7 смертных угроз коммутации
8 likes4,452 views
Документ обсуждает семь основных угроз безопасности в коммутируемых сетях, включая атаки на уровень 2 и недостатки модели OSI. Рассматриваются различные методы защиты, такие как port security и аутентификация, а также инструменты для проведения атак, такие как Yersinia и Scapy. Важное внимание уделяется атакам на различные протоколы, такие как STP, CDP, DHCP и ARP.
7 смертных угроз коммутации
- 1. 7 смертных угроз коммутации Станислав Большаков 31 мая 2013 st.bolshakov@gmail.com ведущий:
- 2. Обзор угроз безопасности на уровне доступа и методов противодействия Большаков Станислав st.bolshakov@gmail.com twistedminds.ru @st_bolshakov
- 3. twistedminds.ru Почему это важно? • Недостатки модели OSI • Многие МСЭ не замечают layer 2 атаки • Коммутаторы оказывают содействие layer 2 атакам • ARP Poisoning в моем broadcast домене? NOWAI! • Беспечные коллеги • Toolset: • Yersinia – Layer 2 alack framework • Scapy – Packet manipulaoon framework • Dsniff, elercap, cain & abel и многие другие
- 4. twistedminds.ru Атаки направленные на переполнение CAM таблицы • Структура CAM – VLAN ID, Port ID, MAC, omeout • Достаточный объемы для работы в нормальных условиях • Но все меняется когда приходят они: macof, ethercap и др.
- 5. twistedminds.ru Атаки направленные на переполнение CAM таблицы • 50 строк perl превращают 4000$ коммутатор в 5$ хаб • Unknown unicast flooding & Traffic bleeding • Port security for the rescue
- 6. twistedminds.ru Атаки на протокол STP • Spanning Tree Protocol – предотвращение петель на layer 2 • BPDU & Topology Change Nooficaoon (TCN) • DOS, MITM via yersinia • Чем BPDU Guard лучше BPDU Filter? • Root guard делает ваш Root Bridge мягким и шелковистым
- 7. twistedminds.ru Атаки на протокол CDP (Cisco Discovery Protocol) • Проприетарный протокол Cisco с 1994 года • Идентификация устройств, автоматическая настройка • Yersinia DOS (CVE-‐2013-‐1178) & virtual device • Решение проблемы? Щелкнуть тумблером.
- 8. twistedminds.ru Атаки на протокол CDP (Cisco Discovery Protocol) • Нет CDP? Не беда. Link Layer Discovery Protocol (LLDP), а еще EDP, NDP и другие • Фаззинг атаки • hlp://www.darknet.org.uk/2007/08/lldp-‐ link-‐layer-‐discovery-‐protocol-‐fuzzer/ • Все тот же тумблер CDP? Да у меня вся сеть на DLINK
- 9. twistedminds.ru Атаки на протоколы семейства FHRP • First Hop Redundancy Protocols – VRRP, HSRP, GLBP, CARP и др. • Концепция отказоустойчивых vIP для нужд ус-‐в • Пока за дело не берутся vrrpd, yersinia, scapy и др. • DOS, MITM? Не страшны с anospoof ACL и аутентификацией
- 10. twistedminds.ru Атаки на протокол DHCP • Dynamic Host Configuraoon Protocol • DOS, MITM via yersinia, grabber, scapy, 3rd party DHCP • Port Security? VACL? DCHP Snooping! • Подводные камни при использование DHCP Snooping
- 11. twistedminds.ru Атаки на протокол ARP • Address Resoluoon Protocol – прост и доверчив • ARP Request, ARP Reply, RARP Request, RARP Reply, gARP • Большинство клиентских систем помогают атаке • Staoc MAC, Dynamic ARP Inspecoon (DAI) -‐ выбор за вами.
- 12. twistedminds.ru IP Spoofing • Internet Protocol – безсессионный, доверчивый протокол • Маршрутизаторы спокойно занимаются тем, для чего и были сделаны – desonaoon-‐based rouong • IP Spoofing alacks: • Преодоление МСЭ • MITM атаки • Различные вариации DOS • Rouong redirecoon • Атаки с фрагментацией пакетов • Unicast Reverse Path Forwarding, Source Validaoon, Anospoof ACL
- 13. twistedminds.ru Атаки на протокол VTP • Vlan Trunking Protocol – централизованное управление VLAN • VTP Alack подразумевает рассылку легитимных VTP сообщений • Все коммутаторы в VTP домене удалят VLAN как только получат VTP update • Включите аутентификацию, используйте VTPv3 или не используйте VTP совсем
- 14. twistedminds.ru VLAN Hopping (DTP Spoofing, Double tagging) • Dynamic Trunking Protocol включен по умолчанию • Switchport mode access saves the day • Double Tagging – если звезды так сошлись • .1Q trunk, naove VLAN такой же как у атакующего • Следуйте рекомендациям: Naove VLAN – неиспользуемый VLAN, VLAN pruning, неиспользуемые порты в отдельный VLAN или в adm. shutdown
- 15. twistedminds.ru Атаки с использованием Layer 2 proxy • Private VLANS – изоляция на layer 2 • Isolated, Community PVLANs • Host, Promiscuous Ports • Использование Layer 2 Proxy • Unicast RPF – защита ли? • Anospoof ACL – вполне себе.