Protocolos de seguridad asociados a la capa de nivel de enlace

Introducción

En la actualidad, integrar seguridad en los sistemas se ha vuelto fundamental, siempre con el objetivo de proteger la confidencialidad, integridad y disponibilidad de la información transmitida.

Muchas veces hemos escuchado hablar de seguridad en profundidad o seguridad en capas, refiriéndose a los diferentes niveles de protección que rodean a los activos críticos del core de una organización.

En este artículo vamos a centrarnos en la capa de nivel de enlace de datos y algunos de los protocolos de seguridad que pueden implementarse en ella.

Capa de nivel de enlace

De forma breve recordemos que la capa de nivel de enlace, conocida como capa 2 en el modelo OSI (Open Systems Interconnection), es la encargada de conectar la capa física con las capas superiores a ella. En este nivel la información viaja en datagramas o tramas.

MODELO OSI

Esta capa realiza varias funciones, dependiendo del protocolo que se utilice pueden implementarse todas o algunas de ellas, a saber:

  • El control de acceso al medio físico por donde se transmite la información y que comparten los equipos conectados al mismo.
  • La detección de errores y su posible corrección, por ejemplo ante interferencias o atenuación de la señal.
  • Entrega de datos al dispositivo correspondiente de acuerdo a su dirección física conocida como dirección MAC, por sus siglas en inglés Media Access Control.
  • El control de flujo entre dos dispositivos para evitar pérdida de información y saturación de datos.

¿Qué riesgos de seguridad existen en la capa 2?

La capa de enlace de datos también es susceptible a ataques.

Además de los ataques de ciertas vulnerabilidades propias de sistemas que no están debidamente configurados y/o actualizados, a continuación mencionaremos algunos asociados a redes LAN:

  • Spoofing. Es la técnica de suplantación de identidad por parte de un atacante que se hace pasar por una entidad de confianza. En este caso, por otro dispositivo de la red mediante la falsificación de su dirección MAC.
  • DoS – Denial of Service. Esta técnica trata de impedir o limitar el acceso a un dispositivo de red, mediante la saturación de alguno de sus recursos, por ejemplo realizando una inundación de tráfico no deseado.
  • Sniffing. El atacante únicamente escucha el tráfico transmitido pero no realiza ninguna acción.
  • DHCP Spoofing. El atacante se hace pasar por el servidor DHCP [1]para enviar al cliente datos de red falsos.
  • ARP[2] poisoning o envenenamiento de la tabla ARP. El objetivo del atacante es alterar la información de la tabla ARP donde se guarda de forma temporal la dirección IP asociada a la dirección MAC de un dispositivo, y sustituirla con su propia MAC, para redireccionar el tráfico hacia sí mismo.

Podemos observar que algunos de los ataques mencionados anteriormente pueden darse también en otras capas de red.

Estos ataques suponen un riesgo para la confidencialidad, disponibilidad e integridad de la información que se transmite.

¿Cómo integramos seguridad en capa 2?

La IEEE ha desarrollado la familia de protocolos 802 para redes LAN y WAN. Estos protocolos fueron diseñados para permitir la interoperabilidad entre sí y entre los dispositivos y las redes que los soportan. Se pueden implementar en una red Ethernet que permita este tipo de tramas.

El interés principal de implementar estas tecnologías en los dispositivos de red es proteger la confidencialidad, integridad y disponibilidad de la información que se transmite.

A continuación mencionaremos algunos protocolos de seguridad de capa 2:

  • Spanning Tree Protocol (STP) – 802.1D y Shortest Path Bridging (SPB) – 802.1aq
    • Evita bucles habilitando solo un camino entre dispositivos (Bridge priority)
    • Evita ataques de inundación de BW de paquetes específicos de capa 2, como por ejemplo: solicitudes broadcast o tramas BPDU (Bridge Protocol Data Unit) fraudulentas.
  • Port Security – extensión del Protocolo 802.1x
    • Restringe el acceso a un puerto sólo a dispositivos autorizados, pues sólo se habilita el puerto una vez que la autenticación contra el servidor de autenticación ha sido exitosa.
  • MACsec – Media Access Control Security – 802.1AE
    • Confidencialidad – la información se transmite cifrada lo que previene la interceptación (sniffing)
    • Autenticación – garantiza que la fuente es quien dice ser
    • Verifica la integridad de los datos transmitidos
  • DHCP Snooping
    • El DHCP Snooping opera en capa 2 filtrando tráfico DHCP no autorizado, esto evita ataques de DHCP Spoofing, en el cual un atacante se hace pasar por un servidor DHCP de la red. Además, evita que dispositivos no autorizados obtengan direcciones IP de manera fraudulenta.

Por último, mencionaremos el protocolo 802.1q, que es el que deben cumplir los dispositivos que soportan VLANs[3]. Este, si bien no fue pensado en términos de seguridad, gracias a sus funcionalidades colabora en ese sentido.

Una VLAN permite definir segmentos de redes lógicos y separar diferentes tipos de tráfico. Esto colabora con la seguridad de la red, ya que segmentándola se reduce la superficie de ataques, se evita que el tráfico de red sea interceptado por dispositivos no autorizados, y se minimizan los posibles ataques laterales entre VLANs.

Medidas básicas de seguridad

Para finalizar listamos algunas medidas básicas de seguridad a considerar:

  • Cerrar todos los puertos que no se utilizarán.
  • Asegurar que el acceso al dispositivo sea a través de un protocolo seguro, como SSH,y nunca vía Telnet.
  • Cambiar las contraseñas por defecto de todos los dispositivos de red.
  • Monitorear los dispositivos y centralizar alertas para permitir que se realice la correlación de eventos.
  • Configurar los logs de forma tal que permitan la trazabilidad de eventos.
  • Contar con respaldo externo de la configuración del dispositivo.
  • Analizar e implementar los protocolos de seguridad mencionados en el apartado anterior.

Además, recomendamos evaluar si es necesario y oportuno:

  • Configurar MAC de forma estática para garantizar el acceso a la red de un dispositivo, aunque esto pueda resultar difícil de mantener.
  • Configurar el servicio DHCP para asignar de manera estática direcciones IP a cada una de las direcciones MAC de la red ya que facilita la trazabilidad de acciones.

Graciela Martínez, Líder del CSIRT de LACNIC

Referencias:

OSI https://es.wikipedia.org/wiki/Modelo_OSI

802.1D – 2004 https://ieeexplore.ieee.org/document/1309630

802.1aq https://1.ieee802.org/tsn/802-1aq-shortest-path-bridging/

802.1X https://datatracker.ietf.org/doc/rfc3580/

802.1AE: MAC Security (MACsec) https://1.ieee802.org/security/802-1ae/

DHCP Snooping https://study-ccna.com/dhcp-snooping/