cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
Avisos
¡Bienvenido a la nueva Comunidad de Soporte de Cisco! Nos encantaría conocer su opinión
New Member

Como bloquear el internet compartido de una MACBook Pro, esto es una vulnerabilidad de los swithces Cisco

Estimados.

 

Necesito de su ayuda, encontramos una vulnerabilidad en la red LAN, hay equipos MACBook Pro que se conectan por cable y comparten el internet por medio del Airport, configuras el equipo como un Access Point y conectas tus dispositivos por WiFi y listo, sales a internet, el problema es que la MAC hace un NAT y aun que le apliques port-security al puerto y dhcp snoop sigues saliendo a internet, en el ASA no puedes bloquearlo por que las peticiones que ves son del equipo que esta por cable (la ip Ethernet que le da a la MacBook).

 

Esta es la configuración del puerto:

 

interface GigabitEthernet1/0/2
 description desk Mariano
 switchport access vlan 21
 switchport mode access
 switchport protected
 switchport block unicast
 switchport voice vlan 621
 switchport port-security maximum 2
 switchport port-security
 switchport port-security violation restrict
 switchport port-security mac-address sticky
 switchport port-security mac-address sticky 10dd.b1d7.e1a2
 switchport port-security mac-address sticky a40c.c394.08ef vlan voice
 logging event spanning-tree
 logging event status
 srr-queue bandwidth share 10 10 60 20
 srr-queue bandwidth shape  10  0  0  0
 queue-set 2
 udld port aggressive
 mls qos trust device cisco-phone
 mls qos trust cos
 auto qos voip cisco-phone
 storm-control unicast level 1.00
 storm-control action shutdown
 spanning-tree portfast
 spanning-tree bpduguard enable
end

 

Incluso con 3 equipos conectados esto es lo que ve el puerto:

 

          Mac Address Table
-------------------------------------------

Vlan    Mac Address       Type        Ports
----    -----------       --------    -----
  21    10dd.b1d7.e1a2    STATIC      Gi1/0/2
 621    a40c.c394.08ef    STATIC      Gi1/0/2
Total Mac Addresses for this criterion: 2

 

solo ve 2 Mac Address la de la MacBook y la del teléfono IP y no encontramos la forma de bloquearlo. Alguien que nos pueda ayudar??

3 RESPUESTAS

Hola, El problema acá es que

Hola,

 

El problema acá es que las tramas que recibe el switch vienen con la MAC de la PC, al igual que los paquetes que recibe el ASA vienen con la IP de la PC.

Por ende para evitar este tipo de tráfico la prevención se tiene que dar en el host o PC. Esto debido a como la encapsulación de tráfico funciona cuando los paquetes se mueven por tu red.

Punto Final: No es un problema de el Cisco Switch

Saludos

 

Jcarvaja

Julio Carvajal
Senior Network Security and Core Specialist
CCIE #42930, 2xCCNP, JNCIP-SEC
New Member

Estimado, antes que nada

Estimado, antes que nada gracias por tomar un tiempo para responder.

 

Sin embargo si considero que el switch debería de tener un mecanismo para poder entender que están saliendo tramas de paquetes por un puerto en exceso, de otra forma yo puedo configurar un equipo en la red, poner un AP que funcione como repetidor, bajarlo a un switch y conectar mucho más equipo en otra localidad cercana sin que el administrador de red lo pueda notar, eso es básicamente lo que aquí se esta planteando.

Debe de existir algo con lo que podamos detectar para poder bloquear ese tráfico que sale desde el puerto del switch, puedes llegar a tener demasiados peticiones y no puedes hacer nada, simplemente las esta dejando pasar.

Nuevamente gracias por tus comentarios y tu tiempo dedicado.

 

Saludos.

Mariano.

Buenas Mariano, Pero es que

Buenas Mariano,

 

Pero es que como va a ser el Switch capaz de detectar eso si los paquetes y tramas que reciben no llevan nada que indique que vienen de otro dispositivo.

A menos que la MAC haga unicamente Bridging el switch nunca verá tráfico de más de una MAC por ende en una red segura este tipo de deployment no es recomendado.

 

Saludos

 

Jcarvaja

 

Julio Carvajal
Senior Network Security and Core Specialist
CCIE #42930, 2xCCNP, JNCIP-SEC
134
Visitas
0
ÚTIL
3
Respuestas