ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2
Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
Вернуться   Форум АНТИЧАТ > ИНФО > Статьи
Перезагрузить страницу Безопасность в сетях, построенных на Layer2 коммутаторах.
   
 
 
Опции темы Поиск в этой теме Опции просмотра
Предыдущая Предыдущее сообщение   Следующее сообщение Следующая

Безопасность в сетях, построенных на Layer2 коммутаторах.
  #1  
Старый 29.05.2009, 19:10
Аватар для AlexSatter
AlexSatter
Постоянный
Регистрация: 29.01.2009
Сообщений: 333
Провел на форуме:
1168802

Репутация: 298
По умолчанию Безопасность в сетях, построенных на Layer2 коммутаторах.
В этой статье будет рассмотрено, как можно произвести атаки на Layer2 сети и как можно защитить такую сеть от нападения с помощью оборудования Cisco Systems.

Типы Layer2 аттак
  • Vlan Hopping Смысл атаки заключается в том, что злоумышленник может получить доступ к другому устройству в сети не из своего VLAN
  • Атака на STP Смысл атаки заключается в том, что злоумышленник, с помощью программных средств может отправить коммутатору пакет BPDU, в котором указать высокий приоритет и меньший MAC адрес и тем самым стать «корневым коммутатором» с целью перехвата сетевого трафика.
  • MAC спуфинг Злоумышленник может подменить MAC адрес, с целью захватить трафик необходимого ему устройства.
  • Атака на PVLAN Private Vlan, это виланы, которые составляют одну подсеть (как правило) и между хостами этого вилана связи быть не должно. Но злоумышленник может получить доступ к соседнему устройству PVLAN посредством устройства L3 (роутера).
  • Атака на DHCP Злоумышленник может заполнить весь пул DHCP с помощью генерации большого количества запросов с несуществующими MAC адресами. Что приведет к DOS атаке, т.е. отказу в обслуживании, т.к.. так как после заполнения пула сервер не сможет выделять адреса реальным хостам. После чего атакующий может поднять собственный, DHCP сервер и хосты сети будут получать от недоверительного сервера все настройки, которые укажет злоумышленник. Например, он может направить весь трафик через свой хост и таким образом перехватить и просканировать его на предмет служебной информации.

Рассмотрим эти атаки и меры борьбы с ними более подробно.

1. Переполнение CAM таблицы.

Коммутатор имеет CAM таблицу, где содержится "привязка", какие MAC адреса на каком порту принимаются.
Разумеется CAM таблица не бесконечна и имеет свои размеры. Например коммутатор Catalyst 2960 может содержать 8192 MAC адресов, Catalyst 6000 серии 128000 MAC адресов.
Стоит подумать, а что же произойдет, когда вся таблица будет занята? Новые записи не смогут добавляться, весь трафик будет проходить на все порты.
Что это даст атакующему вполне очевидно. Он может "прослушать" весь сетевой трафик и получить конфеденциальную информацию.
Стоит отметить, что всё это действенно для VLAN'а, в котором находится злоумышленник. т.е. после переполнения данной таблицы атакующий не сможет прослушивать весь сетевой трафик, который "ходит" через коммутатор, а лишь своего VLAN, но и это не очень радостно.
Какие же существуют способы борьбы с данным видом атаки?
Логика подсказывает, что для подавления такой атаки, нам необходимо указать, что на порте коммутатора, к которому подключен пользователь может быть скажем не больше одного MAC адреса, а в случае если появляется более одного, перевести порт в отключенное состояние и отправить сообщение администратору о нарушении безопасности (например на syslog сервер).
Рассмотрим на примере.
Допустим, у нас есть коммутатор Cisco Catalyst 2960,24 порта к которым подключены пользователи. Нужно сделать так, чтоб на каждом порту мог быть только один хост (иными словами только один MAC адрес, какой? сейчас нас это не интересует).
Для этого делаем:

Заходим в режим глобального конфигурирования:


Код:
switch# conf t
Затем перейдем к конфигурированию портов, выберем сразу все, с 1 по 24

Код:
 switch(config)#int range f0/1
Затем укажем что все эти порты являются портами доступа

Код:
 switch(config-if-range)#switchport mode access
Включаем защиту порта: port-security

Код:
switch(config-if-range)#switchport port-security
Выбираем реакцию на нарушения нашей политики безопасности. Т.е. что будет коммутатор делать, когда на порту появится больше MAC адресов чем нами указано. В данном случае мы хотим чтоб порт выключался и посылалось соответсвующее сообщение по SNMP trap и syslog. Данную опцию можно не указывать принудительно, она действует по умолчанию. Так же существуют режимы: protect и restrict. Смысл этих режимов заключается в том, что порт не будет выключаться (т.е. переходить в состояние shutdown), а лишь будут блокироваться пакеты, если обнаружено нарушение связанное с MAC адресами. Protect от Restrict отличается тем, что при возникновении внештатной ситуации restrict может послать snmp trap и syslog сообщение о нарушении политики безопасности.

Код:
switch(config-if-range)#switchport port-security violation shutdown
Соответсвенно указываем сколько MAC адресов мы готовы увидеть на этом порту. В данном случае 1 MAC адрес, значение 1, устанавливается по умолчанию.

Код:
switch(config-if-range)#switchport port-security maximum 1
Поставим порт коммутатора в режим обучения, т.е. первый MAC адрес, который будет получен через этот порт, будет прописан автоматически в running-config. Запись будет сохраняться до тех пор не будет перезагружен коммутатор. Либо если сделать copy running-config startup config (или просто wr) то, значения привязка MAC адреса к порту будет сохранена и в дальнейшем может использоваться даже после перезагрузки коммутатора.

Код:
switch(config-if-range)#switchport port-security mac-address sticky
Данной меры вполне достаточно чтобы избежать атаку на переполнение CAM таблицы.

Несколько команд для просмотра установок сделанных на портах, связанных с port-security.

Код:
show port-security
Пример:

Код:
catalyst#show port-security 
Secure Port  MaxSecureAddr  CurrentAddr  SecurityViolation  Security Action
                (Count)       (Count)          (Count)
---------------------------------------------------------------------------
      Fa0/1              2           	 2             	 38174         		Restrict
      Fa0/2              2           	 2              	21601         		Restrict
      Fa0/3              3           	 3               	6346         		Restrict
      Fa0/4              2            	2             	 34777        		 Restrict
      Fa0/5              2            	2                  	0         			Restrict
skipped
     Fa0/48              2            	2                 	26         		Restrict
---------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port)     : 35
Max Addresses limit in System (excluding one mac per port) : 8320
catalyst#
Команда покажет вам на каких портах включен port-security и как они сконфигурированы относительно безопасности port-security.

show port-security interface имя_интерфейса.
Пример:

Код:
catalyst#show port-security int f0/1

Port Security              : Enabled
Port Status                : Secure-up
Violation Mode             : Restrict
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 2
Total MAC Addresses        : 2
Configured MAC Addresses   : 0
Sticky MAC Addresses       : 2
Last Source Address:Vlan   : 001b.d491.4b1a:1
Security Violation Count   : 38176
catalyst#
В отличии от предыдущей команды, покажет вывод настроек конкретного интерфейса.
 
Ответить с цитированием
 



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ