Curiosity is insubordination in its purest form. -Vladimir Nabokov

miércoles, 9 de abril de 2008

Ataque fisico a un switch

Basta conectar cada extremo de un cable directo a un par de bocas de la pared para conseguir causar un DoS al switch hacia donde van conectadas esas bocas.

Puedes tener el CPD bajo llave, o seguridad biometrica para acceder al CPD, pero basta un solo cable directo para que un desaprensivo nos tire un switch en nuestra organizacion. Da igual que sea Cisco.

Como alguno me ha comentado, para evitar eso existe Spanning-Tree, mediante el cual podemos usar topologias fisicas redundantes libres de bucles.

El problema es el broadcast, y si los switches no soportan Spanning Tree, DoS al switch. Basta que un switch no admita STP para que nos hagan un DoS a la red. Y no solo se cae el switch y la red, si tenemos equipos Win98, pantallazo azul.

Lo primero que hay que hacer para asegurar un switch es deshabilitar siempre los puertos que no se usan.

Si por algun motivo no se pueden desactivar los puertos que no se usan de un puente raiz, todos los puertos libres en el switch raiz o en el secundary root debemos protegerlos con un root guard.

Con estas dos medidas, si nos conectan un simple cable directo, no pasara nada, pues no tendran conectividad con el puente raiz y/o no perteneceran a la topologia STP.

STP siempre bloquea al menos un puerto para datos (el broadcast para un switch es trafico de datos) por lo que la tormenta de broadcast se contiene independientemente de que el coste hacia el puente raiz sea identico por todos los caminos.

Si se conecta un cable directo de un puerto del switch raiz a otro puerto del mismo switch, sin STP seguro que cae, con STP activado habria que verlo, lo mejor es shutdown de los puertos que no usamos.

Related Posts by Categories



5 comentarios :

Anónimo dijo...

No me jodas!!! Es decir, que si empalmo con un cable de datos dos pinchos de la red peto el swicth y tienen que reiniciarlo???? Esto es incitar al terrorismo, tio!!;D

Anónimo dijo...

Por lo menos los 3COM de mi empresa detectan el bucle y desactivan ambos puertos, comprobado.

Anónimo dijo...

Por eso, al menos en los router cisco siempre se dejan los puertos que no se usan en shutdown ;)

Saludos desde irelanda.
Pinger

DyB Multimedia dijo...

Creo que no has tenido en cuenta el protocolo Spanning Tree, que precisamente evita los bucles en una red mallada "desactivando" una de las dos interfaces afectadas.

Saludos

Ariel Liguori de Gottig dijo...

Como varios ya te han comentado, creo que has desconsiderado la utilizacion de spanning tree. Es algo muy basico que en el dia de hoy se necuentra en todo sitio donde hay un profesional con un minimo de conocimientos.

Muy bueno el blog, cuando quieras pasate por el mio: www.hacksecurity.com.ar, Saludos!