UD2: Switching en Redes Industriales PDF
Document Details
Uploaded by Deleted User
Tags
Summary
This document provides an overview of switching technologies in industrial networks. It discusses the problems of older networks, the benefits of using switches, and different types of switching. The document also covers the topic of resilience in cybersecurity and high availability in network systems.
Full Transcript
UD2: SWITCHING EN REDES INDUSTRIALES INTRODUCCIÓN ¿Qué es el switching? El switching o conmutación es el proceso de mover datos (llamados tramas) dentro de una red. La idea es llevar esos datos de un lugar a otro de manera eficiente, evitando los choques o "colisiones" que ocurren cuando muchos d...
UD2: SWITCHING EN REDES INDUSTRIALES INTRODUCCIÓN ¿Qué es el switching? El switching o conmutación es el proceso de mover datos (llamados tramas) dentro de una red. La idea es llevar esos datos de un lugar a otro de manera eficiente, evitando los choques o "colisiones" que ocurren cuando muchos dispositivos tratan de comunicarse al mismo tiempo. Problemas con las redes antiguas Antes de que existieran los switches, los dispositivos de una red local (como las computadoras de una oficina) estaban conectados en una misma línea o "bus" de datos. Esto causaba varios problemas: 1. El cable tenía una longitud limitada: Si querías conectar algo lejos, no podías. 2. Un fallo afectaba a todos: Si el cable se rompía, toda la red dejaba de funcionar. 3. La red iba más lenta con muchos dispositivos: Más equipos significaban más interferencias. 4. Choques entre datos: Cuando varios dispositivos intentaban enviar información al mismo tiempo, los datos chocaban y se perdían. ¿Qué hizo el switch? Con la aparición de los switches, la red cambió su diseño a una topología en estrella: Ahora todos los dispositivos están conectados directamente al switch, que actúa como un "centro de control". Esto solucionó los problemas anteriores: ○ Se eliminan las colisiones. ○ Si un cable falla, solo se afecta un dispositivo, no toda la red. ○ La red es más rápida y eficiente. El objetivo del switching es crear una red de recursos compartidos a nivel interno. Tipos de switching Hay dos tipos principales de switching, dependiendo de si se pueden configurar o no: 1. Switching no administrado: ○ Es automático y no se puede personalizar. ○ Se usa en redes simples, como las de casa. 2. Switching administrado: ○ Permite configurarlo según las necesidades. ○ Se usa en empresas. ○ Por ejemplo, puedes: Controlar quién tiene acceso a ciertos datos. Ajustar la velocidad o priorizar ciertos dispositivos. Resiliencia en Ciberseguridad La resiliencia es básicamente asegurarnos de que los sistemas sigan funcionando incluso si algo falla. Si un sistema se cae, afecta a la productividad y los ingresos de una empresa, por eso es importante reducir al mínimo el tiempo en el que los sistemas no funcionan (tiempo de inactividad). Esto aplica tanto a sistemas de tecnología de la información (IT) como a sistemas operativos industriales (OT). Alta disponibilidad: mantener los sistemas siempre funcionando 1. ¿Qué es alta disponibilidad? ○ Diseñar sistemas que casi nunca se caigan o paren. ○ El objetivo es que los sistemas estén disponibles el mayor tiempo posible porque son fundamentales para las operaciones. 2. Puntos únicos de falla (los puntos débiles) ○ Un punto único de falla es una parte del sistema que, si se rompe, hace que todo deje de funcionar. ○ Ejemplo: Si un servidor importante se apaga y no hay respaldo, toda la red podría caer. 3. ¿Cómo logramos alta disponibilidad? ○ Eliminar puntos únicos de falla: Si algo crítico falla, debe haber un respaldo que tome su lugar. Esto se hace duplicando equipos importantes o creando caminos alternativos para los datos. ○ Tener fuentes de energía de respaldo: Si hay un apagón, sistemas como baterías de emergencia (SAI) o generadores garantizan que los sistemas sigan funcionando. ○ Detectar fallas rápidamente: Monitoreamos los sistemas constantemente. Si algo falla, el respaldo entra en acción automáticamente La meta de los "cinco nueves" Es una de las prácticas de alta disponibilidad más populares. Significa que los sistemas funcionan el 99,999% del tiempo. Es decir, el tiempo que no están funcionando es menor a 5,26 minutos al año. ¿Es necesario? No siempre, porque lograr este nivel de disponibilidad cuesta mucho dinero. Dependerá de qué tan crítico sea el sistema para la empresa. Medidas prácticas para alta disponibilidad 1. Estandarización de sistemas: ○ Usar equipos iguales para que sean fáciles de mantener y reparar. ○ Ejemplo: Si todas las computadoras usan las mismas piezas, es más fácil reemplazarlas. 2. Sistemas de vigilancia: ○ En áreas sensibles, usar guardias humanos en lugar de solo cámaras, porque los humanos pueden adaptarse mejor a situaciones imprevistas. ○ La inteligencia artificial también está ayudando mucho a mejorar la videovigilancia. 3. Clústers: ○ Un clúster es un grupo de equipos que trabajan juntos como si fueran uno solo. ○ Ejemplo: Si tienes varios servidores en un clúster y uno falla, los otros siguen funcionando, y el usuario no nota nada. Es como si un grupo de personas levantara un objeto pesado: si una se cansa, las demás siguen trabajando. Redundancia N+1: ¿Qué significa? Imagina que tienes una rueda de repuesto en tu coche. Si una de las ruedas se pincha, puedes cambiarla por la de repuesto y seguir conduciendo. Eso es redundancia N+1. N: Son los componentes principales que necesitas para que todo funcione (como servidores, fuentes de energía, switches o routers en una empresa). +1: Es el componente extra que tienes de repuesto, listo para usar si uno de los principales falla. Ejemplo en un centro de datos: Un centro de datos es como un gran almacén de equipos tecnológicos, con servidores, cables, y routers que ayudan a que las redes funcionen. Si tienes 3 servidores principales (N), necesitarías tener al menos 1 servidor adicional (+1) listo para reemplazar cualquier servidor que falle. Lo mismo ocurre con los switches, las fuentes de alimentación (que dan energía), etc. Si uno se rompe, el de repuesto entra en acción. ¿Qué pasa con la redundancia N+1? Aunque tengas repuestos, N+1 no es una solución perfecta. Significa que solo puedes perder uno de esos componentes a la vez sin que se caiga todo el sistema. Ejemplo: Si tienes 3 servidores y 1 de repuesto, puedes perder 1 servidor y el sistema seguirá funcionando. Pero si pierdes 2 servidores, entonces el sistema no tendrá suficiente para seguir funcionando. Switches industriales En el mundo de la Industria 4.0, con el aumento de dispositivos conectados (como sensores, máquinas, etc.), las redes industriales se están haciendo más grandes y complejas. Por eso, no basta con usar un switch básico. Necesitamos switches gestionables que puedan manejar el tráfico de datos, asegurarse de que todo funcione bien y solucionar problemas si algo falla. ¿Por qué necesitamos un switch industrial? 1. Redes más grandes y complicadas: Las fábricas y empresas necesitan más dispositivos conectados, y un switch básico no puede manejar toda esa información correctamente. 2. Ambiente industrial duro: En la industria hay temperaturas extremas, ruido, vibraciones, y otras condiciones que hacen que los equipos normales no funcionen bien. Por eso, los switches industriales están diseñados para resistir estos problemas. ¿Qué hace un switch industrial gestionable? Un switch gestionable tiene funciones extra que lo hacen muy útil en entornos industriales. Aquí te explico algunas de las funciones más importantes: 1. Redundancia y recuperación rápida (RSTP y MSTP): ○ RSTP (Rapid Spanning Tree Protocol): Este protocolo ayuda a evitar que los datos se "enreden" en la red. Si hay un fallo en la conexión, los datos encuentran otro camino rápidamente. ○ MSTP: Es una versión mejorada de RSTP que organiza los datos en distintas redes virtuales (VLANs), lo que mejora aún más la eficiencia de la red. 2. Control de acceso a la red (IEEE 802.1X): ○ Este sistema asegura que solo los dispositivos autorizados puedan conectarse a la red, aumentando la seguridad. 3. Calidad de servicio (QoS): ○ QoS permite priorizar el tráfico de datos. Por ejemplo, si tienes una máquina que necesita datos en tiempo real (como una línea de producción), puedes asegurarte de que reciba esos datos antes que otros dispositivos menos importantes. 4. Link Aggregation (Agrupación de enlaces): ○ Link Aggregation permite unir varios cables de red para crear una conexión más rápida y estable. Si uno de los cables se rompe, los demás siguen funcionando, asegurando que la red no se caiga. 5. IGMP Snooping: ○ IGMP Snooping ayuda a que el switch solo envíe ciertos tipos de datos a los dispositivos que realmente los necesitan, evitando que haya tráfico innecesario en la red. 6. SNMP (Simple Network Management Protocol): ○ SNMP es un sistema para monitorizar y gestionar los dispositivos de la red (como routers, servidores, impresoras, etc.). Permite ver qué está pasando en la red y ajustar los dispositivos si algo no va bien. 7. ERPS (Ethernet Ring Protection Switching): ○ ERPS es un protocolo que ayuda a recuperar la red rápidamente si algo falla, especialmente en redes que tienen una estructura de anillo (es decir, los cables están conectados en un círculo). Si se corta un cable, la red se puede recuperar en menos de 50 milisegundos, lo que es muy rápido. Protocolos Redundantes En un sistema industrial, es súper importante asegurarse de que nada se caiga. Si hay una interrupción, incluso por unos pocos milisegundos, puede ser un gran problema porque la información o los procesos importantes pueden perderse. Por eso, necesitamos protocolos redundantes, que son reglas o sistemas diseñados para evitar que las redes fallen y puedan recuperarse rápidamente en caso de que algo se caiga. ¿Por qué necesitamos protocolos redundantes? Los protocolos redundantes aseguran que si una parte de la red se cae, otra parte pueda seguir funcionando sin interrumpir el proceso. Como si tuvieras un plan de respaldo por si algo no va bien. Tipos de Protocolos Redundantes: 1. STP (Spanning Tree Protocol): ○ Es un protocolo tradicional que ayuda a evitar "bucles" en la red. Un bucle es cuando hay caminos duplicados entre los switches y los datos empiezan a dar vueltas sin fin. STP elimina esos caminos extras y asegura que haya solo un camino activo entre dos puntos. ¡Es como tener solo una autopista y no una serie de calles sin salida! 2. RSTP (Rapid Spanning Tree Protocol): ○ Es una versión más rápida de STP. Si algo se cae, RSTP recupera la conexión mucho más rápido, asegurando que la red siga funcionando sin interrupciones. 3. PRP (Parallel Redundancy Protocol): ○ Este protocolo hace que haya dos redes paralelas. Cada equipo está conectado a dos redes diferentes y recibe el mismo paquete de datos por ambas redes. Si una red se cae, el equipo sigue funcionando con la otra, asegurando que no haya pérdida de datos (por eso se llama ZPL: Zero Packet Loss). 4. HSR (Highly-available Seamless Redundancy): ○ Similar a PRP, pero en lugar de dos redes paralelas, HSR crea un anillo de nodos. Los datos viajan por ese anillo, y si un nodo se cae, los datos siguen viajando por el otro lado del anillo. Todo esto pasa tan rápido que no hay pérdida de paquetes. 5. DRP (Distributed Redundancy Protocol): ○ Este protocolo también utiliza un anillo de nodos, pero tiene una ventaja: elige automáticamente un nodo maestro sin necesidad de configuración manual. Además, es muy rápido, con un tiempo de recuperación de solo 30 milisegundos. 6. DHP (Dual Homing Protocol): ○ Este protocolo permite que dos anillos se conecten entre sí. Si uno de los nodos del anillo principal se cae, la conexión sigue funcionando gracias al segundo anillo. Conexión entre redes IT y OT: Con la Industria 4.0 y el Internet de las Cosas (IoT), ahora las redes industriales (OT) deben conectarse con las redes de oficina (IT). Esta interconexión puede ser peligrosa si no se toma cuidado, ya que los sistemas industriales pueden ser atacados desde Internet (cibercrimen). Por eso, se usan medidas de seguridad para proteger estas redes, como: Usar switches industriales gestionables que son más seguros y resistentes. Segmentar las redes IT y OT para evitar que el tráfico no deseado entre en los sistemas industriales. Usar firewalls industriales que bloqueen los ataques y protejan los sistemas críticos. Crear una DMZ (zona intermedia) para que el tráfico entre IT y OT no se mezcle directamente. ETIQUETADO DE TRAMAS El etiquetado de tramas es un proceso que se utiliza en redes de computadoras para identificar a qué VLAN (Red Local Virtual) pertenece cada paquete de datos que circula por la red. En lugar de enviar paquetes "vacíos" por la red, se les pone una etiqueta para que los switches y routers sepan a qué VLAN pertenece cada paquete. ¿Por qué se hace esto? A veces, en una red hay varias VLANs (subredes virtuales). Para que un solo cable o enlace pueda transportar el tráfico de varias VLANs al mismo tiempo, se utiliza el etiquetado. Esto permite distinguir los paquetes de diferentes VLANs, incluso cuando están viajando por el mismo cable. ¿Cómo funciona? 1. Enlace troncal: Se crea un enlace troncal entre dos dispositivos de red (como switches o routers). Este enlace lleva el tráfico de varias VLANs al mismo tiempo. 2. Añadir la etiqueta: Antes de que un paquete (o "trama") salga por ese enlace troncal, se le añade una etiqueta que indica a qué VLAN pertenece. Esa etiqueta va en el encabezado del paquete. 3. Eliminar la etiqueta: Cuando el paquete llega al destino, el dispositivo de red elimina la etiqueta y entrega la trama al puerto correcto según la VLAN. ¿Qué protocolos se usan para etiquetar las tramas? 1. ISL (Inter Switch Link): ○ Es un protocolo antiguo usado por Cisco para etiquetar tramas. ○ Añade una cabecera de 26 bytes y un nuevo valor de control al final de cada trama. ○ Hoy en día, ya no se usa mucho. 2. IEEE 802.1Q: ○ Es el protocolo estándar para etiquetar tramas en redes Ethernet. ○ Añade una etiqueta de 4 bytes en el encabezado de la trama original. ○ Esta etiqueta tiene dos partes: TPID (Tag Protocol ID): Un valor de 2 bytes que identifica que la trama está etiquetada. TCI (Tag Control Information): La otra parte de la etiqueta que contiene: VLAN-ID (Identificador de VLAN): Un número de 12 bits que indica a qué VLAN pertenece la trama. Esto permite identificar hasta 4096 VLANs diferentes. ¿Cómo se configuran los puertos de un switch? Modo de acceso: Por defecto, los puertos de un switch están configurados en "modo acceso". Esto significa que solo pueden pertenecer a una VLAN específica. Modo troncal: Para que un puerto pueda transportar el tráfico de varias VLANs, debe estar configurado en modo troncal. Un puerto troncal puede enviar tramas de varias VLANs al mismo tiempo. ¿Qué pasa cuando un switch recibe una trama? Si la trama llega a un puerto configurado en modo acceso y ese puerto está asignado a una VLAN específica, el switch añade la etiqueta a la trama para identificar la VLAN y luego la envía por el enlace troncal. Si la trama no tiene etiqueta, se le asigna la etiqueta correspondiente a la VLAN y luego se envía. VLAN nativa: Es una VLAN especial. El tráfico de esta VLAN puede viajar por el enlace troncal sin ser etiquetado. Por defecto, la VLAN nativa es la VLAN 1, pero puedes configurarla con otro número. Tipos de VLAN: Estáticas y Dinámicas RECORDATORIO ¿Qué es una VLAN? Una VLAN (Red de Área Local Virtual) es una manera de dividir una red física en varias redes lógicas, lo que permite que diferentes dispositivos, aunque estén conectados físicamente en el mismo lugar, se comuniquen como si estuvieran en redes separadas. Esto ayuda a organizar la red y aumentar la seguridad. Las VLANs se pueden dividir en dos tipos principales según cómo se configuran: estáticas y dinámicas. VLAN Estática (Basada en Puerto) ¿Cómo funciona? En una VLAN estática, los puertos de un switch se asignan manualmente a una VLAN. Es decir, cada puerto tiene una VLAN fija. Si conectas un dispositivo a ese puerto, automáticamente será parte de esa VLAN. Ejemplo: Si tienes un puerto 1 en el switch que pertenece a la VLAN 10 y conectas un ordenador a ese puerto, ese ordenador será parte de la VLAN 10. Ventajas: ○ Fácil de configurar a nivel físico. ○ Rápido de implementar. Desventajas: ○ Difícil de gestionar si cambias dispositivos o los conectas a diferentes puertos. Tendrías que reconfigurar manualmente la VLAN a la que pertenece el nuevo puerto. VLAN Dinámica Una VLAN dinámica no depende de los puertos, sino de la información del dispositivo que se conecta. Estas VLANs se configuran automáticamente basándose en características como la dirección MAC (la "huella digital" del dispositivo), el tipo de protocolo, o la dirección IP. Tipos de VLAN Dinámicas: 1. VLAN Dinámica por Dirección MAC: ○ ¿Cómo funciona? El switch tiene una base de datos de direcciones MAC. Cuando un dispositivo se conecta, el switch consulta esa base de datos y asigna automáticamente al dispositivo la VLAN correspondiente según su dirección MAC. ○ Ventajas: Flexible. No importa a qué puerto esté conectado el dispositivo, siempre se le asigna la VLAN correcta. Funciona sin tener que tocar los puertos si cambias un dispositivo de lugar. ○ Desventajas: Requiere software adicional para gestionar las VLANs dinámicas, como el VMPS (VLAN Management Policy Server). 2. VLAN Dinámica por Tipo de Protocolo: ○ ¿Cómo funciona? Las VLANs se asignan según el tipo de protocolo de la trama Ethernet (lo que se llama Ethertype). Esto permite crear VLANs para tipos específicos de tráfico. ○ Ejemplo: Una VLAN podría estar dedicada solo a tráfico HTTP y otra solo a correo electrónico. ○ Ventajas: Permite agrupar el tráfico de manera más eficiente según el tipo de uso. ○ Desventajas: Solo es compatible con switches de nivel 3 (más caros que los de nivel 2). 3. VLAN Dinámica por Dirección IP: ○ ¿Cómo funciona? En este caso, los dispositivos se agrupan según su dirección IP. El switch asigna una VLAN según el rango de direcciones IP a las que pertenece el dispositivo. ○ Ventajas: Ofrece mayor flexibilidad en la asignación, ya que las direcciones IP no son fijas a un dispositivo. ○ Desventajas: Requiere switches de nivel 3 (más caros). PROTOCOLOS DE TRUNKING ¿Qué es VTP (VLAN Trunking Protocol)? El VTP es un protocolo creado por Cisco que sirve para gestionar VLANs en una red. ¿Para qué? Para que no tengas que configurar la misma VLAN en todos los switches de la red. Con VTP, puedes centralizar la configuración de las VLANs, lo que te ahorra tiempo y esfuerzo. ¿Cómo funciona VTP? VTP permite que los switches se comuniquen entre sí para sincronizar las VLANs de la red. Esto quiere decir que si un switch cambia una VLAN (por ejemplo, si le añades o le quitas un puerto), todos los demás switches de la red se actualizan automáticamente. VTP usa enlaces troncales para transmitir esta información de VLAN. Los enlaces troncales son conexiones entre switches que permiten que varias VLANs viajen por el mismo cable. Modos de VTP Los switches que usan VTP pueden estar en tres modos diferentes: 1. Modo Servidor (Servidor VTP): ○ Este es el modo por defecto. ○ Los switches en modo servidor son los encargados de crear y mantener la información de todas las VLANs. ○ Luego, estos switches envían esa información a otros switches en la misma red. ○ En cada red, debe haber al menos un servidor. 2. Modo Cliente (Cliente VTP): ○ Los switches en modo cliente no pueden modificar las VLANs. ○ Simplemente reciben la información de las VLANs desde los switches en modo servidor. ○ Si reinicias el switch, se borra la configuración del dominio VTP. 3. Modo Transparente (Transparente VTP): ○ Los switches en modo transparente no participan directamente en la gestión de las VLANs. ○ Solo reenvían la información de las VLANs que reciben, pero no la procesan ni la modifican. ○ Solo pueden configurarse localmente. 4. Modo Apagado (VTP Apagado): ○ Similar al modo transparente, pero además de no procesar las VLANs, no reenvían la información de VTP a otros switches. Tipos de VLAN en una red privada: Dentro de una red privada con VLANs, puedes tener varios tipos de VLAN secundarias: 1. VLAN Primaria: ○ Es la VLAN principal, desde donde se pueden conectar y gestionar otras VLANs secundarias. ○ Los puertos de la VLAN primaria pueden conectarse con cualquier otra VLAN, como los routers o puertas de enlace. 2. VLAN Aislada: ○ Solo tiene puertos aislados, es decir, los dispositivos conectados a estos puertos solo pueden comunicarse con los puertos promiscuos (los de la VLAN primaria). ○ Los puertos aislados no pueden hablar entre sí. 3. VLAN Comunitaria: ○ Los dispositivos conectados a puertos comunitarios pueden comunicarse entre ellos dentro de su sub-VLAN, así como con otros puertos promiscuos. ○ Se permite la comunicación con otros puertos comunitarios de la misma sub-VLAN. GVRP (Generic VLAN Registration Protocol): El GVRP es un protocolo que ayuda a crear y gestionar VLANs automáticamente en la red. En lugar de tener que configurar manualmente cada dispositivo con la información de la VLAN, GVRP lo hace por ti de manera dinámica. Esto significa que, cuando un switch recibe una solicitud para una VLAN, si la VLAN no existe aún, la crea automáticamente. Ventajas de GVRP: Automatiza la configuración de VLANs sin intervención manual. Elimina VLANs que ya no se están usando. Reduzca la carga en la red, ya que reduce el tráfico innecesario. SEGURIDAD DE VLAN Y SUS TIPOS DE ATAQUES Para entender cómo proteger las VLANs (Redes de Área Local Virtual) de ataques, primero necesitamos saber cómo se pueden vulnerar. El principal método de ataque a las VLANs se llama VLAN hopping, o ataque de salto de VLAN. Esto significa que un atacante intenta "saltar" de una VLAN a otra sin permiso. Existen tres formas principales de hacerlo: 1. Suplantación de identidad del host atacante (ARP Spoofing o Suplantación de Tráfico): El atacante se hace pasar por un dispositivo autorizado y engaña al switch para que crea que el atacante es un dispositivo legítimo de la red. Como resultado, el switch entra en modo trunking (un modo especial que permite pasar tráfico de varias VLANs por un solo cable). Esto le permite al atacante enviar y recibir tráfico de cualquier VLAN a través de ese enlace troncal. Es como si el atacante estuviera dentro de la red, pudiendo espiar y manipular el tráfico de diferentes VLANs. 2. Introducción de un switch malicioso (Switch Rouge): El atacante introduce un switch falso (un "switch rouge") en la red y lo configura para que actúe como un enlace troncal. Este switch falso le permite al atacante acceder a las VLANs del switch objetivo, creando un punto de entrada para el tráfico no autorizado. 3. Salto a VLAN mediante doble etiquetado o doble encapsulado (Double Tagging): Este ataque se aprovecha de una vulnerabilidad en la forma en que funcionan los switches. En una red con VLANs, cada trama de datos (paquete de información) lleva una etiqueta que identifica a qué VLAN pertenece. Un atacante puede añadir una segunda etiqueta en una trama, haciendo que el paquete parezca legítimo para una VLAN diferente, saltando de una VLAN a otra. Este tipo de ataque funciona principalmente cuando se usan puertos de switch configurados con VLAN nativa, ya que estos puertos no etiquetan las tramas correctamente, permitiendo que el atacante "escuche" las VLANs a las que no debería tener acceso. ¿Cómo protegerse de estos ataques? Para evitar estos ataques, hay varias medidas de seguridad que podemos implementar: 1. Configurar listas de control de acceso (ACL): ○ Las ACL permiten filtrar el tráfico no deseado y restringir el acceso a ciertas VLANs o dispositivos, basándose en las direcciones IP o direcciones MAC de los dispositivos. 2. Filtrar direcciones MAC: ○ Se puede configurar un filtrado de direcciones MAC para asegurarse de que solo los dispositivos autorizados puedan conectarse a la red. 3. Desactivar puertos no utilizados: ○ Los puertos que no se usan pueden ser desactivados o configurados en modo shutdown. Esto impide que un atacante pueda conectar un dispositivo no autorizado a esos puertos. 4. Configurar VLANs nativas de manera segura: ○ Se recomienda configurar una VLAN nativa que no tenga tráfico de datos. Esto hace que el etiquetado doble (doble encapsulado) sea menos efectivo, porque los puertos troncales configurados con una VLAN nativa no aplican etiquetas en las tramas. 5. Revisar la configuración de puertos troncales: ○ Los puertos troncales, que son los que transportan el tráfico de varias VLANs, deben ser configurados correctamente para evitar que los atacantes puedan manipular las etiquetas de VLAN. ATAQUES Y SEGURIDAD DE CAPA 2 Los ataques de Capa 2 se producen en el nivel de los switches (los dispositivos que dirigen el tráfico dentro de la red local). En esta capa, los ataques de suplantación de identidad o spoofing pueden poner en riesgo la seguridad de la red. Aquí te explico los conceptos clave de manera simple: 1. Ataques Man-in-the-Middle (MITM) Man-in-the-middle es un tipo de ataque donde el atacante se interpone entre dos dispositivos para capturar, leer, modificar o insertar datos. El atacante suplantará (se hará pasar por) uno de los dispositivos legítimos, como un switch o servidor. De esta forma, todo el tráfico de red pasa primero por el atacante antes de llegar a su destino. 2. Principales tipos de ataques en Capa 2: DHCP Spoofing (Suplantación de servidor DHCP): ○ El atacante se hace pasar por un servidor DHCP, que es el encargado de asignar direcciones IP a los dispositivos en la red. ○ ¿Qué pasa? El atacante puede redirigir el tráfico hacia su propio equipo y controlar la comunicación. ○ Prevención: Usando DHCP Snooping, que ayuda a identificar qué dispositivos pueden ofrecer direcciones IP y filtrar los no autorizados. ARP Spoofing (Suplantación de ARP): ○ En una red, el ARP es un protocolo que mapea direcciones IP a direcciones MAC físicas (la identificación única de un dispositivo). Un atacante puede enviar mensajes ARP falsificados para engañar a los dispositivos y hacer que envíen tráfico a su propio equipo. ○ Prevención: Usar técnicas como la inspección dinámica ARP, que los switches modernos ya incluyen por defecto para detectar este tipo de ataques. IP Spoofing (Suplantación de IP): ○ Un atacante puede falsificar su dirección IP para hacerse pasar por otro dispositivo, engañando a la red y permitiendo ataques de Man-in-the-Middle. ○ Prevención: Usar IP Source Guard junto con DHCP Snooping. Esto ayuda a asociar una dirección IP con una dirección MAC y puerto específico en un switch, lo que evita que dispositivos no autorizados se conecten. 3. Prevención de ataques de suplantación (Spoofing): Para proteger la red de estos ataques, es importante configurar adecuadamente los puertos de los switches. Algunas medidas de seguridad incluyen: ○ Desactivar DTP (Dynamic Trunking Protocol): Esto evita que un atacante logre negociar automáticamente enlaces troncales (enlaces entre switches que permiten el paso de tráfico de varias VLANs). ○ Configurar puertos de acceso explícitamente: Los puertos que no se utilizan para enlaces troncales deben estar configurados como puertos de acceso (solo permiten tráfico de una VLAN específica), no como puertos que negocian enlaces troncales. 4. VLAN Hopping: VLAN Hopping es un ataque en el que el atacante intenta salto de una VLAN a otra sin permiso. Esto se puede lograr manipulando la negociación de enlaces troncales (con el protocolo DTP), lo que permite al atacante comunicarse con otras VLANs. Para prevenir este tipo de ataque, desactivar DTP y asegurar puertos no utilizados es clave. SEGMENTACIÓN EN LAS REDES DE AUTOMATIZACIÓN La segmentación de redes es una forma de dividir una red grande en varias más pequeñas para que sea más segura y eficiente. Imagina que tu red es como una casa con varias habitaciones, y cada habitación tiene su propio conjunto de reglas para quién puede entrar y qué puede hacer dentro. De esta forma, si alguien entra en una habitación, no puede fácilmente ir a las demás sin permiso. ¿Por qué es importante segmentar una red? Seguridad mejorada: Al dividir la red en partes más pequeñas, puedes aplicar reglas específicas para cada parte, lo que hace más difícil que un atacante acceda a toda la red si logra vulnerar una parte. Mejor rendimiento: Al separar los dispositivos que no necesitan comunicarse entre sí, reduces el tráfico innecesario y mejor el rendimiento general de la red. ¿Cómo funciona en la práctica? La segmentación se hace usando VLANs (Redes de Área Local Virtual). Las VLANs permiten que un administrador divida una red física (como una sola red cableada) en subredes lógicas que actúan como redes independientes. Ejemplo: Supongamos que en una empresa tienes varios departamentos: RRHH, Ventas, y TI. Puedes crear una VLAN para cada departamento: ○ VLAN de RRHH: Protege los datos sensibles de los empleados. ○ VLAN de Ventas: Para los datos y aplicaciones relacionadas con ventas. ○ VLAN de TI: Para los equipos de soporte y administración de la red. Aunque todos estos departamentos compartan la misma infraestructura de red (como los cables y switches), cada uno de ellos opera como si estuviera en una red separada, con su propio conjunto de reglas de acceso y seguridad. Esto limita la posibilidad de que los datos de RRHH se filtren a otros departamentos. ¿Qué ventajas ofrece la segmentación? 1. Seguridad: Si un atacante logra acceder a una de las VLANs (por ejemplo, la de ventas), no podrá fácilmente acceder a la VLAN de RRHH. 2. Rendimiento: El tráfico de cada VLAN es más controlado, lo que significa que las comunicaciones dentro de una VLAN no afectan a las otras. 3. Control: Puedes aplicar políticas específicas a cada VLAN, como control de acceso, firewalls o monitoreo de tráfico. ¿Cómo se conectan las VLANs entre sí? Enlaces troncales: Si los dispositivos en diferentes VLANs necesitan comunicarse entre sí, se utilizan enlaces troncales, que permiten que varias VLANs se conecten entre diferentes switches. Sin embargo, solo los dispositivos autorizados en cada VLAN podrán acceder a los datos de esa VLAN específica. Segregación y Segmentación: Cortafuegos en redes industriales Primero, es importante entender la diferencia entre segregar y segmentar una red: Segregar es separar dos redes enteras, como, por ejemplo, separar la red IT (tecnología de la información) de la red OT (tecnología operativa) que controla maquinaria o procesos industriales. Esto es una separación completa de redes. Segmentar, en cambio, es dividir una red en subredes más pequeñas dentro de una misma red. Por ejemplo, dividir la red de IT en subredes según los diferentes departamentos (como marketing, ventas, etc.). Cortafuegos: El Guardián de la Red Un cortafuegos (o firewall) es una herramienta clave en la segregación de redes. Este dispositivo puede ser físico, software o una combinación de ambos, y su función principal es filtrar el tráfico de datos entre diferentes redes, como entre IT y OT, para asegurarse de que solo pase lo que está permitido. Es como un portero que deja pasar solo a las personas correctas y bloquea a los intrusos. Funciones principales de un cortafuegos: 1. Filtrar tráfico: Bloquea conexiones no deseadas, como ataques o tráfico no autorizado. 2. Proteger zonas sensibles: Evita que personas de la red IT accedan a la red OT, que suele ser más crítica (por ejemplo, máquinas y sistemas industriales). 3. Evitar congestión: Bloquea tráfico innecesario, como los mensajes que no sirven, que pueden hacer que la red se vuelva lenta. 4. Proteger contra ataques: Detecta y bloquea tráfico malicioso o malformado que puede causar problemas como DoS (Denial of Service), es decir, ataques que buscan saturar la red y dejarla inutilizada. 5. Controlar accesos: Asegura que solo las personas o dispositivos autorizados tengan acceso a sistemas específicos. 6. Monitorear: Registra información sobre el tráfico bloqueado o permitido, lo que ayuda a detectar posibles amenazas. Cómo se implementa el cortafuegos en redes industriales: Segregación de redes IT y OT: Un cortafuegos puede ser utilizado para separar estas dos redes críticas, bloqueando el acceso entre ellas. Esto evita que, si un hacker accede a la red IT, pueda ir directamente a la red OT. Creación de una DMZ: Una DMZ (zona desmilitarizada) es una zona intermedia entre redes, donde solo se permite el acceso a servicios específicos, y no a toda la red interna. Los cortafuegos pueden obligar a todo el tráfico a pasar por esta zona antes de llegar a la red interna. ¿Por qué es necesario tener cortafuegos en redes industriales? Las redes OT son mucho más sensibles, ya que controlan la maquinaria y los procesos industriales. Un ataque a esta red podría causar daños físicos o detener la producción. Por eso, segregar esta red de la red IT (que está más expuesta a internet) es crucial para proteger los sistemas de control industrial. Ventajas y desventajas de los cortafuegos: Ventajas: Aseguran que el tráfico indeseado no pase entre redes. Protegen contra ataques externos. Permiten segmentar redes de manera más eficiente y controlada. Desventajas: Pueden introducir latencia o retrasos en el tráfico de datos, lo que no es ideal en entornos industriales donde la velocidad es crucial. Requieren mantenimiento y configuración especializadas, lo que puede ser complejo y costoso. Si no se configuran bien, pueden bloquear tráfico legítimo o generar demasiados logs (registros de eventos), lo que puede ser difícil de gestionar. Algunos cortafuegos no entienden protocolos industriales específicos, por lo que puede haber incompatibilidades.