Laguna González Raymundo
5801
MAC Flooding Flooding En las redes de computad computadoras oras , inundaciones MAC MAC es una técnica empleada para comprometer la seguridad de los conmutadores de red . red . Interruptores mantienen una tabla de MAC que MAC que los mapas individuales direcciones MAC MAC en la red para los puertos físicos del conmutador. Esto permite que el conm conmut utad ador or de dato datos s dire direct ctos os de el puer puerto to físi físico co dond donde e se encu encuen entr tra a el destinatario, en lugar de forma indiscriminada a transmitir los los datos fuera de todos los puertos puertos como como un hub hace. hub hace. La ventaa de este método es que los datos se puenteado e!clus e!clusiva ivament mente e al segmento de red red que contiene el equipo que los datos est" destinado específicamente para. En un ataque ataque por inundac inundaci#n i#n típico típico MAC, MAC, un interr interrupt uptor or se alimen alimenta ta muchas muchas tramas de Ethernet, Ethernet , cada uno con direcciones MAC de origen diferente, por el atacante. atacante. La intenci#n intenci#n es consumir consumir la limitada limitada memoria de memoria de lado en el interruptor para almacenar la tabla de direcciones MAC. El efecto efecto de este este ataque ataque puede variar variar a través través de las implement implementaci acione ones, s, sin embargo, el efecto deseado $por el atacante% es la fuer&a de direcciones MAC legíti legítimos mos de la tabla tabla de direcci direccione ones s MAC, MAC, lo que cantid cantidade ades s signif significa icativ tivas as de tramas entrantes entrantes a ser inundados a inundados a cabo en todos los puertos. Es a partir de este comp comport ortam amie ient nto o inun inunda daci cion ones es que que el ataq ataque ue por inun inundac daci# i#n n MAC MAC recib recibe e su nombre. 'esp 'espué ués s de lan&a an&arr un e!it e!itos oso o ataq ataqu ue por por inu inundac ndaci# i#n n MAC, MAC, un usuar suariio malintencionado podría utili&ar un anali&ador de paquetes para paquetes para capturar capturar los datos confidenciales que se transmiten entre otros equipos, que no serían accesibles eran el interruptor funciona con normalidad. El atacante también puede seguir con un A() *poofing ataq ataque ue que que les les perm permit ita a mant manten ener er el acce acceso so a los los dato datos s privile privilegia giados dos después después de recuper recuperarse arse de los interru interrupto ptores res del ataque ataque inicia iniciall inundaciones MAC. Contramedidas )ara evitar ataques de inundaci#n MAC, los operadores de redes por lo general se basan en la presencia de una o m"s características en sus equipos de red+
Con una una caract caracterí erísti stica ca a menudo menudo llama llamado do -la segur segurida idad d del puert puertoo- por los los vendedores, muchos conmutadores avan&ados pueden configurarse para limitar el nmero de direcciones MAC que se pueden aprender en los puertos conectados a las estaciones finales. /01 2na mesa m"s peque3a peque3a de -seguro- direcciones MAC se mantiene adem"s de $4 como un subconunto de% la tradicional -tabla de direcciones MAC.-
Laguna González Raymundo
5801
Muchos proveedores permiten descubrieron direcciones MAC para autenticarse contra un autenticaci#n, autori&aci#n 4 contabilidad $AAA% 4 posteriormente filtrada.
Las implementaciones de IEEE 560.78 suites menudo permiten a las reglas de filtrado de paquetes que se instalar"n de forma e!plícita por un servidor AAA basado en aprendida din"micamente la informaci#n sobre los clientes, inclu4endo la direcci#n MAC. Las características de seguridad para evitar la suplantaci#n A() o la suplantaci#n de direcciones I) en algunos casos también pueden reali&ar un filtrado adicional direcci#n MAC en paquetes unicast, sin embargo, esto es un efecto secundario dependiente de la implementaci#n. Medidas de seguridad adicionales se aplican a veces unto con los anteriores para impedir el despla&amiento normal de inundaci#n de unidifusi#n para las direcciones MAC desconocidas. Esta característica general se basa en la funci#n de -protecci#n del puerto- para retener todo -seguro- direcciones MAC por lo menos durante el tiempo que permanecen en la tabla A() de 9 dispositivos de la capa. )or lo tanto, el tiempo de enveecimiento de direcciones aprendidas -segurode MAC se puede austar por separado. Esta característica evita que los paquetes de las inundaciones en circunstancias normales de funcionamiento, así como para mitigar los efectos de un ataque de inundaci#n MAC.
Referencias (edes de 'atos, :orge E. )e&oa ;3e&, 2niversidad de Concepci#n
fl oodi ngat t ac k . php
Laguna González Raymundo
5801