7Útoky v lokálních sítích – příklady a řešení

Bezpečnost síťových prvků byla velmi dlouho podceňována a firmami odsouvána do pozadí. V poslední době se ovšem trend mění a řada podniků si uvědomuje význam a důsledky potenciálních hrozeb. Počet útoků zevnitř sítě rapidně převažuje počet útoků zvenku sítě. Proto se budeme zabývat zabezpečením přístupových přepínačů (Access Switch), ke kterým mají uživatelé přímý přístup, a kde tak vzniká vysoké potenciální riziko různých typů útoků.

Příklady možných útoků na přepínače:

Možná řešení:

  1. Port Security

Port Security je nejjednodušší způsob zabezpečení portů, které slouží ke kontrole adres MAC (Medium Access Control) připojených na daných port. V případě porušení definovaného pravidla se provede akce podle toho, jak byl port nastaven.

Existují tři reakce na narušení bezpečnosti:

Takto nastaveným způsobem zabezpečení provážeme daný fyzický port s pevně přidělenou virtuální sítí (VLAN). Tím vznikne pevná vazba skupiny MAC adres a jedné VLAN na daný přístupový port.

Pro rozsáhlé podnikové sítě není předchozí řešení dostačující a používají se komplexní integrovaná řešení jako je např. řešení založené na protokolu (doporučení) IEEE 802.1X.

Zabezpečení Port Security se na Cisco přepínači provede následovně. Nejprve je třeba na zvoleném portu zapnout funkci Port-Security pomocí příkazu „switchport port-security“. Výchozí hodnota je 1, což znamená, že k danému portu lze připojit pouze jedno zařízení. Tuto hodnotu, tj. povolený počet MAC adres, které mohou na daný port přistupovat, lze změnit. Adresy se přepínač také může učit buď dynamicky, nebo je lze nastavit ručně. Ruční nastavení se realizuje pomocí příkazu „switchport port-security mac-address MAC-ADRESA“. Tento příkaz lze rozšířit parametrem „sticky“, který zajistí, aby se dynamicky naučená MAC adresa uložila do konfigurace zařízení. Jak bylo uvedeno dříve, nyní je třeba nastavit akci, kterou přepínač provede v případě porušení pravidel pomocí příkazu „switchport port-security violation“. Vše je názorně vidět na následujícím výpisu.

image
Ukázka konfigurace Port Security na přepínači Cisco
  1. DHCP Snooping

DHCP Spoofing je druh síťového útoku, kdy útočník v lokální síti falšuje zprávy DHCP protokolu (např. spuštěním vlastního DHCP serveru s pozměněnými síťovými parametry) s cílem podvrhnout oběti např. jinou výchozí bránu. Tím může útočník docílit přesměrování provozu od oběti na svůj počítač. Následně je pak schopen odposlouchávat veškerý odchozí provoz od oběti.

Jiným typem útoku na DHCP server je vyčerpání adresních rozsahů DHCP serveru (DHCP Starvation). V tomto případě útočník generuje velké množství zfalšovaných žádostí o přidělení adresy, čímž dojde k jejich vyčerpání.

DHCP Snooping je označení postupů, kterými se lze bránit proti DHCP Spoofingu. Konfiguruje se na přepínačích, které jsou přímo připojeny ke koncovým stanicím (tzv. přístupové přepínače – Access Switches). Celý proces obrany proti DHCP spoofingu spočívá v odposlouchávání DHCP dotazů na portech přepínače, a blokování odesílání podvržených odpovědí dotazujícím se stanicím. Tím je vliv útočníkova podvrženého DHCP serveru eliminován. Odesílání odpovědí z DHCP serveru je povoleno pouze na důvěryhodných (Trusted) portech přepínačů. To, který port je „důvěryhodný“ nastavuje ručně administrátor a obvykle to je pouze jeden port, ke kterému je připojen pravý DHCP server. Cisco přepínače umožnují nastavit DHCP Snooping pro libovolný počet VLAN, nastavit důvěryhodné porty, na nichž jsou připojeny DHCP servery, a omezit počet dotazů PPS (Packet Per Second) na DHCP serveru a zabránit tak jeho přetížení. Ukázka konfigurace DHCP Snoopingu je na následujícím výpisu.

image
Ukázka konfigurace DHCP Snoopingu na přepínači Cisco

Zapnutím funkce DHCP Snooping Binding Database (viz následující výpis), je možné se navíc chránit i před dalšími typy útoků v lokálních sítích. Po zapnutí této funkce si totiž přepínač vytváří tabulku obsahující vazby mezi MAC adresou stanice, IP adresou, dobou zapůjčení IP adresy, portem ze kterého komunikuje, virtuální sítí (VLAN) ve které se nachází a způsobem jakým byla položka do tabulky přidána (ručně nebo automaticky). Tyto informace pak využívá funkce DAI (Dynamic ARP Inspection), která chrání před útoky typu ARP Cache Poisoning.

image
Zapnutí funkce DHCP Snooping Binding Database na přepínači Cisco
  1. Dynamic ARP Inspection

ARP Cache Poisoning je velmi jednoduše realizovatelný a těžko odhalitelný útok spočívající ve falšování odpovědí zpráv protokolu ARP (Address Resolution Protocol). Protokol ARP zajišťuje zjišťování vazeb IP adresa-MAC adresa v lokální síti. Útočník pomocí zfalšovaných odpovědí dokáže způsobit přesměrování komunikace napadeného PC na útočníka. Následně pak může odposlouchávat kompletní komunikaci oběti s ostatními stanicemi v síti.

Tento útok lze detekovat (a zabránit mu) přímo na přepínači, který podporuje funkci DAI.

Útok lze jednoduše zrealizovat na PC např. nástrojem Cain&Abel (www.oxid.it) nebo Ettercap (http://ettercap.sourceforge.net/)

Funkce DAI je způsob obrany proti ARP Cache Poisoningu. Využívá se tabulky vytvořenou pomocí DHCP Snoopingu. Pokud na přepínač přijde ARP paket z důvěryhodného (trusted) portu, je poslán dále. Pokud ovšem na přepínač přijde ARP paket z nedůvěryhodného (untrusted) portu, je dále analyzován. Pokud se jedná o zprávu ARP Request, síťový procesor v paketu zjistí, zda-li MAC a IP adresa počítače žádajícího o překlad patří k sobě. Pokud ano, je paket přeposlán dál do sítě. V opačném případě je zahozen. V případě, že se jedná o odpověď na dotaz (ARP Reply), tak se navíc kontroluje, zda k sobě patří MAC a IP adresa počítače odpovídajícího na zprávu ARP Request. Kombinace IP a MAC adres jsou brány z databáze vytvořené funkcí DHCP Snooping. Příkaz pro zapnutí DAI je na následujícím výpisu.

image
Zapnutí funkce DAI na přepínači Cisco

Na dalším výpisu je příkaz pro vypnutí kontroly DAI na důvěryhodných rozhraních.

image
Vypnutí kontroly DAI na důvěryhodném rozhraní přepínače Cisco

IP Source Guard má podobnou funkci jako DAI, ale místo zfalšovaných MAC adres se detekují zfalšované zdrojové IP adresy. Umožňuje blokování nepovolených IP adres na portech. Nastavuje se na konkrétní port. Tato funkce také využívá DHCP Snooping Binding Database. Příkaz pro zapnutí funkce IP Source Guard je na následujícím výpisu.

image
Zapnutí funkce IP Source Guard na přepínači Cisco
image
Příklad topologie zapojení úlohy pro simulaci útoků v lokální síti