1. Port Security: Configurar la seguridad de puertos en los switches para limitar el número de direcciones MAC que pueden conectarse a un puerto específico. Esto previene que el ataque de MAC Flooding tenga éxito.
  2. Monitoreo y Alerta: Implementar sistemas de monitoreo que alerten cuando se detecta un comportamiento anómalo, como un número inusualmente alto de direcciones MAC en un puerto.
  3. VLAN Seguras: Segmentar la red en VLANs (Virtual LANs) para minimizar el impacto de un posible ataque y contener la propagación del tráfico no autorizado.

Switch Spoofing

En un ataque de switch spoofing, un atacante configura un dispositivo de red para hacerse pasar por un switch en la red. Esto le permite manipular el tráfico y redirigirlo a su propio dispositivo, obteniendo acceso a datos sensibles.

Consecuencias:

  • Intercepción y Manipulación de Tráfico: El atacante puede redirigir, capturar y manipular el tráfico que pasa a través de su dispositivo.
  • Compromiso de la Seguridad de la Red: Si el dispositivo atacante se comporta como un switch de confianza, puede acceder a segmentos de red protegidos y datos confidenciales.

Defensa Contra Switch Spoofing

  1. Configuración Segura de Switches: Configurar switches con autenticación y seguridad en los puertos para evitar que dispositivos no autorizados se conecten a la red.
  2. Root Guard y BPDU Guard: Implementar Root Guard y BPDU Guard en los switches para proteger la red contra ataques de switch spoofing y prevenir que dispositivos no autorizados se conviertan en el switch raíz.
  3. Autenticación de Dispositivos: Utilizar autenticación de dispositivos a través de 802.1X para asegurar que solo dispositivos autorizados puedan participar en la red.

VLAN Hopping

Descripción: VLAN hopping es un ataque que permite a un atacante enviar tráfico de una VLAN a otra, violando la segmentación de la red. Esto puede lograrse mediante dos métodos principales: Switch Spoofing y Double Tagging.

  • Switch Spoofing: El atacante se hace pasar por un switch y se conecta a un puerto de enlace troncal (trunk), permitiendo que el tráfico sea enviado a múltiples VLANs.
  • Double Tagging: El atacante inserta dos etiquetas VLAN en un paquete. El switch quita la primera etiqueta y reenvía el paquete a la VLAN incorrecta.

Consecuencias:

  • Acceso No Autorizado: El atacante puede acceder a recursos y datos en VLANs que deberían estar segmentadas y protegidas.
  • Compromiso de la Seguridad de la Red: La segmentación de la red, una de las principales defensas contra la propagación de ataques, se ve comprometida.

Defensa Contra VLAN Hopping

  1. Configuración Segura de VLANs: Configurar puertos de enlace troncal (trunks) de manera que solo se permitan VLANs específicas y limitar el acceso no autorizado a puertos de trunk.
  2. Evitar el Uso de VLAN Predeterminada: No utilizar la VLAN 1 predeterminada para el tráfico de gestión o de datos sensibles, ya que es el objetivo común en los ataques de VLAN hopping.
  3. Configuración de Double-Tagging: Configurar switches para no permitir que el tráfico de etiquetado doble sea reenviado a través de la red.

Port Stealing

En este ataque, el atacante envía tramas con la dirección MAC de un dispositivo víctima a un switch. El switch actualiza su tabla CAM para asociar la dirección MAC de la víctima con el puerto del atacante, lo que redirige el tráfico destinado a la víctima hacia el atacante.

Los conmutadores Ethernet tienen la capacidad de aprender y vincular direcciones MAC a los puertos. Cuando un conmutador recibe tráfico de un puerto con una dirección MAC de origen, vincula el número de puerto y esa dirección MAC.

El ataque de robo de puertos aprovecha esta capacidad de los conmutadores. El atacante inunda el conmutador con tramas ARP falsificadas que tienen como dirección de origen la dirección MAC del host de destino. Se engaña al conmutador para que crea que el host de destino está en el puerto al que en realidad está conectado un atacante.

Ahora, todos los marcos de datos destinados al host de destino se envían al puerto de conmutación del atacante y no al host de destino. Por lo tanto, el atacante ahora recibe todos los marcos que en realidad estaban destinados únicamente al host de destino.

Consecuencias:

  • Intercepción de Tráfico: El atacante puede capturar tráfico destinado a otro dispositivo en la red.
  • Desestabilización de la Red: Si se realizan cambios frecuentes en la tabla CAM, puede desestabilizarse la red, provocando problemas de rendimiento.

Defensa Contra Port Stealing

  1. Port Security: Configurar los switches para bloquear puertos si detectan cambios sospechosos en las direcciones MAC asociadas a ellos.
  2. Autenticación 802.1X: Implementar autenticación 802.1X en los puertos de acceso para asegurar que solo dispositivos autorizados puedan conectarse a la red.
  3. Monitoreo de la Tabla CAM: Utilizar herramientas que supervisen la tabla CAM en busca de cambios sospechosos o actividad anómala, y reaccionar ante intentos de port stealing.

Ataques DHCP

El Protocolo de configuración dinámica de host (DHCP) no es un protocolo de enlace de datos, pero las soluciones a los ataques DHCP también son útiles para frustrar los ataques de capa 2.

El DHCP se utiliza para asignar direcciones IP de forma dinámica a los equipos durante un período de tiempo específico. Es posible atacar a los servidores DHCP provocando una denegación de servicio en la red o haciéndose pasar por el servidor DHCP. En un ataque de inanición de DHCP, el atacante solicita todas las direcciones DHCP disponibles. Esto da como resultado una denegación de servicio al host legítimo de la red.

En un ataque de suplantación de DHCP, el atacante puede implementar un servidor DHCP no autorizado para proporcionar direcciones a los clientes. En este caso, el atacante puede proporcionar a las máquinas host una puerta de enlace predeterminada no autorizada con las respuestas DHCP. Los marcos de datos del host se dirigen ahora a la puerta de enlace no autorizada, donde el atacante puede interceptar todos los paquetes y responder a la puerta de enlace real o descartarlos.

Ataques a Wi-Fi (IEEE 802.11)

Descripción: Los ataques a redes Wi-Fi son diversos y pueden incluir desde jamming de señales hasta ataques de desautenticación (Deauth) y WPA cracking.

  • Deauth Attack: El atacante envía tramas de desautenticación a los clientes de una red Wi-Fi, forzándolos a desconectarse.
  • WPA Cracking: Mediante la captura de la negociación de cuatro vías de WPA/WPA2, el atacante intenta descifrar la contraseña Wi-Fi.

Consecuencias:

  • Desconexión de Usuarios: Los usuarios pueden ser forzados a desconectarse repetidamente de la red, lo que provoca frustración y pérdida de productividad.
  • Acceso No Autorizado: Si el atacante descifra la clave WPA/WPA2, obtiene acceso total a la red inalámbrica.

Defensa Contra Ataques a Wi-Fi

  1. WPA3: Migrar a WPA3, que ofrece protecciones más robustas contra el cracking y utiliza un cifrado más fuerte.
  2. Desactivar Tramas de Difusión de Desautenticación: Configurar los puntos de acceso para ignorar las tramas de desautenticación de origen externo, reduciendo la efectividad de los ataques Deauth.
  3. Autenticación Mutua: Usar autenticación mutua y cifrado de extremo a extremo para proteger las comunicaciones inalámbricas.

Protección de redes LAN Ethernet

Ya analizamos algunos ataques conocidos en la capa de enlace de datos. Se han desarrollado varios métodos para mitigar este tipo de ataques. Algunos de los métodos más importantes son:

Seguridad de Puertos

Es una función de seguridad de capa 2 disponible en los conmutadores Ethernet inteligentes. Implica vincular un puerto físico de un conmutador a una o más direcciones MAC específicas. Cualquiera puede acceder a una red no segura simplemente conectando el host a uno de los puertos de conmutador disponibles. Sin embargo, la seguridad de puertos puede proteger el acceso de capa 2.

De manera predeterminada, la seguridad del puerto limita la cantidad de direcciones MAC de entrada a una. Sin embargo, es posible permitir que más de un host autorizado se conecte desde ese puerto a través de la configuración. Las direcciones MAC permitidas por interfaz se pueden configurar de manera estática. Una alternativa conveniente es habilitar el aprendizaje de direcciones MAC «permanentes», en el que el puerto del switch aprenderá dinámicamente las direcciones MAC hasta que se alcance el límite máximo para el puerto.

Para garantizar la seguridad, la reacción al cambio de las direcciones MAC especificadas en un puerto o al exceso de direcciones en un puerto se puede controlar de muchas maneras diferentes. El puerto se puede configurar para cerrar o bloquear las direcciones MAC que superen un límite especificado. La práctica recomendada es cerrar el puerto. La seguridad del puerto evita la inundación de direcciones MAC y los ataques de clonación.

DHCP Snooping

Hemos visto que la suplantación de DHCP es un ataque en el que el atacante escucha las solicitudes DHCP del host en la red y las responde con una respuesta DHCP falsa antes de que la respuesta DHCP autorizada llegue al host.

La vigilancia de DHCP puede evitar este tipo de ataques. La vigilancia de DHCP es una función del conmutador. El conmutador se puede configurar para determinar qué puertos del conmutador pueden responder a las solicitudes de DHCP. Los puertos del conmutador se identifican como puertos de confianza o no de confianza.

Solo los puertos que se conectan a un servidor DHCP autorizado están configurados como «confiables» y pueden enviar todo tipo de mensajes DHCP. Todos los demás puertos del conmutador no son confiables y solo pueden enviar solicitudes DHCP. Si se ve una respuesta DHCP en un puerto que no es confiable, el puerto se cierra.

Prevención de la suplantación de ARP

El método de seguridad de puertos puede evitar la inundación de direcciones MAC y los ataques de clonación. Sin embargo, no evita la suplantación de ARP.

La seguridad de puertos valida la dirección MAC de origen en el encabezado de la trama, pero las tramas ARP contienen un campo MAC de origen adicional en la carga de datos y el host utiliza este campo para completar su caché ARP. A continuación, se enumeran algunos métodos para evitar la suplantación de ARP.

  • ARP estático : una de las acciones recomendadas es emplear entradas ARP estáticas en la tabla ARP del host. Las entradas ARP estáticas son entradas permanentes en una caché ARP. Sin embargo, este método no es práctico. Además, no permite el uso de algún protocolo de configuración dinámica de host (DHCP), ya que se debe utilizar una dirección IP estática para todos los host de la red de capa 2.
  • Sistema de detección de intrusiones : el método de defensa consiste en utilizar un sistema de detección de intrusiones (IDS) configurado para detectar grandes cantidades de tráfico ARP. Sin embargo, el IDS tiende a informar falsos positivos.
  • Inspección dinámica de ARP : este método para evitar la suplantación de ARP es similar al espionaje de DHCP. Utiliza puertos confiables y no confiables. Las respuestas ARP solo se permiten en la interfaz del conmutador en puertos confiables. Si una respuesta ARP llega al conmutador en un puerto no confiable, el contenido del paquete de respuesta ARP se compara con la tabla de enlaces de DHCP para verificar su precisión. Si la respuesta ARP no es válida, se descarta y se deshabilita el puerto.

Protección del protocolo Spanning Tree

Spanning Tree Protocol (STP) es un protocolo de gestión de enlaces de capa 2. El objetivo principal de STP es garantizar que no haya bucles de flujo de datos cuando la red tiene rutas redundantes. Por lo general, las rutas redundantes se crean para brindar confiabilidad a la red, pero pueden formar bucles mortales que pueden provocar un ataque DoS en la red.

Protocolo de árbol de expansión

Para proporcionar la redundancia de ruta deseada, así como para evitar una condición de bucle, STP define un árbol que abarca todos los conmutadores de una red. STP fuerza ciertos enlaces de datos redundantes a un estado de bloqueo y mantiene otros enlaces en un estado de reenvío.

Si un enlace en estado de reenvío falla, STP reconfigura la red y redefine las rutas de datos activando la ruta de reserva adecuada. STP se ejecuta en puentes y conmutadores implementados en la red. Todos los conmutadores intercambian información para la selección del conmutador raíz y para la posterior configuración de la red. Las unidades de datos del protocolo de puente (BPDU) transportan esta información. A través del intercambio de BPDU, todos los conmutadores de la red eligen un puente/conmutador raíz que se convierte en el punto focal de la red y controla los enlaces bloqueados y reenviados.

Ataques a STP

  • Toma de control del puente raíz. Es uno de los tipos de ataque más disruptivos en la capa 2. De manera predeterminada, un conmutador LAN toma cualquier BPDU enviado desde un conmutador vecino como si fuera real. Por cierto, STP es confiable, sin estado y no proporciona ningún mecanismo de autenticación sólido.
  • Una vez en modo de ataque raíz, el conmutador atacante envía un BPDU cada 2 segundos con la misma prioridad que el puente raíz actual, pero con una dirección MAC ligeramente inferior en número, lo que garantiza su victoria en el proceso de elección del puente raíz. El conmutador atacante puede lanzar un ataque DoS ya sea al no reconocer correctamente a otros conmutadores que causan una inundación de BPDU o al someter a los conmutadores a un exceso de procesamiento de BPDUS al afirmar ser root en un momento y retractarse en rápida sucesión.
  • DoS mediante inundación de BPDU de configuración. El conmutador atacante no intenta tomar el control como raíz, sino que genera una gran cantidad de BPDU por segundo, lo que genera un uso muy alto de la CPU en los conmutadores.

Prevención de ataques a STP

Afortunadamente, la contramedida para un ataque de toma de control de la raíz es simple y directa. Hay dos características que ayudan a derrotar un ataque de toma de control de la raíz.

  • Root Guard : Root Guard restringe los puertos de conmutador desde los cuales se puede negociar el puente raíz. Si un puerto «habilitado para root guard» recibe BPDU superiores a los que envía el puente raíz actual, ese puerto pasa a un estado de inconsistencia con la raíz y no se reenvía tráfico de datos a través de ese puerto. Root Guard se implementa mejor en puertos que se conectan a conmutadores que no se espera que asuman el control como puente raíz.
  • BPDU-Guard : BPDU Guard se utiliza para proteger la red de los problemas que pueden surgir a causa de la recepción de BPDU en los puertos de acceso. Estos son los puertos que no deberían recibirlos. BPDU Guard se implementa mejor en los puertos que dan al usuario para evitar que un atacante inserte un conmutador no autorizado.

Protección de la LAN virtual

En las redes locales, las redes de área local virtuales (VLAN) a veces se configuran como una medida de seguridad para limitar la cantidad de hosts susceptibles a ataques de capa 2. Las VLAN crean límites de red que el tráfico de difusión (ARP, DHCP) no puede cruzar.

Red de área local virtual

Una red que emplea conmutadores o conmutadores compatibles con capacidades VLAN se puede configurar para definir múltiples VLAN en una única infraestructura LAN física.

La forma más común de VLAN es una VLAN basada en puertos. En esta estructura de VLAN, los puertos del conmutador se agrupan en VLAN mediante un software de administración de conmutadores. De este modo, un único conmutador físico puede actuar como varios conmutadores virtuales.

El uso de VLAN permite aislar el tráfico. Divide la gran red de capa 2 de transmisión en redes lógicas de capa 2 más pequeñas y, por lo tanto, reduce el alcance de ataques como la suplantación de ARP/DHCP. Las tramas de datos de una VLAN pueden moverse desde/hacia dentro de los puertos que pertenecen a la misma VLAN únicamente. El reenvío de tramas entre dos VLAN se realiza mediante enrutamiento.

Las VLAN generalmente abarcan varios conmutadores, como se muestra en el diagrama anterior. El enlace entre los puertos troncales transporta tramas de todas las VLAN definidas en varios conmutadores físicos. Por lo tanto, las tramas de VLAN reenviadas entre conmutadores no pueden ser tramas simples con formato Ethernet IEEE 802.1.

Dado que estas tramas se mueven en el mismo enlace físico, ahora deben transportar información de identificación de VLAN. El protocolo IEEE 802.1Q agrega o elimina campos de encabezado adicionales a las tramas Ethernet simples reenviadas entre puertos troncales.

Cuando el campo que sigue a los dos campos de dirección IP es 0x8100 (> 1500), la trama se identifica como trama 802.1Q. El valor del identificador de protocolo de etiqueta (TPI) de 2 bytes es 81-00. El campo TCI consta de información de prioridad de 3 bits, un indicador de elegibilidad para descartar (DEI) de 1 bit y un ID de VLAN de 12 bits. Este campo de prioridad de 3 bits y el campo DEI no son relevantes para las VLAN. Los bits de prioridad se utilizan para la provisión de calidad de servicio.

Cuando un marco no pertenece a ninguna VLAN, hay una identificación de VLAN predeterminada con la cual se considera que el marco está asociado.

Ataque a VLAN y medidas de prevención

En un ataque de salto de VLAN, un atacante en una VLAN puede obtener acceso al tráfico de otras VLAN a las que normalmente no se podría acceder. Pasaría por alto un dispositivo de capa 3 (enrutador) al comunicarse de una VLAN a otra, lo que frustraría el propósito de la creación de la VLAN.

El salto de VLAN se puede realizar mediante dos métodos: suplantación de conmutador y etiquetado doble.

Suplantación de identidad de conmutador

Puede ocurrir cuando el puerto del conmutador al que está conectado el atacante está en modo de «trunking» o de «autonegociación». El atacante actúa como un conmutador y agrega encabezados de encapsulación 802.1Q con etiquetas VLAN para las VLAN remotas de destino a sus tramas salientes. El conmutador receptor interpreta esas tramas como provenientes de otro conmutador 802.1Q y las reenvía a la VLAN de destino.

Las dos medidas preventivas contra los ataques de suplantación de conmutadores son establecer los puertos de borde en modo de acceso estático y deshabilitar la negociación automática en todos los puertos.

Doble etiquetado

En este ataque, un atacante conectado al puerto VLAN nativo del conmutador antepone dos etiquetas VLAN en el encabezado de la trama. La primera etiqueta es de la VLAN nativa y la segunda es de la VLAN de destino. Cuando el primer conmutador recibe las tramas del atacante, elimina la primera etiqueta, ya que las tramas de la VLAN nativa se reenvían sin etiqueta en el puerto troncal.

  • Dado que el primer conmutador nunca eliminó la segunda etiqueta, el conmutador receptor identifica la etiqueta restante como destino de la VLAN y reenvía las tramas al host de destino en esa VLAN. El ataque de doble etiquetado explota el concepto de VLAN nativa. Dado que la VLAN 1 es la VLAN predeterminada para los puertos de acceso y la VLAN nativa predeterminada en los enlaces troncales, es un objetivo fácil.
  • La primera medida de prevención es eliminar todos los puertos de acceso de la VLAN 1 predeterminada, ya que el puerto del atacante debe coincidir con el de la VLAN nativa del conmutador. La segunda medida de prevención es asignar la VLAN nativa de todos los troncales del conmutador a alguna VLAN no utilizada, por ejemplo, la VLAN id 999. Y, por último, todos los conmutadores deben configurarse para realizar un etiquetado explícito de las tramas de la VLAN nativa en el puerto troncal.

Protección de la red LAN inalámbrica

Una red de área local inalámbrica es una red de nodos inalámbricos dentro de un área geográfica limitada, como un edificio de oficinas o un campus escolar. Los nodos pueden comunicarse por radio.

LAN inalámbrica

Las redes LAN inalámbricas suelen implementarse como extensiones de las redes LAN cableadas existentes para proporcionar acceso a la red con movilidad de dispositivos. Las tecnologías LAN inalámbricas más implementadas se basan en el estándar IEEE 802.11 y sus modificaciones.

Los dos componentes principales de una red LAN inalámbrica son:

  • Puntos de acceso (AP) : son estaciones base para la red inalámbrica. Transmiten y reciben frecuencias de radio para comunicarse con los clientes inalámbricos.
  • Clientes inalámbricos : son dispositivos informáticos equipados con una tarjeta de interfaz de red inalámbrica (WNIC). Los portátiles, los teléfonos IP y los PDA son ejemplos típicos de clientes inalámbricos.

Muchas organizaciones han implementado redes LAN inalámbricas. Estas redes están creciendo de manera espectacular. Por lo tanto, es fundamental comprender las amenazas que enfrentan las redes LAN inalámbricas y aprender las medidas preventivas comunes para garantizar la seguridad de la red.

Ataques en redes LAN inalámbricas

Los ataques típicos que se llevan a cabo en redes LAN inalámbricas son:

  • Escuchas clandestinas : el atacante monitorea pasivamente las redes inalámbricas en busca de datos, incluidas las credenciales de autenticación.
  • Enmascaramiento : el atacante se hace pasar por un usuario autorizado y obtiene acceso y privilegios en redes inalámbricas.
  • Análisis de tráfico : el atacante monitorea las transmisiones a través de redes inalámbricas para identificar patrones de comunicación y participantes.
  • Denegación de servicio : el atacante impide o restringe el uso o la gestión normal de dispositivos de red o LAN inalámbricos.
  • Modificación/reproducción de mensajes : el atacante altera o responde a un mensaje legítimo enviado a través de redes inalámbricas eliminándolo, agregándolo, cambiándolo o reordenándolo.

Medidas de seguridad en redes LAN inalámbricas

Las medidas de seguridad proporcionan medios para derrotar los ataques y gestionar los riesgos de las redes. Se trata de medidas técnicas, operativas y de gestión de la red. A continuación, describimos las medidas técnicas adoptadas para garantizar la confidencialidad, la disponibilidad y la integridad de los datos transmitidos a través de redes LAN inalámbricas.

En las redes LAN inalámbricas, todos los puntos de acceso deben estar configurados para brindar seguridad mediante cifrado y autenticación de clientes. Los tipos de esquemas utilizados en las redes LAN inalámbricas para brindar seguridad son los siguientes:

Privacidad equivalente a cableado (WEP)

Es un algoritmo de cifrado integrado en el estándar 802.11 para proteger las redes inalámbricas. El cifrado WEP utiliza el cifrado de flujo RC4 (Rivest Cipher 4) con claves de 40/104 bits y un vector de inicialización de 24 bits. También puede proporcionar autenticación de puntos finales.

Sin embargo, es el mecanismo de seguridad de cifrado más débil, ya que se han descubierto varios fallos en el cifrado WEP. WEP tampoco tiene protocolo de autenticación, por lo que no se recomienda su uso.

Protocolo 802.11i

En este protocolo se pueden aplicar numerosas y más potentes formas de cifrado. Se ha desarrollado para sustituir al débil esquema WEP. Proporciona un mecanismo de distribución de claves. Admite una clave por estación y no utiliza la misma clave para todas. Utiliza un servidor de autenticación independiente del punto de acceso.

802.11i se encuentra entre las normas 802.11g y 802.11n de la imagen. 802.11g y 802.11n son versiones muchos mas comunes de ver, siendo 802.11g muy antigua y 802.11n no tanto. Hoy en día lo comun es encontrarse con dispositivos 802.11ac y 802.11ax.

IEEE802.11i exige el uso de un protocolo denominado Counter mode with CBC-MAC Protocol (CCMP). CCMP garantiza la confidencialidad e integridad de los datos transferidos y la autenticidad del remitente. Se basa en el cifrado por bloques Advanced Encryption Standard (AES).

El protocolo IEEE802.11i tiene cuatro fases de funcionamiento.

  • STA y AP se comunican y descubren capacidades de seguridad mutuas, como algoritmos compatibles.
  • STA y AS se autentican mutuamente y juntos generan una clave maestra (MK). AP actúa como “paso a través”.
  • STA obtiene la clave maestra por pares (PMK). AS obtiene la misma PMK y la envía al AP.
  • STA y AP utilizan PMK para derivar la clave temporal (TK) que se utilizará para el cifrado de mensajes y la integridad de los datos.

Otras normas

  • Acceso protegido Wi-Fi (WPA): este protocolo implementa la mayor parte del estándar IEEE 802.11i. Existía antes de IEEE 802.11i y utiliza el algoritmo RC4 para el cifrado. Tiene dos modos de funcionamiento. En el modo «Empresa», WPA utiliza el protocolo de autenticación 802.1x para comunicarse con el servidor de autenticación y, por lo tanto, las claves premaestras (PMK) son específicas de la estación cliente. En el modo «Personal», no utiliza 802.1x, la PMK se reemplaza por una clave precompartida, como la que se utiliza para los entornos de LAN inalámbrica de pequeñas oficinas y oficinas domésticas (SOHO).
    WPA también incluye una verificación de integridad de mensajes de sonido que reemplaza la verificación de redundancia cíclica (CRC) que utilizaba el estándar WEP.
  • WPA2 − WPA2 reemplazó a WPA. WPA2 implementa todos los elementos obligatorios del esquema IEEE 802.11i. En particular, incluye soporte obligatorio para CCMP, un modo de cifrado basado en AES con una seguridad sólida. Por lo tanto, en lo que respecta a los ataques, WPA2 / IEEE802.11i proporciona soluciones adecuadas para defenderse contra las debilidades de WEP, ataques de intermediarios, falsificación de paquetes y ataques de repetición. Sin embargo, los ataques DoS no se abordan adecuadamente y no existen protocolos sólidos para detener dichos ataques, básicamente porque estos ataques apuntan a la capa física, como interferir con la banda de frecuencia.

Los Campos de la Trama Ethernet

Ethernet es la tecnología comúnmente utilizada en redes de área local. Los dispositivos acceden a la red LAN Ethernet con una Tarjeta de interfaz de red (NIC) Ethernet. Cada NIC Ethernet tiene una dirección única integrada en forma permanente en la tarjeta que se conoce como dirección de Control de acceso al medio (MAC). La dirección MAC tanto para el origen como para el destino son campos en una trama de Ethernet.

Encapsulación

Cuando envía una carta, la persona que la escribe utiliza un formato aceptado para asegurarse de que la carta se entregue y de que el destinatario la comprenda. De la misma manera, un mensaje que se envía a través de una red de computadoras sigue reglas de formato específicas para que pueda ser entregado y procesado. El proceso que consiste en colocar un formato de mensaje (la carta) dentro de otro formato de mensaje (el sobre) se denomina encapsulamiento.

Cuando el destinatario revierte este proceso y quita la carta del sobre se produce el desencapsulamiento del mensaje. De la misma manera en la que una carta se encapsula en un sobre para la entrega, los mensajes de las computadoras también deben encapsularse. Cada mensaje de computadora se encapsula en un formato específico, llamado trama, antes de enviarse a través de la red.

Una trama actúa como un sobre: proporciona la dirección del destino y la dirección del host de origen. El formato y el contenido de una trama están determinados por el tipo de mensaje que se envía y el canal que se utiliza para enviarlo. Los mensajes que no tienen el formato correcto no se pueden enviar al host de destino o no pueden ser procesados por éste.

Analogía:

Un ejemplo común de requerir el formato correcto en las comunicaciones humanas es cuando se envía una carta. El sobre tiene la dirección del emisor y la del receptor, cada una escrita en el lugar adecuado del sobre. Si la dirección de destino y el formato no son correctos, la carta no se entrega.

El proceso que consiste en colocar un formato de mensaje (la carta) dentro de otro formato de mensaje (el sobre) se denomina encapsulamiento. Cuando el destinatario revierte este proceso y quita la carta del sobre se produce el desencapsulamiento del mensaje.

Red:

Semejante a enviar una carta, un mensaje que se envía a través de una red de computadoras sigue reglas de formato específicas para que pueda ser entregado y procesado. El Protocolo de Internet (IP) es un protocolo con una función similar a la del ejemplo sobre.

En la figura, los campos del paquete de Protocolo de Internet versión 6 (IPv6) identifican el origen del paquete y su destino. IP es responsable de enviar un mensaje desde el origen del mensaje al destino a través de una o más redes.

Comunicación de la Capa de Acceso

En una red Ethernet local, una NIC solo acepta una trama si la dirección de destino es la dirección MAC de difusión o si corresponde a la dirección MAC de la NIC. Sin embargo, la mayoría de las aplicaciones de la red utiliza la dirección IP lógica de destino para identificar la ubicación de los servidores y los clientes.

En la figura se ilustra el problema que surge si el host emisor solo tiene la dirección IP lógica del host de destino. ¿Cómo hace el host emisor para determinar qué dirección MAC de destino debe incluir en la trama? El host emisor puede utilizar un protocolo IPv4 llamado Protocolo de Resolución de Direcciones (Address Resolution Protocol, ARP) para detectar la dirección MAC de cualquier host en la misma red local. IPv6 usa un método similar conocido como Detección de Vecinos.

ETHERNET

Es un estándar de redes de área local para computadoras, por sus siglas en español Acceso Múltiple con Escucha de Portadora y Detección de Colisiones. Su nombre procede del concepto físico de éter. Ethernet define las características de cableado y señalización; de nivel físico y los formatos de tramas de datos del nivel de enlace de datos del modelo OSI.

Ethernet se tomó como base para la redacción del estándar internacional IEEE 802.3, siendo usualmente tomados como sinónimos. Se diferencian en uno de los campos de la trama de datos. Sin embargo, las tramas Ethernet e IEEE 802.3 pueden coexistir en la misma zona.

VLAN

(Virtual Local Area Network – Red de Área Local Virtual) Método para crear redes lógicas independientes dentro de una misma red física. Varias VLAN pueden coexistir en un único conmutador o en una única red física. Son útiles para reducir el dominio de difusión y ayudan en la administración de la red, separando segmentos lógicos de una red de área local (los departamentos de una empresa, por ejemplo) que no deberían intercambiar datos usando la red local (aunque podrían hacerlo a través de un enrutador o un conmutador de capa OSI 3 y 4).

Una VLAN consiste en dos o más redes de computadoras que se comportan como si estuviesen conectados al mismo computador, aunque se encuentren físicamente conectados a diferentes segmentos de una red de área local.

Protocolo de Resolución de Direcciones – ARP

ARP utiliza un proceso de tres pasos para determinar y almacenar la dirección MAC de un host que se encuentre en la red local cuando se conoce solo la dirección IPv4 del host:

  1. El host emisor crea una trama dirigida a una dirección MAC de difusión y la envía. En la trama hay un mensaje con la dirección IPv4 del host de destino que se desea encontrar.
  2. Cada host de la red recibe la trama de difusión y compara la dirección IPv4 del mensaje con su dirección IPv4 configurada. El host con la dirección IPv4 coincidente envía su dirección MAC como respuesta al host emisor original.
  3. El host emisor recibe el mensaje y almacena la información de la dirección MAC y la dirección IPv4 en una tabla, denominada tabla ARP.

Una vez que el host emisor tiene la dirección MAC del host de destino en su tabla ARP, puede enviar tramas directamente al destino sin realizar una solicitud ARP. Como los mensajes ARP dependen de tramas de difusión para entregar las solicitudes, todos los hosts de la red local IPv4 deben estar en el mismo dominio de difusión.

Control de errores en la capa de de enlace de datos

No todas las funciones se implementan en todos los protocolos de enlace. La retransmisión de tramas erróneas y el control de flujo a menudo se implementan en las superiores (capa de red, de transporte, o incluso en la de aplicación).

La mayoría de las funciones del nivel de enlace se implementan en el hardware de los equipos. Esto hace que los protocolos de nivel de enlace se modifiquen poco con el tiempo. Los tipos de servicio que la capa de enlace puede suministrar a la capa de red son normalmente los siguientes:

  • Servicio no orientado a conexión y sin acuse de recibo
  • Servicio no orientado a conexión con acuse de recibo
  • Servicio orientado a conexión con acuse de recibo

En el primer caso el envío se hace ‘a la buena de dios’ sin esperar ninguna indicación del receptor sobre el éxito o fracaso de la operación. Este tipo de servicio es apropiado cuando la tasa de error es muy baja (redes locales o fibra óptica) y se deja la misión de comprobar la corrección de los datos transmitidos a las capas superiores (normalmente el nivel de transporte); se considera en estos casos que la probabilidad de error es tan baja que se pierde más tiempo haciendo comprobaciones inútiles que dejando esta tarea a las capas superiores.

También se usa este tipo de servicio cuando se quiere transmitir información en tiempo real (por ejemplo en una vídeoconferencia) y no se quiere sufrir el retraso que impondría un servicio más sofisticado en la capa de enlace (se supone que en este caso preferimos la pequeña tasa de error del medio físico a cambio de minimizar el retardo, o dicho de otro modo si se hiciera reenvío en caso de error sería peor el remedio que la enfermedad).

En el segundo tipo de servicio se produce un acuse de recibo para cada trama enviada. De esta manera el emisor puede estar seguro de que ha llegado. Suele utilizarse en redes con más tasa de error, por ejemplo redes inalámbricas.

El tercer servicio es el más seguro y sofisticado. El emisor y el receptor establecen una conexión explícita de antemano, las tramas a enviar se numeran y se aseguran ambos de que son recibidas todas correctamente en su destino y transmitidas a la capa de red una vez y sólo una.

En el servicio orientado a conexión se pueden distinguir tres fases: establecimiento de la conexión, envío de los datos, y terminación de la conexión. En la primera se establecen los contadores y buffers necesarios para la transmisión, en la segunda se envían los datos con las retransmisiones que sea preciso, y en la tercera se liberan los buffers y variables utilizadas.

Subcapas LLC y MAC

Dentro de la capa de enlace de datos (DLL), la IEEE 802 seccionó la misma en dos sub-capas, la subcapa LLC (Logical Link Control) o subcapa de control de enlace lógico y la subcapa MAC (Media Access Control) o subcapa de control de acceso al medio.

LLC:

Transporta los datos de protocolo de la red, un paquete IP, y agrega más información de control para ayudar a entregar ese paquete IP en el destino, agregándolos componentes de direccionamiento: el Punto de Acceso al Servicio Destino (DSAP) y el Punto de Acceso al Servicio Fuente (SSAP).

Luego este paquete IP reempaquetado viaja hacia la subcapa MAC para que la tecnología específica requerida le adicione datos y lo encapsule. Control de enlace lógico LLC («Logical Link Control») define la forma en que los datos son transferidos sobre el medio físico, proporcionando servicio a las capas superiores.

Es la más alta de las dos subcapas de enlace de datos definidas por el IEEE y la responsable del control de enlace lógico. La subcapa LLC maneja el control de errores, control del flujo, entramado, control de diálogo y del direccionamiento de la MAC. El protocolo LLC más generalizado es IEEE 802.2, que incluye variantes no orientadas a conexión y orientadas a conexión.

MAC:

Se refiere a los protocolos que sigue el host para acceder a los medios físicos, fijando así cuál de los computadores transmitirá datos binarios. Se encarga de la topología lógica de la red y del método de acceso a ésta, cabe destacar que cada tecnología de red tiene una subcapa MAC diferente, y en esta residen las direcciones MAC.

Control de acceso al medio (conocido por las siglas MAC, del inglés: Media Access Control) es el conjunto de mecanismos y protocolos de comunicaciones a través de los cuales varios «interlocutores» (dispositivos en una red, como computadoras, teléfonos móviles, etcétera) se ponen de acuerdo para compartir un medio de transmisión común (por lo general, un cable eléctrico o fibra óptica, o en comunicaciones inalámbricas el rango de frecuencias asignado a su sistema). Es un concepto distinto que la multiplexación, aunque esta última es una técnica que pueden utilizar los mecanismos de MAC.

Direccionamiento MAC

Cuando queremos mandar información a través de una red que comparte recursos se envía a través de un paquete. Este paquete tiene definido un receptor específico, y solo este receptor debe procesar el paquete para que el envío de información no se vea comprometido.

Para recuperar los paquetes se debe realizar un proceso conocido como demultiplexación, que consiste en separar los diferentes paquetes que viajan en la red para que los procese el receptor. Este proceso de demultiplexación requiere una dirección para llevarse a cabo.

La IEEE desarrolló un esquema de direccionamiento, donde a cada dirección se le asignan 48 bits, denominado como dirección de control de acceso al medio (dirección MAC). La razón por la que las direcciones tienen 48 bits es debido a que se originó junto con la tecnología Ethernet.

Esta dirección MAC o también conocida como dirección Ethernet, es asignada por la IEEE a cada pieza de hardware de interfaz de red que existe, es decir, a cada dispositivo que se puede conectar a una red.

El primer bloque de la dirección consta de 24 bits (3 bytes) que son el identificador único de la organización (OUI). En pocas palabras este identificador sirve para conocer quién es el fabricante de la tarjeta de red.

El segundo bloque cuenta igual con 24 bits que corresponde al controlador de interfaz de red (NIC), mejor conocido como tarjeta o interfaz de red. Este último bloque es asignado por la IEEE cuando se fabrica el dispositivo.

Al contrario de las direcciones IP que son representadas a través de una notación decimal en un conjunto de 4 bytes. Las direcciones MAC se representan a través de 6 bloques de 8 bits cada uno en el sistema hexadecimal.

Por ejemplo → AA : AA : AA : BB : BB : BB

Donde los bloques con la letra “A” representan el espacio del OUI y los bloques con “B” identifican al NIC.

Conclusión

La capa de enlace de datos es fundamental para el funcionamiento seguro y eficiente de una red, pero también es un objetivo atractivo para los atacantes debido a su papel en la gestión del tráfico de red. Los ataques como ARP spoofing, MAC flooding, switch spoofing y VLAN hopping pueden comprometer seriamente la seguridad de la red si no se implementan medidas de defensa adecuadas.

Las estrategias de defensa, como la implementación de Dynamic ARP Inspection, Port Security, autenticación de dispositivos y configuración segura de VLANs, son esenciales para proteger la capa de enlace de datos. Al estar bien preparados y mantener una postura defensiva proactiva, los administradores de red pueden mitigar estos riesgos y asegurar la integridad y confidencialidad de los datos que circulan a través de la red.

En este capítulo, analizamos los ataques y las técnicas de mitigación asumiendo una red Ethernet conmutada que ejecuta IP. Si su red no utiliza Ethernet como protocolo de capa 2, algunos de estos ataques pueden no ser aplicables, pero es probable que dicha red sea vulnerable a diferentes tipos de ataques.

La seguridad es tan fuerte como el eslabón más débil. Cuando se trata de redes, la capa 2 puede ser un eslabón muy débil. Las medidas de seguridad de la capa 2 mencionadas en este capítulo contribuyen en gran medida a proteger una red de muchos tipos de ataques.

No te detengas, sigue avanzando

Aquí tienes un propósito para este 2024 que debes considerar seriamente: si has querido mejorar tus habilidades en hacking, Ciberseguridad y programación ahora es definitivamente el momento de dar el siguiente paso. ¡Desarrolla tus habilidades aprovechando nuestros cursos a un precio increíble y avanza en tu carrera! El mundo necesita más hackers…

Universidad Hacking. Todo en Ciberseguridad. Curso Completo

Aprende Hacking Ético y Ciberseguridad sin necesitar conocimientos Previos. Practica Hacking Ético y Ciberseguridad aquí

Calificación: 4,6 de 5 (2.877 calificaciones) 15.284 estudiantes Creado por Alvaro Chirou • 1.800.000+ Enrollments Worldwide

Lo que aprenderás

  • Seguridad informática
  • Hacking Ético en profundidad
  • Redes
  • Programación (Python) (Hacking con Python)
  • Análisis de Malware con laboratorios, practicas y ejecución de Malware para que veas su comportamiento.
  • Cómo reforzar tu Privacidad y Anonimato
  • Uso avanzado de Metasploit
  • Top 10 de Owasp Web, Top 10 de Owasp mobile y Top 10 de Owasp API
  • Seguridad informática para empresas
  • Kali linux de 0 a 100, Veremos su suite de herramientas de hacking y como explotar fallos en sistemas.
  • Termux y como hackear desde el celular
  • Seguridad informática server/web, profundizaremos en WordPress
  • Análisis de trafico en Wireshark
  • Y mucho, pero mucho más

¿Esto que significa?

Hoy más que nunca, se necesitan personas capacitadas en este rubro para trabajar.

Por esa razón cree esta formación profesional para compartirte mis conocimientos y experiencia en la materia y puedas iniciar en este mundo del Hacking Ético y Ciberseguridad.

Te voy a estar acompañando en el proceso de aprendizaje, donde si estas empezando desde 0, sin conocimientos previos, no es un impedimento ya que iniciaremos como si no supieras nada de la materia.

Si sos una persona con conocimientos, podrás iniciar directamente en el nivel más avanzado o en el que tu elijas.

Como en todos mis cursos en udemy, tendrás muchísima practica para que materialices lo que vas aprendiendo.

Empieza a aprender ya mismo!

Aprende con nuestros más de 100 cursos que tenemos disponibles para vos

No solo te enseñamos, tambien te guíamos para que puedas conseguir trabajo como desarrollador y hacker…

¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?

Sobre los autores

Álvaro Chirou

Yo soy Álvaro Chirou, tengo más de 20 Años de experiencia trabajando en Tecnología, eh dado disertaciones en eventos internacionales como OWASP, tengo más de 1.800.000 estudiantes en Udemy y 100 formaciones profesionales impartidas en la misma. Puedes seguirme en mis redes:

Laprovittera Carlos

Soy Laprovittera Carlos. Con más de 20 años de experiencia en IT brindo Educación y Consultoría en Seguridad de la Información para profesionales, bancos y empresas. Puedes saber más de mi y de mis servicios en mi sitio web: laprovittera.com y seguirme en mis redes:

¿Quieres iniciarte en hacking y ciberseguridad pero no sabes por dónde empezar? Inicia leyendo nuestra guia gratuita: https://achirou.com/como-iniciarse-en-ciberseguridad-y-hacking-en-2024/ que te lleva de 0 a 100. Desde los fundamentos más básicos, pasando por cursos, recursos y certificaciones hasta cómo obtener tu primer empleo.

SIGUE APRENDIENDO GRATIS CON NUESTRAS GUIAS

Cómo Iniciarse en Hacking y Ciberseguridad en 2024

Curso Gratis de Programación

Curso Gratis Linux – Capitulo 1 – Introducción a Linux

Curso Gratis de Redes – Capitulo 1 – Tipos de redes y servicios

Como iniciarse en TRY HACK ME – Complete Beginner #1

OSINT #1 Más de 200 Search Tools

Curso Gratis de Java para Hackers

SIGUE APRENDIENDO GRATIS EN NUESTRO BLOG

Saludos amigos y happy hacking!!!