Noticias
Loading...
miércoles, 23 de septiembre de 2015

Por que deshabilitar DTP en los swithces cisco

EL dia de hoy les compartiré una experiencia laboral en la cual hubo un atacante interno haciendo un ataque de capa 2 con yersinia, la semana pasada me la pase internado en el hospital por lo que dos ingenieros decidieron instalar dos switches c3750 los cuales configuraron por default con una configuración muy básica. Los equipos cisco por defecto traen DTP habilitado. El DTP no es mas que un protocolo que permite la creación automática de troncales entre switches para negociar y hacer tagging por el 802.1Q,

Si quieren ver el comportamiento con wireshark lo podemos ver:



Asi luce mas o menos yo no hice esa captura la tome de google como ejemplo. Siguiendo con el tema al momento que se instalaron los dos c3750 y se conectaron a un switch que todo funciono como debería normal. Antes de entrar en detalle para mi humilde punto de vista no se debe utilizar DTP yo prefiero crear los troncales que solo se usarán en los switches en vez de dejarlos a ala suerte ya que dejar esto asi representa un riesgo de seguridad e ahi como un operador estudiante de informática intento usar yersinia en el laburo. este problema se hubiera evitado si esos 2 switches de 48 puertos que en total son 96 se hubieran configurado.

Los que van a host: switchport mode access y los troncales en switchport trunk encapsulation dot1q y el switchport mode trunk pero aun asi con esa configuración estática DTP sigue habilitado y solo es necesario  hacer en los puertos:

switchport nonegotiate

Volviendo al tema la persona logro inyectar trafico en la vlan saturando la red y causando un DOS el cual se mitigo en una hora, encontrando el problema raíz se utilizó wireshark y se localizó la causa raíz y de que puerto venia el ataque, a lo que quiero llegar es que por un descuido de dos ingenieros  y no dar de baja DTP nos pasó este ataque, como consejo preparanse siempre y pregunten si ya esta todo en orden antes de poner equipos en producción esta vez fue rápido la resolución pero que tal si son mas por un descuido tan grave, asi que ya saben si tienes cisco quiten DTP.


saludos
Next
This is the most recent post.
Entrada antigua

0 comentarios:

Copyright © 2014 OSI SECURITE All Right Reserved