On-Path Attacks
En un ataque en ruta ( anteriormente conocido como un ataque de hombre en el medio [ MITM ] ) <TAG1, un atacante se coloca en línea entre dos dispositivos o individuos que se comunican para escuchar a escondidas (, es decir, robar datos confidenciales ) o manipular los datos que se transfieren (, como realizar la corrupción de datos o la modificación de datos ). Los ataques en ruta pueden ocurrir en la capa 2 o en la capa 3. La Figura 5-5 ilustra un ataque en ruta.
Figura 5-5 – Ataque en la ruta

Bufandas ARP y envenenamiento por caché ARP
Envenenamiento por caché ARP ( también conocido como parodia de ARP ) es un ejemplo de un ataque que conduce a un escenario de ataque en ruta. Un ataque de suplantación de ARP puede apuntar a hosts, interruptores, y enrutadores conectados a una red de Capa 2 envenenando los cachés ARP de los sistemas conectados a la subred e interceptando el tráfico destinado a otros hosts en la subred. En la figura 5-5, el atacante falsifica las direcciones MAC de la capa 2 para hacer creer a la víctima que la dirección de la capa 2 del atacante es la dirección de la capa 2 de su puerta de enlace predeterminada ( 10.2.3.4 ). Los paquetes que se supone que deben ir a la puerta de enlace predeterminada se reenvían mediante el interruptor a la dirección de capa 2 del atacante en la misma red. El atacante puede reenviar los paquetes IP al destino correcto para permitir que el cliente acceda al servidor web ( 10.2.66.77 ).
Control de acceso a medios ( MAC ) suplantación de identidad es un ataque en el que un actor de amenazas se hace pasar por la dirección MAC de otro dispositivo ( típicamente un dispositivo de infraestructura como un enrutador ). La dirección MAC suele ser una dirección codificada en un controlador de interfaz de red. En entornos virtuales, la dirección MAC podría ser una dirección virtual ( que no se asigne a un adaptador físico ). Un atacante podría falsificar la dirección MAC de los sistemas físicos o virtuales para eludir las medidas de control de acceso o realizar un ataque en ruta.
NOTA Una mitigación común para los ataques de envenenamiento de caché ARP es usar el Protocolo de resolución de dirección dinámica ( ARP ) Inspección ( DAI ) en los interruptores para evitar la suplantación de identidad de las direcciones de capa 2.
Otro ejemplo de un ataque en ruta de Layer 2 implica colocar un interruptor en la red y manipular el Protocolo de árbol de expansión ( STP ) para que sea el interruptor raíz. Este tipo de ataque puede permitir que un atacante vea cualquier tráfico que deba enviarse a través del interruptor raíz.
Un atacante puede llevar a cabo un ataque en ruta en la Capa 3 colocando un enrutador deshonesto en la red y luego engañando a los otros enrutadores para que crean que este nuevo enrutador tiene un mejor ruta que otros enrutadores. También es posible realizar un ataque en ruta comprometiendo el sistema de la víctima e instalando malware que pueda interceptar los paquetes enviados por la víctima. El malware puede capturar paquetes antes de que se cifren si la víctima está usando SSL / TLS / HTTPS o cualquier otro mecanismo. Una herramienta de ataque llamada SSLStrip utiliza la funcionalidad en ruta para observar de manera transparente el tráfico HTTPS, secuestrarlo y devolver enlaces HTTP no cifrados al usuario en respuesta. Esta herramienta fue creada por un investigador de seguridad llamado Moxie Marlinspike. Puedes descargar la herramienta desde https://github.com/moxie0/sslstrip.
Las siguientes son algunas de las mejores prácticas adicionales de seguridad de la Capa 2 para asegurar su infraestructura:
- Seleccione una VLAN no utilizada ( que no sea VLAN 1 ) y úsela como VLAN nativa para todos sus troncos. No use esta VLAN nativa para ninguno de sus puertos de acceso habilitados. Evite usar VLAN 1 en cualquier lugar porque es el valor predeterminado.
- Configure administrativamente los puertos de conmutación como puertos de acceso para que los usuarios no puedan negociar un tronco; también deshabilite la negociación de trunking (, es decir, no permita el Protocolo de enlace dinámico [ DTP ] ).
- Limite el número de direcciones MAC aprendidas en un puerto determinado utilizando la función de seguridad del puerto.
- Controle Spanning Tree para evitar que los usuarios o dispositivos desconocidos lo manipulen. Puede hacerlo utilizando las funciones BPDU Guard y Root Guard.
- Desactive el Protocolo de descubrimiento de Cisco ( CDP ) en puertos que enfrentan redes no confiables o desconocidas que no requieren CDP para nada positivo. ( CDP opera en la Capa 2 y puede proporcionar a los atacantes información que preferiría no divulgar. )
- En un nuevo interruptor, apague todos los puertos y asígnelos a una VLAN que no se use para nada más que un estacionamiento. Luego, levante los puertos y asigne VLAN correctos a medida que los puertos estén asignados y necesarios.
- Use Root Guard para controlar qué puertos no pueden convertirse en puertos raíz para conmutadores remotos.
- Usa DAI.
- Use IP Source Guard para evitar la suplantación de información de la capa 3 por parte de los hosts.
- Implemente 802.1X cuando sea posible para autenticar y autorizar a los usuarios antes de permitirles comunicarse con el resto de la red.
- Use el protocolo dinámico de configuración del host ( DHCP ) para evitar que los servidores DHCP deshonestos afecten a la red.
- Use el control de tormentas para limitar la cantidad de transmisión o tráfico de multidifusión que fluye a través de un interruptor. Un atacante podría realizar un tormenta de paquetes Ataque ( o tormenta de transmisión ) para causar una condición DoS. El atacante hace esto enviando transmisiones excesivas de paquetes IP ( a menudo transmitiendo tráfico ) en una red.
- Implemente listas de control de acceso ( ACL ), como ACL de capa 3 y capa 2, para el control del tráfico y la aplicación de políticas.
Ataques de descenso
En un ataque de degradación, un atacante obliga a un sistema a favorecer un protocolo de cifrado débil o un algoritmo hash que puede ser susceptible a otras vulnerabilidades. Un ejemplo de vulnerabilidad y ataque de rebaja es el Oráculo de relleno en el cifrado de legado degradado ( POODLE ) vulnerabilidad en OpenSSL, lo que permitió al atacante negociar el uso de una versión inferior de TLS entre el cliente y el servidor. Puede encontrar más información sobre la vulnerabilidad de POODLE en https://www.openssl.org/~bodo/ssl-poodle.pdf.
POODLE era una vulnerabilidad específica de OpenSSL y se ha parcheado desde 2014. Sin embargo, en la práctica, eliminar la compatibilidad con versiones anteriores es a menudo la única forma de evitar otros ataques o fallas de degradación.
