Угрозы безопасности на канальном уровне (Data Link)
Создана 29.07.2024
Отредактирована 31.07.2024
Отредактирована 31.07.2024
Напомним, что эталонная модель OSI разделена на семь уровней, которые работают независимо друг от друга. На рисунке показана функция каждого слоя и основные элементы, которые можно использовать.
Сетевые администраторы регулярно внедряют решения безопасности для защиты элементов от уровня 3 до уровня 7. Они используют VPN, межсетевые экраны и устройства IPS для защиты этих элементов. Однако, нарушение системы безопасности на уровне 2 также повлияет и на все уровни выше. Например, если исполнитель угрозы с доступом к внутренней сети захватил кадры уровня 2, то вся защита, реализованная на уровнях выше, будет бесполезной. Атакующий может нанести большой ущерб сетевой инфраструктуре LAN 2-го уровня.
Уровень безопасности определяется наиболее уязвимым звеном системы, которым в данном случае является 2-й уровень. Это связано с тем, что локальные сети традиционно находились под административным контролем единственной организации. Сотрудники helpdesk и сетевые администраторы доверяли всем лицам и устройствам, подключённым к локальной сети. В нынешней ситуации, с учётом внедрения концепции BYOD и появления более изощренных способов атак, локальные сети становятся более уязвимыми для проникновения извне.
Bring your own device (BYOD) — концепция, относящаяся к разрешению использовать собственное цифровое устройство (ноутбук, планшет и т.д) вместо официального предоставленного.
| Категория | Примеры |
|---|---|
| Атака на таблицу MAC | Включает в себя атаки с переполнением таблицы CAM |
| Атаки на сети VLAN | Включает в себя атаки с переходом по VLAN и с двойным тегированием VLAN. Также это включает в себя атаки между устройствами в общей VLAN. |
| Атаки, связанные с DHCP | Включает спуфинг и атаку истощения ресурсов DHCP |
| ARP атаки | Включает атаки подмены ARP и "отравление" ARP-кэша |
| Атаки с подменной адреса | Включает атаки подмены МАС и IP адресов |
| Атака STP | Включает в себя атаки путем манипуляции протоколом STP |
Атака на таблицу MAC-адресов
Напомним, что для принятия решений о переадресации коммутатор LAN уровня 2 создает таблицу на основе MAC-адресов источника в принятых кадрах. Это называется таблица МАС-адресов. Таблицы MAC-адресов хранятся в памяти и используются для более эффективной пересылки кадров.
Все таблицы MAC-адресов имеют фиксированный размер, и, следовательно, коммутатор может исчерпать ресурсы для хранения MAC-адресов. Атаки с переполнением таблицы MAC-адресов используют это ограничение, отправляя фиктивные MAC-адреса источника, до тех пор, пока таблица МАС-адресов коммутатора не заполнится и коммутатор не сможет правильно работать дальше.
Когда это происходит, коммутатор обрабатывает кадр как неизвестную одноадресную рассылку и начинает пересылать весь входящий трафик из всех портов в той же VLAN без учета таблицы MAC адресов. Это условие теперь позволяет атакующему захватить все кадры, отправленные с одного хоста на другой в локальной сети или локальной сети VLAN.
Примечание: трафик лавинообразно пересылается только внутри локальной сети или VLAN. Злоумышленник может
захватывать трафик только в локальной сети или VLAN, к которой подключен исполнитель угрозы.
Что делают такие инструменты как macof (данный инструмент есть в Kali Linux) настолько опасными, так это то, что злоумышленник может очень быстро создать атаку переполнения таблицы MAC-адресов. Например, коммутатор Cisco Catalyst 2960 может хранить 8000 MAC-адресов в своей таблице. Такой инструмент как macof может переключать скорость до 8000 поддельных кадров в секунду; создать атаку переполнения таблицы MAC-адресов за несколько секунд.
Другая причина, по которой эти инструменты атаки опасны, заключается в том, что они не только влияют на локальный коммутатор, но и на другие подключенные коммутаторы уровня 2. Когда таблица MAC-адресов коммутатора заполнена, она начинает заполнять все порты, включая те, которые подключены к другим коммутаторам уровня 2.
Чтобы нейтрализовать атаки переполнения таблицы MAC-адресов, сетевые администраторы должны реализовать защиту портов (Port security). Защита порта позволит получить только определенное количество исходных MAC-адресов на порту.
Атака VLAN hopping
VLAN hopping позволяет видеть трафик из одной VLAN в другой VLAN без помощи маршрутизатора. В базовой атаке VLAN hopping, атакующий настраивает узел так, чтобы он действовал как коммутатор, чтобы использовать функцию автоматического согласования магистрального порта, включенную по умолчанию, на большинстве портов коммутатора.
Злоумышленник настраивает хост на подделку сигналов 802.1Q и проприетарной сигнализации DTP-протокола Cisco для магистрального канала между коммутаторами. В случае успеха коммутатор устанавливает магистральную связь с хостом, как показано на рисунке. Теперь злоумышленник может получить доступ ко всем VLAN на коммутаторе. Хакер может отправлять и получать трафик в любой VLAN, эффективно переключаясь между VLAN.
Благодаря этому в некоторых случаях злоумышленник может встроить внутрь кадра скрытый тег 802.1Q в кадр, который уже имеет 802.1Q тег. Этот тег позволяет кадру попасть во VLAN, которую не определяет исходный тег 802.1Q
Шаг 1. Злоумышленник передает коммутатору кадр 802.1Q с двойным тегированием. Внешний заголовок имеет тег принадлежащей злоумышленнику сети VLAN, которая совпадает с нативной VLAN магистрального порта.
Шаг 2. Кадр поступает в первый коммутатор, который видит первый 4-байтовый тег 802.1Q. Коммутатор видит, что кадр предназначен для native VLAN. Коммутатор рассылает пакет через все порты native VLAN , отбросив тег native VLAN . В магистральном порте тег VLAN 10 отброшен, но новый тег не присваивается, поскольку это часть сети native VLAN. На этом этапе внутренний тег VLAN все еще не поврежден и не был проверен первым коммутатором.
Шаг 3. Кадр поступает во второй коммутатор, но он не имеет информации о том, что он предназначен для native VLAN. Трафик native VLAN не тегируется передающим коммутатором в соответствии со спецификацией протокола 802.1Q. Второй коммутатор видит только внутренний тег 802.1Q, который передал злоумышленник, и понимает, что кадр адресован целевой VLAN. Второй коммутатор пересылает кадр в порт-жертву или рассылает его по всем портам в зависимости от того, существует ли запись в таблице MAC-адресов для хоста-жертвы.
Этот вид атаки является однонаправленным и работает, только если злоумышленник подключён к порту, находящимся в той же VLAN, что и сеть native VLAN транкового порта. Идея состоит в том, что двойная маркировка позволяет злоумышленнику отправлять данные на хосты или серверы в VLAN, которые в противном случае были бы заблокированы каким-либо типом конфигурации контроля доступа. Предположительно, обратный трафик также будет разрешен, что дает злоумышленнику возможность общаться с устройствами в заблокированной VLAN.
Атаки VLAN hopping и двойной маркировкой VLAN могут быть предотвращены путем реализации следующих рекомендаций по безопасности магистральных каналов:
- Отключить транкинг на всех портах доступа.
- Принудительно задать режим транка.
- Убедитесь, что native VLAN используется только для магистральных каналов.
Атаки с использованием DHCP
Два типа атак DHCP - это истощение DHCP и DHCP spoofing. Обе атаки нейтрализуются за счет реализации DHCP snooping.
Цель атаки с истощением DHCP - создать отказ в обслуживании (DoS) для подключения клиентов. Для атаки путем истощения ресурсов DHCP необходим специальный инструмент, например, Gobbler. Gobbler способен искать все доступные для аренды IP-адреса и пытается все их арендовать. В частности, он создает сообщения DHCP Discover с поддельными MAC-адресами.
Атака типа «DHCP-спуфинг» состоит в том, что к сети подключается мошеннический DHCP-сервер и предоставляет ложные параметры настройки IP легитимным клиентам. Подставной сервер может предоставлять различные неправильные сведения:
- Неправильный шлюз по умолчанию. Злоумышленник предоставляет неправильный шлюз или IP-адрес своего хоста для создания атаки через посредника. Это может пройти полностью незамеченным, поскольку злоумышленник перехватывает поток данных в сети.
- Неправильный DNS-сервер. Злоумышленник предоставляет неправильный адрес DNS-сервера, направляя пользователя на вредоносный веб-сайт.
- Неправильный IP-адрес. Злоумышленник сообщает неправильный IP-адрес шлюза по умолчанию и создает DoS-атаку на DHCP-клиента.
Атаки с использованием ARP
Хосты передают ARP-запрос в широковещательном режиме другим хостам в сегменте, чтобы определить MAC-адрес хоста с конкретным IP-адресом. Все хосты в подсети получают и обрабатывают этот ARP-запрос. Хост с IP-адресом, соответствующим ARP-запросу, отправляет ARP-ответ.
Любой клиент может отправить незапрашиваемый ARP-ответ, который называется gratuitous ARP (самообращенный ARP). Когда хост отправляет самообращенный ARP, другие хосты в подсети сохраняют в своих ARP-таблицах MAC-адрес и IP-адрес, содержащиеся в этом ответе.
gratuitous [grəˈtjuːɪtəs] безвозмездный
Проблема заключается в том, что злоумышленник может отправить коммутатору сообщение gratuitous ARP, содержащее поддельный MAC-адрес, и коммутатор соответствующим образом обновит свою таблицу MAC-адресов. В типичной атаке субъект угрозы может отправлять незапрошенные ответы ARP другим узлам в подсети с MAC-адресом субъекта угрозы и IP-адресом шлюза по умолчанию.
В Интернете доступно множество инструментов для организации атак через посредника с использованием ARP.
IPv6 использует протокол обнаружения соседей ICMPv6 для разрешения адресов уровня 2. IPv6 включает в себя стратегии по нейтрализации подмены объявления соседей (Neighbor Advertissement), подобным образом IPv6 предотвращает поддельный ARP-ответ.
Атаки ARP спуфингаи «отравление» ARP-кэша нейтрализуются путем внедрения DAI.
Атаки с подменной IP и MAC-адресов
Подмена IP-адреса - это действие, когда злоумышленник перехватывает действительный IP-адрес другого устройства в подсети или использует случайный IP-адрес. Подмену IP-адреса трудно нейтрализовать, особенно когда он используется внутри подсети, которой принадлежит IP-адрес.
Злоумышленники изменяют MAC-адрес своего хоста в соответствии с другим известным MAC-адресом целевого хоста. Коммутатор перезаписывает текущую запись в таблице CAM и назначает MAC-адрес новому порту. Затем он пересылает кадры, предназначенные для целевого хоста, на атакующий хост.
Когда целевой хост отправляет трафик, коммутатор исправит ошибку, переназначив MAC-адрес на исходный порт. Чтобы не дать коммутатору вернуть назначение порта в правильное состояние, злоумышленник может создать программу или сценарий, который будет постоянно отправлять кадры коммутатору, чтобы коммутатор сохранял неверную или поддельную информацию.
На уровне 2 нет механизма безопасности, который позволял бы коммутатору проверять источник MAC-адресов, что делает его таким уязвимым для атак спуфинга.
Атаки подмены IP и MAC-адресов может быть уменьшена путем внедрения IPSG.
Атаки с использованием STP
Сетевые злоумышленники могут манипулировать протоколом связующего дерева (STP) для проведения атаки путем подмены корневого моста и изменения топологии сети. Затем злоумышленники могут захватить весь трафик для домена с немедленной коммутацией.
Для проведения атак путем манипуляций STP хост злоумышленника передает широковещательные пакеты BPDU с информацией об изменении конфигурации и топологии STP, чтобы вызвать перерасчет связующего дерева. Передаваемые хостом злоумышленника пакеты BPDU объявляют о более низком значении приоритета моста для попытки избрания хоста корневым мостом.
Эта STP-атака нейтрализуется за счет реализации BPDU Guard на всех портах доступа.
Разведывательные атаки на CDP
Протокол Cisco Discovery Protocol (CDP) — это проприетарный протокол обнаружения канала уровня 2. Он включен на всех устройствах Cisco по умолчанию. Сетевые администраторы также используют протокол CDP для настройки сетевых устройств и для поиска и устранения их неполадок. Информация протокола CDP отправляется через порты с поддержкой CDP в периодических незашифрованных широковещательных рассылках. Данные протокола CDP включают IP-адрес устройства, версию ОС, а также сведения о платформе, возможностях и VLAN с нетегированным трафиком. Устройство, получившее сообщение CDP, обновляет свою базу данных CDP.
Чтобы минимизировать вероятность использования CDP злоумышленниками, ограничьте использование протокола CDP на устройствах или портах. Например, отключите CDP на пограничных портах, которые подключаются к недоверенным устройствам.
Чтобы полностью отключить протокол CDP на устройстве, используйте команду no cdp run режима глобальной конфигурации. Чтобы полностью включить протокол CDP, используйте команду cdp run режима глобальной настройки.
Чтобы отключить CDP для порта, используйте команду конфигурации интерфейса no cdp enable
Чтобы включить CDP для порта, используйте команду конфигурации интерфейса cdp enable
Чтобы включить CDP для порта, используйте команду конфигурации интерфейса cdp enable
Примечание: Протокол LLDP тоже уязвим к разведывательным атакам. Чтобы полностью отключить протокол LLDP, введите команду no lldp run. Чтобы отключить протокол LLDP на интерфейсе, введите команды no lldp transmit и no lldp receive.