He oído que el uso de switches en mi red ayuda a prevenir un ataque de rastreo de paquetes, pero ¿cómo ayuda a prevenir el ataque?
He oído que el uso de switches en mi red ayuda a prevenir un ataque de rastreo de paquetes, pero ¿cómo ayuda a prevenir el ataque?
Por su función, un conmutador solo reenviará paquetes al puerto donde se encuentra la computadora de destino (identificada por su dirección MAC). Por esta razón, se dice que mitigan el ataque de olfateo.
Sin embargo, los conmutadores no son dispositivos de seguridad sino dispositivos de red. Para saber dónde está una computadora específica, tienen que aprender dónde están. Para esto, leen la dirección MAC de la computadora en los diferentes paquetes que pasan por ellos. Cuando sea posible, asignarán MAC a un puerto específico y continuarán reenviando el tráfico relacionado con este MAC solo a este puerto específico. Debido al protocolo, puede aprovechar esto realizando un envenenamiento ARP, lo que confunde al conmutador que, en última instancia, seguirá funcionando como un concentrador simple y reenvía todo el tráfico a todos los puertos. Con este ataque, uno todavía puede realizar el olfateo.
Respuesta corta: los cambios solo ayudan cuando se actualiza desde un concentrador, no lo agregue a su red a menos que lo necesite.
¡M'vy y GreatSeaSpider han dado excelentes respuestas! Intentaré simplificar y mostrar visualmente lo que significan. ¡Se trata de dominios de colisión ! La imagen A explica lo que hace cada dispositivo, y la imagen B muestra cómo afecta eso a una red.
> 2014/09 / Switch-vs-Hub.gif "> Hub vs Switch B http://www.networking-basics.net/wp-content/uploads/2014/09/Switch-vs-Hub.gifCon un concentrador, cualquier dispositivo en el CD (dominio de colisión) puede rastrear paquetes enviados por cualquier otro dispositivo en el CD. Un interruptor lo detiene enviando solo el paquete al dispositivo apropiado. Los switches no administrados son tan baratos y tienen un rendimiento mucho mejor que los hubs, por lo que sería mejor hacerlo de todos modos.
Si un conmutador aún no conoce el dispositivo de destino, o su tabla ARP se sobrecarga por la falsificación ARP, actuará como un concentrador y se transmitirá a todos los dispositivos
Aquí es donde entra la seguridad del puerto . Cuanto menos se cambien los cambios en la red, más fácil será la configuración de la seguridad del puerto. Sin embargo para usarlo, necesita un conmutador administrado, que es más caro que un conmutador simple y no administrado.
Como M'vy ha dicho, los conmutadores son dispositivos de red, no dispositivos de seguridad. Sin embargo, vale la pena señalar que el rastreo será posible dentro de cada dominio de colisión independientemente de cualquier ataque. Es decir, si conecta varios dispositivos a un solo puerto de conmutador (quizás mediante un concentrador), entonces el conmutador debe reenviar todo el tráfico de todos esos dispositivos a ese puerto. Por lo tanto, todo el tráfico enviado a cualquiera de esos dispositivos será visible para todos esos dispositivos.
También vale la pena señalar que algunos conmutadores sí proporcionan funciones de seguridad adicionales diseñadas para ayudar a mitigar varios tipos de ataques, como los servidores ARP / inundación / suplantación de identidad y los servidores DHCP maliciosos (vectores que permiten la intercepción de paquetes o la detección de paquetes). Un par de las funciones de seguridad más útiles son la seguridad de puertos y la inspección DHCP.
La seguridad del puerto básicamente significa que la cantidad de direcciones MAC permitidas en cada puerto del conmutador es limitada, y al conmutador se le puede dar una lista de direcciones MAC fijas además de las aprendidas por el conmutador. La indagación DHCP intenta evitar cualquier respuesta DHCP de servidores DCHP no autorizados, y tratar de garantizar que cada host solo use las direcciones IP asignadas por DHCP.
Milage por proveedor variará, y por supuesto hay gastos generales en la configuración y el mantenimiento de cualquier característica adicional como la anterior.
Lea otras preguntas en las etiquetas network arp-spoofing