Zagrożenie bezpieczenstwa sieci w warstwie 2
- Krzysztof Banel,
- 01.11.2003
Mówi się, że całkowity poziom bezpieczeństwa sieci nie jest wyższy od poziomu zabezpieczenia najsłabszego jej ogniwa. Okazuje się, że tym najsłabszym ogniwem jest często warstwa 2 (L2), odpowiadająca za zestawienie logicznego łącza transmisji danych pomiędzy systemami.
Mówi się, że całkowity poziom bezpieczeństwa sieci nie jest wyższy od poziomu zabezpieczenia najsłabszego jej ogniwa. Okazuje się, że tym najsłabszym ogniwem jest często warstwa 2 (L2), odpowiadająca za zestawienie logicznego łącza transmisji danych pomiędzy systemami.
Zdarza się, że osoby, które zajmują się bezpieczeństwem sieci i systemów czy administratorzy sieciowi zaniedbują kontrolę nad tą warstwą, uważając ją za mniej istotną od szyfrowania danych w L3 (np. IPsec) czy autoryzacji dostępu.
Wynika to przede wszystkim z nieświadomości zagrożeń w L2. Warto pamiętać, że sukces włamywacza i przejęcie kontroli nad przepływem danych w tej warstwie mogą umożliwić skuteczne ataki na protokoły i aplikacje w wyższych warstwach.
Przepełnienie tablic adresowych przełącznika (MAC flooding)
Atakom typu MAC flooding można zaradzić, ograniczając liczbę adresów MAC dla danego portu fizycznego (Port Security) lub wdrażając system autoryzacji dostępu w L2, czyli 802.1x. Funkcja Port Security pozwala m.in. na fizyczne rozłączenie portu, który przekroczył swój limit adresów MAC.
Nadużywanie protokołów trunkingu VLAN
Protokoły trunkingu sieci VLAN, takie jak IEEE 802.1q czy Cisco ISL, powinny być uruchamiane wyłącznie na portach, do których mają być dołączone znane nam przełączniki i inne systemy wymagające zestawienia takiego traktu. Gdy konfiguracja portu dostępowego, statyczna lub dynamiczna (ustawienia typu Auto), zezwala na zestawienie traktu 802.1q, umożliwia to włamywaczowi obserwację i wysyłanie ramek do wszystkich sieci VLAN w ramach traktu (tzw. VLAN leaking).Jeszcze większe zagrożenie niesie atak typu VLAN hopping. Wykorzystuje on implementację tzw. Native VLAN w ramach protokołu 802.1q, wprowadzoną, aby umożliwić zestawianie traktów z portami w starszych przełącznikach, wysyłającymi i odbierającymi ramki pozbawione znacznika VLAN (untagged). Takie ramki są kwalifikowane do Native VLAN i przesyłane bez znacznika przez trakty 802.1q. Nawet jeśli na danym porcie 802.1q pojawia się ramka należąca do Native VLAN i zawierająca znacznik (tagged), to zostanie ona tego znacznika pozbawiona i przesłana dalej bez niego. Umożliwia to włamywaczowi podwójne opakowanie ramki - w zewnętrzny znacznik dla Native VLAN oraz wewnętrzny, identyfikujący sieć VLAN, którą chce zaatakować. Ramka taka, po skierowaniu do przełącznika poprzez Native VLAN, zostanie w efekcie przesłana do zupełnie innej sieci! Sytuację pogarsza fakt, że ramki ze znacznikiem 802.1q, ale kierowane do Native VLAN, są akceptowane również na portach, gdzie trunking 802.1q jest wyłączony (typowych portach dostępowych). Atak typu VLAN hopping działa wyłącznie w jednym kierunku (od włamywacza do atakowanej sieci VLAN), tym niemniej pozwala na realizację skutecznych ataków typu DoS (Denial of Service).
Trzeba pamiętać, że sieć VLAN powinna być rozciągnięta tylko na tę część domeny L2, w której znajdują się użytkownicy tej sieci. W związku z tym na danym trakcie 802.1q zaleca się eliminowanie tych sieci VLAN, które nie są wykorzystywane w dołączanym przez trakt obszarze domeny (tzw. Pruning).