Biztonsági megfontolások a lokális hálózatok adatkapcsolati rétegében

Biztonsági megfontolások a lokális hálózatok adatkapcsolati rétegében Előadó: Farkas Károly, [email protected], BME

© 2012 Cisco and/or its affiliates. All rights reserved.

1

• Támadás típusok és védekezési technikák – elméleti részben,

14:00 - 15:00 • Forgalom monitorozás (SPAN) bemutatása – WebEx részben,

16:20 - 16:30 • Laborgyakorlat – 17:00 - 18:00


2

• Csak a határeszközöket, amelyeken keresztül WAN kapcsolatok

segítségével a (publikus) hálózathoz csatlakozunk, vagy a belső lokális hálozatunkat (LAN)? • Igazából mindkettőt! – A belső lokális hálózatunk megfelelő védelme legalább annyira fontos, mint a hálózatunk határeszközökeinek a védelme

• A belső lokális hálózat elemei – Végpontok (laptopok, asztali munkaállomások, IP telefonok, szerverek, printerek, stb.) – Nem végponti LAN eszközök & LAN infrastruktúra (kapcsolók, stb.)


3

• A ‘Layer 2’ és ‘Layer 3’ kapcsolók a legtöbb ‘Layer 3’ típusú

támadásra ugyanúgy érzékenyek, mint az útvonalválasztók – A védelmi mechanizmusok jelentős része nemcsak az útvonalválasztók, hanem a kapcsolók esetében is alkalmazható

• Azonban a kapcsolók ellen speciális támadások is irányulhatnak • A legtöbb ilyen támadás a hálózat belső felhasználóitól indul

• Így a hálózatnak rendelkeznie kell speciális védelmi

mechanizmusokkal is ezen támadások ellen


4

• MAC cím manipulációk (MAC address spoofing) • MAC címtábla túlcsordulást okozó támadások (MAC address

table overflows) • STP manipulációk (STP manipulation) • VLAN támadások (VLAN attacks)


5

MAC cím manipulációk és MAC címtábla túlcsordulást okozó támadások, védekezési technikák © 2012 Cisco and/or its affiliates. All rights reserved.

6


7


8


9

Lehetséges védekezési technika: ‘port security’ konfigurálása © 2012 Cisco and/or its affiliates. All rights reserved.

10

A támadó le szeretné hallgatni a Server B-nek és Server D-nek szánt csomagokat. Ezért MAC címtábla túlcsordulást okozó támadást indít.

• A támadó a macof program

segítségével nagy mennyiségű ‘Layer 2’ csomagot generál tetszőleges forrás MAC címmel • Rövid időn belül a kapcsoló MAC

címtáblája betelik, és nem lesz képes új bejegyzéseket elfogadni – Ameddig a támadás tart, a MAC címtábla nem tud ürülni VLAN 10

• A kapcsoló ezért elkezdi

üzenetszórással továbbítani az érkező csomagokat függetlenül attól, melyik portján veszi azokat (‘hub’ működési mód) Lehetséges védekezési technika: ‘port security’ konfigurálása © 2012 Cisco and/or its affiliates. All rights reserved.

• Így a támadó mostmár látja a

szervereknek szánt csomagokat is 11

• Mind a MAC cím manipulációs, mind pedig a MAC címtábla

túlcsordulást okozó támadás ellen lehet védekezni a kapcsolón konfigurált ‘port security’ mechanizmussal • ‘Port security’ használatával – statikusan megadhatók az engedélyezett MAC címek egy adott kapcsolóporton, vagy – beállítható, hogy a kapcsoló dinamikusan tanuljon meg előre meghatározott számú MAC címet egy adott kapcsolóportra vonatkozóan.


12

• Az engedélyezett MAC címek

statikusan vagy dinamikusan konfigurálhatók. Azonban a statikus konfigurálás nem egy skálázódó megoldás, így üzemi környezetben a dinamikus megközelítés javasolt • A portonként engedélyezett MAC

címek számának 1-re állításával a hálózat kontroll nélküli növekedése megelőzhető, és az illetéktelen hozzáférések kiszűrhetők


13

• Amint a MAC címek egy védett porthoz való hozzárendelése

megtörtént, onnantól kezdve az a port nem továbbít olyan beérkező kereteket, amelyek forrás MAC címe a difiniált MAC címek csoportjában nem található meg • A biztonságos forrás MAC címek konfigurálhatók: – Manuálisan (statikusan) – Automatikusan (a kapcsoló dinamikusan tanulja őket) – Automatikusan a sticky paraméter segítségével (az előzőek kombinációja)


14

• Az interfész hozzáférési (access) módba való beállítása Switch(config-if)# switchport mode access

• A ‘port security’ engedélyezése az interfészen Switch(config-if)# switchport port-security


15

• A biztonságos MAC címek maximális számának a beállítása az

adott interfészen (opcionális) – Választható érték: 1 - 132 (az alapértelmezett beállítás 1) Switch(config-if)# switchport port-security maximum value

• Egy statikus biztonságos MAC cím megadása az interfészen

(opcionális) Switch(config-if)# switchport port-security mac-address mac-address

• A ‘sticky’ tanulás engedélyezése az interfészen (opcionális) Switch(config-if)# switchport port-security mac-address sticky


16

• A büntetési (violation) mód beállítása (opcionális) – protect – restrict – shutdown

• Alapértelmezett (javasolt) beállítás – shutdown Switch(config-if)# switchport port-security violation {protect | restrict | shutdown}


18

• A ‘port security’ öregedés (aging) segítségével beállítható egy

adott időintervallum a statikusan vagy dinamikusan konfigurált biztonságos MAC címek kiöregedésére az adott porton • Két típusa támogatott az öregedésnek – absolute:a biztonságos címek a porton a beállított öregedési idő lejártával törlődnek – inactivity: a biztonságos címek a porton akkor törlődnek, hogyha nem tapasztalható aktivitás az előre megadott ideig Switch(config-if)# switchport port-security aging {static | time minutes | type {absolute | inactivity}}


20

S3

S2(config-if)# S2(config-if)# S2(config-if)# S2(config-if)# S2(config-if)# S2(config-if)#


switchport switchport switchport switchport switchport switchport

mode access port-security port-security port-security port-security port-security

maximum 2 violation shutdown mac-address sticky aging time 120

22

SW2# show port-security Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action (Count) (Count) (Count) ---------------------------------------------------------------Fa0/12 2 0 0 Shutdown --------------------------------------------------------------------------Total Addresses in System (excluding one mac per port) : 0 Max Addresses limit in System (excluding one mac per port) : 1024 SW2# show port-security interface f0/12 Port Security : Enabled Port status : Secure-down Violation mode : Shutdown Maximum MAC Addresses : 2 Total MAC Addresses : 1 Configured MAC Addresses : 0 Aging time : 120 mins Aging type : Absolute SecureStatic address aging : Disabled Security Violation Count : 0 SW2# show port-security address Secure Mac Address Table ------------------------------------------------------------------Vlan Mac Address Type Ports Remaining Age (mins) --------------------------------1 0000.ffff.aaaa SecureConfigured Fa0/12 ------------------------------------------------------------------Total Addresses in System (excluding one mac per port) : 0 Max Addresses limit in System (excluding one mac per port) : 1024


23

• A MAC címtábla visszajelzés (notification) opció SNMP ‘trap’-ek

küldését teszi lehetővé a hálózati menedzsment állomásnak (NMS) valahányszor egy új MAC cím kerül hozzáadásra, vagy egy régi MAC cím kerül kitörlésre a kapcsolási táblákból Switch(config)# mac address-table notification


24

• A ‘port security’ egy eljárás biztonságos MAC címeknek a

kapcsoló portjaihoz való hozzárendelésére • Elsősorban a hozzáférési (access) portokon használandó, de a

‘trunk’ portokon is alkalmazható • Ne felejtsük el engedélyezni (switchport port-security), a

konfigurálás önmagában nem elég • Alapértelmezett beállítások:


25

STP manipulációk, védekezési technikák


26

• Az STP támadás tipikusan egy manipulált ‘root bridge’

létrehozását jelenti a támadó részéről • Ez például az Interneten is elérhető brconfig vagy stp-packet

programok segítségével valósítható meg – Ezek a programok színlelt kapcsolót hoznak létre, ami STP BPDU-kat továbbít


27

• A támadó számítógép STP

konfigurációs és topológia változást imitáló BPDU-kat küld üzenetszórással kikényszerítve ezáltal a feszítőfa újrakalkulálását • A támadó által kiküldött BPDU-k

alacsonyabb ‘bridge priority’ értéket tartalmaznak, hogy a támadó számítógép legyen megválasztva ‘root bridge’-nek • Ha a támadás sikeres, a támadó

számítógép válik a ‘root bridge’-é, és így olyan adatkereteket is látni fog, amelyekhez normál esetben nem lenne hozzáférése Lehetséges védekezési technikák: ‘PortFast’, ‘root guard’ és ‘BPDU guard’ © 2012 Cisco and/or its affiliates. All rights reserved.

28

• Az adott port azonnali átváltását eredményezi blokkoló (blocking)

állapotból adattovábbító (forwarding) állapotba átugorva a figyelő (listening) és tanuló (learning) állapotokat • ‘Layer 2’ hozzáférési portokon használandó, amelyekhez egy

munkaállomás vagy szerver kapcsolódik – Lehetővé teszi ezen eszközök azonnali kapcsolódását a hálózathoz, így nem kell megvárni az STP konvergálását


29

• Csak a hozzáférési portokon szabad használni! – Ha a PortFast engedélyezve van kapcsolók közötti linkeken, akkor előfordulhat, hogy feszítőfa hurok alakul ki


30

• ‘PortFast’ engedélyezése hozzáférési porton. A port azonnali

adattovábbítási állapotba váltását eredményezi Switch(config-if)# spanning-tree portfast

• ‘PortFast’ letiltása hozzáférési porton. Ez az alapértelmezett

beállítás Switch(config-if)# no spanning-tree portfast

• A ‘PortFast’ általános engedélyezése minden nem ‘trunk’ porton Switch(config)# spanning-tree portfast default

• A ‘PortFast’ beállítás ellenőrzése az adott porton Switch# show running-config interface type slot/port


31

• A ‘BPDU guard’ biztosítja az aktív hálózati topológia

megjósolhatóságát – Megvédi a kapcsolt hálózatot BPDU-k vételétől olyan portokon, ahol ilyen típusú forgalomnak nem szabadna feltűnnie – Ezeken a portokon a BPDU forgalom vagy véletlenül generálódott, vagy egy támadás része

• Ha egy ‘PortFast’-tal és ‘BPDU guard’-dal konfigurált porton a

kapcsoló BPDU-t kap, akkor letiltja azt a portot – A ‘BPDU guard’-ot felhasználói portokon érdemes alkalmazni, ezáltal megelőzve a hálózat színlelt kapcsolókkal való kiterjesztését egy támadó számítógép által


32

• A ‘BPDU guard’ engedélyezése minden porton, ahol a ‘PortFast’

engedélyezve van Switch(config)# spanning-tree portfast bpduguard default


33

• A ‘root guard’ a ‘root bridge’ választást kontrollálja korlátozva

azon portokat, amelyeken keresztül a választás zajlik • Ha egy ‘root-guard-enabled’ port olyan BPDU-t kap, ami felülírná

az aktuális ‘root bridge’ által küldöttet, akkor az a port ‘rootinconsistent’ státuszba kerül – Ez gyakorlatilag ekvivalens egy STP figyelő (listening) állapottal, és a port ilyenkor nem továbbít adatforgalmat

• Ha egy támadó számítógép manipulált BPDU-kat küld, hogy ‘root

bridge’-é váljon, akkor a kapcsoló figyelmen kívül hagyja ezeket a BPDU-kat és a portot ‘root-inconsistent’ állapotba helyezi – A port akkor áll vissza az eredeti állapotába, ha a támadó BPDU forgalom megszűnik


34

• A ‘root guard’ interfész konfigurációs módban aktiválható, és azon

portokon alkalmazandó, amikhez olyan kapcsolók csatlakoznak, amelyek ‘root bridge’-é választása elkerülendő Switch(config-if)# spanning-tree guard root


35

• A ‘BPDU guard’ és a ‘root guard’ hasonlóak, de a hatásuk

különböző • A ‘BPDU guard’ letiltja a portot, ha BPDU forgalmat észlel olyan

porton, ahol a ‘PortFast’ engedélyezve van – A portot ilyenkor manuálisan kell újra engedélyezni, vagy egy ‘errdisable timeout’-ot kell konfigurálni

• A ‘root guard’ lehetővé teszi, hogy az eszköz részt vegyen az

STP-ben mindaddig, amíg nem akar ‘root bridge’-é válni – A ‘root guard’ által blokkolt port normál üzemmódba való visszaállása automatikus – A port akkor áll vissza az eredeti állapotába, ha a támadó BPDU forgalom megszűnik


36

VLAN támadások, védekezési technikák


37

• A ‘trunk’ portok az összes VLAN-hoz tartozó forgalmat továbbítják

vagy IEEE 802.1Q, vagy ISL (Inter-Switch Link) VLAN beágyazást használva • A VLAN átugrásos támadások (VLAN hopping attack) kétféle

módon indíthatók – A hálózatnak egy manipulált kapcsolóval való kiterjesztésével, amelyen a DTP engedélyezve van •

A DTP engedélyezi a ‘trunk’-ölést, így az összes VLAN-hoz hozzá lehet férni a túloldali kapcsolón

– Dupla cimkézéses VLAN támadással (double-tagging VLAN attack), amikor a támadó számítógép meghamisítja a DTP üzeneteket •

A támadó a cél VLAN-hoz tartozó cimkével küld adatot, majd a kapcsoló továbbítja azt a célállomáshoz


38

• A legtöbb kapcsoló alapvetően támogatja a DTP-t (Dynamic

Trunk Protocol), ami megpróbál automatikusan kialakítani ‘trunk’ kapcsolatokat – A támadó számítógép kapcsolót színlelve azt hirdeti magáról, hogy képes ‘trunk’ portot kialakítani vagy az ISL, vagy a 802.1q beágyazással – Ha sikerül a ‘trunk’ -öt létrehozni, onnantól kezdve a támadó számítógépe tagja lesz az összes VLAN-nak

Lehetséges védekezési technika: a DTP-t tiltsuk le © 2012 Cisco and/or its affiliates. All rights reserved.

39

• A keretek két különböző 802.1q fejrészt tartalmaznak, így hibás

VLAN-ba kerülnek továbbításra – Az első kapcsoló eltávolítja az első cimkét, majd továbbítja a keretet – A második kapcsoló továbbítja a keretet a célállomás felé a második cimkében lévő VLAN információ alapján

Lehetséges védekezési technika: állítsuk különbözőre a ‘native’ VLAN-t a ‘trunk’ és felhasználói portokon © 2012 Cisco and/or its affiliates. All rights reserved.

40

• A ‘trunk’-ölést csak azokon a portokon engedélyezzük, ahol

valóban szükség van rá – Tiltsuk le a DTP-t, és ha szükséges, manuálisan állítsuk be a ‘trunk’-ölést

• A dupla cimkézés kiszűrésére a kapcsolónak alaposabban meg

kell vizsgálnia a keretet, hogy meg tudja állapítani, hány VLAN cimke lett hozzácsatolva – Dedikált ‘native’ VLAN-t rendeljünk az összes ‘trunk’ porthoz – Tiltsuk le az összes, nem használt kapcsoló portot és helyezzük őket egy használaton kívüli VLAN-ba


41

• Állítsuk az interfészt trunk módba Switch(config-if)# switchport mode trunk

• Kapcsoljuk. ki a DTP-t Switch(config-if)# switchport nonegotiate

• Állítsuk a native VLAN-t a ‘trunk’-ön egy nem használt VLAN-ra – Megjegyzés: az alapértelmezett a VLAN 1 Switch(config-if)# switchport trunk native vlan vlan_number


42

‘Layer 2’ gyakorlati praktikák ‘Best Practices’


43

• Állítsunk be ‘port security’-t a hozzáférési portokon, amikor csak

lehet • Állítsuk be a ‘PortFast’-ot minden nem ‘trunk’ porton • Állítsunk be ‘BPDU guard’-ot minden nem ‘trunk’ porton • Állítsunk be ‘root guard’-ot az STP ‘root’ portokon


44

• Tiltsuk le az automatikus ‘trunk’-ölést a felhasználói portokon

(DTP off) • Manuálisan konfiguráljuk a ‘trunk’-ölést az infrastruktúra

portokon • Tiltsuk le a nem használt portokat és helyezzük őket egy

használaton kívüli VLAN-ba • Használjunk külön VLAN-t a menedzsment, ‘native’,

felhasználói/adat, hang, ‘black hole’, és a privát forgalmak számára • Ne használjuk az 1-es VLAN-t másra, csak a ‘Layer 2’ protokoll

kontroll forgalomra


45

Köszönöm a figyelmet!


46

Biztonsági megfontolások a lokális hálózatok adatkapcsolati rétegében

Recommend Documents