Курс лекций «Проблемы безопасности в информационных технологиях»



жүктеу 4.51 Mb.
бет38/44
Дата13.09.2017
өлшемі4.51 Mb.
түріКурс лекций
1   ...   34   35   36   37   38   39   40   41   ...   44

Атака на таблицы MAC-адресов


Каждое Ethernet-устройство имеет уникальный аппаратный (канальный) адрес длиной 48 бит, который состоит из четырёх частей:


Рис.121 Структура MAC-адреса
Старшие 24 – 2 = 22 бита содержат уникальный идентификатор организации (OUI), которые производитель получает от IEEE. Один бит из старших 24-х отличает unicast адрес от группового, ещё один позволяет отличить «вшитый» адрес от заданного программно. Младшие 24 бита должны быть уникальными среди всех устройств одного производителя.

Каждый коммутатор содержит таблицу адресов (CAM, Content Addressable Memory), в которой строится соответствие номера порта, VLAN и MAC-адреса. Таблица строится автоматически, коммутатор «запоминает» (по умолчанию на 300 секунд) какой MAC с какого физического порта был получен. Если получен unicast-кадр (фрейм) с неизвестным адресом назначения, коммутатор рассылает кадры во все порты, кроме того, откуда он был получен (flooding). Очень важно, что таблицы CAM имеют ограниченный размер, типично – от 1000 до 16000 адресов. Нормальное поведение CAM-таблицы при работе представлено на трёх следующих рисунках:





Рис.122 Нормальное поведение CAM 1/3


Рис.123 Нормальное поведение CAM 2/3


Рис.123 Нормальное поведение CAM 3/3
Используя факт ограниченного размера CAM-таблицы, злоумышленник может сгенерировать большое количество пакетов с разными MAC-адресами источника. Заполнение CAM-таблицы займёт несколько десятков секунд. В результате заполнения из CAM будут вытеснены адреса реальных рабочих сетевых адаптеров, и все последующие фреймы, отправленные на эти реальные адреса, будут рассылаться во все порты (flood), коммутатора, и злоумышленник сможет «увидеть» чужой unicast трафик. Фактически коммутатор с переполненной CAM-таблицей превращается в концентратор.



Рис.124 Переполнение CAM
Контрмеры против атак на переполнение CAM-таблиц могут быть реализованы только при использовании сетевого оборудования определённого класса. Неуправляемые коммутаторы принципиально не могут противостоять такого рода атакам, но даже управляемые устройства далеко не всегда имеют требуемый функционал. Технология называется port security, детали её реализации могут различаться у разных производителей, но основной принцип одинаков. Для порта включается ограничение по количеству MAC-ов, которые могут быть «видны» на этом порту. Иногда это количество фиксированное, обычно не более одного – пяти адресов, иногда его можно задать в настройках. Также можно установить статическое соответствие MAC—порт для неизменных конфигураций. При достижении максимального количества MAC-адресов на порту коммутатор может полностью заблокировать порт, или заблокировать его на некоторое время (порядка нескольких минут). Обязательным при блокировке будет отправка сообщения на консоль и в лог устройства.

Атаки на VLAN


Технология VLAN позволяет организовывать подключение сетевых узлов, независимо от их физического местоположения, так как будто они подключены к одному широковещательному домену. Номер VLAN ID (12 бит) входит в четырёхбайтовое поле, добавляемое к стандартному 1518-байтному Ethernet-фрейму (802.1Q). Подключение конечных рабочих станций чаще всего выполняется без использования VLAN Tag.


Рис.125 Фрейм Ethernet с VLAN Tag
Сетевые узлы, подключённые к разным VLAN-ам, оказываются в разных широковещательных сегментах, изолированных друг от друга на канальном уровне. Но существует целый класс атак на VLAN, дающих возможность атакующим хостам попадать в «чужие» сегменты.

Атака Basic VLAN Hopping – основана на протоколе Dynamic Trunk Protocol (DTP). DTP используется для согласования транков (trunks2, линки с VLAN) между двумя устройствами. Станция (на рисунке слева внизу) может обмануть коммутатор, установив с ним соединение, использовав поддельный DTP кадр, в результате чего станция становится членом всех VLAN, присутствующих в коммутаторе.





Рис.126 Атака VLAN Hopping
Атака Double Encapsulation VLAN Hopping – ещё одна возможность «перепрыгнуть» в «чужой» сегмент, базируется на двойной инкапсуляции и использовании протокола DTP. Левая верхняя станция (на рисунке ниже) отсылает дважды инкапсулированный фрейм. Первый коммутатор «снимает» с кадра первый слой инкапсуляции и пересылает фрейм дальше. Второй коммутатор (правый) «снимает» вторую инкапсуляцию и посылает фрейм уже с другим VLAN ID. Этот механизм работает потому, что обычные коммутаторы выполняют только один уровень декапсуляции3. В этой атаке атакующий может только отправлять пакеты в «чужой» сегмент, но не принимать их оттуда. Ещё одним условием работы этой атаки будет совпадение у злоумышленника и в trunk-е native VLAN.


Рис.127 Атака Double Encapsulation VLAN Hopping
Атаки на VLAN, описанные выше, возможны в основном для оборудования компании Cisco, в первую очередь из-за поддерживаемых этим оборудование некоторых протоколов (DTP) и небезопасных настроек по умолчанию. Предлагаемые контрмеры не сводятся к какой-то одной рекомендации:


  • Необходимо в качестве native использовать выделенный ID VLAN;

  • Все неиспользуемые порты коммутаторов необходимо деактивировать и поместить в неиспользуемую VLAN;

  • Будьте осторожны, не используйте VLAN 1 ни для каких целей4;

  • Необходимо обязательно отключить протокол DTP – он сильно облегчает жизнь не только администраторам, но и злоумышленникам;

  • На инфраструктурных портах (trunk) конфигурация должна быть задана явно, не надо полагаться на умолчания.

Атака на Private VLAN. Технология PVLAN (также называемая protected ports – защищённые порты) используется для изоляции трафика в определенной группе, создавая для этого в первичной (primary) VLAN своего рода подсети (sub-VLAN-ы), не используя разбиение на подсети IP-сети, назначенной на первичную VLAN. Между ограниченными (restricted) портами (private ports), принадлежащим к одной PVLAN, нет прямого обмена трафиком – ни unicast, ни broadcast, ни multicast. Пересылка между private портами возможна только на уровне L3 (маршрутизатор).




Рис.128 Нормальная работа PVLAN
На рисунке выше представлен пример нормального функционирования PVLAN – при попытке переслать кадр от машины A к машине B он отбрасывается, т.к. A и B подключены к изолированным (restricted) портам.

Но, сформировав пакет с подделанным MAC-адресом получателя (указав MAC-адрес устройства L3), но с IP-адресом жертвы, злоумышленник может добиться того, что кадр попадёт в закрытый для него сегмент:




Рис.129 Обход изоляции портов в PVLAN
В исходном варианте атака делает возможным генерацию только однонаправленного трафика, от A к B. Но, послав необходимые ARP-пакеты и скомпрометировав второй узел, возможно организовать двунаправленный обмен трафика между изолированными портами. Эта уязвимость не относится к собственно технологии PVLAN, проблема решается правилами и настройками L3-маршрутизатора.



Достарыңызбен бөлісу:
1   ...   34   35   36   37   38   39   40   41   ...   44


©kzref.org 2019
әкімшілігінің қараңыз

    Басты бет