SPANNING TREE PROTOCOL EN REDES CISCO (STP)

 

INTRODUCCIÓN

Una práctica muy habitual en redes corporativas consiste en la aplicación de enlaces redundantes con el fin de mejorar el servicio y rendimiento de estas. Sin embargo, dicha redundancia puede generar problemas, traducidos normalmente en bucles de capa 2. Este hecho, también denominado tormenta de broadcast, se produce cuando la misma trama recorre los mismos enlaces de manera infinita, pero ¿cuáles son las consecuencias reales ante tal situación? Se podrían identificar las siguientes:

Las tramas que hayan entrado en bucle lo recorrerán de manera infinita, sin ser descartadas nunca por los switchs. Ello es debido a que no disponen del campo TTL, el cual es utilizado en capa 3 para eliminar paquetes que superen un determinado número de saltos. Su ausencia en capa 2 conlleva que no exista un control sobre la vida o recorrido de las tramas, por lo tanto, serán siempre procesadas y reenviadas. A consecuencia de ello, el ancho de banda de los enlaces se verá afectado considerablemente, hasta tal punto que la red quedará inutilizable. La única manera de detenerlo es desconectando físicamente alguno de los enlaces intervinientes o apagando y encendiendo administrativamente la interfaz implicada con los comandos shutdown y no shutdown.

La tabla de MACs de los switchs que forman parte del bucle estarán continuamente actualizándose, dando como resultado registros incorrectos y con ello reenvíos de tramas a través de interfaces erróneas.

Los switchs que intervienen en el bucle tienen que procesar todas las tramas que lo atraviesan de manera continua e infinita, lo que genera una bajada de rendimiento tanto a nivel de hardware como de software (IOS).

Las tramas que atraviesan el bucle también son recibidas por dispositivos finales. Estos las aceptan y procesan siempre, hecho que genera una disminución de su ancho de banda y rendimiento.

Un ejemplo de tormenta de broadcast podría ser el siguiente:

Paso 1: Un PC de la Red A envía una trama al SwitchA. Este, como se trata de un broadcast, la reenvía a través de todas sus interfaces excepto por la que fue recibida, lo que incluye los enlaces hacia el SwitchB y SwitchC.

Paso 2: La trama es recibida por los SwitchsB y C, la procesan, y al ser un broadcast actúan exactamente igual, reenviándola por todas las interfaces excepto por la cual fue recibida, lo que incluye el enlace entre ambos y sus respectivas redes.

Paso 3: Tanto B como C han vuelto a recibir un broadcast, procediendo ambos de la misma manera que anteriormente.

Llegados a este punto, los pasos 1, 2 y 3 se repetirán de manera infinita. Si no se soluciona el problema, el ancho de banda disponible en la red, la capacidad de procesamiento de los switchs y el rendimiento de los hosts disminuirán considerablemente.

Se ha generado un bucle de capa 2 en una topología tan sencilla como la recién mostrada, compuesta tan solo por 3 dispositivos que hacen uso de enlaces redundantes. Imagina un entorno corporativo, con decenas o cientos de Switchs conectados entre sí, el problema resultaría incontrolable. Un detalle a tener en cuenta es que las tormentas de broadcast suelen originarse con los siguientes tipos de tramas:

• Broadcast: Cuando un switch recibe una trama broadcast la reenvía a través de todas sus interfaces excepto por la cual fue recibida, lo que incluye los enlaces redundantes hacia otros switchs, pudiendo crear un bucle, tal y como se analizó en el ejemplo.
• Unicast con dirección de destino desconocida: Una trama unicast es aquella cuyo destinatario es un solo dispositivo. En este caso, los switchs leen su dirección de destino, la buscan en la tabla de MACs y la reenvían únicamente por la interfaz asociada. Sin embargo, si la MAC no se encuentra registrada, la trama será reenviada a través de todas las interfaces, al igual que sucede con los broadcasts, generando también bucles de capa 2.

El término tormenta de broadcast se aplica por igual a los bucles generados por ambos tipos de tramas.

Continuando con el ejemplo anterior, para solucionar el problema se puede proceder de dos maneras, bien desconectando físicamente algún enlace que intervenga en el bucle, o bien apagando y encendiendo la interfaz administrativamente con los comandos shutdown y no shutdown. 

Por ejemplo, se podría aplicar cualquiera de las dos acciones sobre el enlace entre el SwitchA y B y el bucle se detendría. Aun así, esta solución sería temporal, ya que una vez conectado el cable o habilitada la interfaz se volverán a formar tormentas de broadcast ante cualquier trama de las ya mencionadas.

Entonces, ¿cada vez que se genere un bucle se debe proceder de esta manera? Evidentemente no, resultaría imposible administrar una red de estas características. Para poner fin a este problema nace el protocolo STP (Spanning Tree Protocol - IEEE 802.1D) cuya función consiste en evitar bucles de capa 2 de manera automática mediante el bloqueo de enlaces redundantes.

Entonces, ¿cada vez que se genere un bucle se debe proceder de esta manera? Evidentemente no, resultaría imposible administrar una red de estas características. Para poner fin a este problema nace el protocolo STP (Spanning Tree Protocol - IEEE 802.1D) cuya función consiste en evitar bucles de capa 2 de manera automática mediante el bloqueo de enlaces redundantes.

En este caso se ha aplicado STP y el protocolo ha bloqueado automáticamente el enlace entre el SwitchA y C para evitar tormentas de broadcast. Con ello, la comunicación se llevaría a cabo de la siguiente manera:

Paso 1: SwitchA recibe la trama broadcast y la reenvía a través de todas sus interfaces excepto por la cual fue recibida. Como el enlace entre A y C está bloqueado por STP, solo será reenviada hacia B.

Paso 2: SwitchB recibe la trama, la procesa y reenvía por todas las interfaces excepto por la recibida, lo que incluye la red B y el enlace con C.

Paso 3: Por último, el SwitchC recibe la trama, la procesa y tan solo la reenvía hacia la red C. Ello es debido a que el enlace entre C y A está bloqueado por STP y el de C y B recibió la trama, por lo tanto, no se reenvía a través del mismo.

Gracias a ello se evita la formación de bucles de capa 2 pero por contra se inutiliza un enlace. En el caso de que el link entre A y B caiga, el protocolo activa automáticamente el de A y C, por lo que la comunicación entre las diferentes redes no se verá afectada.

En resumen, STP es un protocolo de capa 2 utilizado para evitar tormentas de broadcast mediante el bloqueo de enlaces redundantes.

Read More

Ataque en la capa de red

 

Aunque el ataque de ARP Poisoning es potencialmente el más funcional para la realización de la técnica de hombre el medio, no es el único existente. Aun siendo menos functional, existe también la posibilidad de hacer uso de la técnica de lCMP Redirect. Este ataque presenta un problema fundamental y es que no es factible realizarlo en una red con Switch, se encuentra limitado a una red con concentradores. Pero sin en una red con concentradores la infonnación ya llega al atacante ¿para qué vale? Pues en este caso para manipular el tráfico que envfa la víctima.

El ataque de ICMP Redirect se basa en el envio a un equipo de la red de un mensaje de redirección ICMP, haciendo creer que es la mejor ruta hacia Internet. Todas las conexiones serán enviadas al atacante, el cual las enviará al Gatcway. El ataque es de tipo M1TM Half Dúplex, es decir solo hacia un sentido: victima hacia el router. El router enviará las respuestas directamente hacia el cliente. Es importante tener en cuenta que no deberla modificarse el tamaño del paquete, puesto que entonces se producirla un fallo en la secuencia TCP al no poder ser actualizado en ambos sentidos. Los paquetes podrán ser alterados pero deberá mantenerse el tamaño.

Para que este ataque sea factible hay que facilitar como datos la dirección MAC y la lP del router real. Este ataque como se ha dicho implica que no puede ser utilizado en una red con dispositivos de conmutación.

En la capa de red se dan también otros tipos de ataques donde los mlis significativos corresponden con las técnicas de Spooflng de protocolos de enrutamiento. La capacidad para alterar las rutas de encaminamiento permitirla a un atacante reconducir el tráfico a su antojo a la vez que podría analizar el tráfico circulante. La idea fundamental es ganar la confianza y declarar ser la mejor opción o bien inyectar nuevas rutas en los dispositivos de enrutamiento. La mayor parte de protocolos de enrutamiento dinámicos determinan que la mejor forma de llegar a un punto viene determinada por un proceso de prelación. El mismo se consigue estableciendo la menor ruta factible como la más óptima en una métrica de rutas. Si se alteran las rutas o se introducen nuevas, podría suponer una reconfiguración del escenario muy significativo.

Aunque no es muy habitual que los protocolos de enrutamiento dinámicos sean utilizados en las redes internas de una organización, a veces por la complejidad de las mismas, se hace necesario emplearlos. En otras ocasiones se encuentran activos en los dispositivos de enrutamiento pero no configurados. Las condiciones de enrutamiento entre VLAN, también necesitan de la configuración de rutas y a veces son mantenidos automáticamente por los dispositivos de Capa 2/3, sin la intervención del administrador de red. Estas situaciones podrían ser aprovechadas por un atacante para mediatizar el tráfico que circula en la organización

Read More

Soluciones de seguridad

 

Network Access Control (NAC):

Verificar el estado de los equipos que se conectan a la red y corregir los desvios antes de que pueda utlizar los servicios de esta.

Wireless LAN Controller:

Administra los Access Point distribuidos y los muestra como si fueran uno solo de gran cobertura. Centraliza las políticas y la autenticación.

Firewall de aplicación:

Permite filtrar según contenido, y no solamente por números de puertos. Puede integrarse con un IPS para bloquear ataques.

Intrusion Prevention System (IPS):

Analiza el tráfico en búsqueda de amenazas. Posee firmas para vulnerabilidades conocidas y aplica reglas generales sobre el tráfico.

Read More

Matemáticas de Redes | Números Binarios

 

Los dispositivos emiten y reciben pulsos eléctricos o luminosos. Estos pulsos poseen dos estados, SÍ y NO. Este sistema de dos signos se le llama binario. Matemáticamente hablando un sistema binario está compuesto por dos estados de unos y ceros siendo por lo tanto una potencia en base 2. En informática se llama bits a la unidad que tiene también dos estados; un byte es un grupo de ocho bits.

Un octeto o un byte se expresa de la siguiente manera:

00000000

Cada uno de estos bits que componen el octeto posee dos estados, 1 y 0, obteniendo por lo tanto 256 estados con todas las combinaciones posibles.

00000000

00000001

00000010

00000011

00000100

------------

01111111

11111111

Para que estos bits sean más entendibles conviene trasladarlos al modo decimal al que se está más acostumbrado cotidianamente por lo tanto si son potencias de 2, su valor será:

Los bits que resulten iguales a 1 tendrán el valor correspondiente a esa potencia, mientras que los que permanezcan en 0 tendrán un valor igual a cero, finalmente se suma el conjunto de los decimales resultantes y se obtiene el equivalente en decimal.

Conversión de binario a decimal

Para pasar de binario a decimal es posible utilizar la siguiente técnica:

Conversión de decimal a binario

Para pasar de decimal a binario es posible utilizar la siguiente técnica:

Convertir a binario el número decimal 195:

Donde los SÍ equivalen al valor binario UNO y los NO al valor binario CERO.

Por lo tanto 195 es equivalente en binario a 11000011

Read More

Introducción a la Criptografía (Primera Parte)

 

El término criptografía proviene del griego y significa código secreto; ésta consiste en ocultar y mantener en secreto la información cifrándola. Llamamos encriptación a esta codificación.

La encriptación garantiza que el texto normal (sin formato), cuando lo envías, sea ilegible para el destinatario (ya sea intencionado o no). Llamamos texto cifrado a la versión encriptada del texto sin formato.Sólo la persona a quien va dirigido el texto sabe cómo hacer que éste sea legible otra vez. A esto último, es decir, a hacerlo legible nuevamente, se le llama descifrado. En lugar de utilizar los términos cifrado y descifrado, también utilizamos la antonimia codificación y decodificación.

El cifrado, en su forma más simple, puede ser un acuerdo de antemano sobre las palabras codificadas. El código puede ser una palabra simple o un algoritmo; también se le llama clave.

Existen dos tipos de criptografía:

Criptografía simétrica: El remitente y el destinatario acuerdan qué clave secreta se utiliza para el cifrado y el descifrado. Debido a que el emisor y el receptor deben compartir la misma clave, es posible que ésta sea interceptada por los hackers durante la comunicación.

Criptografía asimétrica: Utiliza claves públicas y secretas. Los cifrados con la clave pública sólo se pueden descifrar con la contraseña secreta. Aquí es donde el emisor y el receptor se comparten sus claves públicas, pero no las secretas. Por ejemplo, el remitente encripta un texto con la clave pública del destinatario. El texto cifrado ahora sólo se puede descifrar con la clave secreta del destinatario. Es importante considerar que las claves secretas nunca se comparten.

Read More