Biztonsági megfontolások a lokális hálózatok adatkapcsolati rétegében

Biztonsági megfontolások a lokális hálózatok adatkapcsolati rétegében Előadó: Farkas Károly, farkask@hit.bme.hu, BME 2012 Cisco and/or its affiliates. All rights reserved. 1

Támadás típusok és védekezési technikák elméleti részben, 14:00-15:00 Forgalom monitorozás (SPAN) bemutatása WebEx részben, 16:20-16:30 Laborgyakorlat 17:00-18:00 2012 Cisco and/or its affiliates. All rights reserved. 2

Csak a határeszközöket, amelyeken keresztül WAN kapcsolatok segítségével a (publikus) hálózathoz csatlakozunk, vagy a belső lokális hálozatunkat (LAN)? Igazából mindkettőt! A belső lokális hálózatunk megfelelő védelme legalább annyira fontos, mint a hálózatunk határeszközökeinek a védelme A belső lokális hálózat elemei Végpontok (laptopok, asztali munkaállomások, IP telefonok, szerverek, printerek, stb.) Nem végponti LAN eszközök & LAN infrastruktúra (kapcsolók, stb.) 2012 Cisco and/or its affiliates. All rights reserved. 3

A Layer 2 és Layer 3 kapcsolók a legtöbb Layer 3 típusú támadásra ugyanúgy érzékenyek, mint az útvonalválasztók A védelmi mechanizmusok jelentős része nemcsak az útvonalválasztók, hanem a kapcsolók esetében is alkalmazható Azonban a kapcsolók ellen speciális támadások is irányulhatnak A legtöbb ilyen támadás a hálózat belső felhasználóitól indul Így a hálózatnak rendelkeznie kell speciális védelmi mechanizmusokkal is ezen támadások ellen 2012 Cisco and/or its affiliates. All rights reserved. 4

MAC cím manipulációk (MAC address spoofing) MAC címtábla túlcsordulást okozó támadások (MAC address table overflows) STP manipulációk (STP manipulation) VLAN támadások (VLAN attacks) 2012 Cisco and/or its affiliates. All rights reserved. 5

MAC cím manipulációk és MAC címtábla túlcsordulást okozó támadások, védekezési technikák 2012 Cisco and/or its affiliates. All rights reserved. 6

2012 Cisco and/or its affiliates. All rights reserved. 7

2012 Cisco and/or its affiliates. All rights reserved. 8

2012 Cisco and/or its affiliates. All rights reserved. 9

Lehetséges védekezési technika: port security konfigurálása 2012 Cisco and/or its affiliates. All rights reserved. 10

A támadó le szeretné hallgatni a Server B-nek és Server D-nek szánt csomagokat. Ezért MAC címtábla túlcsordulást okozó támadást indít. VLAN 10 Lehetséges védekezési technika: port security konfigurálása A támadó a macof program segítségével nagy mennyiségű Layer 2 csomagot generál tetszőleges forrás MAC címmel Rövid időn belül a kapcsoló MAC címtáblája betelik, és nem lesz képes új bejegyzéseket elfogadni Ameddig a támadás tart, a MAC címtábla nem tud ürülni A kapcsoló ezért elkezdi üzenetszórással továbbítani az érkező csomagokat függetlenül attól, melyik portján veszi azokat ( hub működési mód) Így a támadó mostmár látja a szervereknek szánt csomagokat is 2012 Cisco and/or its affiliates. All rights reserved. 11

Mind a MAC cím manipulációs, mind pedig a MAC címtábla túlcsordulást okozó támadás ellen lehet védekezni a kapcsolón konfigurált port security mechanizmussal Port security használatával statikusan megadhatók az engedélyezett MAC címek egy adott kapcsolóporton, vagy beállítható, hogy a kapcsoló dinamikusan tanuljon meg előre meghatározott számú MAC címet egy adott kapcsolóportra vonatkozóan. 2012 Cisco and/or its affiliates. All rights reserved. 12

Az engedélyezett MAC címek statikusan vagy dinamikusan konfigurálhatók. Azonban a statikus konfigurálás nem egy skálázódó megoldás, így üzemi környezetben a dinamikus megközelítés javasolt A portonként engedélyezett MAC címek számának 1-re állításával a hálózat kontroll nélküli növekedése megelőzhető, és az illetéktelen hozzáférések kiszűrhetők 2012 Cisco and/or its affiliates. All rights reserved. 13

Amint a MAC címek egy védett porthoz való hozzárendelése megtörtént, onnantól kezdve az a port nem továbbít olyan beérkező kereteket, amelyek forrás MAC címe a difiniált MAC címek csoportjában nem található meg A biztonságos forrás MAC címek konfigurálhatók: Manuálisan (statikusan) Automatikusan (a kapcsoló dinamikusan tanulja őket) Automatikusan a sticky paraméter segítségével (az előzőek kombinációja) 2012 Cisco and/or its affiliates. All rights reserved. 14

Az interfész hozzáférési (access) módba való beállítása Switch(config-if)# switchport mode access A port security engedélyezése az interfészen Switch(config-if)# switchport port-security 2012 Cisco and/or its affiliates. All rights reserved. 15

A biztonságos MAC címek maximális számának a beállítása az adott interfészen (opcionális) Választható érték: 1-132 (az alapértelmezett beállítás 1) Switch(config-if)# switchport port-security maximum value Egy statikus biztonságos MAC cím megadása az interfészen (opcionális) Switch(config-if)# switchport port-security mac-address mac-address A sticky tanulás engedélyezése az interfészen (opcionális) Switch(config-if)# switchport port-security mac-address sticky 2012 Cisco and/or its affiliates. All rights reserved. 16

A büntetési (violation) mód beállítása (opcionális) protect restrict shutdown Alapértelmezett (javasolt) beállítás shutdown Switch(config-if)# switchport port-security violation {protect restrict shutdown} 2012 Cisco and/or its affiliates. All rights reserved. 18

A port security öregedés (aging) segítségével beállítható egy adott időintervallum a statikusan vagy dinamikusan konfigurált biztonságos MAC címek kiöregedésére az adott porton Két típusa támogatott az öregedésnek absolute:a biztonságos címek a porton a beállított öregedési idő lejártával törlődnek inactivity: a biztonságos címek a porton akkor törlődnek, hogyha nem tapasztalható aktivitás az előre megadott ideig Switch(config-if)# switchport port-security aging {static time minutes type {absolute inactivity}} 2012 Cisco and/or its affiliates. All rights reserved. 20

S3 S2(config-if)# switchport mode access S2(config-if)# switchport port-security S2(config-if)# switchport port-security maximum 2 S2(config-if)# switchport port-security violation shutdown S2(config-if)# switchport port-security mac-address sticky S2(config-if)# switchport port-security aging time 120 2012 Cisco and/or its affiliates. All rights reserved. 22

SW2# show port-security Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action (Count) (Count) (Count) ----------- ------------- ----------- ------------------ --------------- Fa0/12 2 0 0 Shutdown --------------------------------------------------------------------------- Total Addresses in System (excluding one mac per port) : 0 Max Addresses limit in System (excluding one mac per port) : 1024 SW2# show port-security interface f0/12 Port Security : Enabled Port status : Secure-down Violation mode : Shutdown Maximum MAC Addresses : 2 Total MAC Addresses : 1 Configured MAC Addresses : 0 Aging time : 120 mins Aging type : Absolute SecureStatic address aging : Disabled Security Violation Count : 0 SW2# show port-security address Secure Mac Address Table ------------------------------------------------------------------- Vlan Mac Address Type Ports Remaining Age (mins) ---- ----------- ---- ----- ------------- 1 0000.ffff.aaaa SecureConfigured Fa0/12 - ------------------------------------------------------------------- Total Addresses in System (excluding one mac per port) : 0 Max Addresses limit in System (excluding one mac per port) : 1024 2012 Cisco and/or its affiliates. All rights reserved. 23

A MAC címtábla visszajelzés (notification) opció SNMP trap -ek küldését teszi lehetővé a hálózati menedzsment állomásnak (NMS) valahányszor egy új MAC cím kerül hozzáadásra, vagy egy régi MAC cím kerül kitörlésre a kapcsolási táblákból Switch(config)# mac address-table notification 2012 Cisco and/or its affiliates. All rights reserved. 24

A port security egy eljárás biztonságos MAC címeknek a kapcsoló portjaihoz való hozzárendelésére Elsősorban a hozzáférési (access) portokon használandó, de a trunk portokon is alkalmazható Ne felejtsük el engedélyezni (switchport port-security), a konfigurálás önmagában nem elég Alapértelmezett beállítások: 2012 Cisco and/or its affiliates. All rights reserved. 25

STP manipulációk, védekezési technikák 2012 Cisco and/or its affiliates. All rights reserved. 26

Az STP támadás tipikusan egy manipulált root bridge létrehozását jelenti a támadó részéről Ez például az Interneten is elérhető brconfig vagy stp-packet programok segítségével valósítható meg Ezek a programok színlelt kapcsolót hoznak létre, ami STP BPDU-kat továbbít 2012 Cisco and/or its affiliates. All rights reserved. 27

A támadó számítógép STP konfigurációs és topológia változást imitáló BPDU-kat küld üzenetszórással kikényszerítve ezáltal a feszítőfa újrakalkulálását A támadó által kiküldött BPDU-k alacsonyabb bridge priority értéket tartalmaznak, hogy a támadó számítógép legyen megválasztva root bridge -nek Ha a támadás sikeres, a támadó számítógép válik a root bridge -é, és így olyan adatkereteket is látni fog, amelyekhez normál esetben nem lenne hozzáférése Lehetséges védekezési technikák: PortFast, root guard és BPDU guard 2012 Cisco and/or its affiliates. All rights reserved. 28

Az adott port azonnali átváltását eredményezi blokkoló (blocking) állapotból adattovábbító (forwarding) állapotba átugorva a figyelő (listening) és tanuló (learning) állapotokat Layer 2 hozzáférési portokon használandó, amelyekhez egy munkaállomás vagy szerver kapcsolódik Lehetővé teszi ezen eszközök azonnali kapcsolódását a hálózathoz, így nem kell megvárni az STP konvergálását 2012 Cisco and/or its affiliates. All rights reserved. 29

Csak a hozzáférési portokon szabad használni! Ha a PortFast engedélyezve van kapcsolók közötti linkeken, akkor előfordulhat, hogy feszítőfa hurok alakul ki 2012 Cisco and/or its affiliates. All rights reserved. 30

PortFast engedélyezése hozzáférési porton. A port azonnali adattovábbítási állapotba váltását eredményezi Switch(config-if)# spanning-tree portfast PortFast letiltása hozzáférési porton. Ez az alapértelmezett beállítás Switch(config-if)# no spanning-tree portfast A PortFast általános engedélyezése minden nem trunk porton Switch(config)# spanning-tree portfast default A PortFast beállítás ellenőrzése az adott porton Switch# show running-config interface type slot/port 2012 Cisco and/or its affiliates. All rights reserved. 31

A BPDU guard biztosítja az aktív hálózati topológia megjósolhatóságát Megvédi a kapcsolt hálózatot BPDU-k vételétől olyan portokon, ahol ilyen típusú forgalomnak nem szabadna feltűnnie Ezeken a portokon a BPDU forgalom vagy véletlenül generálódott, vagy egy támadás része Ha egy PortFast -tal és BPDU guard -dal konfigurált porton a kapcsoló BPDU-t kap, akkor letiltja azt a portot A BPDU guard -ot felhasználói portokon érdemes alkalmazni, ezáltal megelőzve a hálózat színlelt kapcsolókkal való kiterjesztését egy támadó számítógép által 2012 Cisco and/or its affiliates. All rights reserved. 32

A BPDU guard engedélyezése minden porton, ahol a PortFast engedélyezve van Switch(config)# spanning-tree portfast bpduguard default 2012 Cisco and/or its affiliates. All rights reserved. 33

A root guard a root bridge választást kontrollálja korlátozva azon portokat, amelyeken keresztül a választás zajlik Ha egy root-guard-enabled port olyan BPDU-t kap, ami felülírná az aktuális root bridge által küldöttet, akkor az a port rootinconsistent státuszba kerül Ez gyakorlatilag ekvivalens egy STP figyelő (listening) állapottal, és a port ilyenkor nem továbbít adatforgalmat Ha egy támadó számítógép manipulált BPDU-kat küld, hogy root bridge -é váljon, akkor a kapcsoló figyelmen kívül hagyja ezeket a BPDU-kat és a portot root-inconsistent állapotba helyezi A port akkor áll vissza az eredeti állapotába, ha a támadó BPDU forgalom megszűnik 2012 Cisco and/or its affiliates. All rights reserved. 34

A root guard interfész konfigurációs módban aktiválható, és azon portokon alkalmazandó, amikhez olyan kapcsolók csatlakoznak, amelyek root bridge -é választása elkerülendő Switch(config-if)# spanning-tree guard root 2012 Cisco and/or its affiliates. All rights reserved. 35

A BPDU guard és a root guard hasonlóak, de a hatásuk különböző A BPDU guard letiltja a portot, ha BPDU forgalmat észlel olyan porton, ahol a PortFast engedélyezve van A portot ilyenkor manuálisan kell újra engedélyezni, vagy egy errdisable timeout -ot kell konfigurálni A root guard lehetővé teszi, hogy az eszköz részt vegyen az STP-ben mindaddig, amíg nem akar root bridge -é válni A root guard által blokkolt port normál üzemmódba való visszaállása automatikus A port akkor áll vissza az eredeti állapotába, ha a támadó BPDU forgalom megszűnik 2012 Cisco and/or its affiliates. All rights reserved. 36

VLAN támadások, védekezési technikák 2012 Cisco and/or its affiliates. All rights reserved. 37

A trunk portok az összes VLAN-hoz tartozó forgalmat továbbítják vagy IEEE 802.1Q, vagy ISL (Inter-Switch Link) VLAN beágyazást használva A VLAN átugrásos támadások (VLAN hopping attack) kétféle módon indíthatók A hálózatnak egy manipulált kapcsolóval való kiterjesztésével, amelyen a DTP engedélyezve van A DTP engedélyezi a trunk -ölést, így az összes VLAN-hoz hozzá lehet férni a túloldali kapcsolón Dupla cimkézéses VLAN támadással (double-tagging VLAN attack), amikor a támadó számítógép meghamisítja a DTP üzeneteket A támadó a cél VLAN-hoz tartozó cimkével küld adatot, majd a kapcsoló továbbítja azt a célállomáshoz 2012 Cisco and/or its affiliates. All rights reserved. 38

A legtöbb kapcsoló alapvetően támogatja a DTP-t (Dynamic Trunk Protocol), ami megpróbál automatikusan kialakítani trunk kapcsolatokat A támadó számítógép kapcsolót színlelve azt hirdeti magáról, hogy képes trunk portot kialakítani vagy az ISL, vagy a 802.1q beágyazással Ha sikerül a trunk -öt létrehozni, onnantól kezdve a támadó számítógépe tagja lesz az összes VLAN-nak Lehetséges védekezési technika: a DTP-t tiltsuk le 2012 Cisco and/or its affiliates. All rights reserved. 39

A keretek két különböző 802.1q fejrészt tartalmaznak, így hibás VLAN-ba kerülnek továbbításra Az első kapcsoló eltávolítja az első cimkét, majd továbbítja a keretet A második kapcsoló továbbítja a keretet a célállomás felé a második cimkében lévő VLAN információ alapján Lehetséges védekezési technika: állítsuk különbözőre a native VLAN-t a trunk és felhasználói portokon 2012 Cisco and/or its affiliates. All rights reserved. 40

A trunk -ölést csak azokon a portokon engedélyezzük, ahol valóban szükség van rá Tiltsuk le a DTP-t, és ha szükséges, manuálisan állítsuk be a trunk -ölést A dupla cimkézés kiszűrésére a kapcsolónak alaposabban meg kell vizsgálnia a keretet, hogy meg tudja állapítani, hány VLAN cimke lett hozzácsatolva Dedikált native VLAN-t rendeljünk az összes trunk porthoz Tiltsuk le az összes, nem használt kapcsoló portot és helyezzük őket egy használaton kívüli VLAN-ba 2012 Cisco and/or its affiliates. All rights reserved. 41

Állítsuk az interfészt trunk módba Switch(config-if)# switchport mode trunk Kapcsoljuk ki a DTP-t Switch(config-if)# switchport nonegotiate. Állítsuk a native VLAN-t a trunk -ön egy nem használt VLAN-ra Megjegyzés: az alapértelmezett a VLAN 1 Switch(config-if)# switchport trunk native vlan vlan_number 2012 Cisco and/or its affiliates. All rights reserved. 42

Layer 2 gyakorlati praktikák - Best Practices 2012 Cisco and/or its affiliates. All rights reserved. 43

Állítsunk be port security -t a hozzáférési portokon, amikor csak lehet Állítsuk be a PortFast -ot minden nem trunk porton Állítsunk be BPDU guard -ot minden nem trunk porton Állítsunk be root guard -ot az STP root portokon 2012 Cisco and/or its affiliates. All rights reserved. 44

Tiltsuk le az automatikus trunk -ölést a felhasználói portokon (DTP off) Manuálisan konfiguráljuk a trunk -ölést az infrastruktúra portokon Tiltsuk le a nem használt portokat és helyezzük őket egy használaton kívüli VLAN-ba Használjunk külön VLAN-t a menedzsment, native, felhasználói/adat, hang, black hole, és a privát forgalmak számára Ne használjuk az 1-es VLAN-t másra, csak a Layer 2 protokoll kontroll forgalomra 2012 Cisco and/or its affiliates. All rights reserved. 45

Köszönöm a figyelmet! 2012 Cisco and/or its affiliates. All rights reserved. 46