Zagrożenie bezpieczenstwa sieci w warstwie 2

Kolejny krok to usunięcie Native VLAN. Powinien on zostać przypisany sieci VLAN, która nie będzie w ogóle wykorzystywana, i usunięty ze wszystkich zdefiniowanych traktów 802.1q. Innym rozwiązaniem jest wymuszenie znacznikowania dla wszystkich sieci VLAN na traktach 802.1q, w tym dla Native VLAN, jeśli to możliwe w danym modelu przełącznika.

Niewykorzystywane przez użytkowników porty powinny być zakwalifikowane do specjalnie utworzonej sieci VLAN, różnej od Native VLAN - jej obsługa powinna zostać wyłączona na wszystkich traktach 802.1q.

W wielu rozwiązaniach używa się dedykowanej sieci VLAN do przesyłania informacji systemowych między przełącznikami (np. w urządzeniach Cisco protokoły CDP, VTP, DTP przesyłają informacje poprzez sieć VLAN 1). Taka sieć VLAN, ze względu na to, że obejmuje bez ograniczeń całość domeny L2, może stanowić wygodną drogę ataku. Dlatego nie powinna być wykorzystywana do transmisji danych czy zarządzania. Do tego ostatniego zadania powinna być stworzona osobna sieć VLAN przeznaczona wyłącznie do tego celu.

Wykorzystanie protokołu ARP

Zagrożenie bezpieczenstwa sieci w warstwie 2

Rys. 5. Wykorzystanie Gratuitous ARP

Zagrożenie bezpieczenstwa sieci w warstwie 2

Rys. 6. Funkcja ARP Inspection w przełączniku Cisco

Protokołu ARP (Address Protocol), umożliwiającego odwzorowanie adresów L3 (IP) do adresów L2 (MAC), nie można jednoznacznie zakwalifikować do żadnej z tych warstw. Zwykłe jego działanie polega na tym, że system pragnący nawiązać kontakt z innym systemem o danym adresie IP rozgłasza zapytanie (ARP Request broadcast) o jego adres MAC. Odpowiada na nie (ARP Reply) albo sam poszukiwany system, gdy znajduje się on w tym samym segmencie sieci, albo ruter znający ścieżkę do niego. Oprócz takiego przyczynowo-skutkowego zachowania, możliwe jest samorzutne wysyłanie rozgłoszeniowej odpowiedzi bez zaproszenia do tego, czyli tzw. Gratuitous ARP. W zwykłych warunkach system generuje takie odpowiedzi, np. po zmianie swojego adresu IP czy też po restarcie. Inne systemy, które wcześniej zarejestrowały w swojej tablicy (ARP Cache) odwzorowanie IP-MAC dla tego systemu, zmienią je na nowe. Należy podkreślić, że protokół ARP nie ma żadnych mechanizmów uwierzytelniania. Wynika z tego, że działający w złej wierze użytkownik może w łatwy sposób podszyć się pod inny system, a nawet przechwycić całość komunikacji w danej sieci VLAN. Przykładowo, wysyłając odpowiedź Gratuitous ARP i podszywając się pod adres IP rutera w danej sieci, spowoduje przesyłanie całości ruchu wyjściowego do siebie (ARP spoofing). Oczywiście, w podobny sposób może przejąć ruch kierowany do dowolnej stacji. Ułatwia to realizację ataków typu MIM (Man In The Middle), dzięki którym włamywacz, działając jako pośrednik (proxy), jest w stanie kontrolować działanie innych użytkowników. Przykładowo, internauta, korzystając z pozornie bezpiecznego połączenia SSL, może zostać skierowany nie do właściwej strony księgarni internetowej, lecz do wrogiego systemu, gdzie po akceptacji fałszywego certyfikatu dokonuje transakcji na rzecz włamywacza.

Przez długi czas brak było rozwiązań umożliwiających zapobieżenie atakom typu ARP Spoofing, dopiero ostatnio pojawiły się takie zabezpieczenia, np. ARP Inspection w przełącznikach firmy Cisco. Funkcja ta pozwala na ograniczenie ruchu ARP dla wybranych kluczowych systemów (ruterów, serwerów), ograniczając wybór adresu MAC tylko do tego właściwego przypisanego systemowi. W ten sposób zostaje uniemożliwione przechwycenie przez inny system ruchu kierowanego przez stacje do rutera.

W ograniczaniu ataków ARP Spoofing jest również przydatna, stosowana przez niektórych producentów, funkcjonalność typu Private VLAN. Polega ona na tworzeniu sieci VLAN, w których możliwe jest kierowanie ruchu przez poszczególne systemy do portów ogólnodostępnych (tzw. Promiscuous Ports), dołączających np. serwery czy rutery. Ruch pomiędzy portami dołączającymi zwykłe stacje jest natomiast sprzętowo blokowany (Isolated Ports). Dzięki temu podszycie się pod innego użytkownika w sieci VLAN z wykorzystaniem techniki ARP Spoofing staje się niemożliwe. Dla sieci typu Private VLAN obowiązuje też zasada znana jako Sticky ARP, która polega na tym, że przełącznik, po umieszczeniu w swojej tablicy ARP nowego wpisu dla danej pary adresów IP oraz MAC, będzie go zachowywał w niezmienionej postaci. Jeśli w sieci pojawi się nowy system, zgłaszający się tym samym adresem IP (np. sygnalizując to poprzez Gratuitous ARP), lub jeśli zmienimy adres MAC w starym systemie, przełącznik zignoruje to, pozostawiając poprzedni adres MAC jako właściwy i wciąż tam kierując ruch wysyłany pod dany adres IP. Zmiana dowiązania adresu IP do adresu MAC wymaga ręcznej rekonfiguracji przełącznika.

Niektóre z dostępnych na rynku systemów IDS śledzą poziom ruchu ARP w sieci i w przypadku, gdy ma on nietypowe rozmiary, alarmują administratora. W sieci web jest dostępne darmowe narzędzie pod nazwą ARPWatch, pozwalające na śledzenie odwzorowań IP-MAC.


TOP 200