Post on 31-Jan-2020
transcript
Darstellung von Layer-2-Angriffsmöglichkeiten, die Gefahren, die dadurch entstehen und Lösungsvorschläge.
Ziel
Sicherheit und Fortschritt
Manchmal bedeutet Neuartiges etwas besseres und sicheres
Manchmal bedeutet Erfahrung etwas besseres und sicheres
Aktivitäten im Internet
Was wir im Internet tun
Wie wir angegriffen
werden
Angriffsmöglichkeiten
STP-Root schützen
(Spanning-Tree Protocol)
Manipulation von STP-Parametern
verhindern
Broadcaststürme unterbinden
MAC-Adresstabellen-
Überläufe abwehren
DHCP-Spoofing und –Starvation
verhindern
STP-Root schützen
Parameter zur Netzwerksteuerung werden meistens unverschlüsselt übertragen, um die Performance nicht zu schmälern -> daraus resultiert ein Sicherheitsrisiko
Nur für PPP auf Layer 2 im WAN-Bereich stehen mit PAP und CHAP Authentifizierungsverfahren zur Verfügung
Gefahr
Schritt 1: Ein Angreifer platziert einen Switch in das Netzwerk über einen Port oder eine freie Netzwerkdose (Hörsaal, Seminarraum).
Schritt 2: Der Switch wird als Trunk konfiguriert und mit einer hohen Priorität (niedriger Wert der Bridge-ID, z.B. 0) versehen – wenn kein Schutz installiert ist und die Ports als Access-Ports konfiguriert sind.
Schritt 3: Der „Rogue-Switch“ wird Root-Bridge
Der Datenverkehr läuft über die Root-Bridge und kann durch Wiresharkleicht mitgeschnitten werden.
Lösung
Um zu verhindern, dass der Rogue-Switch zur Root wird, wird ein Schutzmechanismus auf den Trunk-Interfaces der Root-Bridge implementiert. Aus Architekturgründen werden diese Ports niemals zu ROOT-Ports - Root Guard (d.h. wechseln nicht den Status von Designatedzu Root)
Root Guard ist ein von Cisco entwickelter Sicherheitsmechanismus für das Spanning Tree Protocol (STP).
Versucht ein Gerät hinter einem Port mit aktivem Root Guard (die aktuelle Root-Bridge) zur Root Bridge zu werden, deaktiviert der Switch diesen Port.
Damit lassen sich Angriffe auf Spanning Tree wirksam abwehren.
Manipulation von STP-Parametern
STP verfügt über keinerlei Sicherheitsmechanismen. Jede Station kann ohne Authentifikation BPDUs erzeugen und ins Netz senden.
Switches werten diese BPDUs aus.
Gefahr
Grundsätzlich sendet und empfängt jeder Switchport BPDUs, sofern er sich im Status Forwarding/Learning/Listening befindet.
Diese Eigenschaft bietet Angreifern die Möglichkeit, die Topologie zu erkennen, auszulesen und sie mit gefälschten BPDUs gezielt zu verändern.
Lösung
Das Abschalten von STP ist keine gute Idee. Eine Schleife auf Layer 2 löst dann sofort einen Broadcast Storm aus.
BPDU Guard wird auf Access Ports aktiviert, d.h. Geräte hinter einem mit Portfast konfiguriertem Port sollen nicht in der Lage sein, die STP-Topologie zu beeinflussen
Empfängt ein Access-Port - auf dem BPDU Guard aktiviert ist - eine BPDU, wird dieser Port deaktiviert.
BPDU Guard sollte zusammen mit PortFast genutzt werden Wird in Folge von BPDU Guard der Port deaktiviert, wechselt der
Interface-Status in ERR-Disabled. Die Folge ist ein Recovery, dass bis zu 5 Min dauern kann.
Beispiel
Switch A Switch B
Switch C
Switch D
Switch A ist die Root-Brigde mit Priorität 8192Switch B ist die Backup-Root mit Priorität 16384Switch C ist ein Access-Switch mit Portfast-Konfiguration zu Switch D
Sind alle weiteren Parameter als Default vereinbart, befindet sich der Port zu Switch B im Blocking-Status
Beispiel cont.
Switch A Switch B
Switch C
Switch D
Versucht Switch D eine Teilnahme an STPmit einer Priorität von 0, um Root-Bridgezu werden, verhindert BPDU Guard aufSwitch C dieses.
Broadcaststürme unterbinden
Broadcaststürme können leicht ganze Netzwerke zum Ausfall durch Überlastung bringen. Sie breiten sich innerhalb einer Broadcast Domain des Layer 2 aus.
Ein Broadcaststurm bedeutet, dass Broadcasts und Multicasts auf alle Switch-Ports weitergeleitet werden mit Ausnahme desjenigen Ports, von dem der Datenverkehr stammt. Dadurch wird eine Schleife erzeugt, und die Switches leiten die Broadcasts des jeweils anderen Switches weiter, so dass es innerhalb kürzester Zeit zur Überlastung des Netzwerkes kommt.
Gefahr
Der typische Verursacher für einen Broadcaststurm ist der kleine Switch im Büro oder auf dem Besprechungstisch, der versehentlich eine Schleife (Loop) erzeugt, weil er nur temporär genutzt/angeschlossen werden soll.
Die Ursache liegt in der redundanten Verkabelung von zwei oder mehr Uplinks zwischen zwei Switches.
Lösung
Das Feature Storm Control bietet die Möglichkeit, auf Broadcast-, Multicast- und Unicast-Storms zu reagieren.
Pro Trunk-Interface können Schwellwerte für die Erkennung eines Storms in Bit pro Sekunde, Paketen pro Sekunde oder Prozent der Bandbreite angegeben werden.
Beispiel
interface FastEthernet0/1 storm-control broadcast level pps 100 storm-control multicast level pps 500 storm-control action shutdownHier erfolgt die Angabe in Paketen pro Sekunde pro Trunk-Interface
MAC-Adresstabellenüberlauf
Bei dieser Angriffsform versucht der Angreifer den Switch mit gefälschten Source-MAC-Adressen zu überhäufen.
Da die MAC-Adresstabelle eine endliche Ressource ist, führt die Menge der Frames zu einem Tabellenüberlauf.
In Folge dieses Überlaufs geht der Switch in einen „fail-open“ Modus über. Er handelt dann als HUB und flutet jeden neu empfangenen Frame auf alle Interfaces.
Gefahr
Der Angreifer kann nun den „normalen“ Datenverkehr mitschneiden, da er alle Frames zwischen den Opfer-Hosts sieht.
Diese Möglichkeit schafft ihm Einblick in die Kommunikation der beteiligten Rechner und damit Einsichten über das Netz.
Lösung
Port-Security als Merkmal der Schicht 2 begrenzt die Zahl möglicher MAC-Adressen auf einem Port.
Bei Überschreiten dieser Maximalzahl kann eine abgestufte Entscheidung bezüglich der Portverfügbarkeit getroffen werden.
Beispiel: beträgt die pro Port zugelassenen Zahl von MAC-Adressen 3, so löst ein vierter Frame mit unbekannter MAC-Adresse eine administrativ konfigurierbare Entscheidung aus
Diese Entscheidung ist nur suboptimal. Insbesondere bei Verwendung virtueller Maschinen, bei der mehrere VMs einen physikalischen Port benutzen, ist diese Maßnahme eher unkomfortabel
Die Anzahl der MAC-Adressen kann auf eins begrenzt werden. Diese Einschränkung kann sinnvoll sein, wenn z.B. ein Drucker angebunden wird
Beispiel
switchport port-securityDieser Befehl ist auf Accessports beschränkt!
switchport port-security maximum 3Beschränkt die Anzahl maximal zulässiger MAC-Adressen
switchport port-security violation {shutdown, restrict, protect}Aktion bei Überschreiten der maximalen Zahl. Default: shutdown
Die allgemein Konfiguration erlaubt ein dynamisches Lernen der MAC-Adressen (sticky) oder eine manuelle Vorkonfiguration.
DHCP-Spoofing
Spoofing Der Angreifer versucht Antworten eines zulässigen DHCP-Servers zu
fälschen. Das falsche DHCP-Device antwortet auf eine DHCP-Anfrage eines
Clients schneller als der gültige DHCP-Server. Der DHCP Server antwortet auf die Client-Anfrage mit der
Basiskonfiguration: IP-Adresse, Subnetzmaske, Default-Gateway und DNS-Server
Die Antwort enthält des Angreifers enthält seine IP-Adresse als Default-Gateway oder eine gefälschte Adresse des DNS-Servers.
Gefahr
Spoofing Im Falle des Default-Gateways werden die Pakete des Clients an den
Angreifer weitergeleitet, der diese dann dem Empfänger zustellt –Man-in-the-Middle-Attacke
Lösung
Zur Verhinderung dieser Angriffsform wird DHCP-Snooping verwendet. Snooping verwendet das Prinzip vertrauenswürdiger Ports. Nur vertrauenswürdige Ports können die Quelle/Erzeuger von DHCP-
Nachrichten sein. Nicht vertrauenswürdige Ports können nur antworten. DHCP-Server sind mit einem vertrauenswürdigen Port verbunden. Versucht ein falscher DHCP-Server mit einem nicht vertrauenswürdigen
Port eine DHCP-Nachricht zu senden, wird der Port deaktiviert. Nicht vertrauenswürdige Ports sind alle diejenigen, die nicht explizit als
vertrauenswürdig konfiguriert wurden.
DHCP-Snooping
Client
DHCP-Server
DHCP-Angreifer
nicht ver-trauenswürdig
vertrauenswürdig
Port wirddeaktiviert
Beispiel
Schritt 1: ip dhcp snooping Im globalen Konfigurationsmodus
Schritt 2: ip dhcp snooping vlan number # Aktiviert DHCP-Snooping für ein spezifisches VLAN im globalen Konfigurationsmode
Schritt 3: interface fa0/1 ip dhcp snooping trust
Definiert Ports im Interfacemodus als vertrauenswürdig. Dazu zählen alle Uplinkports in Richtung DHCP-Server
Schritt 4: show ip dhcp snooping Zeigt an, für welches Interface DHCP-Snooping aktiviert ist
DHCP-Starvation
Angriffsart Der Angreifer fordert kontinuierlich IP-Adressen an und ändert
gleichzeitig permanent seine Source-MAC-Adresse, d.h. verlangt eine IP-Adresse für immer weitere Endnutzer.
Gefahr Im Erfolgsfall werden alle verfügbaren IP-Adressen vergeben, so dass
die ordnungsgemäßen Nutzer leer ausgehen Lösung
Port-Security an den Switch-Ports aktivieren
Problem
Die angebotenen Lösungen skizzieren allerdings auch ein Problem. Alle Vorschläge besitzen proprietären Charakter und lassen folglich eine Allgemeingültigkeit vermissen.