Sieć wspólnych zainteresowań

Cisco Forum 2004 było okazją do zapoznania się z nowościami Cisco oraz trendami w dziedzinie zarządzania i ochrony sieci.

Cisco Forum 2004 było okazją do zapoznania się z nowościami Cisco oraz trendami w dziedzinie zarządzania i ochrony sieci.

Po raz pierwszy konferencja Cisco Forum została zorganizowana wspólnie z partnerami: Energis, NextiraOne, Ster-Projekt i Solidex. Podczas sesji inauguracyjnej Michael Ganser, odpowiedzialny w Cisco za Europę Środkową, przekonywał, że inwestycje w infrastrukturę sieciową to niezbędny czynnik rozwoju gospodarczego Polski w najbliższych latach. Nawiązywał przy tym do inicjatyw, które Cisco podejmuje wspólnie z partnerami, by wykorzystać do budowy nowoczesnej infrastruktury środki UE.

Wideo w telefonie

Cisco wykorzystało imprezę do poinformowania o kilku nowościach. Nowy system wideotelefoniczny jest rozszerzeniem systemu Call Manager wprowadzonym w ramach wersji 4.0. Oprogramowanie działające na telefonach IP z kolorowymi wyświetlaczami komunikuje się z kamerami IP podłączanymi przez USB.

Według Cisco system kosztujący ok. 200 USD (oprogramowanie wraz z kamerą) czyni wideo-telefonię tak łatwą, jak korzystanie z telefonu. Pozwala zestawiać wideokonferencje i przekazywać połączenia wideo, wyświetlając przy tym na ekranie obraz tej osoby, która w danej chwili mówi.

Tabela pęka w szwach

Jedną z ważniejszych prezentacji była sesja poświęcona zabezpieczaniu sieci LAN przed atakami na protokoły drugiej warstwy OSI. Tak się składa, że we wprowadzanej właśnie do sprzedaży wersji CatOS - firmware przełączników Catalyst - znalazło się wiele takich funkcji.

Pierwsza grupa zabezpieczeń jest związana z atakami na tablice adresów MAC i tablice ARP. Funkcja port security znana z przełączników Catalyst 5000 zostanie włączona do standardowej wersji CatOS. Oferowana przez nią możliwość ograniczenia liczby adresów MAC dopuszczonych do komunikacji na konkretnym porcie pozwala zabezpieczyć przełącznik przed generatorami adresów MAC, takimi jak macof, dsniff czy ettercap, zdolnymi zapełnić całą tablicę MAC w ciągu kilkudziesięciu sekund.

"Działa tu efekt domina - gdy tablica przełącznika zostanie zapełniona, ruch MAC jest rozsyłany do wszystkich podsieci i tak zapełniają się tablice wszystkich przełączników" - mówił Marek Moskal z Cisco.

Grzeczność nie popłaca

Innym zagrożeniem jest możliwość podszycia się pod adres MAC uprawnionego komputera przez włączenie do sieci nowego komputera i za pośrednictwem "grzecznościowego" (gratuitous) zapytania ARP wyłudzanie adresów MAC i powiązanych z nimi adresów IP kluczowych urządzeń, np. bramek do Internetu. Jest to możliwe, ponieważ wiele systemów, w tym Windows i Linux, buforuje takie informacje nawet wtedy, gdy nie ma takiej potrzeby.

Niedopuszczenie do ataku gratuitous ARP i w konsekwencji do ataku z użyciem narzędzi, takich jak macof, jest ważne nie tylko dlatego że zalewają one sieć fałszywymi adresami MAC. Narzędzia te potrafią dekodować wiele protokołów sieciowych, w tym protokoły logowania, SSH, ICA czy protokoły popularnych serwerów baz danych. Taka sytuacja to idealny początek ataków typu man-in-the-middle, pozwalających wychwytywać dowolne dane. Szczególnie zjadliwe jest pod tym względem narzędzie Cain and Able, które potrafi obsługiwać ruch sieciowy w trybie full duplex i np. doklejać własne komendy TCP/IP.

W tym przypadku port security nic nie pomoże - "skradziony" adres jest przecież uprawniony. Najlepszymi metodami zabezpieczania się przed takimi scenariuszami są: funkcja inspekcji ARP, listy dostępowe na portach oraz przypisywanie adresów MAC adresom IP.

Inteligentne DHCP

Jeżeli adresy IP są przydzielane dynamicznie, najlepiej jest wykorzystać znaną funkcję IP Source Guard. Rozwiązanie to działa w ten sposób, że tworzona jest tymczasowa lista ACL dla adresów IP, które zostały przyznane przez serwer DHCP i są aktywne, oraz dla korespondujących z nimi adresów MAC. Jeżeli intruz 'ukradnie' adres IP lub MAC i będzie przy ich pomocy próbować zdobyć dostęp do sieci, mechanizm IP Source Guard stwierdzi, że taki adres został już nadany i że kolejna jego instancja świadczy najprawdopodobniej o ataku.

W najnowszej edycji CatOS Cisco stworzyło jednak nowy, niezależny od dotychczasowego, mechanizm zwany DHCP snooping (podsłuchiwanie DHCP). "DHCP snooping polega na tym, że przełącznik zapamiętuje któremu adresowi MAC serwer DHCP przyznaje dany adres IP i nie pozwala, by jakiś inny adres MAC posługiwał się nie swoim adresem IP. Przełącznik niejako uznaje, że serwer DHCP jest wyżej w hierarchii i 'wie lepiej'" - mówił Marek Moskal.

Na sesji poruszany był także problem ataku polegającego na wysłaniu przez intruza komunikatu świadczącego o tym, że to on jest 'legalnym' serwerem DHCP. Ponieważ większość klienckich systemów operacyjnych wybiera serwer DHCP, który odpowie jako pierwszy, intruz ma realne szanse podszycia się pod uprawniony serwer DHCP i w ten sposób skierować go na fałszywy adres serwera DNS i routera.

Zabezpieczeniem przed taką ewentualnością, zwłaszcza w sieciach silnie rozproszonych, może być wprowadzenie lokalnych serwerów DHCP w podsieciach, co pozwoli skrócić czas oczekiwania na odpowiedź. Drugim rozwiązaniem może być wspomniana wyżej nowa funkcja DHCP snooping. Pozwala ona na wprowadzenie na przełączniku 'sztywnego' przypisania możliwości oferowania usług DHCP do określonego portu, w wyniku czego 'oferty' DHCP pojawiające się na innych portach będą ignorowane. Dodatkowo funkcja DHCP snooping pozwala na ograniczenie liczby zapytań DHCP na sekundę, co pozwala zabezpieczać uprawnione serwery DHCP przed zalewem zapytań generowanych przez narzędzia w rodzaju macof.

Kłopoty w podsieci

Jednym z obszarów zagrożeń w warstwie drugiej jest naruszanie uprawnień związanych z podsieciami VLAN. Zagrożenie takimi atakami występuje zwłaszcza wtedy, gdy podsieci VLAN obejmują porty na wielu przełącznikach, połączonych ze sobą pomostami trunk. Cisco zaleca, aby do tworzenia mostów nie wykorzystywać połączeń przez kanał VLAN1, ponieważ tym właśnie kanałem przesyłane są protokoły sterujące. Nawet jeżeli z biegiem czasu kanał VLAN1 zostanie 'skasowany' przez administratora, z punktu widzenia przełącznika wciąż będzie on istnieć i będzie przenosić protokoły sterujące CDP i VTP.

Cisco odradza stosowanie protokołu VTP (VLAN Trunking Protocol). Intruz, który uzyska dostęp do portu trunk może bowiem rozesłać komunikat do wszystkich przełączników, że jest serwerem VTP bez zdefiniowanych jakichkolwiek podsieci VLAN. W efekcie zdefiniowane na wszystkich przełącznikach podsieci zostaną automatycznie skasowane i cała sieć stanie się widoczna dla każdego podłączonego do niej urządzenia. Stąd już tylko krok do poważniejszego ataku. Jeżeli z VTP zrezygnować się nie da, Cisco sugeruje korzystać rezygnację z wpisów konfiguracyjnych wprowadzanych otwartym tekstem na rzecz skrótów hash.

Na konferencji powtórzone zostało znane od kilku lat zalecenie Cisco odnośnie bezpieczeństwa połączeń VLAN z funkcją automatycznej konfiguracji połączeń VLAN na przełącznikach. Firma doradza, by ustawienie to bezwzględnie wyłączyć, ponieważ rodzi zagrożenie atakiem polegającym na podszyciu się obcego komputera pod przełącznik z portem trunk skonfigurowanym, jako favourable, co oznacza, że będzie on automatycznie odbierać wszystkie ramki z flagami VLAN.