Inundaciones y emisiones.

No tiene que ser un reality show para ser malo…

Introducción:

Este es el cuarto de una serie de publicaciones de blog que se centran en la seguridad y la tecnología inalámbrica en Cisco Meraki.

Las redes inalámbricas apuntalan la mayoría de nuestras actividades cotidianas, mientras comparten el mismo espectro de frecuencia relativamente pequeño. Como tal, los protocolos que dictan cómo funcionan estas redes son excepcionalmente educados por diseño, y por una buena razón. Esto se debe a que las redes inalámbricas, como los humanos, son semidúplex, lo que significa que solo una estación o persona puede hablar en cualquier momento.

Sin embargo, esta cortesía también puede ser utilizada contra tales redes por potenciales «malos actores». Esta publicación detallará cómo los puntos de acceso de Cisco Meraki ayudan a las redes de los usuarios a verse excesivamente impactadas por tales dispositivos maliciosos (intencionales o de otro tipo).

¿Cómo puede ser mala la transmisión?

Quizás se pregunte «¿por qué una transmisión por red sería algo malo? En mi red cableada, los protocolos usan transmisiones todo el tiempo «, y estaría en lo correcto al decir que las transmisiones rara vez son un problema en el lado cableado de la red (pero no siempre). Sin embargo, como hemos discutido anteriormente, la conexión inalámbrica es un medio de acceso compartido, por lo que si alguien hablara continuamente (la inundación de paquetes se analiza a continuación), tendríamos que esperar a que se detenga. Más importante aún, cuando un punto de acceso transmite a un cliente en una red inalámbrica, tiene que transmitir a una velocidad que el cliente pueda entender. Para una trama de difusión, esta velocidad es en realidad la velocidad de datos admitida más lenta del BSSID y, a menudo, es una velocidad de datos básicos.

Esto significa que al transmitir tráfico de difusión (y gestión), el punto de acceso solo puede hablar tan rápido como la velocidad de datos más lenta a la que el BSSID aceptará una asociación de cliente. Si no se ha cambiado la configuración predeterminada para la velocidad de bits mínima, entonces un punto de acceso enviará las tramas de transmisión hasta 150 veces más lento de lo que podría hacerlo (aunque esto no es algo que Meraki recomiende).

Esto puede inutilizar la red 802.11, ya que los puntos de acceso siempre están ocupados transmitiendo o esperando el tráfico de transmisión malicioso (si otro AP o cliente está transmitiendo). Este comportamiento a menudo es armado por malos actores en un ataque DoS contra redes inalámbricas.

Los AP Meraki ayudan a minimizar el tráfico de transmisión excesivo al ingresar al medio inalámbrico desde la red cableada al habilitar Proxy ARP. Esto significa que un punto de acceso que actualmente sirve a un cliente inalámbrico responde a una solicitud ARP de la parte cableada de una red en nombre del cliente inalámbrico, que de otro modo se habría enviado como una transmisión.

Además, Air Marshal puede alertar a los administradores de red de Meraki sobre el tráfico de transmisión malicioso que han visto los puntos de acceso en su red, como se muestra a continuación:

Luego, el administrador puede investigar el entorno local para determinar y mitigar la fuente de las transmisiones maliciosas.

¿Qué es una inundación de paquetes?

De manera similar al mal uso del tráfico de difusión, un cliente o AP podría enviar grandes cantidades de tramas de gestión 802.11 (baliza, asociación y autenticación), sabiendo que un punto de acceso está vinculado por el protocolo para procesar y, cuando corresponda, responder a ellos . Esto es similar a un niño curioso que llena de preguntas a sus padres, sin esperar una respuesta, una y otra vez.

Como cualquier maestro o padre sabrá, trabajar en este tipo de ambiente requiere la paciencia de un santo o el amor incondicional de un padre. ¡Ay, para las redes 802.11, los puntos de acceso, aunque son muy educados, carecen de ambas cosas! Como tal, cuando un cliente se comporta de esta manera, es perjudicial para el rendimiento de la red inalámbrica en general de la misma manera que el tráfico de transmisión excesivo.

Al igual que con el tráfico de transmisión malicioso, Air Marshal alertará al administrador de que los puntos de acceso dentro de su red están viendo este comportamiento potencialmente desagradable y mostrará el tipo de trama, como se muestra a continuación:

Luego, el administrador puede investigar el entorno local para determinar y mitigar la fuente de las transmisiones maliciosas.

Otras cosas a considerar …

Finalmente, otro tipo de transmisión a nivel de red que puede causar problemas en las redes 802.11 es el tráfico de multidifusión. A diferencia de las redes cableadas, las redes inalámbricas suelen enviar flujos de tráfico de multidifusión a través del medio inalámbrico como tráfico de difusión. Para aliviar este problema potencial, los puntos de acceso de Meraki habilitan IGMP por defecto. Esto tiene el efecto de convertir la transmisión de multidifusión en transmisiones de unidifusión (potencialmente múltiples) que es probable que se transmitan a velocidades mucho más altas.

Esto es esencial en entornos de aula, donde los estudiantes podrían estar viendo una transmisión de video HD multidifusión como se ilustra arriba.

Conclusión

Similar al ataque del «gemelo malvado» discutido en la publicación anterior del blog, no se puede hacer nada para mitigar estos riesgos mientras se sigue cumpliendo con el estándar de red 802.11. Sin embargo, el poder del dashboard de Meraki y los puntos de acceso proporcionan visibilidad instantánea de las amenazas en una organización.

Referencias

Para obtener más información sobre Air Marshal y parodias, consulte las siguientes referencias adicionales: