SEGURIDAD EN LA CAPA 2

Hablar de Seguridad Informtica o Seguridad de Informacin es abarcar

un muy amplio espectro de tpicos, que en muchos casos pueden llegar
a ser complejos y oscuros. Incluso hablar de Seguridad Informtica y
Seguridad de Informacin tiene mucha relacin, pero tambin tiene
diferencias, y errneamente se considera lo mismo.
El termino Seguridad de Informacin, Seguridad informtica y garanta
de la informacin son usados con frecuencia y aunque su significado no
es el mismo, persiguen una misma finalidad al proteger
la Confidencialidad, Integridad y Disponibilidad de la informacin; Sin
embargo entre ellos existen algunas diferencias sutiles. Estas diferencias
radican principalmente en el enfoque, las metodologas utilizadas, y las
zonas de concentracin.
Basado en lecturas que he hecho recientemente, y en mi humilde
experiencia, he decidido iniciar este artculo dndole el ttulo
de La Seguridad de Informacin tratada en capas, ya que considero,
como muchos otros autores mucho ms experimentados, que a la
seguridad hay que tratarla por niveles, as como se trata un problema
muy grande por partes, dividindolo en pequeos problemas que luego
sern resueltos de manera ms precisa; de la misma forma hay que
abordar el tema de la seguridad, ya que este pasa por diferentes
capas para establecer la comunicacin entre dos equipos Terminales
de Datos (ETD).
La Seguridad Informtica suele ser la forma ms habitual con la que nos
referimos a todo aquello que tiene que ver con la seguridad de los
ordenadores y los sistemas. Es un concepto muy conocido pero que est
obsoleto. Hace hincapi en la seguridad de los sistemas, teniendo en
cuenta las amenazas de carcter fundamentalmente tecnolgico. La
Seguridad Informtica es un concepto de Seguridad que naci en la
poca en la que no existan las redes de banda ancha, los telfonos
mviles o los servicios de internet como las redes sociales o las tiendas
virtuales. Es por ello que la Seguridad Informtica suele hacer un
especial nfasis en proteger los sistemas, es decir, los ordenadores, las
redes y el resto de infraestructuras de nuestra organizacin. La
Seguridad Informtica es un concepto undamentalmente tcnico. El
problema del enfoque de la Seguridad Informtica es que suele perder
de vista otros aspectos importantes para una organizacin y, en la
mayora de las ocasiones, cuando nos hablan de Seguridad Informtica
nos parece algo completamente alejado de nuestra actividad diaria.

Seguridad TIC (Seguridad de las Tecnologas de la Informacin y las

Comunicaciones) Se trata de un enfoque ms moderno, que incorpora el
concepto de redes o infraestructura de comunicaciones. Hoy en da no
concebimos el ordenador como un elemento aislado sino como un
elemento conectado, y por otro lado, el ordenador ya no es el nico
elemento o dispositivo a proteger, sino que tambin hay que proteger
las infraestructuras de comunicaciones, as como diversos dispositivos,
como son los telfonos mviles, PDAs, etc. La Seguridad TIC es un
trmino mucho ms amplio que la Seguridad Informtica, pero sigue
siendo de carcter fundamentalmente tecnolgico.
Seguridad de la Informacin: Estamos ante el trmino ms amplio y
conceptual de los tres. Se basa en que lo fundamental es proteger la
informacin y en base a esta premisa se desarrollan todas los dems
aspectos relativos a la seguridad y a las medidas que necesitamos
aplicar, as como el lugar donde hay que aplicarla. Es un concepto que
tiene en cuenta, no solamente la seguridad tecnolgica, sino tambin
otras facetas de la seguridad, como son, la seguridad desde el punto de
vista jurdico, desde el punto de vista normativo y desde el punto de
vista organizativo. De los tres conceptos el que ms nos interesa es el de
la Seguridad de la Informacin, puesto que es aquel que nos permitir
sacar el mximo provecho a la aplicacin de la seguridad en nuestra
organizacin. Adems, es el ms actual y el ms amplio. Como veremos
ms adelante, abarca todos los aspectos relativos a la proteccin de la
informacin. Por tanto, a partir de ahora y para todo lo que resta del
artculo, hablaremos de seguridad desde el punto de vista de la
Seguridad de la Informacin o SI. La Seguridad de la Informacin no
tiene que ver nicamente con cuestiones tecnolgicas, sino tambin
legales u organizativas, es decir, puede ser aplicada desde tres puntos
de vista: legal, tcnico y organizativo.

La informacin y los sistemas de procesamiento, por un lado, y los

sistemas de comunicaciones y las redes que le brindan apoyo son
importantes recursos de toda empresa moderna. Hoy en da son
esenciales para el normal desenvolvimiento de las tareas, es decir, si
una empresa no tiene informacinse paraliza.
La seguridad de la informacin es un proceso que puede estudiarse e
incluso implementarse por niveles, tomando como punto de partida los 7
niveles del modelo OSI: nivel 1 Fsico, nivel 2 Enlace, nivel 3 Red, nivel 4
Transporte, nivel 5 Sesin, nivel 6 Presentacin y nivel 7 Aplicacin,
aunque se puede resumir de acuerdo a los niveles del modelo TCP/IP.

La seguridad en redes de computadoras deba pensarse desde la Capa

1 (Fsica) del modelo OSI; l deca que todos aquellos que solo se
enfocaban en proteger los sistemas (y por lo tanto la informacin) a
partir de Capa 3 (Red) estaban teniendo una visin muy limitada
respecto a la seguridad. Ese fue un concepto que por aquella poca me
fue difcil asimilar, sin embargo, al pasar el tiempo he podido
comprender lo que mi profesor quiso ensearme.
Las organizaciones que tienen una especializacin de funciones cuentan
con diversas reas separadas entre s que funcionan tanto para la
administracin de la seguridad como de las telecomunicaciones. Cuando
se habla de Capa 2 (enlace de datos) casi siempre se asocia a Ethernet;
por lo tanto, se asocia con switches o hubs y el rea responsable es la
de comunicaciones.
En la actualidad todava existen ciertos mitos respecto a la seguridad en
capa 2. Hoy me referir a algunos de ellos.
El modelo OSI fue diseado para que cada capa trabaje de manera
independiente de las otras, su relacin existe cuando una capa brinda
servicios a la siguiente en jerarqua; sin embargo la capa superior no
puede validar si la capa inferior fue comprometida o no.
En capa 2 los equipos son visibles unos a otros mediante una direccin
fsica MAC. El trfico entre equipos es administrado por un switch, el cual
permite el uso de los recursos de la red de manera eficiente. El uso de
switches ha creado algunos mitos, como son:
La direccin MAC de un equipo es fsica por lo tanto no puede ser
cambiada o falsificada.
El switch no es vulnerable a Sniffing de trfico.
Si creo VLANS aslo completamente el trfico ente equipos.
A continuacin dar algunos ejemplos de ataques que se pueden realizar
en capa 2, los cuales comprometen las siguientes capas de modelo y,
por lo tanto, la informacin que fluye sobre las redes de datos.
CAM Table Overflow: Un switch guarda la asociacin entre MAC y el
puerto fsico donde est conectado un equipo en una tabla que se llama

CAM, la cual tiene un tamao fijo. Cuando este espacio ha sido usado en
su totalidad, elswitch enva todas las tramas de comunicacin a un MAC
que no existe en su tabla MAC; por lo tanto, un switch se convierte en
un hub para todo equipo que no est en su tabla CAM.
Desde mayo de 1999 existe una herramienta que permite realizar este
tipo de ataque.
ARP Spoofing: Para que capa 2 pueda dar servicios a capa 3 existen dos
protocolos llamado ARP y RARP, cada direccin MAC (de capa 2) est
asociada a una direccin IP. Estas relaciones son almacenadas en una
tabla de direcciones MAC contra direcciones IP, tanto en
los switches como en los dispositivos que estn conectados en una red.
Ejemplo de tabla de MAC vs IP
Interface: 10.10.10.100 0xb
Internet Address
10.10.10.1
10.10.10.255

Physical Address
00-1f-b3-d2-c1-c1
ff-ff-ff-ff-ff-ff

Type
dynamic
static

Mediante peticiones falsas de ARP es posible falsificar cualquier

direccin MAC en una red de cmputo; por lo tanto, cualquier trfico
puede ser re direccionado a un equipo falso y esto permite:
Robo de sesiones de aplicaciones.
Sniffing de trfico de la red interna (incluso en un switch).
Ataques de denegacin de servicio.
Ataques de hombre en medio.
Desde 1997 se tiene conocimiento de este tipo de ataques.
VLAN hopping Attack: Para que un switch administre VLANs requieredela
creacin de un puerto truck que tiene acceso a todas las VLANs, este
puerto se usa para transmitir trfico de mltiples VLAN en un mismo
enlace fsico. Para la administracin se usa el protocolo DTP, el cual por
defecto se encuentra configurado de manera Auto. Cualquier equipo
de cmputo que soporte los protocolos 802.1Q/ISL o DTP, puede
convertirse en miembro de todas las VLAN, y por lo tanto tener acceso a
servicios y/o informacin de toda la red.
Ataques a STP: Spanning Tree Protocol permite crear topologas de red
redundantes libres de de bucles. Cuando un atacante logra estar
conectado en dos switches, puede inundar la red con paquetes del tipo

BPDU, con lo que puede re direccionar todo el trfico a su equipo de

cmputo y con ello lograr:
Robo de sesiones de aplicaciones.
Sniffing de trfico de la red interna (incluso en un).
Ataques de negacin de servicio.
Ataques de hombre en medio.
Algunos de los ataques anteriormente descritos, como el ARP
Spoofing son relativamente fciles de llevar a cabo, mientras que
algunos otros requieren ciertas caractersticas para ser posibles. Sin
embargo la pregunta aqu es: de quin es responsabilidad asegurar los
servicios en Capa 2, del rea redes o de la de seguridad?
Para poder contestar, considero que hay que remontarnos a lo bsico de
la seguridad informtica Un sistema es seguro si se comporta como los
usuarios esperan que lo haga. Dr. Eugene Spafford. Pero, cmo
sabremos que un sistema se comporta como lo esperamos?
La tecnologa debe ayudar a cumplir con los objetivos de la organizacin
y la seguridad informtica ayuda a asegurar los servicios que soportan a
los objetivos. La seguridad debe basarse en una poltica organizacional.
Por tanto, quien debe regular la seguridad en capa 2, es por supuesto la
poltica de seguridad organizacional. Esto elimina cualquier posibilidad
de enfrentamiento entre reas, independientemente de quien rige o
administra los equipos.
Para terminar, considero que es importante ver la seguridad desde todos
los ngulos posibles, y recordar la conocida frase: la seguridad es tan
fuerte como su eslabn ms dbil..
La seguridad en capa 2 es, en ocasiones, el eslabn ms dbil de las
organizaciones. En mi experiencia el 90% de las redes internas de las
organizaciones son propensas a ataques en capa 2. El saber que estos
ataques son difciles de detectar y el impacto que tienen es alto debera
encender un foco rojo en las mismas organizaciones. En la mayora de
las ocasiones no es necesario adquirir nueva tecnologa para evitar estos
ataques, simplemente se debe aplicar una poltica de seguridad a los
dispositivos actuales, como son los switches.
Existen varios protocolos de comunicaciones que operan a nivel de
enlace, nos centraremos exclusivamente en los dos ms relevantes que
son 802.3 (CSMA/CD Ethernet) y 802.11 (Redes inalmbricas WLAN).

La familia 802.X, tiene este nombre justamente porque se crea un

comit de IEEE en el ao 80 durante el mes de febrero (2), cuando el
concepto de redes LAN comienza a imponerse como algo digno de ser
analizado. Dentro de este comit se conforman diferentes grupos de
trabajo, los cuales en la actualidad son denominados de la siguiente
forma:
IEEE 802.1 Normalizacin de interfaz.
IEEE 802.2 Control de enlace lgico.
IEEE 802.3 CSMA / CD (ETHERNET)
IEEE 802.4 Token bus.
IEEE 802.5 Token ring.
IEEE 802.6 MAN (ciudad) (fibra ptica)
IEEE 802.7 Grupo Asesor en Banda ancha.
IEEE 802.8 Grupo Asesor en Fibras pticas.
IEEE 802.9 Voz y datos en LAN.
IEEE 802.10 Seguridad.
IEEE 802.11 Redes inalmbricas WLAN.
IEEE 802.12 Prioridad por demanda
IEEE 802.13 Se ha evitado su uso por supersticin
IEEE 802.14 Modems de cable.
IEEE 802.15 WPAN (Bluetooth)
IEEE 802.16 Redes de acceso metropolitanas sin hilos de banda ancha
(WIMAX)
IEEE 802.17 Anillo de paquete elstico.
IEEE 802.18 Grupo de Asesora Tcnica sobre Normativas de Radio.
IEEE 802.19 Grupo de Asesora Tcnica sobre Coexistencia.
IEEE 802.20 Mobile Broadband Wireless Access.
IEEE 802.21 Media Independent Handoff.
IEEE 802.22 Wireless Regional Area Network.

Al igual que con la Capa Fsica, las vulnerabilidades de esta capa estn
ligadas al medio sobre el que se realiza la conexin y/o transmisin de
datos.
Este nivel comprende la conexin con el nodo inmediatamente
adyacente, lo cual en una red punto a punto es sumamente claro, pero
en una red LAN, es difcil de interpretar cual es el nodo adyacente. Por
esta razn como mencionamos en la teora IEEE los separa en 2
subniveles: LLC y MAC (LLC: Logical Link Control, MAC: Medium Access
Control), en realidad como una de las caractersticas de una LAN es el
empleo de un nico canal por todos los Host, el nodo adyacente son
todos los Host.
La importancia de este nivel, es que es el ltimo que encapsula todos los
anteriores, por lo tanto si se escucha y se sabe desencapsular se tiene
acceso a absolutamente toda la informacin que circula en una red. Bajo
este concepto se trata del que revista mayor importancia para el
anlisis de una red.
Las herramientas que operan a este nivel son las que hemos visto como
Analizadores de protocolos y existen diferentes tipos. A nivel de
Hardware podemos mencionar Internet Advisor de Hewlett Packard o el
Domin de Vandell & Goltermann, poseen la gran ventaja de operar
naturalmente en modo promiscuo.
Qu debemos auditar:
Control de direcciones de Hardware: El objetivo de mxima en este nivel
(Pocas veces realizado) es poseer el control de la totalidad de las
direcciones de Hardware de la red. Esto implica poseer la lista completa
del direccionamiento MAC o tambin llamado NIC (Network Interface
Card), es decir de las tarjetas de red.
Auditora de configuracin de Bridge o Switch: Estos son los dispositivos
que operan a nivel 2 (En realidad el concepto puro de Switch es el de
un Bridge multipuerto), su trabajo consta de ir aprendiendo por qu
puerto se hace presente cada direccin MAC, y a medida que va
aprendiendo, conmuta el trfico por la puerta adecuada, segmentando
la red en distintos Dominios de colisin. La totalidad de estos
dispositivos es administrable en forma remota o por consola, las
medidas que se pueden tomar en su configuracin son variadas y de
suma importancia en el trfico de una red.
Anlisis de trfico: En este nivel la transmisin puede ser Unicast (de
uno a uno), Multicast (de uno a muchos) o Broadcast (de uno a todos).
La performance (rendimiento) de una red se ve seriamente resentida

con la presencia de Broadcast, de hecho esta es una de las medidas de

mayor inters para optimizar redes y tambin es motivo de un conocido
ataque a la disponibilidad llamado Bombardeo de Broadcast. Otro tipo
de medidas es el anlisis de los multicast, pues son estos los mensajes
que intercambian los Router, y es de sumo provecho para un interesado
en una red ajena ser partcipe de estos grupos, pues en ellos encontrar
servida toda la informacin de ruteo de la red.
Anlisis de colisiones: Una colisin se produce cuando un host transmite
y otro en un intervalo de tiempo menor a 512 microsegundos (que es el
tamao mnimo de una trama Ethernet) si se encuentra a una distancia
tal que la seal del primero no lleg, se le ocurre transmitir tambin.
Ante este hecho, los dos hosthacen silencio y esperan una
cantidad aleatoria de tiempos de ranura (512 microsegundos), e
intentan transmitir nuevamente. Si se tiene acceso fsico a la red, un
ataque de negacin de servicio, es justamente generar colisiones, pues
obliga a hacer silencio a todos los Host de ese segmento.
Deteccin de Sniffers o analizadores de protocolos: Esta es una de las
tareas ms difciles pues estos elementos solamente escuchan, solo se
hacen presentes cuando emplean agentes remotos que colectan
informacin de un determinado segmento o subred, y en intervalos
de sondeo, la transmiten al colector de datos.
Evaluacin de puntos de acceso WiFi: Esta tecnologa slo es segura si
se configura adecuadamente, por lo tanto en este aspecto es de especial
inters verificar qu tipo de protocolos de autenticacin se han
configurado, los permisos de acceso a estos dispositivos, su potencia de
emisin, la emisin de beacons, etc.
Evaluacin de dispositivos bluetooth: Aunque no es un tema an
explotado de forma frecuente, no debemos dejar de lado la existencia
de este tipo de dispositivos y sobre todo que en muchas aplicaciones y
hardware viene activado por defecto, con lo que estando a una distancia
adecuada, es posible su explotacin.