El robo de puertos es un tipo de ataque en el que alguien “roba” el tráfico que se dirige a otro puerto de un conmutador Ethernet. Este ataque permite que alguien reciba paquetes que originalmente fueron dirigidos a otra computadora. Lo hace al hacer que el conmutador crea que el puerto del atacante es el destino correcto para el paquete.
Para comprender el robo de puertos, primero debe comprender cómo funciona Ethernet, y los conmutadores Ethernet en particular. Primero, está la dirección MAC, que es la dirección única de cada computadora que está conectada a una red Ethernet y que se registra en el adaptador de red. Las tramas Ethernet tienen dos direcciones MAC estampadas: una es la dirección de origen, que identifica la computadora que envió la trama; y la otra es la dirección de destino, que es la dirección de la computadora a la que se debe entregar el marco.
En los primeros días de Ethernet (hasta mediados de la década de 1990) todas las tramas se enviaban a todos, utilizando un medio compartido, como cables coaxiales, para que todos pudieran escuchar todo el tráfico. Esto tenía varios problemas, la seguridad era solo uno de ellos. Los conmutadores Ethernet mejoraron esta situación al segmentar la red, de tal manera que cada computadora ahora tiene su propio puerto dedicado.
- ¿Qué es el número de puerto y la dirección del puerto?
- ¿El conmutador SDN OpenFlow por funcionalidad es más igual al enrutador o conmutador básico?
- ¿Cómo funciona realmente el protocolo SMTP?
- ¿Qué es VTP en redes?
- ¿Cómo funciona el DHCP?
Un conmutador Ethernet puede saber quién está conectado a un puerto. Lo hace escuchando el tráfico del puerto. Tan pronto como su computadora envíe una trama de Ethernet, cualquier trama, el conmutador mira la dirección de origen y la registra en una tabla interna. Cuando recibe un marco destinado a su computadora, envía el marco solo para usted. Las computadoras en los otros puertos no reciben el mismo marco.
Una vez que comprenda cómo funciona hasta este punto, el ataque de robo de puertos se vuelve fácil de entender. Un atacante está conectado a otro puerto del conmutador y, como tal, no puede ver su tráfico (se envía solo para usted). Pero el atacante puede enviar tramas falsas al conmutador, que contiene su dirección MAC como la dirección de origen. Se hace pasar por su computadora y el interruptor se confunde. El conmutador generalmente transmite la trama al último puerto que parecía ser el “propietario” de esa dirección MAC, y si el atacante está enviando muchas tramas, recibirá su trama en su lugar.
Lo que suceda después depende de la intención del atacante. Él puede recibir su paquete y quedarse con él. Pero también puede devolver el paquete unos momentos más tarde para que lo reciba, con un poco de retraso, y no tenga forma de decir que se vio comprometido.
El robo de puertos depende del hecho de que el conmutador necesita actualizar su tabla de direcciones dinámicamente, porque las redes reales no son completamente estáticas. Por ejemplo, si mueve su computadora de un puerto a otro, esperaría que el tráfico se envíe al nuevo puerto en lugar del antiguo. Sin embargo, hay algunas configuraciones más avanzadas que puede aplicar a un interruptor para hacer que este tipo de ataque sea más difícil de hacer. Estas características son típicas de los interruptores de “grado empresarial” más caros y no se encuentran en los equipos de pequeñas empresas menos costosos que se encuentran típicamente en la mayoría de las empresas y hogares, lo que hace que estos entornos sean más vulnerables. Pero al mismo tiempo, este no es un ataque muy útil para redes pequeñas porque implica mucho trabajo para capturar solo una pequeña cantidad de tráfico.
