Banner 1

Ataques sobre el nivel 2 del modelo osi(dtp)

Como muchos sabemos el protocolo osi en sus capas inferiores es muy suseptible a ataques a nivel de red, por esto hoy voy a ir haciendo un recuento de los posibles ataques que se nos pueden presentar.

Veamos como se efectúa un ataque contra un switch Catalyst 2950T con IOS 12.1(22) EA3. El dispositivo se encuentra configurado con nombre zipi y dos VLANs: Office (puertos Fa0/10, Fa0/11, Fa0/12 y Fa0/13) e Internet (puertos Fa0/20, Fa0/21, Fa0/22 y Fa0/23). El dominio VTP ha sido cambiado a Yersinia. El resto de parámetros
se dejan por defecto.

En el modo GUI de Yersinia, elegimos el protocolo DTP. Si hay tráfico DTP en nuestra red no tardaremos más de treinta segundos en ver datos. También podemos echarle un vistazo al estado DTP del puerto que nos conecta al switch desde la consola del mismo: nuestro puerto es Fa0/10 y el estado es por defecto.Ahora necesitamos rellenar la ventana inferior con valores por defecto tecleando [d]. Tras esto, al presionar [e] nos permitirá modificar el campo Neighbor-ID con el valor 666666666666. Para finalizar la edición es necesario presionar [return].

Ahora, cambiamos a la ventana de ataques DTP presionando [x] y seleccionamos el ataque enabling trunking. El estado DTP del puerto cambiará a TRUNKING y Neighbor address 1 contendrá nuestro ID. Si además miramos los puertos asignados a cada VLAN como antes, veremos que nuestro puerto Fa0/10 ya no se encuentra en la lista (ver Listado 9). En la ventana principal de Yersinia veremos nuevos paquetes; los creados por Yersinia son los que tienen el campo Neighbor-ID con 666666666666. De ahora en adelante, seremos capaces de llevar a cabo ataques contra los protocolos 802.1Q y VTP. Y lo que es más importante, seremos capaces de comportarnos como otro switch lo cual hace posible acceder a tráfico de otras VLANs.
Puertos de VLANs tras el ataque
zipi# sh vlan
VLAN Name Status Ports
---- ----------------------------- --------- -------------------------------
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/18, Fa0/19, Fa0/24
Gi0/1, Gi0/2
100 Office active Fa0/11, Fa0/12, Fa0/13
200 Internet active Fa0/20, Fa0/21, Fa0/22, Fa0/23
La única contramedida viable contra ataques DTP es desactivar el auto-trunking con el comando: switchport mode access. El administrador se ve entonces obligado a activar el trunking manualmente (configurando el switch) para activar cada trunk.

Alfredo Andrés
David Barroso
S21sec e-crime

FUENTE:http://blog.s21sec.com/2009/06/ataques-sobre-el-nivel-2-del-modelo-osi_19.html

No hay comentarios:

Powered by Bad Robot
Helped by Blackubay