Wprowadzenie do kryptografii i bezpieczeństwa. Po raz trzeci

Transkrypt

1 Wprowadzenie do kryptografii i bezpieczeństwa Po raz trzeci

2 Wirtualne sieci lokalne Czyli VLAN-y

3 Sieci wirtualne Wirtualizacja bardzo z grubsza: coś, czego nie widać (fizycznie nie istnieje), ale naprawdę jest: Trochę formalniej : budowanie abstrakcji nad sprzętem Sieci VLAN odseparowane logicznie sieci na jednym urządzeniu (switchu). Można je sobie wyobrażać jako duży switch pokrojony na małe (osobne) urządzenia Każdy VLAN jest osobną siecią L3, ma osobną adresację Hosty w sieci VLAN nie są świadome jej istnienia Sieci VLAN konfiguruje się na przełączniku i można je rozciągać pomiędzy większą liczbą urządzeń

4 Sieci wirtualne

5 VLAN Zalety Większe bezpieczeństwo Redukcja kosztów Lepsza wydajność Zmniejszenie domen rozgłoszeniowych Łatwiejsze zarządzanie Prostsze projektowanie i wdrożenie Adaptacyjność

6 VLAN 1 sieć domyślna

7 Rozciąganie VLAN-ów

8 Łącza trunk Łącza trunk przenoszą więcej niż jedną sieć VLAN Trunk zostają uruchomione pomiędzy przełącznikami, co umożliwia komunikację urządzeniom z tą samą siecią VLAN, nawet jeśli są one fizycznie połączone z różnymi przełącznikami Najpopularniejszy protokół: IEEE 802.1q Dawniej także Cisco Inter-Switch Link (ISL)

9 Ramka 802.1q

10 Native VLAN Native VLAN pojedyncza sieć w łączu trunk, która nie jest tagowana (przez to można istnieć tylko jedna) Ramki nie zawierają znacznika 802.1q przez to mogą zrozumieć je normalne urządzenia (komputery) Domyślnie VLAN1 Pozwala na poinformowanie urządzeń, że są wpięte do łącza trunk Jeżeli pomiędzy dwoma switchami: native VLAN musi być identyczny po obu stronach

11 Tworzenie sieci VLAN

12 Przydzielenie interfejsu do VLAN-u

13 Przydzielenie interfejsu do VLAN-u

14 Usuwanie interfejsu z sieci VLAN

15 Konfiguracja i statystyki VLAN

16 Konfiguracja łącza trunk

17 Atak VLAN hopping

18 Przerwa na laboratoria Sieci VLAN

19 Lab 3.1. Stworzyć topologię z obrazka i sprawdzić, pomiędzy którymi hostami będzie możliwa transmisja

20 Lab 3.2. Do S1 dołączyć kolejne dwa hosty i umieścić je w VLAN 20. Przy pomocy switchport trunk allowed vlan nie dopuścić do przenoszenia ramek VLAN20 przez łącze trunk Sprawdzić, pomiędzy którymi urządzeniami możliwa jest transmisja

21 Ataki na tablicę CAM

22 CAM CAM Content Addressable Memory bardzo szybki w dostępie rodzaj pamięci, adresowana zawartością (a nie kolejnym indeksem). Tutaj: adres komórki to MAC. Układy przełączające switcha zbudowane są w oparciu o pamięć CAM (tablica czasem nazywana FIB Forwarding Information Base). Pamięć CAM trudna w implementacji, ograniczony rozmiar i przez to droga.

23 CAM

24 CAM przepełnienie Rozmiary CAM (orientacyjne): Cisco Cisco 3650/ Cisco Catalyst Cisco Catalyst 9400/ Sprawdzenie: show mac address-table count Przepełnienie CAM: Zastępowanie najstarszych wpisów Brak uczenia się nowych akcja jak hub Tablicę CAM można zapchać w kilka sekund

25 CAM ataki MAC Flooding Wysyłanie ramek z losowymi adresami źródłowymi. Efekt: przepełnienie tablicy CAM na switchu. Cel: spadek wydajności lub uzyskanie kopiowania przynajmniej części ruchu. MAC Spoofing Wysyłanie ramek cudzym adresem MAC jako adresem źródłowym. Cel: przechwytywanie ruchu. Ofiara i tak będzie nadawać, więc trzeba okresowo powtarzać spoofing.

26 MAC Spoofing SMAC WWW DMAC MAC VLAN Port WWW 1 Fa0/1

27 MAC Spoofing SMAC PC-B DMAC WWW MAC VLAN Port WWW 1 Fa0/1

28 MAC Spoofing SMAC PC-B DMAC WWW MAC VLAN Port WWW 1 Fa0/1 PC-B 1 Fa0/3

29 MAC Spoofing przeciwdziałanie Statyczne przypisanie adresów MAC: S(config)# mac address-table static MAC vlan VLAN inteface PORT Uciążliwe w utrzymaniu i konfiguracji, nieskalowalne praktycznie niestosowane. Port-security ograniczenie liczby adresów MAC na porcie: Przypisane statyczne nie jest usuwane po link-down, pojawienie się adresu MAC w innym miejscu (ale ten sam VLAN) skutkuje naruszeniem bezpieczeństwa. Dynamiczne na podstawie otrzymywanych ramek, usuwane po linkdown. Sticky dynamiczne, pierwszy adres zapamiętywany.

30 MAC Spoofing przeciwdziałanie Możliwe akcje: Protect odrzuca ruch z niezaufanych adresów Restrict j.w. oraz generowany komunikat Syslog i zwiększenie licznika naruszeń Shutdown port przechodzi w stan err-disabled Starzenie się wpisów: Można określić, po jakim czasie zapamiętane adresy są usuwane. Usuwane mogą być także adresy statyczne (domyślnie nie są). Link-down dalej pozostaje wyzwalaczem. Dwie metody starzenia: absolute (od pojawienia się adresu) oraz inactivity (od ostatniej ramki z tym adresem źródła) Licznik adresów MAC dotyczy wszystkich adresów: statycznych, dynamicznych i sticky.

31 MAC Spoofing przeciwdziałąnie Port-security wymaga portu statycznego (z wyłączonym DTP): S(config-if)# switchport mode access S(config-if)# switchport port-security Konfiguracja limitów: S(config-if)# switchport port-security maximum LICZBA_ADRESOW S(config-if)# switchport port-security mac-address { ADRES_MAC sticky }

32 MAC Spoofing przeciwdziałąnie Włączenie zablokowanego portu: shut oraz no shut na interfejsie mechanizm errdisable recovery: S(config)# errdisable recovery cause psecure-violation S(config)# errdisable recovery interval SS

33 Ataki na sieci VLAN

34 Switch-spoofing Switch-spoofing negocjacja trunka z użyciem DTP. Wynegocjowany łącze trunk daje dostęp do wszystkich VLAN-ów (zazwyczaj na takich portach nie są skonfigurowane dopuszczone VLAN-y). Zapobieganie: wyłączenie DTP (statycznie ustawiony tryb trunk lub access) S(config-if)# switchport nonegotiate wyłączenie nieużywanych portów filtrowanie VLAN-ów na portach.

35 Double-tagging Double-tagging atakujący wysyła podwójnie tagowaną ramkę. Atak wymaga co najmniej dwóch switchy i wykorzystywania native VLAN z łącza trunk jako dostępowego. Założenie: switch dopuszcza tagowany ruch na porcie access. W nowszych IOS (od 12.2) tak nie jest.

36 Double-tagging Trunk, native VL1 VL1 VL2 Eth VL1 VL2 Data

37 Double-tagging Trunk, native VL1 Eth VL2 Data VL1 VL2

38 Double-tagging Trunk, native VL1 VL1 Eth Data VL2

39 Double-tagging zapobieganie Zapobieganie: Włączenie tagowania native VLAN (chociaż większość nowych switchy na to nie pozwala) S(config-if)# vlan dot1q tag native Wymagane po obu stronach łącza trunk! Nieużywany VLAN jako native Niewykorzystywanie VLAN 1 jako management Uwaga na native VLAN mismatch przekazywany jest przez CDP!

40 Przerwa na laboratoria Double-tagging

41 Lab 4.1.

42 Lab Skonfigurować sieć według schematu. Na PC-A uruchomić Kali Linux. Adresy wszystkich urządzeń powinny znajdować się w tej samej sieci. Przed wpięciem do switcha wyłączyć interfejsy sieciowe na PC-B i WWW. Konfiguracja adresów IP na interfejsach w Kali: sudo service NetworkManager stop sudo ifconfig eth0 IP netmask MASKA up 2. Z PC-A przy pomocy programu macof zapełnić tablicę FIB na switchu. 3. Włączyć interfejsy na PC-B i WWW. Z PC-B połączyć się z serwerem WWW (może być ping). Czy na PC-A widać ruch pomiędzy PC-B a WWW?

43 Lab Skonfigurować mechanizm port-security na portach przełącznika. Wykorzystać przyklejanie adresów MAC urządzeń (mac-address sticky) i pozwolić na 1 adres MAC na każdym porcie. W przypadku naruszenia bezpieczeństwa ruch z dodatkowych adresów MAC nie powinien być przepuszczany. 5. Co stanie się w przypadku wykonania ataku MAC flooding z komputera w sieci? Czy atak się powiedzie? Dlaczego? 6. Zmienić zachowanie portu przy naruszeniu bezpieczeństwa na shutdown i skonfigurować mechanizm recovery portów po 60 sekundach.

44 Lab Co stanie się w przypadku przeprowadzenia ataku? Czy port zostanie ponownie uruchomiony? 8. Jak zachowa się switch, jeżeli do portu z włączonym port-security zostanie podłączony inny host niż dotychczas?

45 Lab 5.1. Trunk, native VL1 VL1 VL2

46 Lab Skonfigurować sieć według schematu. Na PC-A uruchomić Kali Linux. Adresy IP urządzeń powinny być w tej samej sieci. 2. Przy pomocy trybu tekstowego programu yersinia dokonać ataku 802.1Q double-tagging, by ruch z PC-A dotarł do PC-B (ping z ustawionymi odpowiednio adresami IP i MAC źródłowymi i docelowymi). Polecenie (wszystko w jednej linii): sudo yersinia dot1q attack 1 source MAC_SRC dest MAC_DST vlan1 OUTER_VLAN_ID vlan2 INNER_VLAN_ID ipsource IP_SRC ipdest IP_DST

47 Lab Przy pomocy Wireshark na PC-A zobaczyć, jak wygląda wysyłana ramka Ethernet z podwójnym tagowaniem. 4. Na PC-B sprawdzić, czy atak się udał (ruch dotarł do komputera). Jakie są różnice pomiędzy ramkami? 5. Jak zapobiec takiemu atakowi? UWAGA: Do zadania powinien zostać wykorzystany switch, z IOS starszym niż 12.2 (np. Catalyst 2950).

48 Ataki na ARP

49 ARP przypomnienie ARP Address Resolution Protocol ustala na podstawie IP adres MAC. ARP Reply host informuje o swoim adresie IP. Gratuitous ARP do sprawdzania duplikatów adresów IP (host wysyła zapytanie o swój adres). Wykorzystywany także przez HSRP do ogłoszenia nowej bramy (Gratuitous ARP Reply). Domyślnie komunikaty nie są chronione.

50 ARP ataki ARP Spoofing odpowiedź na ARP Request z fałszywym adresem MAC. ARP Poisoning wysyłanie nieoczekiwanych ARP Reply. Czasem wspólnie określane mianem ARP Spoofing.

51 ARP Spoofing Host IP MAC PC-A PC-A PC-A WWW WWW? SMAC DMAC ARP_ SMAC ARP_ SIP ARP_ DMAC ARP_ DIP PC-A Bcast PC-A PC-A 0 WWW

52 ARP Spoofing SMAC DMAC ARP_ SMAC ARP_ SIP ARP_ DMAC ARP_ DIP WWW PC-A WWW WWW PC-A PC-A SMAC DMAC ARP_ SMAC ARP_ SIP ARP_ DMAC ARP_ DIP PC-B PC-A PC-B WWW PC-A PC-A

53 ARP Spoofing Host IP MAC PC-A PC-A PC-A WWW WWW PC-B MAC VLAN Port PC-A 1 Fa0/1 WWW 1 Fa0/2 PC-B 1 Fa0/3

54 ARP Spoofing Host IP MAC PC-A PC-A PC-A WWW WWW PC-B Widoczna ramka to Gratuitous ARP (Reply) SMAC DMAC ARP_ SMAC ARP_ SIP ARP_ DMAC ARP_ DIP PC-B Bcast PC-B WWW Bcast WWW

55 Przerwa na laboratoria Znowu Tym razem ARP

56 Lab 6.1.

57 Lab Skonfigurować sieć według schematu. Na PC-A uruchomić Kali Linux. Adresy wszystkich urządzeń powinny znajdować się w tej samej sieci. 2. Na PC-A włączyć przekazywanie pakietów: sudo sysctl w net.ipv4.ip_forward=1 Wyłączyć wysyłanie ICMP Redirect (pozwala uniknąć wysyłania dodatkowego ruchu do ofiar ataku): sudo sysctl w net.ipv4.conf.eth0.send_redirects=0 3. W oddzielnym oknie konsoli uruchomić proces spoofowania tablic ARP hosta PC-B i WWW: sudo ettercap Ti eth0 M arp //IP_PC-B// //IP_WWW// 4. Wykonać ping z PC-B do WWW. Czy widać go w ruchu przechodzącym przez PC-A (dzięki opcji ip_forward PC-A zachowuje się jak router)?

58 Jak się przed tym bronić? Czyli DHCP, DHCP Snooping i Dynamic ARP Inspection

59 DHCP Dynamic Host Configuration Protocol (RFC 1541 i później 2131), rok Serwerowi DHCP jest przyznana pula adresów, klient otrzymuje adres tej puli na określony administracyjnie czas, zwany czasem dzierżawy (ang. lease time) Czas dzierżawy może być różny (w sieciach hotspot będzie zazwyczaj niższy niż w przewodowym Ethernecie w biurze)

60 Sposoby przyznawania adresów Ręczna alokacja Administrator przypisuje wstępnie przydzielony adres IPv4 dla klienta, a DHCPv4 przekazuje ten adres IPv4 do urządzenia. Automatyczna alokacja serwer przypisuje statyczny adres przy pierwszym kontakcie hosta. Przy każdym kolejnym zgłoszeniu się tego klienta, otrzyma on ten sam adres. Dynamiczna alokacja klient otrzymuje adres na określony przez serwer czas, lub do momentu gdy klient nie potrzebuje już tego adresu. Następnym razem klient może otrzymać inny adres. Metoda ta jest najczęściej stosowana.

61 Komunikaty DHCP

62 DHCP Ataki DHCP Starvation wysycenie puli dostępnych adresów serwera DHCP. Nowe hosty pojawiające się w sieci nie mogą wtedy otrzymać adresu, ponieważ brak ich w puli. Atak typu DoS. DHCP Spoofing podszywanie się pod serwer DHCP, oferując własne dzierżawy. Możliwy atak MitM (np. podając adres bramy) lub DoS. Często poprzedzone przez DHCP Starvation.

63 DHCP zabezpieczenia DHCP Starvation odpowiednia konfiguracja port-security. Zapytania muszą zawierać inny adres MAC klienta. Wymuszenie zgodności MAC w ramce Ethernet i pola HWADDR w DHCP: S(config-if)# ip dhcp snooping verify mac-address DHCP Spoofing mechanizm DHCP Snooping, dostępny na większości switchy Cisco.

64 DHCP Snooping Domyślnie na wszystkich portach może pojawić się serwer DHCP. DHCP Snooping: Podział portów na zaufane (z nich mogą zostać wysłane DHCPOFFER i DHCPACK) oraz niezaufane (odrzucanie tych komunikatów). DHCPDISCOVER i DHCPREQUEST wysyłane są tylko na porty zaufane (mimo, że to broadcasty). Dodanie do DHCPDISCOVER i DHCPREQUEST opcji 82 (identyfikującej przekazujący switch).

65 DHCP Snooping Switch staje się świadomy ruchu DHCP: budowa tablicy bazy danych: port adres MAC hosta adres IP hosta Po co? DHCPRELEASE może zostać wysłane tylko z portu, na którym uzyskano dany adres. Nie można zwolnić adresu IP za inne urządzenie (serwer DHCP i tak powinien to sprawdzić). Dodatkowe mechanizmy ochrony: IP Source Guard i Dynamic ARP Inspection.

66 DHCP Snooping

67 DHCP Snooping konfiguracja 1. Włączenie DHCP Snooping S(config)# ip dhcp snooping 2. Wskazanie chronionych sieci VLAN S(config)# ip dhcp snooping vlan ID,ID-ID Domyślnie porty w stanie untrusted! 3. Konfiguracja portów zaufanych S(config)# int fa0/1 S(config-if)# ip dhcp snooping trust 4. (Opcjonalne) Konfiguracja limitu komunikatów S(config)# int fa0/2 S(config-if)# ip dhcp snooping limit rate LIMIT 5. Podgląd konfiguracji S# show ip dhcp snooping [ binding statistics ]

68 DHCP Snooping uwagi Domyślnie ustawiana przez switche, z włączonym DHCP Snooping, opcja 82 może być nierozpoznawana przez serwery DHCP. Efekt: odrzucanie przekazywanych zapytań. Wyłączenie opcji 82: S(config)# no ip dhcp snooping information option

69 No ale co to ma do ARP? To, że DHCP zna mapowania MAC IP

70 Dynamic ARP Inspection DAI mechanizm pozwalający na kontrolę poprawności komunikatów ARP. Komunikaty ARP porównywane są ze statycznymi wpisami ręcznych list ARP ACL (w pierwszej kolejności) oraz bazą DHCP Snooping (wymagane włączenie). Priorytet mają ARP ACL jeżeli z ACL wynika konieczność odrzucenia komunikatu, to nie następuje sprawdzenie bazy DHCP Snooping. Można w ogóle wyłączyć (na interfejsie) sprawdzanie bazy DHCP Snooping.

71 DAI Dwie kategorie portów: Zaufane ARP przepuszczane bez inspekcji Niezaufane dokonywana inspekcja DAI, domyślny limit 14 komunikatów/s. Po przekroczeniu limitu port umieszczany w stanie err-disabled (cause: arpinspection). Okresowe przywracanie portu: S(config)# errdisable recovery cause arp-inspection

72 DAI

73 DAI Dodatkowa kontrola S(config)# ip arp inspection validate PARAMETER src-mac porównywanie adresu źródłowego ramki Ethernet z adresem nadawcy w ARP dst-mac porównywanie adresu docelowego Ethernet z adresem celu w ARP ip komunikaty ARP sprawdzanie kod kątem dziwnych adresów IP ( , multicast, experimental, itd.). IP nadawcy sprawdzane jest we wszystkich komunikatach ARP. IP celu tylko w ARP Reply. Można dopuścić jako sender IP.

74 DAI uwagi DAI kontroluje tylko komunikaty ARP. Nie jest sprawdzany cały ruch pomiędzy urządzeniami. Jeżeli atak udał się już wcześniej wpisy w tablicy ARP dalej istnieją: Wpisy są dynamiczne znikną po pewnym czasie (kilka minut) Usuwanie: arp d *

75 DAI konfiguracja 1. Włączenie DAI na określonym VLAN-ie S(config)# ip arp inspection vlan ID,ID-ID Domyślnie porty w stanie untrusted! 2. Konfiguracja portów zaufanych S(config)# int fa0/1 S(config-if)# ip arp inspection trust 3. (Opcjonalne) Konfiguracja limitu komunikatów ARP na sekundę S(config)# int fa0/2 S(config-if)# ip arp inspection limit rate LIMIT 4. Podgląd działania DAI S# show ip arp inspection [ statistics ]