Mitigación de ataques en la capa de enlace de datos mediante detección y monitoreo de la red

Abstract

Seguridad es un tema primordial para los administradores de red de cualquier corporación. En la actualidad existen muchas herramientas que previenen y monitorean las redes en busca de ataques. Sin embargo, la mayoría de estas herramientas protegen los dispositivos contra amenazas que van desde la capa 3 (red) hasta la capa 7 (aplicación) del modelo OSI, dejando las capas inferiores al descubierto. En los últimos años se han generado gran variedad de ataques que dañan el comportamiento de los dispositivos de capa 2, provocando que la red conmutada no responda de forma apropiada y llegando en ocasiones a generar la negación de los servicios (DoS). Uno de los protocolos de capa 2 que es vulnerable a estos ataques es el Spanning-Tree Protocol (STP). Se propone una arquitectura que mejora la seguridad en las redes conmutadas. Esta arquitectura previene la negación de servicios con la detección oportuna de los ataques. Además se hacen algunas recomendaciones sobre el dispositivo que funciona como Root en la topología creada por el STP para mitigar varios ataques de compromiso de topología. Los escenarios en donde se prueba esta arquitectura constan de switches con enlaces redundantes, los cuales por defecto activan STP para la prevención de lazos. Con esta propuesta se logran mitigar en gran medida los ataques de usurpación de roles dentro de la topología del protocolo Spanning-Tree.

Security is an important subject for the network administrators of any company. Actually, there are many monitoring/detection tools that prevent attacks on the networks, but unfortunately these tools only cover upper levels (3 to 7) of OSI model. Current technology has very limited capabilities at lower levels. In the past few years, the layer two devices have been damaged by several new attacks. By consequence, the switched network does not respond on the proper way and sometimes the Denial of Services is presented. One of the layer two protocols that is vulnerable is the Spanning-Tree Protocol (STP). We propose an architecture that improves the security on the switched network. This architecture prevents the Denial of Services with the opportune detection of the layer 2 attacks. We also propose some recommendations about the devices on the STP topology for mitigate these attacks, specially the topology engagement attacks. The sceneries for the simulation of attacks have redundant links between the participant switches, and the STP is active by the default behavior. We probe that topology engagement attacks are mitigated with our recommendations.