ethersal
06-11-2008, 22:19
Buenas, siguiendo el hilo http://foro.hackhispano.com/showthread.php?t=32191
Primeramente, no quiero hacer apología sobre ningun fabricante que pueda ser nombrado, ni sobre ningun proveedor de servicios que se pueda mencionar. Todo lo que se dice sobre fabricantes y proveedores son meros ejemplos.
Ajá, así es. Lo cual es normal encontrar spaning tree en cualquier red de grandes dimensiones con redundancia/balanceo de carga en su salida, cosa lógica encontrar en una facultad.
Y si, viene implementado en casi todos los switchs, pero según la estructura (como por ejemplo el balanceo de carga) necesita de multiple spaning tree, que no está en todos los switches. Una estructura sencilla son dos agregadores para la red y un nodo de acceso por cada planta/sección/zona/edificio...
Spanning tree y balanceo de carga son conceptos diferentes, el spanning tree nunca es necesario que yo sepa, simplemente consiste en la posible existencia de bucles en las rutas y que es aconsejable evitar, y para ello se utiliza STp que provee información sobre la topología, pero siempre en la capa de enlace, por lo que no entiendo lo de la relación con el balanceo de carga.
Primero, bucles en ethernet. Al ser ethernet un protocolo no orientado a la conexión, necesita de una dirección de destino y una gateway para el siguiente salto y llegar a ese destino. Cuando no se conoce el destino, se lanza un paquete broadcast (a todas las direcciones/puertos) hasta que, por funcionamiento del protocolo, responde un dispositivo.
El problema es que ethernet no tiene TTL, como bien dijiste. Si existe una conexión física en el que a un dispositivo se puede llegar por dos caminos, se puede producir un bucle que de menos a más, consume el ancho de banda de la red, porque ese paquete nunca termina de estar dando vueltas y además se repite.
Para evitar esto en ethernet, se usa Spanning tree (STP). Este solo funciona cuando hay posibilidad de que haya bucles, es decir, cuando hay dos caminos para llegar a todos los switches. STP es un protocolo diseñado para evitar bucles de ethernet, haciendo (por defecto) que el switch con la MAC mas baja controle la red como root de la misma y bloquee aquellos enlaces más alejados, según el número de saltos que haya.
Hasta aquí, esto es aplicable con pleno funcionamiento cuando hablamos de una red en forma de anillo. De hecho, para hacerlo sencillo, basta con tres switches conectados entre sí. Lo que podemos dibujarnos mentalmente como un triangulo equilátero... ese típico que siempre hemos visto en el colegio.
Pero, ¿Y si nuestra red no tiene forma de anillo, porque los requisitos de nuestra red requieren que no tenga forma de anillo? Es más, ¿y si tengo un backup? ¿Y si en vez de backup simple, quiero balanceo de carga?
Balanceo de carga... ¿¿¿ETHERNET??? y yo te digo... pue sí.
Imaginate ahora esos tres switches. Uno de ellos, el del vertice superior, además, está conectado a un router por ethernet, y ese router tiene salida a internet con telefónica. Estamos en una universidad, por ejemplo. Pero resulta que tengo poco ancho de banda y he de ampliar mi red. Mis switches son de 48 puertos cada uno, y necesito poner otros dos para las nuevas aulas. Por tanto, necesito más infraestructura de red y mas conexión a internet. Y encima quiero estabilidad, no quiero quedarme sin servicio de cara a los alumnos y profesores. Por tanto, estoy pidiendo backup y uso del ancho de banda total.
Pues bien. Ahora imaginate otros tres, en su misma situación, el del vertice superior conectado a otro router, este con salida a internet de Ono. Y yo, que soy más chulo que pitate, quiero usar ambas conexiones de internet para tener más ancho de banda práctico para toda mi red.
http://img145.imageshack.us/img145/1590/imagen1fr3.gif (http://img145.imageshack.us/my.php?image=imagen1fr3.gif)
http://img145.imageshack.us/img145/imagen1fr3.gif/1/w548.png (http://g.imageshack.us/img145/imagen1fr3.gif/1/)
Tenemos esto. Y supongamos que ambas redes son internet, pero las tomamos como infraestructuras distintas. Primer punto, fíjate que aleatoriamente un switch se ha elegido, concretamente por MAC mas baja, cual es el root para spanning tree. En cada caso, es el más alejado del interfaz bloqueado (naranja).
Segundo punto. Queremos unir nuestra red para que, en primer lugar, todos los equipos que estarán detrás de los switches, esten en la misma red y no tengan que salir a internet. Pues tenemos que unir los switches por algún sitio. Y además, queremos que si se cae algo, no se forme un estropicio. Que solo se caiga un switch y los enlaces directos que haya en el switch, si se casca.
Nos queda una red en forma de estrella redundada.
http://img291.imageshack.us/img291/5166/imagen2dg0.gif (http://img291.imageshack.us/my.php?image=imagen2dg0.gif)
http://img291.imageshack.us/img291/imagen2dg0.gif/1/w696.png (http://g.imageshack.us/img291/imagen2dg0.gif/1/)
He marcado en rojo el switch que por defecto se ha elegido como root para spanning tree. Como ves es una estructura en forma de estrella con dos centros.
Tambien he marcado en verde los que vamos a configurar como roots para multiple spanning tree, porque estos serán los agregadores de internet a la red. Uno con mayor prioridad que el otro. ¿Porque estos? porque así no se bloquean los puertos entre ellos, sino que escogerán los más lejanos, que se ubican en los switches de acceso.
Ahi podemos hacer pasar X tráfico por un switch y Z por el otro switch, y spanning tree, al estar en modo multiple, bloqueará puertos de forma independiente para cada tráfico. ¿Cómo? haciendo troncales y eligiendo que VLANs pasarán por un puerto hacia un siwtch agregador, y las otras hacia el otro switch.
Bien, ya tenemos balanceo de carga a nivel 2, y tambien redundancia, porque si se cae uno de los agregadores, el trafico ira hacia el otro. Ahora solo queda que este balanceo sea a nivel 3. Primero Se habilita routing en los switches root, para poder ver a nivel 3 los pcs en otras vlans, (por eso dije que al menos esos dos agregadores habian de ser switches L3, aunque en el dibujo lo son todos). Con Multiple VRRP, ips loopback en los switches con pesos invertidos en cada switch. Esas loopbacks son las puertas de enlace de nuestros pcs, anunciadas como direcciones /32 hacia la red por RIP, o por estática, es igual. Y voila. Balanceo de carga a nivel 3, usando todos los accesos para aprovechar el ancho de banda, y cuando el switch-router tiene una salida a internet, sale por su router de internet. Unos usarán ONO, otros, Telefonica. Si se pierde la conexión de Ono, convergerán por la de Telefónica.
No he hablado de arp spoofing, sino de que es posible que no pueda hacer lo que le habeis dicho. Solo posible. No lo puedo asegurar porque no conozco el caso.
-...-
asi que cabe la posibilidad de que no te funcione el arp spoofing y ahora te explico por qué.
entre otras cosas de los port security, no van a permitir que dos MACs entren por un puerto, y bloquea el puerto bien en un intervalo de tiempo determinado o de forma indefinida.
La razón que dices por la que podría no funcionar no guarda relación con el ataque, repito que los switch no se ven afectados, simplemente el arp spoofing le dice a una máquina que la ip de cierta máquina corresponde con la mac del atacante, por lo que ni las macs aparecen en otro puerto ni aparecen nuevas macs ni nada, las direcciones físicas siguen estando donde estaban, unicamente cambian las correspondencias entre las direcciones lógicas con las físicas, por ello los switch de nivel 2 no notan diferencia alguna.
No, arp spoofing no guarda relación con la MAC, pero si intentas suplantar la MAC, port security se encarga de bloquearte el acceso.
Quiero decir lo que he dicho, pero tambien lo que dices tú. El port security hace muchas cosas, entre ellas lo que dices tú, lo que digo yo, e incluso bloquear el puerto en cuanto pierde la conexión física en el puerto.
El hecho de que arp spoofing no engañe a los switches, no quita que el intentar suplantar la MAC de la tarjeta de red de tu PC, se bloquee el puerto y ya no pueda hacer nada.
Port security se utiliza para evitar que MACS no autorizadas utilicen la red, registra las MACS de cada puerto y si aparece una nueva la capa. De todas maneras para hacer arp spoofing no es necesario suplantar la MAC de ninguna tarjeta de red, e independientemente de todo esto da igual, repito el arp spoofing no afecta para nada el funcionamiento de los switch (estoy hablando del ataque en sí, no de que luego utilices una ip o mac falsas para que no te pillen claro).
No. Port security no se usa para eso, aunque podría usarse indirectamente. Cito un párrafo de una web, para al menos apoyarme en algo
"Port Security es un feature de los switches Cisco que les permite retener las direcciones MAC conectadas a cada puerto del dispositivo y permitir solamente a esas direcciones MAC comunicarse a través de esa boca del switch. Si un dispositivo con otra dirección MAC intenta comunicarse a través de esa boca, port-security deshabilitará el puerto. Incluso se puede implementar SNMP para recibir en el momento en el sistema de monitoreo la notificación correspondiente al bloqueo del puerto."
Link externo (http://librosnetworking.blogspot.com/2006/10/implementacin-de-port-security-en.html)
Además, tiene otras muchas posibilidades, como ya dije, bloquear el puerto si directamente quitas el cable físico del puerto.
Ojo, no estoy diciendo que no pueda haber 2 macs en un puerto, estoy diciendo que si el switch es configurable se puede habilitar para que no las haya. En los enlaces troncales hay muchas macs relacionadas a un puerto en la tabla de forwarding. Pero cada puerto es configurable para pasar X vlanes en modo troncal, en modo acceso(en este caso solo 1, pero la que tu quieras), y cada puerto tiene una seguridad configurable.
Aquí me he perdido, estamos hablando de vlans? Estamos hablando de redes lógicas? De varios dominios de difusión?,entonces la cosa cambia bastante, pero es que lo de las vlans es otro concepto distinto al de una red conmutada con switchs a nivel 2 (en la que no se haga vlans para que parezca de nivel 3).
De todas maneras da igual, nos estamos desviando del hilo, para hacer arp spoofing en tu red ip en una lan conmutada de switchs de nivel2 es independiente de los switch,repito que estos no se ven afectados.
Salu2
No. Puse el ejemplo de VLANs por poner uno, no creo que sea demasiado complejo, pero no quita lo que quiero decir. A modo más sencillo, un puerto puede tener en su tabla de forwarding más de 1 direccion MAC. Se usa en enlaces troncales para saltar de un switch a otro switch. Y esto es aplicable a diversas VLANs si se quiere. Los enlaces troncales tambien transportan más de una VLAN. Los de acceso, solo 1.
Primeramente, no quiero hacer apología sobre ningun fabricante que pueda ser nombrado, ni sobre ningun proveedor de servicios que se pueda mencionar. Todo lo que se dice sobre fabricantes y proveedores son meros ejemplos.
Ajá, así es. Lo cual es normal encontrar spaning tree en cualquier red de grandes dimensiones con redundancia/balanceo de carga en su salida, cosa lógica encontrar en una facultad.
Y si, viene implementado en casi todos los switchs, pero según la estructura (como por ejemplo el balanceo de carga) necesita de multiple spaning tree, que no está en todos los switches. Una estructura sencilla son dos agregadores para la red y un nodo de acceso por cada planta/sección/zona/edificio...
Spanning tree y balanceo de carga son conceptos diferentes, el spanning tree nunca es necesario que yo sepa, simplemente consiste en la posible existencia de bucles en las rutas y que es aconsejable evitar, y para ello se utiliza STp que provee información sobre la topología, pero siempre en la capa de enlace, por lo que no entiendo lo de la relación con el balanceo de carga.
Primero, bucles en ethernet. Al ser ethernet un protocolo no orientado a la conexión, necesita de una dirección de destino y una gateway para el siguiente salto y llegar a ese destino. Cuando no se conoce el destino, se lanza un paquete broadcast (a todas las direcciones/puertos) hasta que, por funcionamiento del protocolo, responde un dispositivo.
El problema es que ethernet no tiene TTL, como bien dijiste. Si existe una conexión física en el que a un dispositivo se puede llegar por dos caminos, se puede producir un bucle que de menos a más, consume el ancho de banda de la red, porque ese paquete nunca termina de estar dando vueltas y además se repite.
Para evitar esto en ethernet, se usa Spanning tree (STP). Este solo funciona cuando hay posibilidad de que haya bucles, es decir, cuando hay dos caminos para llegar a todos los switches. STP es un protocolo diseñado para evitar bucles de ethernet, haciendo (por defecto) que el switch con la MAC mas baja controle la red como root de la misma y bloquee aquellos enlaces más alejados, según el número de saltos que haya.
Hasta aquí, esto es aplicable con pleno funcionamiento cuando hablamos de una red en forma de anillo. De hecho, para hacerlo sencillo, basta con tres switches conectados entre sí. Lo que podemos dibujarnos mentalmente como un triangulo equilátero... ese típico que siempre hemos visto en el colegio.
Pero, ¿Y si nuestra red no tiene forma de anillo, porque los requisitos de nuestra red requieren que no tenga forma de anillo? Es más, ¿y si tengo un backup? ¿Y si en vez de backup simple, quiero balanceo de carga?
Balanceo de carga... ¿¿¿ETHERNET??? y yo te digo... pue sí.
Imaginate ahora esos tres switches. Uno de ellos, el del vertice superior, además, está conectado a un router por ethernet, y ese router tiene salida a internet con telefónica. Estamos en una universidad, por ejemplo. Pero resulta que tengo poco ancho de banda y he de ampliar mi red. Mis switches son de 48 puertos cada uno, y necesito poner otros dos para las nuevas aulas. Por tanto, necesito más infraestructura de red y mas conexión a internet. Y encima quiero estabilidad, no quiero quedarme sin servicio de cara a los alumnos y profesores. Por tanto, estoy pidiendo backup y uso del ancho de banda total.
Pues bien. Ahora imaginate otros tres, en su misma situación, el del vertice superior conectado a otro router, este con salida a internet de Ono. Y yo, que soy más chulo que pitate, quiero usar ambas conexiones de internet para tener más ancho de banda práctico para toda mi red.
http://img145.imageshack.us/img145/1590/imagen1fr3.gif (http://img145.imageshack.us/my.php?image=imagen1fr3.gif)
http://img145.imageshack.us/img145/imagen1fr3.gif/1/w548.png (http://g.imageshack.us/img145/imagen1fr3.gif/1/)
Tenemos esto. Y supongamos que ambas redes son internet, pero las tomamos como infraestructuras distintas. Primer punto, fíjate que aleatoriamente un switch se ha elegido, concretamente por MAC mas baja, cual es el root para spanning tree. En cada caso, es el más alejado del interfaz bloqueado (naranja).
Segundo punto. Queremos unir nuestra red para que, en primer lugar, todos los equipos que estarán detrás de los switches, esten en la misma red y no tengan que salir a internet. Pues tenemos que unir los switches por algún sitio. Y además, queremos que si se cae algo, no se forme un estropicio. Que solo se caiga un switch y los enlaces directos que haya en el switch, si se casca.
Nos queda una red en forma de estrella redundada.
http://img291.imageshack.us/img291/5166/imagen2dg0.gif (http://img291.imageshack.us/my.php?image=imagen2dg0.gif)
http://img291.imageshack.us/img291/imagen2dg0.gif/1/w696.png (http://g.imageshack.us/img291/imagen2dg0.gif/1/)
He marcado en rojo el switch que por defecto se ha elegido como root para spanning tree. Como ves es una estructura en forma de estrella con dos centros.
Tambien he marcado en verde los que vamos a configurar como roots para multiple spanning tree, porque estos serán los agregadores de internet a la red. Uno con mayor prioridad que el otro. ¿Porque estos? porque así no se bloquean los puertos entre ellos, sino que escogerán los más lejanos, que se ubican en los switches de acceso.
Ahi podemos hacer pasar X tráfico por un switch y Z por el otro switch, y spanning tree, al estar en modo multiple, bloqueará puertos de forma independiente para cada tráfico. ¿Cómo? haciendo troncales y eligiendo que VLANs pasarán por un puerto hacia un siwtch agregador, y las otras hacia el otro switch.
Bien, ya tenemos balanceo de carga a nivel 2, y tambien redundancia, porque si se cae uno de los agregadores, el trafico ira hacia el otro. Ahora solo queda que este balanceo sea a nivel 3. Primero Se habilita routing en los switches root, para poder ver a nivel 3 los pcs en otras vlans, (por eso dije que al menos esos dos agregadores habian de ser switches L3, aunque en el dibujo lo son todos). Con Multiple VRRP, ips loopback en los switches con pesos invertidos en cada switch. Esas loopbacks son las puertas de enlace de nuestros pcs, anunciadas como direcciones /32 hacia la red por RIP, o por estática, es igual. Y voila. Balanceo de carga a nivel 3, usando todos los accesos para aprovechar el ancho de banda, y cuando el switch-router tiene una salida a internet, sale por su router de internet. Unos usarán ONO, otros, Telefonica. Si se pierde la conexión de Ono, convergerán por la de Telefónica.
No he hablado de arp spoofing, sino de que es posible que no pueda hacer lo que le habeis dicho. Solo posible. No lo puedo asegurar porque no conozco el caso.
-...-
asi que cabe la posibilidad de que no te funcione el arp spoofing y ahora te explico por qué.
entre otras cosas de los port security, no van a permitir que dos MACs entren por un puerto, y bloquea el puerto bien en un intervalo de tiempo determinado o de forma indefinida.
La razón que dices por la que podría no funcionar no guarda relación con el ataque, repito que los switch no se ven afectados, simplemente el arp spoofing le dice a una máquina que la ip de cierta máquina corresponde con la mac del atacante, por lo que ni las macs aparecen en otro puerto ni aparecen nuevas macs ni nada, las direcciones físicas siguen estando donde estaban, unicamente cambian las correspondencias entre las direcciones lógicas con las físicas, por ello los switch de nivel 2 no notan diferencia alguna.
No, arp spoofing no guarda relación con la MAC, pero si intentas suplantar la MAC, port security se encarga de bloquearte el acceso.
Quiero decir lo que he dicho, pero tambien lo que dices tú. El port security hace muchas cosas, entre ellas lo que dices tú, lo que digo yo, e incluso bloquear el puerto en cuanto pierde la conexión física en el puerto.
El hecho de que arp spoofing no engañe a los switches, no quita que el intentar suplantar la MAC de la tarjeta de red de tu PC, se bloquee el puerto y ya no pueda hacer nada.
Port security se utiliza para evitar que MACS no autorizadas utilicen la red, registra las MACS de cada puerto y si aparece una nueva la capa. De todas maneras para hacer arp spoofing no es necesario suplantar la MAC de ninguna tarjeta de red, e independientemente de todo esto da igual, repito el arp spoofing no afecta para nada el funcionamiento de los switch (estoy hablando del ataque en sí, no de que luego utilices una ip o mac falsas para que no te pillen claro).
No. Port security no se usa para eso, aunque podría usarse indirectamente. Cito un párrafo de una web, para al menos apoyarme en algo
"Port Security es un feature de los switches Cisco que les permite retener las direcciones MAC conectadas a cada puerto del dispositivo y permitir solamente a esas direcciones MAC comunicarse a través de esa boca del switch. Si un dispositivo con otra dirección MAC intenta comunicarse a través de esa boca, port-security deshabilitará el puerto. Incluso se puede implementar SNMP para recibir en el momento en el sistema de monitoreo la notificación correspondiente al bloqueo del puerto."
Link externo (http://librosnetworking.blogspot.com/2006/10/implementacin-de-port-security-en.html)
Además, tiene otras muchas posibilidades, como ya dije, bloquear el puerto si directamente quitas el cable físico del puerto.
Ojo, no estoy diciendo que no pueda haber 2 macs en un puerto, estoy diciendo que si el switch es configurable se puede habilitar para que no las haya. En los enlaces troncales hay muchas macs relacionadas a un puerto en la tabla de forwarding. Pero cada puerto es configurable para pasar X vlanes en modo troncal, en modo acceso(en este caso solo 1, pero la que tu quieras), y cada puerto tiene una seguridad configurable.
Aquí me he perdido, estamos hablando de vlans? Estamos hablando de redes lógicas? De varios dominios de difusión?,entonces la cosa cambia bastante, pero es que lo de las vlans es otro concepto distinto al de una red conmutada con switchs a nivel 2 (en la que no se haga vlans para que parezca de nivel 3).
De todas maneras da igual, nos estamos desviando del hilo, para hacer arp spoofing en tu red ip en una lan conmutada de switchs de nivel2 es independiente de los switch,repito que estos no se ven afectados.
Salu2
No. Puse el ejemplo de VLANs por poner uno, no creo que sea demasiado complejo, pero no quita lo que quiero decir. A modo más sencillo, un puerto puede tener en su tabla de forwarding más de 1 direccion MAC. Se usa en enlaces troncales para saltar de un switch a otro switch. Y esto es aplicable a diversas VLANs si se quiere. Los enlaces troncales tambien transportan más de una VLAN. Los de acceso, solo 1.