Zagrożenie bezpieczenstwa sieci w warstwie 2

Mówi się, że całkowity poziom bezpieczeństwa sieci nie jest wyższy od poziomu zabezpieczenia najsłabszego jej ogniwa. Okazuje się, że tym najsłabszym ogniwem jest często warstwa 2 (L2), odpowiadająca za zestawienie logicznego łącza transmisji danych pomiędzy systemami.

Mówi się, że całkowity poziom bezpieczeństwa nie jest wyższy od poziomu zabezpieczenia najsłabszego jej ogniwa. Okazuje się, że tym najsłabszym ogniwem jest często warstwa 2 (L2), odpowiadająca za zestawienie logicznego łącza transmisji danych pomiędzy systemami.

Zdarza się, że osoby, które zajmują się bezpieczeństwem sieci i systemów czy administratorzy sieciowi zaniedbują kontrolę nad tą warstwą, uważając ją za mniej istotną od szyfrowania danych w L3 (np. IPsec) czy autoryzacji dostępu.

Wynika to przede wszystkim z nieświadomości zagrożeń w L2. Warto pamiętać, że sukces włamywacza i przejęcie kontroli nad przepływem danych w tej warstwie mogą umożliwić skuteczne ataki na protokoły i aplikacje w wyższych warstwach.

Przepełnienie tablic adresowych przełącznika (MAC flooding)

Zagrożenie bezpieczenstwa sieci w warstwie 2

Rys. 1. Zapis tablicy CAM

Zagrożenie bezpieczenstwa sieci w warstwie 2

Rys. 2. Funkcja Port Security w przełączniku Cisco

Przełączniki sieciowe przechowują w pamięci tablice typu CAM (Content Addressable Memory), kojarzące adresy MAC na danych portach z odpowiednimi sieciami VLAN i innymi parametrami. Kiedy na danym porcie pojawia się ramka Ethernet wysłana przez system o nieznanym dotąd adresie MAC, w tablicy powstaje nowy wpis. Dzięki temu ramki kierowane do tego adresu MAC nie będą już wysyłane do wszystkich portów w danym VLAN (flooding), ale tylko do tego jednego. Oczywiście, tablice takie mają ograniczone rozmiary (od kilkunastu do kilkuset tysięcy wpisów). Przeprowadzenie ataku jest proste i polega na zmasowanym wysyłaniu do przełącznika ramek, z których każda zawiera inny, sfabrykowany, źródłowy adres MAC. Powoduje to zapełnienie tablicy w ciągu kilkudziesięciu sekund. Rezultatem jest zablokowanie procesu "uczenia się" nowych adresów MAC i rozsyłanie pakietów kierowanych pod te adresy do wszystkich portów w danej sieci VLAN. Atak rozchodzi się na kolejne przełączniki w domenie L2, zmniejszając wydajność działania sieci i umożliwiając włamywaczowi obserwację ruchu.

Atakom typu MAC flooding można zaradzić, ograniczając liczbę adresów MAC dla danego portu fizycznego (Port Security) lub wdrażając system autoryzacji dostępu w L2, czyli 802.1x. Funkcja Port Security pozwala m.in. na fizyczne rozłączenie portu, który przekroczył swój limit adresów MAC.

Nadużywanie protokołów trunkingu VLAN

Zagrożenie bezpieczenstwa sieci w warstwie 2

Rys. 3. VLAN hopping

Protokoły trunkingu sieci VLAN, takie jak IEEE 802.1q czy Cisco ISL, powinny być uruchamiane wyłącznie na portach, do których mają być dołączone znane nam przełączniki i inne systemy wymagające zestawienia takiego traktu. Gdy konfiguracja portu dostępowego, statyczna lub dynamiczna (ustawienia typu Auto), zezwala na zestawienie traktu 802.1q, umożliwia to włamywaczowi obserwację i wysyłanie ramek do wszystkich sieci VLAN w ramach traktu (tzw. VLAN leaking).

Jeszcze większe zagrożenie niesie atak typu VLAN hopping. Wykorzystuje on implementację tzw. Native VLAN w ramach protokołu 802.1q, wprowadzoną, aby umożliwić zestawianie traktów z portami w starszych przełącznikach, wysyłającymi i odbierającymi ramki pozbawione znacznika VLAN (untagged). Takie ramki są kwalifikowane do Native VLAN i przesyłane bez znacznika przez trakty 802.1q. Nawet jeśli na danym porcie 802.1q pojawia się ramka należąca do Native VLAN i zawierająca znacznik (tagged), to zostanie ona tego znacznika pozbawiona i przesłana dalej bez niego. Umożliwia to włamywaczowi podwójne opakowanie ramki - w zewnętrzny znacznik dla Native VLAN oraz wewnętrzny, identyfikujący sieć VLAN, którą chce zaatakować. Ramka taka, po skierowaniu do przełącznika poprzez Native VLAN, zostanie w efekcie przesłana do zupełnie innej sieci! Sytuację pogarsza fakt, że ramki ze znacznikiem 802.1q, ale kierowane do Native VLAN, są akceptowane również na portach, gdzie trunking 802.1q jest wyłączony (typowych portach dostępowych). Atak typu VLAN hopping działa wyłącznie w jednym kierunku (od włamywacza do atakowanej sieci VLAN), tym niemniej pozwala na realizację skutecznych ataków typu DoS (Denial of Service).

Zagrożenie bezpieczenstwa sieci w warstwie 2

Rys. 4. Bezpieczna konfiguracja sieci VLAN i łączy trunk - wskazówki

Ataki wykorzystujące trunking VLAN można ograniczyć, wyłączając trunking na wszystkich portach, na których nie będzie świadomie wykorzystywany. W przypadkach gdy zestawienie traktu może być negocjowane dynamicznie poprzez specjalny protokół (np. Cisco DTP), należy unikać ustawień typu auto.

Trzeba pamiętać, że sieć VLAN powinna być rozciągnięta tylko na tę część domeny L2, w której znajdują się użytkownicy tej sieci. W związku z tym na danym trakcie 802.1q zaleca się eliminowanie tych sieci VLAN, które nie są wykorzystywane w dołączanym przez trakt obszarze domeny (tzw. Pruning).


TOP 200