Běžné útoky na switche, Cisco Dynamic ARP Inspection -> SAMURAJ-cz.com

Čtvrtek, 18.06.2009 10:15 | Samuraj - Petr Bouška | sítě

Tento článek pouze shrnuje základní informace o nejběžnějších typech útoků na switche. Informace, které přináší, nalezneme na mnoha místech, zde je uvádím kvůli úplnosti. Popsány jsou útoky MAC flooding, ARP spoofing, VLAN hopping a zmíněny jsou metody, jak se jim bránit na Cisco switchích. Také je rozebrána metoda obrany zvaná Dynamic ARP Inspection.

MAC address flooding

Útok pomocí zaplavení MAC adresami. Útočník se snaží vyčerpat paměť switche, určenou pro ukládání tabulky MAC adres (CAM tabulka), pomocí zasílání velkého množství rámců s unikátními (neplatnými) zdrojovými MAC adresami. Ve chvíli, kdy je CAM tabulka plná, tak se nevytváří nové záznamy. Unicastová komunikace, která je určená pro cílovou MAC adresu, která se nenachází v CAM tabulce, je zaslána na všechny porty mimo příchozího (tak se chová hub, provoz je jako broadcast).

Tento útok se používá k tomu, aby útočníkova stanice dostávala i provoz, který není určen jí. Navíc se zvýší celkový provoz v síti a ve výsledku může způsobit příliš velké vytížení switche, takže se jedná o DoS útok (Denial Of Services).

Obrana: Port Security nebo Port Based Authentication

VLAN hopping

Poskakování po VLANách je útok, kdy se útočník snaží dostat k provozu, který je na jiné VLANě (kam by on neměl mít přístup). Využívá se tagování protokolem IEEE 802.1q a jedná se buď o metodu Switch Spoofing nebo Double Tagging.

Switch Spoofing spočívá v tom, že se útočníkova stanice vydává za switch a získává data z trunku, kde je přenášeno množství VLAN (nebo všechny). Může se jednat o zneužití protokolu DTP (Dynamic Trunking Protocol), kdy stanice vyjedná na svém portu trunk.

Double Tagging odesílá rámce s přidanými dvěma 802.1q tagy. Switch přijme rámec, první tag je do jeho správné VLANy, odstraní se, ale rámec se dále nekontroluje a zpracovává switchem, jako by byl v první VLANě. Pokud máme trunk port, kde je nativní VLAN nastavena stejná, jako měl port uživatele. Tak se rámec odesílá netagovaný, jenže on již tag má a ten směřuje do jiné VLANy. Druhý switch odstraní druhý tag a rámec již putuje novou VLANou.

Obrana: nastavovat porty napevno jako switchport mode access (zabránit DTP), nepoužívané porty
        umísťovat do neroutované VLANy, nepoužívat native VLAN (nastavit ji na nepoužívanou VLAN)

ARP spoofing / poisoning

Tento útok se snaží přesměrovat provoz k útočící stanici pomocí falešných ARP zpráv. Protokol ARP (Address Resolution Protocol) je velice starý a nemá v sobě zabudovaný žádný bezpečnostní nebo ověřovací mechanismus.

Pro komunikaci v rámci subnetu potřebuji znát cílovou MAC adresu, ale většinou mám zadánu pouze IP adresu. Proto se odešle ARP dotaz jako broadcast, kdo má danou IP. Stanice s hledanou IP adresou by měla odpovědět pomocí ARP zprávy. Klient si potom tento údaj uloží do lokální ARP cache. V ARP protokolu se také používají nevyžádané ARP odpovědi zvané Gratuitous ARP (GARP). Pomocí GARP zprávy (nebo v určité situaci normální ARP odpovědi) můžeme jednoduše podvrhnout naši MAC adresu k určité IP.

Často se tato technika využívá pro útok typu Man in the Middle, kdy podvrhneme adresu brány, potom dostáváme veškerý provoz mimo náš subnet, můžeme jej dále přeposílat na standardní gateway a přitom monitorovat/upravovat veškeré informace. Podvržená informace (kombinace IP a MAC) se uloží do ARP cache klienta a CAM tabulky switche.

Obrana: využití Private VLAN nebo ARP Inspection

Dynamic ARP Inspection - DAI

Jedná se o bezpečnostní funkci, která zabraňuje přeposílání neplatných ARP dotazů a odpovědí na jiné porty switche ve stejné VLANě. Tato metoda vyžaduje, aby se na switchích používal DHCP Snooping a vytvářela se DHCP snooping binding database, která obsahuje přiřazení IP adres a MAC adres. Nebo aby se použily ARP ACL, v kterých se tato kombinace zadává ručně.

Jednou funkcí DAI je kontrolovat veškerý ARP provoz přicházející na port a zahazovat rámce, kde informace neodpovídají uloženým kombinacím IP a MAC adres. Druhou funkcí je rate-limiting (omezování množství) ARP rámců. To je z důvodu zabránění DoS útokům. Pokud počet přijatých ARP paketů překročí (defaultně) 15 za sekundu, tak se port přepne do error-disabled stavu.

DAI používá dva stavy interfaců, jedná se o trusted (důvěryhodný), na tomto portu se neprovádí žádná kontrola. A untrusted (nedůvěryhodný), kde se kontrolují všechny ARP rámce. Defaultně je DAI vypnuté pro všechny VLANy a všechny interfacy jsou ve stavu untrusted. DAI funguje per VLAN.

Kontrola pomocí DAI funguje pouze na vstupu (ingress) a může se jednat o přístupové, trunk nebo EtherChannel porty. DAI je doporučeno nastavit na všech přístupových (koncových) portech jako untrusted (nedůvěryhodné) a na trunk portech mezi switchi jako trusted. Konfigurace se ovšem musí provádět s rozmyslem a důkladně. DHCP snooping binding database je lokální pro switch/stack, takže pokud by trunk port z jiného switche nebyl nastaven na trusted, tak by se vše filtrovalo. Nebo pokud na druhém switchi DAI nezapneme a trunk máme trusted, tak přes tento switch může dojít k otrávení ARP tabulky i na filtrovaném switchi.

Jako doplněk můžeme provádět i kontrolu příchozích ARP paketů, zda souhlasí zdrojová MAC adresa odesílatele s odesílatelovou MAC v ARP těle u ARP dotazů a odpovědí. Nebo cílová MAC v rámci u odpovědí. Případně i kontrolu IP adres.

Konfigurace DAI v Cisco IOSu

Zapnutí DAI se provede vyjmenováním VLAN, kde se má povolit.

SWITCH(config)#ip arp inspection vlan 100,200

Důvěryhodné porty musíme přepnout do trust stavu.

SWITCH(config-if)#ip arp inspection trust

Konfigurace DHCP snooping binding diabase je popsána v článku o DHCP na switchi. Pokud chceme použít statické záznamy, tak musíme nakonfigurovat ARP ACL.

SWITCH(config)#arp access-list ARPtest
SWITCH(config-arp-acl)#permit ip host 192.168.1.10 mac host 0011.70f1.e051

Po nakonfigurování ARP ACL jej musíme aplikovat pro určitou VLANu.

SWITCH(config)#ip arp inspection filter ARPtest vlan 100

Příkazy, které zobrazí různé informace o DAI.

SWITCH#show ip arp inspection interfaces
SWITCH#show ip dhcp snooping binding
SWITCH#show ip arp inspection vlan 100,200
SWITCH#show ip arp inspection statistics vlan100,200

Odkazy

popis Port Security se nachází v článku Cisco IOS 3 - nastavení interface/portu - access, trunk, port securit
Port Based Authentication, tzn. protokol IEEE 802.1x, je stručně popsán v Cisco IOS 11 - IEEE 802.1x, autentizace k portu, MS IAS
konfigurace VLAN a DTP protokol - Cisco IOS 7 - konfigurace VLAN, VTP
technologie Private VLAN - Cisco IOS 19 - Private VLAN a Protected Port
DHCP Snooping - Cisco IOS 13 - DHCP služby na switchi
popis útoků na switche z Cisco webu - VLAN Security White Paper

zobrazeno: 39941krát | Komentáře [3]

Autor: Petr Bouška

Související články:

Počítačové sítě - Computer networks

Tento seriál se věnuje základům počítačových sítí. Jsou zde stručně popsány důležité praktické aspekty, které by měl znát každý, kdo se o sítě zajímá.

OSI model [05.03.2007 08:09]
VLAN - Virtual Local Area Network [02.06.2007 15:54]
Počítačové sítě a jejich typy [09.07.2007 15:32]
Počítačové sítě - základní topologie [30.07.2007 14:47]
Ethernet - CSMA/CD, kolizní doména, duplex [03.08.2007 12:40]
TCP/IP - model, encapsulace, paket vs. rámec [16.08.2007 16:43]
TCP/IP - metody vysílání dat [02.09.2007 15:05]
TCP/IP - adresy, masky, subnety a výpočty [05.09.2007 14:53]
TCP/IP - navázání a ukončení spojení [13.09.2007 16:10]
TCP/IP a ethernet - cesta v síti, aktivní síťové prvky [17.09.2007 10:22]
TCP/IP - Routing - směrování [21.09.2007 15:34]
TCP/IP - nalezení MAC adresy k IP - ARP [25.09.2007 17:35]
Počítačové sítě - Computer Networks [30.09.2007 13:28]
DNS (Domain Name System) zaměřeno na Microsoft [26.11.2007 14:26]
Diagramy a schémata počítačové sítě (Visio) [13.01.2008 18:02]
Wake on LAN - lokální i vzdálený subnet [10.08.2008 20:42]
TCP/IP - Internet Protocol Version 6 - IPv6 [05.03.2009 15:41]
TCP/IP - skupinové vysílání IP Multicast a Cisco [10.03.2009 20:05]
Běžné útoky na switche, Cisco Dynamic ARP Inspection [18.06.2009 10:15] ...... právě čtete
Cisco - Router Switching metody a související termíny - CAM, FIB, CEF [28.06.2009 17:15]
Výstavba moderní sítě [28.04.2010 14:41]
Microsoft Network Load Balancing (NLB) a Cisco switche [09.08.2010 18:26]
Cisco Network Design - Enterprise Architecture [24.09.2010 13:47]
Optická a metalická kabeláž pro sítě LAN a SAN [05.04.2017 22:07]
Konektory a Transceivery pro sítě LAN a SAN [18.04.2017 21:29]
DNSSEC - Domain Name System Security Extensions [14.02.2022 16:34]
DNSSEC na Microsoft DNS Serveru [03.03.2022 09:30]
Zabezpečení SMTP komunikace pomocí DANE [07.03.2022 08:34]

Cisco IOS

Velký seriál o operačním systému aktivních prvků firmy Cisco.

Cisco IOS 1 - úvod, příkaz show [08.03.2007 13:00]
Cisco IOS 2 - verze, upgrade a záloha IOSu [16.03.2007 14:28]
Cisco IOS 3 - nastavení interface/portu - access, trunk, port security [09.04.2007 11:09]
Cisco IOS 4 - reset, password recovery [25.04.2007 17:34]
Cisco IOS 5 - komunikace se switchem [16.05.2007 16:15]
Cisco IOS 6 - úvodní konfigurace switche [08.06.2007 17:31]
Cisco IOS 7 - konfigurace VLAN, VTP [18.06.2007 14:12]
Cisco IOS 8 - ACL - Access Control List [10.08.2007 15:40]
Cisco IOS 9 - Spanning Tree Protocol [20.08.2007 17:55]
Cisco IOS 10 - Rapid Spanning Tree Protocol [01.09.2007 14:11]
Cisco IOS 11 - IEEE 802.1x, autentizace k portu, MS IAS [10.10.2007 14:38]
Cisco IOS 12 - IEEE 802.1x a pokročilejší funkce [24.10.2007 16:42]
Cisco IOS 13 - DHCP služby na switchi [06.01.2008 11:24]
Cisco IOS 14 - tipy pro běžnou práci [29.02.2008 08:15]
Cisco IOS 15 - zálohy a obnovy konfigurace a obrazů [13.03.2008 09:43]
Cisco IOS 16 - HSRP - Hot Standby Routing Protocol [27.05.2008 16:05]
Cisco IOS 17 - více switchů jako Stack - technologie StackWise [29.07.2008 20:27]
Cisco IOS 18 - inter-VLAN routing a ACL - směrování mezi VLANy [24.12.2008 11:50]
Cisco QoS 1 - úvod do Quality of Service a DiffServ [18.01.2009 13:31]
Cisco QoS 2 - Classification and Marking, Modular QoS CLI [26.01.2009 17:21]
Cisco QoS 3 - omezování rychlosti - Policing, Shaping [01.02.2009 12:20]
Cisco QoS 4 - garance rychlosti - řazení do front - Queuing [08.02.2009 13:13]
Cisco QoS 5 - QoS na switchi, MLS, SRR, Auto QoS [14.02.2009 14:55]
Cisco QoS 6 - praktické příklady použití QoSu [28.02.2009 16:33]
TCP/IP - Internet Protocol Version 6 - IPv6 [05.03.2009 15:41]
TCP/IP - skupinové vysílání IP Multicast a Cisco [10.03.2009 20:05]
Cisco Routing 1 - obecné vlastnosti směrovacích protokolů [20.03.2009 14:43]
Cisco Routing 2 - EIGRP - Enhanced Interior Gateway Routing Protocol [29.03.2009 19:04]
Cisco Routing 3 - OSPF - Open Shortest Path First [03.04.2009 10:54]
Cisco Routing 4 - IS-IS - Intermediate System to Intermediate System [09.04.2009 08:48]
Cisco Routing 5 - BGP - Border Gateway Protocol [18.04.2009 13:50]
Cisco Routing 6 - srovnání routovacích protokolů [28.04.2009 16:27]
Cisco IOS 19 - Private VLAN a Protected Port [20.05.2009 18:41]
Cisco IOS 20 - VLAN access-map - VLAN map - VACL [29.05.2009 15:05]
Cisco IOS 21 - EtherChannel, Link Agregation, PAgP, LACP, NIC Teaming [08.06.2009 09:41]
Běžné útoky na switche, Cisco Dynamic ARP Inspection [18.06.2009 10:15] ...... právě čtete
Cisco - Router Switching metody a související termíny - CAM, FIB, CEF [28.06.2009 17:15]
Cisco IOS 22 - monitoring/kontrola/zrcadlení provozu - SPAN a RSPAN [15.07.2009 11:52]
Cisco IOS 23 - Autentizace uživatele na switchi vůči Active Directory [15.09.2009 17:09]
Cisco QoS 7 - doplňující informace [05.11.2009 09:31]
Novinky ve switchích řady Catalyst 3750X a 2960S [10.02.2011 17:30]
Cisco NX-OS 1 - Virtual Port Channel [25.08.2016 17:14]
Cisco IOS 24 - zabezpečení komunikace na portech [19.10.2016 11:01]
Cisco NX-OS 2 - zabezpečení komunikace na portech [03.11.2016 14:18]
Cisco IOS 25 - StackWise Virtual [11.11.2020 14:13]
Cisco IOS 26 - upgrade IOS XE - samostatný přepínač, stack i ISSU [12.11.2020 08:29]

Pokud se chcete vyjádřit k tomuto článku, využijte komentáře níže.

Komentáře

[1] Honza

Ahoj,
mám dotaz: co myslíš tím "nepoužívat native VLAN (nastavit ji na nepoužívanou VLAN)"? Jak se to provede?
Dík
- na komentář odpověděl [2]Samuraj
- na komentář odpověděl [3]LadaH
Pondělí, 22.06.2009 12:26 | odpovědět
[2] Samuraj

odpověď na [1]Honza: Já to dělám tak, jak jsem to zde popisoval na několika místech.
VLAN 1 nepoužívám pro žádné přístupy. Jsou do ní zapojeny všechny nepoužívané porty (ty jsou shutdown-ované). SVI pro VLAN 1 je shutdown. Native VLAN nechávám defaultně, to znamená, že je to VLAN 1. V ní ale nikdo nekomunikuje.

Pondělí, 22.06.2009 12:33 | odpovědět
[3] LadaH

odpověď na [1]Honza: nastavuji uplně jinou nativní vlan pro trunk propoje (i podle toho co je tam zapojeno, jina nat vlan sw-sw, jiná nat vlan sw-server, atd), pro porty kde neni nic zapojeno v dobrem vedomi a svedomi pouzivam jinou vlan nez id 1 a porty jsou i shutnuté, pokud jsou to access porty pro stanice tak tam uz mi to resi 802.1X a porty nejsou shutnute. příkladne zasuvka pro stanici:
interface GigabitEthernet1/0/5
description --> 01-03-03
switchport access vlan 999
switchport mode access
switchport nonegotiate
switchport block multicast
switchport port-security
switchport port-security aging time 1440
authentication event fail action authorize vlan 108
authentication event server dead action authorize vlan 108
authentication event no-response action authorize vlan 108
authentication event server alive action reinitialize
authentication order dot1x mab
authentication port-control auto
authentication periodic
authentication timer restart 30
authentication timer reauthenticate 28800
authentication timer inactivity 36000
mab
dot1x pae authenticator
dot1x timeout tx-period 3
dot1x timeout supp-timeout 3
dot1x timeout start-period 3
storm-control broadcast level 10.00 5.00
storm-control unicast level 10.00 5.00
no keepalive
no cdp enable
u PoE pro telefony pouzivam jediny rozdil v priorite autentizace ze nejdriv mab a pak dot1x, pač telefony jsou na mac via AD/IAS

Středa, 30.11.2016 19:05 | odpovědět

www.SAMURAJ-cz.com

Kategorie článků

Nástroje

Hledání

Články