Qual protocolo deve ser desativado para ajudar a mitigar ataques de vlans?

Hoje nesse artigo vou falar dos princípios e características das ameaças e ataques mais comuns à Camada de Enlace (Camada-2 ou Layer-2 ou Data Link Layer) do modelo OSI relativas à certificação Cisco de Segurança última versão mais atualizada do CCNA Security (Implementing Cisco Network Security ou IINS).

Índice Show

Introdução aos Ataques à Camada de Enlace
Recursos de Segurança em Camada-2 Importantes para o CCNA Security
Quais são três técnicas para mitigar os ataques de VLANs?
O que é um método para lançar um ataque de salto de VLAN?
Que tipo de ataque de salto de VLAN pode ser evitado ao designar uma VLAN não utilizada como a VLAN nativa?
Qual plano de mitigação é melhor para impedir um ataque de Dos que está criando um estouro de tabela de endereços MAC?

Esses conceitos fazem parte do tópico “4.0 Secure Routing and Switching” do Blueprint do CCNA Security, mais especificamente do item “4.4 Common Layer 2 attacks“, o qual possui os sub-itens de 4.4a até 4.4g, conforme abaixo:

4.4.a Describe STP attacks
4.4.b Describe ARP spoofing
4.4.c Describe MAC spoofing
4.4.d Describe CAM table (MAC address table) overflows
4.4.e Describe CDP/LLDP reconnaissance
4.4.f Describe VLAN hopping
4.4.g Describe DHCP spoofing

Normalmente a tendência do administrador de segurança de redes é focar seus recursos em equipamentos como roteadores e firewalls, limitando o trabalho de proteção dos recursos de TI na Camada 3 e superiores, deixando muitas vezes equipamentos da Camada 2 nos padrões de fábrica ou com configurações mínimas necessárias para seu funcionamento.

Essa tendência de extremo cuidado com firewalls e roteadores deve-se ao fato de que são esses os equipamentos que separam a intranet corporativa das outras redes externas (Internet e Extranets).

Como a tendência é imaginar que a absoluta maioria das ameaças se origina na Internet, a rede Interna ou Intranet e seus principais equipamentos (Switches) são normalmente esquecidos no planejamento da segurança de TI, porém descuidar da possibilidade da intranet tornar-se um alvo de ataques é um grande erro que precisa ser corrigido no momento de estabelecer o Plano de Segurança da TI, pois uma rede é tão segura como seu elo mais fraco.

Pelos motivos citados acima e as estatísticas, que apontam um crescimento em ataques originados pela rede interna das empresas, que os equipamentos de camada-2, como switches, devem ser protegidos seguindo as melhores práticas de segurança e dos fabricantes.

É importante lembrar também que a segurança dos equipamentos terminais, como computadores e servidores, inclui também garantir que a infra-estrutura de rede esteja preparada para prevenir ataques à camada-2, tais como MAC spoofing e ataques de manipulação de STP.

As configurações de segurança camada-2 incluem o port-security, BPDU guard, proteção do root-bridge, o controle da tempestade de broadcast, SPAN e SPAN remotos (RSPAN) para a monitoração das VLANs.

Além disso, estudaremos considerações de segurança em redes sem fio, VoIP, tecnologias SANs e segurança nos endpoints (micros e servidores).

Introdução aos Ataques à Camada de Enlace

A camada de enlace é a porta de entrada para a rede e uma vez comprometida todas as demais camadas também estarão, portanto é de suma importância que o administrador de rede conheça e saiba mitigar os possíveis ataques à camada 2.

Em um computador a camada 2 está dentro do driver de uma placa de rede e tem uma instrução básica de ler o endereço de destino que vem do quadro recebido, comparar com seu próprio endereço MAC, quando forem iguais ela repassa para a camada superior, ou seja, para a camada de Internet (protocolo IP), caso seja para um endereço diferente a camada 2 ignora o pacote.

Uma exceção à regra é para os endereços de broadcast direcionados ou sobrecarregados que são sempre passados para a camada 3 (MAC = ffff.ffff.ffff). Além disso, existe ainda o endereço de multicast que tem um MAC específico (de 01:00:5e:00:00:00 até 01:00:5e:7f:ff:ff) e se configurado será também tratado pela placa de rede.

Nos HUBs temos que lembrar que a camada 2 é transparente, ou seja, um HUB é um dispositivo da camada física e não trata informações das camadas superiores.

Para resumir o HUB é como um “curto circuito”, o que um micro transmite todos recebem, por esse motivo maior risco ao utilizar esse tipo de equipamento é o “sniffing” da rede, o qual consiste em colocar a placa de rede em modo promíscuo, lendo todo e qualquer quadro recebido, para analisar a comunicação dos equipamentos situados naquele segmento de rede.

Os programas utilizados para “sniffar” a rede são Wireshark, EtherDetect, IPTraf, dentre outros. Com esses programas os atacantes conseguem capturar usuários e senhas, por exemplo, ou as mensagens trocadas com aplicativos como e-mails e Instant Messengers.

O uso dos switches e bridges melhora substancialmente o risco do sniffing, pois eles são equipamentos de camada 2 e trabalham aprendendo os endereços MACs dos hosts que estão em suas portas, criando uma tabela chamada SAT/CAM ou Content Addressable Memory e encaminhando os quadros diretamente para as portas onde esses micros estão conectados, criando um caminho virtual ponto a ponto entre os dois hosts.

Porém, enquanto o MAC não é aprendido o switch fará uma inundação ou flooding do quadro, enviando uma cópia do quadro para todas as portas, menos a que o enviou.

Outra situação anômala que um switch pode apresentar é quando sua tabela de endereços MAC está cheia e há um estouro da memória, nesse caso o switch faz o processo de flooding constantemente tornando o switch funcionalmente igual a um HUB, possibilitando o sniffing dos pacotes que trafegam por ele.

Podemos classificar os principais riscos comuns à camada 2 como:

MAC Spoofing (falsificação de endereço MAC).
MAC Address Table Overflow (estouro da tabela MAC).
Ataques de DHCP (considerado em algumas bibliografias como ataques à camada 7).
Ataques de ARP (considerado em algumas bibliografias como ataques à camada 3).
Ataques ao protocolo STP.
Ataques a VLANs (LANs Virtuais).
Tempestade de broadcast (Broadcast Storm).

O ataque de MAC Spoofing (falsificação de endereço MAC) é um tipo de ataque utilizado para substituir uma entrada na tabela CAM que possui um endereço MAC conhecido que aponta para uma determinada porta, fazendo com que ele aponte para outra porta – normalmente a que o atacante está conectado.

Quando o switch recebe o mesmo endereço MAC em uma porta diferente ele apaga a entrada antiga e assume a nova entrada como verdadeira.

Sobre o ataque de estouro de memória CAM ou CAM Overflow ou
MAC Address Table Overflow, não sei se você sabia, mas fisicamente a tabela CAM é armazenada em uma memória normal e como tal possui tamanho limitado.

Percebendo isso no ano de 1999 Ian Vitek criou uma ferramenta chamada Macof, que cria inundações de endereços MAC de origem inválidos (cerca de 155000 por minuto).

Essa ferramenta é capaz de encher rapidamente a tabela CAM do switch que está diretamente conectado ao host responsável pela execução da ferramenta, e os switches que estiverem conectados ao equipamento atacado também são afetados.

O resultado desse ataque é um comportamento adotado pelo switch quando ele não consegue encontrar um endereço em sua tabela, ele envia os quadros recebidos para todas as suas portas, passando a se comportar como um Hub, possibilitando a “espionagem” dos quadros que estão passando pelo switch.

Sobre os ataques ao serviço de DHCP, o primeiro deles consiste em esgotar todos os endereços IP disponíveis no servidor DHCP (DHCP Starvation).

O atacante consegue fazer isso enviando diversas requisições DHCP com endereços MACs falsos e usando TODOS os endereços que o administrador de rede reservou para sua LAN.

O segundo tipo de ataque é quando servidores DHCP falsos são inseridos na rede e como os clientes aceitam o primeiro DHCP OFFER que recebem, os clientes seriam configurados com informações falsas visando captura de pacotes ou ataques de MITM.

É o que chamamos de Rogue DHCP Server ou inserir um DHCP “pirata” na rede fornecendo endereços IP e informações falsas para os clientes de rede.

Os dois ataques ao DHCP muitas vezes são utilizados de forma complementar.

O ataque mais conhecido para se aproveitar da simplicidade do protocolo ARP é o ARP Spoofing, e consiste no envio de endereços IP ou MAC falsos causando ataques como a negação de serviços e possibilitando um ataque de man-in-the-middle.

Os ataques às VLANs e ao Protocolo STP se valem de características do funcionamento desses recursos para ter acesso à informações, possibilitando realizar cópia de quadros (sniffing e espionagem).

No caso de um ataque utilizando pacotes de multicast e/ou broadcast, um atacante enviará excessivamente esse tipo de informação em uma mesma LAN ou VLAN, o que causará um uso excessivo da CPU do switch levando a 100% do processamento, podendo prejudicar a performance substancialmente e até mesmo, no limiar, causar a interrupção dos serviços de rede.

Recursos de Segurança em Camada-2 Importantes para o CCNA Security

Se focarmos nos recursos de segurança na camada-2 desenvolvidos pela Cisco podemos citar com destaque as seguintes ferramentas:

Port security: limita o número de endereços MAC que pode ser aprendido por porta de um switch.
BPDU guard: protege as portas do switch detectando BPDUs recebidos em locais não permitidos bloqueando a porta.
Root guard: controle que porta ou não pode ser eleita como “root port” protegendo a topologia do STP.
Dynamic ARP inspection: previne o spoofing em camada-2 analisando as características dos hosts conectados às portas dos switches.
IP source guard: protege a rede contra o spoofing de camada-3.
802.1x: autentica usuários e permite que somente quadros devidamente autenticados sejam enviados na rede.
DHCP snooping: previne que “rogue DHCP servers” (servidores DHCP piratas) injetem informações falsas em clientes de rede.
Storm control: limita a quantidade de tráfego broadcast ou multicast enviados pelos switches na rede.
Access control lists: já estudamos as ACLs e elas podem ajudar a reforçar as políticas de segurança melhorando também a segurança na camada-2.

Em termos do exame IINS (CCNA Security) o maior foco da prova na segurança da camada de enlace será encima do port security, BPDU guard, root guard, DHCP snooping e ACLs.

Com isso chegamos ao final desse post em nosso Blog e espero que tenha sido útil para você!

Na verdade espero que tenha sido tão útil e você tenha gostado a ponto de compartilhá-lo em suas redes sociais, nos ajudando assim a transmitir conhecimentos ao maior número de pessoas possível!

Mais uma vez agradecemos a visita e pelo seu interesse em nosso conteúdo!

Quais são três técnicas para mitigar os ataques de VLANs?

Mitigação de Ataque VLAN Desative o entroncamento em todas as portas de acesso. Desabilite o entroncamento automático nos links de tronco para que os troncos sejam habilitados manualmente. Certifique-se de que a VLAN nativa seja usada apenas para links de tronco.

O que é um método para lançar um ataque de salto de VLAN?

Como uma revisão rápida, um ataque de salto de VLAN pode ser lançado de uma das três maneiras: Falsificar mensagens DTP do host de ataque para fazer com que o switch entre no modo de entroncamento.

Que tipo de ataque de salto de VLAN pode ser evitado ao designar uma VLAN não utilizada como a VLAN nativa?

Explicação: A atenuação de um ataque de VLAN pode ser feita desativando o Dynamic Trunking Protocol (DTP), definindo manualmente as portas para o modo de entroncamento e definindo a VLAN nativa de links de tronco para VLANs que não estão em uso.

Qual plano de mitigação é melhor para impedir um ataque de Dos que está criando um estouro de tabela de endereços MAC?

Para atenuar os ataques de estouro da tabela de endereços MAC, os administradores de rede devem implementar a segurança da porta. A segurança da porta só permitirá que um determinado número de endereços MAC de origem sejam aprendidos na porta.