Заплахи към сигурността на L2 ниво

Атаките към L2 слоя на мрежата и досега бяха възможни, но на практика малко вероятни. С появата на безжичните мрежи и хакерския инструмент Yersinia злоумишлените потребители получиха ново средство, което значително повишава риска за администраторите. Проблеми със сигурността на ниво мрежова инфраструктура могат да понижат степента на отказоустойчивост на цялата мрежа, тъй като зложелателите могат да получат възможност за четене на трафика и манипулацията му в цели сегменти. В повечето случаи проблеми, възникващи във втори и трети слой, не могат да се решат в други, по-високи слоеве с помощта на известни мерки, когато за защита на по-висшите обслужващи протоколи се използва IPSec. На атаките и способите за защита от тях, особено на второ ниво, се отделя малко внимание, което се обяснява с това, че те са насочени към поемане на контрола върху някакви включени възли, а и привидно те могат да се инициират само „вътрешен вредител”, за чието съществуване отговорниците по безопасността предпочитат да забравят. Освен това съответните технологии и инструменти не бяха много разпространение досега. Описанието на новите разновидности за L2 атаки могат лесно да се намерят: в началото на годината бе пусната подробна книга по тази тема [1], а в края на март бе публикуван инструмент [2], автоматизиращ много атаки, които досега се считаха за възможни само на теория. Напълно осъществим е сценарий, при който нападателят след успешно компрометиране на Web сървъра в демилитаризираната зона използва тази система за мащабно четене на вътрешния трафик в случаите, когато DMZ е реализирана с помощта на собствена виртуална мрежа, а не посредством отделен комутатор, а подобна ситуация се среща често. Към атакуваните на инфраструктурно ниво протоколи наред с протокола за разрешаване на адреси (Address Resolution Protocol, ARP, известен благодарение на „спуфинга ARP”) се отнасят на първо място DHCP, ICMP, CDP, протокола за свързване в дърво (Spanning Tree Protocol, STP) и протоколът за маршрутизатори от „горещия” резерв (Hot Standby Router Protocol, HSRP). Свързване в дърво Този протокол служи за показване и предотвратяване на възникването на затворен контур (loop) при наличие на резервни маршрути между комутаторите. Той се базира на стандарта IEEE 802.1d. Работещите чрез „интервал за приветствие” комутатори изпращат т.нар. „блокове данни за протокола на моста” (Bridge Protocol Data Unit, BPDU) на групов адрес 01-08-c2-00-00-00. На базата на BPDU обмена те строят (най-често за виртуална мрежа) логическо дърво, което се нарича свързващо. Това дърво има корен — кореновият мост със съответния „идентификатор на моста» (Bridge-ID), състоящ се от конфигурируем „приоритет” и МАС адреса на съответното устройство. Резервните връзки в дървото от комутатори временно се деактивират. При отказ на устройство или връзка мрежовата топология се изчислява отново, и в случай на необходимост се избира нов коренов мост. Този, който може да се включи към устройството с по-малък идентификатор на моста (няма значение как го прави – чрез включване към устройството с малък приоритет или с помощта на инструмент за генериране на STP пакети), при определени обстоятелства може частично или изцяло да привлече към себе си трафика от цялата виртуална мрежа. Ако през малък времеви период той сменя приоритета, установявайки го по-високо или по-ниско, то вследствие на постоянното изчисляване на дървото за свързване се нарушава работата на мрежата, което е равносилно на атака тип „отказ от обслужване” (Denial of Service, DoS). Когато зложелател разполага с две физически точки за включване към различни комутатори (но в една и съща виртуална мрежа), той може да изпрати трафика в обход, заемайки позицията на „незаконен посредник” (Man in the Middle, MITM). Тогава той получава възможност за контрол на целия преминаващ трафик и да шпионира за последващо нападение на организацията. Обикновено той не разполага с физическа връзка с два комутатора, затова описаният метод на атака едва ли е възможен. Въпреки това ситуацията се променя при използване на безжични мрежи, тъй като кабелното включване (розетка в офиса) и безжичното (точка за достъп до (магистрален) комутатор) са свързани към различни комутатори. Разполагайки с магистрална връзка (вж. за това по-подробно), атакуващият е в състояние да въздейства върху всички виртуални мрежи. Конкретното влияние на всички STP атаки зависи от неговото местоположение и текущото свързващо дърво. Последствията от първата описана атака не са толкова пагубни в случай на използване на „бързо свързващо се дърво”. Освен това в много комутатори портовете могат да се конфигурират така, че те или изобщо не приемат BPDU (функция за защита от BPDU при Cisco), или за съответните портове не може да се намери STP корен („защита на корена” при Cisco). Функцията безопасност на портовете е ефективна и срещу атаки MITM, тъй като отделяният трафик вече не се приема от комутаторите. Протокол за маршрутизатори от „горещия” резерв Протоколът (Hot Standby Router Protocol, HSRP, RFC 2281) е разработен от Cisco и предвижда резервирана експлоатация на няколко маршрутизатора, които са достъпни под един виртуален IP адрес и МАС адрес. Такива маршрутизатори периодично обменят приветствени съобщения, отправяни на групов адрес до всички маршрутизатори в дадена подмрежа (224.0.0.2). На базата на най-високия предаван приоритет се определя кой маршрутизатор ще стане „активен”, т.е. действително ще приема трафик и ще го изпраща по-нататък. Останалите се намират в неактивен резервен режим. Ако нарушител придобие възможност за пращане на HSRP пакети с по-голям приоритет от участника в HSRP, той може да настрои всички HSRP системи в резервен режим и по този начин да осъществи атака DoS да блокира трафика, или да изпрати към своя система целия преминаващ през сегмента трафик (вж. Фиг. 3). В този случай за разлика от свързаното дърво контрамерките се реализират доста по-сложно. Cisco препоръчва използване или на IPSec за шифриране на HSRP трафика (тази опция в L3 комутатори с реализация на HSRP не се поддържа), или на HSRP автентификация, като паролата в повечето случаи се предава като открит текст и може да бъде прихваната. Надеждна автентификация MD5 за HSRP е възможна само в новите версии (при маршрутизаторите от IOS 12.3(2)T), а използването IGMP филтри се среща доста рядко. Атаките срещу STP и HSRP са добре известни и съответните инструменти (напр. Irpas [7]) са достъпни отдавна. В последно време вниманието е насочено към два други протокола, към които се реализират автоматизирани атаки посредством новия инструмент Yersinia, а тяхното приложение води до сериозни последствия. Става дума за два частни протокола на Cisco: динамичният магистрален протокол (Dynamic Trunking Protocol, DTP) и магистралният протокол за виртуални мрежи (VLAN Trunking Protocol, VTP). Динамичен магистрален протокол Този протокол служи за съгласуване на параметрите на магистрална връзка между комутаторите. За разлика от портовете за достъп, чрез които към комутатора се включват отделни станции, магистралните портове свързват няколко устройства (комутатори с други комутатори или маршрутизатори). По подразбиране магистралният порт е член на всички виртуални локални мрежи на комутатора, т.е. потенциално през него преминава трафик за всички виртуални мрежи, което може да бъде ограничено с помощта на т.нар. „разрешени виртуални мрежи”. Информация за принадлежността към виртуална мрежа на отделни пакети се предава в съответния VLAN етикет. Системният администратор обикновено конфигурира ръчно кои портове от комутатора ще бъдат магистрални. Това може да бъде направено динамично и от самите комутатори с помощта на протокола DTP, който е реализиран в повечето платформи (с изключение на 2900XL/4500XL). По този начин комутаторите самостоятелно разпознават през какъв порт се свързват с други комутатори, което го настройва в статус „магистрален”. DTP първоначално е активиран на всички портове. Трябва да се знае, че режимът по подразбиране в повечето комутатори е „автоматичен” и следната често срещана примерна конфигурация не променя готовия за работа статус на порта: interface Fast-Ethernet0/2 switchport access vlan 27 spanning-tree portfast Затова обикновено чрез портовете за достъп могат да се изграждат магистрални връзки. Ако зложелател успее да завладее магистралата, той ще може да осъществи следното:  четене на broadcast и многоадресен трафик от всички виртуални мрежи (при условия че конфигурацията по подразбиране е без ограничаване на "разрешените VLAN" и без "отсечения VTP", което се случва често);  участие в магистралния протокол за виртуални мрежи (подробно вж. по-долу) и появяващата се възможност за промяна на конфигурацията на VLAN (например, създаване и премахване на виртуални мрежи);  ARP спуфинг срещу системи в други виртуални мрежи (и четене на техния трафик). Сам по себе си проблемът не е нов. Но тъй като Cisco не публикува спецификация за DTP, дълго време се считаше, че подобна атака е възможна само на теория и чрез използване на ръчно пуснати пакети. С помощта на новия инструмент Yersinia (вж. Фиг. 5) атаката лесно се управлява посредством меню. След успешна организация на магистралата нападателят вижда изпращания по нея трафик, включително всички предавани протоколи (и преди всичко VTP), целия broadcast и многоадресен трафик — обикновено и протоколите за маршрутизация (в дадения случай OSPF). Освен това става възможно и проникване във всички пакети от виртуалната мрежа, тъй като през магистралата преминават всички VLAN. В известна степен зложелател може да „придърпа” трафик от отдалечени мрежи. Схемата на Фиг. 7 пояснява атака от такъв вид. Тя е реализирана чрез инструмента Yersinia и тестването показа, че тя е напълно осъществима. Сегментирането вече не помага Често препоръчан метод за защита на мрежите от ARP спуфинг е сегментирането, но той вече не е ефективен. Атакуващият, даже ако той има контрол над една единствена връзка към даден комутатор, потенциално може да чете трафик от всички виртуални мрежи на всички комутатори, ако те са свързани помежду си. Това, от една страна, е справедливо дотогава, докато остава в сила конфигурацията на устройствата по подразбиране. Най-простата мярка за предотвратяване на описаната атака е статичната конфигурация на портовете за достъп за потребителите (устройствата на базата на IOS: switchport mode access, устройства с CatOS: set trunk mod/port off). Магистрален протокол за виртуални мрежи Докато „етикираният VLAN” е предназначен за причисляване на отделни пакети към съответната виртуална мрежа, то магистралният протокол за виртуални мрежи обезпечава обмена на информация за виртуалните мрежи между комутаторите, т.е. за това какви VLAN има, как се казват и т.н. За целта комутаторите изпращат през магистралните портове VTP пакети, макар че функционална VTP комуникация е възможна само между комутатори от един и същи VTP домейн. С помощта на VTP те синхронизират своите VLAN бази данни, като използват номера на версията, която в случай на конфликти при синхронизацията се приема в качеството на арбитър. Cisco комутаторите работят в различни „VTP режими”:  сървър (по подразбиране създава и премахва глобални виртуални мрежи);  клиент (няма права да внася изменения във виртуалните мрежи);  прозрачен (може да създава/ премахва локални виртуални мрежи, но игнорира обновяването на VTP). Зложелател, способен да генерира VTP пакети с по-голям номер на версията (чрез включване в мрежата на устройства с висок номер на версията или изпращане на съответен мрежов пакет; условие за това е наличието на магистрална връзка с устройство, изпълняващо ролята на „VTP сървър”), е в състояние изцяло да изтрие информацията за виртуалните мрежи от целия VTP домейн или цялата мрежа. Това е равносилно на DoS атака. Тъй като при VTP става дума за пакети от второ ниво(както и при CDP, но със SNAP HDLC 0х2003), зложелателят трябва да има контрол над системата чрез физически достъп до един от сегментите. Решаваща е връзката с порт от устройството и — както бе описано по-горе — възможност за изграждане на („фалшиво”) магистрално съединение. Атака може да се осъществи само теоретично при условие, че има връзка към магистралата; в този случай Yersinia представлява „подходящ инструмент” за автоматично осъществяване на агресия. Важна мярка за защита от проблема с безопасност на базата на VTP е коректната конфигурация на портовете за достъп (вж. по-горе), което води до блокиране на неоторизираните магистрали. Освен това може да се създаде парола, която се включва в справочника MD5 от VTP пакети, т.е. не се предава в открит вид. Системните администратори на мрежи с комутатори Cisco трябва да внедрят мерки по обезпечаване сигурността на мрежата на второ ниво.

Последни новини

• Двуобхватен маршрутизатор от новата серия amplifi обяви D-Link
• D-Link вдига HD оборотите с нов двулентов високопроизводителен рутер DIR-857
• Мултимедийните системи Aastra 400 обслужват комуникациите на СМБ
• Aastra обявява виртуализирана мултимедийна централа
• Vivacom обяви нови двойни пакети, подсилващи фиксираната телефония.

Активни теми във форума

• » Супер Боб
• » въпрос:Как да изградя мрежа
• » Закони за успех във високите доходи.
• » Сайт за гледане на онлайн телевизия
• » Ето едно саийче, за пари!