Inundación de MAC

En las redes informáticas, un ataque de control de acceso a medios o una inundación de MAC es una técnica empleada para comprometer la seguridad de los conmutadores de red. El ataque funciona expulsando del conmutador los contenidos legítimos de la tabla MAC y forzando un comportamiento de inundación de unidifusión que potencialmente envía información confidencial a partes de la red a las que normalmente no debería ir.

Método de ataque

Los conmutadores mantienen una tabla MAC que asigna direcciones MAC individuales en la red a los puertos físicos del conmutador. Esto permite que el conmutador dirija los datos fuera del puerto físico donde se encuentra el destinatario, en lugar de transmitir los datos indiscriminadamente desde todos los puertos como lo hace un concentrador Ethernet. La ventaja de este método es que los datos se conectan exclusivamente al segmento de red que contiene la computadora a la que están destinados específicamente los datos.

En un típico ataque de inundación de MAC, el atacante alimenta un conmutador con muchas tramas Ethernet, cada una de las cuales contiene una dirección MAC de origen diferente. La intención es consumir la memoria limitada reservada en el switch para almacenar la tabla de direcciones MAC.

El efecto de este ataque puede variar según la implementación; sin embargo, el efecto deseado (por parte del atacante) es forzar la salida de las direcciones MAC legítimas de la tabla de direcciones MAC, lo que provoca que cantidades significativas de tramas entrantes se inunden en todos los puertos. Es a partir de este comportamiento de inundación que el ataque de inundación MAC recibe su nombre.

Después de lanzar con éxito un ataque de inundación de MAC, un usuario malintencionado puede utilizar un analizador de paquetes para capturar datos confidenciales que se transmiten entre otras computadoras, a los que no se podría acceder si el conmutador funcionara normalmente. El atacante también puede realizar un seguimiento con un ataque de suplantación de identidad de ARP que le permitirá conservar el acceso a datos privilegiados después de que los conmutadores se recuperen del ataque de inundación de MAC inicial.

La inundación de MAC también se puede utilizar como un ataque rudimentario de salto de VLAN.

Contramedidas

Para evitar ataques de inundación de MAC, los operadores de red suelen confiar en la presencia de una o más funciones en sus equipos de red:

• Con una característica a menudo llamada "seguridad del puerto" por los proveedores, muchos conmutadores avanzados se pueden configurar para limitar el número de direcciones MAC que se pueden aprender en los puertos conectados a las estaciones finales. Una tabla más pequeña seguro Las direcciones MAC se mantienen además de (y como subconjunto a) la tabla de direcciones MAC convencional.
• Muchos proveedores permiten que las direcciones MAC descubiertas sean autenticadas contra un servidor de autenticación, autorización y contabilidad (AAA) y posteriormente filtradas.
• Las implementaciones de las suites IEEE 802.1X suelen permitir que las reglas de filtrado de paquetes sean instaladas explícitamente por un servidor AAA basado en información dinámica sobre los clientes, incluyendo la dirección MAC.
• Las características de seguridad para prevenir la espoofía de ARP o la espoofía de direcciones IP en algunos casos también pueden realizar filtraciones adicionales de dirección MAC en paquetes unicast, sin embargo esto es un efecto secundario dependiente de la implementación.
• A veces se aplican medidas adicionales de seguridad junto con las anteriores para prevenir las inundaciones normales unicast para direcciones desconocidas del MAC. Esta característica generalmente se basa en la función "seguridad del puerto" para retener todo seguro MAC se dirige por lo menos mientras permanezcan en la tabla ARP de los dispositivos de capa 3. Por lo tanto, el tiempo envejecido seguro Las direcciones MAC son ajustables por separado. Esta característica evita que los paquetes inundan bajo circunstancias operacionales normales, así como mitigar los efectos de un ataque de inundación MAC.