12
febrero
2020

Seguridad en Switches

seguridad_en_switches

Seguridad en los Switch

Un switch o conmutador Ethernet es un dispositivo para la interconexión de equipos, cuya función principal es comunicar dos o más dispositivos de una red, usando para ello las tramas de datos que se intercambian previamente, las que contienen las direcciones MAC de origen y destino de los dispositivos conectados.

En otras palabras, los switches están constituidos por interfaces físicas de red, que operan generalmente a Nivel de Enlace (capa 2 del Modelo OSI). Los switches pueden establecer enlaces de una interfaz de red a otra de forma muy rápida, y son orientados a la conexión de forma dinámica, conmutando entre sus diferentes puertos para crear esos enlaces.

Dichas conexiones se establecen en la medida en que se necesitan, y no afectan a los puertos que no estén involucrados en el tráfico, lo que contribuye a eliminar sobrecarga de operaciones entre puertos que no están involucrados en la comunicación.

A diferencia de los hubs, que repiten las tramas de datos por todos los puertos excepto el de entrada, un switch consulta una tabla de direcciones MAC para tomar una decisión de reenvío.

Tabla de Direcciones MAC

Los switches poseen la capacidad de identificar y almacenar las direcciones MAC de todos los dispositivos en la red alcanzables a través de cada uno de sus interfaces, lo que permite que elaboren dinámicamente una tabla con las direcciones MAC, de forma tal, que pueden reenviar la trama de datos a un dispositivo específico si encuentran una coincidencia entre la MAC de destino de la trama de datos recibida y un registro en la tabla de direcciones.

Existen dos procesos que se realizan para cada trama de datos Ethernet que se reciben por un switch:

  • Se examina la dirección MAC de origen: se revisa cada trama que ingresa, inspeccionando la dirección MAC de origen y el número de puerto por el que llegó. Si la dirección MAC de origen no existe en la tabla, se agrega, junto con el número de puerto de entrada. Si existe, se renueva un temporizador de actualizaciones para esa entrada (mantenido generalmente por un corto tiempo).
  • Se examina la dirección MAC de destino: se revisa si existe coincidencia entre la dirección MAC de destino de la trama, y un registro de la tabla, de existir, se reenvía solo por el puerto especificado; en caso contrario, se reenvía por todos los puertos (amplia difusión o broadcast).

Para una mejor comprensión, la secuencia lógica de construcción de la tabla de direcciones MAC de un switch puede entenderse como:

  • El switch recibe una trama de broadcast (de amplia difusión) de un dispositivo conectado a una de sus interfaces de red.
  • El switch registra la dirección MAC de origen y el puerto por el que se recibió la trama en su tabla de direcciones.
  • Dado que la dirección de destino es broadcast, el switch envía la trama a través de todos los puertos, excepto por el puerto que la recibió.
  • El dispositivo de destino responde con una trama de unicast (para uno) dirigida solamente al dispositivo que lo ha contactado.
  • El switch introduce en la tabla de direcciones el puerto por el que recibió la respuesta y la MAC de destino del dispositivo que contestó el recibo de la trama.

En lo adelante, el switch puede enviar directamente las tramas a los dispositivos de origen y destino sin utilizar el modo de amplia difusión, ya que cuenta con los registros en la tabla de las direcciones MAC y los puertos asociados a ambos dispositivos.

Switch Multicapa

En el ámbito de la tecnología de redes, existe una tendencia hacia un entorno conmutado puramente de Capa 3 (del Modelo OSI). Cuando se comenzaron a utilizar switches en las redes, ninguno de ellos admitía enrutamiento, sin embargo, en la actualidad casi todos lo permiten. El término multicapas se asocia a los switches que pueden operar tanto en la Capa 2 como en la 3 del Modelo OSI.

Los switches tradicionales funcionan como puentes en la Capa 2 del Modelo OSI. Su principal finalidad es dividir una LAN en múltiples dominios, o en los casos de las redes en anillo, segmentarla. Basan su decisión de envío en la dirección MAC de destino que contiene cada trama de datos recibida.

Los switches de Capa 2 posibilitan múltiples transmisiones simultáneas sin interferir en otras sub-redes; sin embargo, no consiguen filtrar las tramas de amplia difusión (broadcasts o multicasts), ni las tramas cuyo destino aún no haya sido incluido en la tabla de direccionamiento.

Por otra parte, los switches Capa 3 además de las funciones tradicionales que heredan de sus antecesores, incorporan algunas funciones de enrutamiento, determinación del camino más corto, validación de la integridad del canal de comunicación, soporte a protocolos de ruteo tradicionales, así como la definición de redes virtuales (VLAN), y la comunicación entre ellas sin utilizar un ruteo externo.

Por permitir la unión de segmentos de diferentes dominios de amplia difusión o broadcast, los switches de Capa 3 son particularmente recomendados para la segmentación de redes LAN muy grandes, donde la simple utilización de la Capa 2 provocaría una pérdida de rendimiento y eficiencia, debido a la cantidad excesiva de broadcasts que debe realizar. Por esta razón, generalmente los switches multicapas se implementan en las capas de núcleo y de distribución de la red conmutada de una organización.

Interfaces en un Switch

Un método simple para contribuir a la seguridad de la red ante accesos no autorizados es inhabilitar todos los puertos de las interfaces del switch que no se utilizan. Este proceso puede llevar mucho tiempo, pero mejora la seguridad de la red y vale la pena el esfuerzo.

Se deben proteger todas las interfaces del switch antes de habilitar el dispositivo para su uso. Una forma de protegerlos es mediante la implementación de un proceso denominado “seguridad de los puertos”.

Para ello se limita la cantidad de direcciones MAC válidas permitidas en cada puerto, de esta forma, se permite el acceso a las direcciones MAC de los dispositivos legítimos, mientras que todas las demás se rechazan.

Es posible configurar el puerto para permitir una o más direcciones. Si la cantidad de direcciones MAC permitidas en el puerto se limita a una, solo el dispositivo con esa dirección MAC específica puede conectarse correctamente a través de ese puerto.

Si se configura un puerto como seguro y se determinan las direcciones MAC permitidas, cualquier intento adicional de conexión desde direcciones MAC desconocidas genera una alerta de seguridad.

Existen varias maneras de configurar la seguridad de los puertos. El tipo de dirección segura se basa en:

  • Direcciones MAC seguras estáticas: son direcciones MAC que se configuran manualmente para trabajar a través de un puerto, y se almacenan en la tabla de direcciones, agregándose a la configuración en ejecución del switch.
  • Direcciones MAC seguras dinámicas: son direcciones MAC detectadas dinámicamente que se almacenan solamente en la tabla de direcciones. Las direcciones MAC configuradas de esta manera se eliminan cuando el switch se reinicia.
  • Direcciones MAC seguras persistentes: son direcciones MAC que pueden detectarse de forma dinámica o configurarse de forma manual, y que después se almacenan en la tabla de direcciones y se agregan a la configuración en ejecución.

Para configurar una interfaz a fin de convertir las direcciones MAC detectadas dinámicamente en direcciones MAC seguras persistentes, y agregarlas a la configuración en ejecución, debe habilitarse el aprendizaje por persistencia en el switch mediante un comando.

Configuración de la Seguridad

Se puede configurar cada interfaz de un switch para cada uno de los modos de violación de la seguridad, con la acción específica que se debe realizar si se produce una violación en cada caso. Estos son:

  • Protect (Protegido): cuando las direcciones MAC no son las permitidas para el puerto, los paquetes con esas direcciones MAC de origen desconocido se descartan. En este caso no se emite ninguna notificación de que se produjo una violación de seguridad.
  • Restrict (Restringido): cuando las direcciones MAC no son las permitidas para el puerto, los paquetes con esas direcciones MAC de origen desconocido se descartan. En este modo, hay una notificación de que se produjo una violación de seguridad.
  • Shutdown (Apagado): en este modo, una violación de seguridad del puerto produce que la interfaz se inhabilite, la que se desactiva automáticamente, y no se envía ni se recibe tráfico a través de ella; además, en ese caso el LED de la interfaz se apagará.

Ante una violación de la seguridad en un switch, el Administrador de la red debe determinar la causa antes de volver a habilitar el puerto. Si existe un dispositivo no autorizado conectado a un puerto seguro, el puerto no se debe volver a habilitar hasta que se elimine la amenaza de seguridad.