dr inż. Łukasz Sturgulewski, Zagrożenia w sieciach komputerowych

Transkrypt

1 Zagrożenia w sieciach komputerowych dr inż. Łukasz Sturgulewski, luk@iis.p.lodz.pl, Zagrożenia w sieciach komputerowych 1

2 Ataki na L2 Typowe ataki na L2: Przepełnienie tablicy CAM flooding Podszycie pod IP-MAC ARP spoofing DHCP snooping IP spoofing (itp.) Zagrożenia w sieciach komputerowych 2

3 Idea Wszędzie podajemy adresy IP. Należy pamiętać, że adres IP nie jest wystarczający do komunikacji w sieci! Potrzebny jest adres warstwy 2 modelu OSI, zależy od użytej technologii. Dla Ethernet będzie to adres MAC. Tłumaczenia z IP na MAC dokonuje ARP. Zagrożenia w sieciach komputerowych 3

4 Komunikacja w sieci Tłumaczenie IP na MAC: W sieci Pracownicy Poza sieć Pracownicy OUTSIDE / 28 dmz security-level 50 outside security-level / 25 subinterfaces, trunk / / 16 VLAN Admin sec.lev.95 Wpisujemy w przeglądarce adres i / 16 VLAN Dyrekcja sec.lev / 16 VLAN Pracownicy sec.lev.80 Zagrożenia w sieciach komputerowych 4

5 Konfiguracja host a Zagrożenia w sieciach komputerowych 5

6 Wynik z Wireshark (ARP) Zagrożenia w sieciach komputerowych 6

7 Wynik z Wireshark (DNS) Zagrożenia w sieciach komputerowych 7

8 Wynik z Wireshark (TCP, HTTP) Zagrożenia w sieciach komputerowych 8

9 Przesyłanie danych Unicast Broadcast Multicast Zagrożenia w sieciach komputerowych 9

10 Przesyłanie danych Domena kolizyjna Domena rozgłoszeniowa Segmentacja L2 Segmentacja L3 Zagrożenia w sieciach komputerowych 10

11 Zasada działania przełącznika Zagrożenia w sieciach komputerowych 11

12 Cechy przełącznika Zagrożenia w sieciach komputerowych 12

13 Przełączanie ramek Zagrożenia w sieciach komputerowych 13

16 MAC flooding Zagrożenia w sieciach komputerowych 16

17 MAC flooding Zainstalować i skonfigurować w sieci program do generowania ruchu z losowymi adresami MAC (atak typu MAC flooding czyli zalanie tablicy CAM przełącznika losowymi adresami). Wykazać przepełnienie tablicy CAM. Stwierdzić czy przełącznik jest podatny na ten rodzaj ataku. Zagrożenia w sieciach komputerowych 17

18 Program do generowania ruchu z losowymi adresami MAC EtherFlood floods a switched network with Ethernet frames with random hardware addresses. The effect on some switches is that they start sending all traffic out on all ports so you can sniff all traffic on the network. Q: Why doesn't EtherFlood work? A: Perhaps your switch isn't vulnerable to this attack. If all the LED's on the switch are blinking rapidly but you still don't see all network traffic the switch is probably immune. Zagrożenia w sieciach komputerowych 18

19 Program do generowania ruchu z losowymi adresami MAC Macof dsniff Kali Linux Zagrożenia w sieciach komputerowych 19

20 Wykazać przepełnienie tablicy CAM Dla urządzeń Cisco do weryfikacji zawartości tablicy CAM przełącznika użyć poleceń: Switch# sh mac address-table Switch# sh mac address-table count Zagrożenia w sieciach komputerowych 20

21 Tablica CAM INE-SW1#show mac address-table? address Address to lookup in the table aging-time MAC address table aging parameters count Number of MAC addresses in the table dynamic List dynamic MAC addresses interface List MAC adresses on a specific interface learning Display learning on VLAN or interface move MAC Move information multicast List multicast MAC addresses notification MAC notification parameters and history table secure List secure MAC addresses static List static MAC addresses vlan List MAC addresses on a specific vlan Output modifiers <cr> Zagrożenia w sieciach komputerowych 21

22 Wykazać przepełnienie tablicy CAM INEINE-SW1#show mac address-table Mac Address Table Vlan Mac Address Type Ports a.b82d.10e0 DYNAMIC Fa0/ b6.4cd8 DYNAMIC Fa0/ b6.4cd9 DYNAMIC Fa0/ DYNAMIC Fa0/ b DYNAMIC Fa0/ b DYNAMIC Fa0/ b f DYNAMIC Fa0/ f DYNAMIC Fa0/ DYNAMIC Fa0/ DYNAMIC Fa0/ b.d f DYNAMIC Fa0/ b.d DYNAMIC Fa0/ b.d DYNAMIC Fa0/ b f DYNAMIC Fa0/ b945.d5a9 DYNAMIC Fa0/ b945.f780 DYNAMIC Fa0/ b f DYNAMIC Fa0/ b945.f781 DYNAMIC Fa0/ b f DYNAMIC Fa0/ c.80e1 DYNAMIC Fa0/ b f DYNAMIC Fa0/ c.80e0 DYNAMIC Fa0/13 Total Mac Addresses for this criterion: Zagrożenia w sieciach komputerowych 22

23 Przeciwdziałanie MAC flooding Port Security secures the access to an access or trunk port based on MAC address. It limits the number of learned MAC addresses to deny MAC address flooding. Cisco 2960 Data Sheet: oduct_data_sheet0900aecd80322c0c.html Zagrożenia w sieciach komputerowych 23

24 Port Security Przeciwdziałanie zmianie adresu MAC przez użytkownika MAC spoofing. W tym także przeciwdziałanie podpięciu obcego hosta. Przeciwdziałanie MAC flooding. Zagrożenia w sieciach komputerowych 24

25 Port Security Ustalenie zasad bezpieczeństwa dla wybranego portu: Switch(config)# interface fastethernet <nr_portu> Ograniczenie dostępu hostów do Switch a: Switch(config-if)# switchport port-security Działanie w przypadku naruszenia reguły bezpieczeństwa: Switch(config-if)# switchport port-security violation <protect restrict shutdown> Ograniczenie liczby hostów na porcie: Switch(config-if)# switchport port-security maximum <liczba_hostów> Adresów MAC hostów Switch nauczy się automatycznie (pierwsze podłączone): Switch(config-if)# switchport port-security mac-address sticky Zagrożenia w sieciach komputerowych 25

26 Port Security Weryfikacja port security: Switch# show port-security Switch# show mac-address-table Switch# show running-config Uwaga: Jeśli nastąpi naruszenie zasad bezpieczeństwa i port zostanie wyłączony, konieczne będzie użycie polecenia shutdown a następnie no shutdown w celu dokonania reaktywacji tego portu. Zagrożenia w sieciach komputerowych 26

27 ARP spoofing Zagrożenia w sieciach komputerowych 27

28 ARP spoofing Zainstalować i skonfigurować w sieci program służący do podszycia się pod inne urządzenia (zmiana MAC dla określonego IP). Podszyć się pod bramę, dla wybranego hosta w sieci. Wykazać skuteczność metody (tablica ARP na hoście). Stwierdzić czy przełącznik jest podatny na ten rodzaj ataku. Zagrożenia w sieciach komputerowych 28

29 Zagrożenia w sieciach komputerowych 29

30 Brama (Router Cisco) Zagrożenia w sieciach komputerowych 30

31 Dobry host Zagrożenia w sieciach komputerowych 31

32 Zły host Zagrożenia w sieciach komputerowych 32

33 Program służący do podszycia się pod inne urządzenie (MAC) na złym hoście Zagrożenia w sieciach komputerowych 33

34 Podszycie Wykazać skuteczność metody (tablica ARP na hoście). Czy przełącznik jest podatny na ten atak? Przed Po Zagrożenia w sieciach komputerowych 34

35 Podszycie Analiza danych z Wireshark: ARP: Pakiety 1335 i 1336 Zapytanie DNS: 1427 i 1428 Zapytanie do google przez fałszywą bramę: 1434 i 1435 Zagrożenia w sieciach komputerowych 35

36 Przeciwdziałanie ARP spoofing Dynamic ARP Inspection (DAI) helps ensure user integrity by preventing malicious users from exploiting the insecure nature of the ARP protocol Cisco 2960 Data Sheet: oduct_data_sheet0900aecd80322c0c.html Zagrożenia w sieciach komputerowych 36

37 Przeciwdziałanie ARP spoofing Konfiguracja ARP inspection Włączyć ARP inspection dla określonego VLAN: Switch(config)# ip arp inspection vlan nr Port łączący przełącznik z ASA/Router (bramą) ustawić jako zaufany: Switch(config-if)# ip arp inspection trust Zagrożenia w sieciach komputerowych 37

38 Przeciwdziałanie ARP spoofing Weryfikacja ARP inspection: Switch# show ip arp inspection *Mar 1 00:39:37.415: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Res) on Fa0/1, vlan 1.([ ce.4997/ /0016.d32c.edbe/ /00:39:36 UTC Mon Mar ]) *Mar 1 00:39:47.481: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Res) on Fa0/1, vlan 1.([ bc.0941/ /0016.d32c.edbe/ /00:39:46 UTC Mon Mar ]) *Mar 1 00:39:47.481: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Res) on Fa0/1, vlan 1.([ ce.4997/ /0016.d32c.edbe/ /00:39:46 UTC Mon Mar ]) *Mar 1 00:39:57.547: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Res) on Fa0/1, vlan 1.([ bc.0941/ /0016.d32c.edbe/ /00:39:56 UTC Mon Mar ]) *Mar 1 00:39:57.547: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Res) on Fa0/1, vlan 1.([ ce.4997/ /0016.d32c.edbe/ /00:39:56 UTC Mon Mar ]) Zagrożenia w sieciach komputerowych 38

39 Przeciwdziałanie skanowaniu *Mar 1 00:36:14.318: %SW_DAI-4-PACKET_RATE_EXCEEDED: 18 packets received in 41 milliseconds on Fa0/1. *Mar 1 00:36:14.318: %PM-4-ERR_DISABLE: arp-inspection error detected on Fa0/1, putting Fa0/1 in err-disable state *Mar 1 00:36:15.325: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down *Mar 1 00:36:16.332: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to down Zagrożenia w sieciach komputerowych 39

40 DHCP Snooping Zagrożenia w sieciach komputerowych 40

41 Protokoły DHCP i BOOTP BOOTP BOOTstrap Protocol DHCP Dynamic Host Configuration Protocol Protokoły te służą do określenia przy starcie jednostki wszystkich informacji potrzebnych do jej działania w sieci TCP/IP np. adresu IP. BOOTP brak dynamicznej konfiguracji jednostek w sieci. Zagrożenia w sieciach komputerowych 41

42 DHCP DHCP Dynamic Host Configuration Protocol: RFC Architektura klient serwer. Automatyczna konfiguracja węzłów sieci. Minimalizacja nakładów przy konfiguracji sieci IP. Wiele konfigurowalnych przez DHCP parametrów (oczywiście IP najważniejsze). Zagrożenia w sieciach komputerowych 42

43 DHCP Protokół warstwy 7 (aplikacji). W warstwie 4 (transportowej) korzysta z UDP. Klient wysyła komunikaty do serwera na port 67. Serwer wysyła komunikaty do klienta na port 68. Zagrożenia w sieciach komputerowych 43

44 DHCP zasada działania Zagrożenia w sieciach komputerowych 44

45 DHCP zasada działania Zagrożenia w sieciach komputerowych 45

46 DHCP przydzielanie adresów Zagrożenia w sieciach komputerowych 46

47 DHCP problem! Co się dzieje gdy ktoś wprowadzi obcy serwer DHCP (np. domowy router)? Czy możliwa będzie komunikacja w sieci LAN? Jakie usługi działają a jakie nie? Zagrożenia w sieciach komputerowych 47

48 DHCP Snooping DHCP Snooping prevents malicious users from spoofing a DHCP server and sending out bogus addresses. This feature is used by other primary security features to prevent a number of other attacks such as ARP poisoning. Cisco 2960 Data Sheet: oduct_data_sheet0900aecd80322c0c.html Zagrożenia w sieciach komputerowych 48

49 Przeciwdziałanie DHCP spoofing Włączyć globalnie DHCP snooping: Switch(config)# ip dhcp snooping Włączyć DHCP snooping dla wybranych sieci: Switch(config)# ip dhcp snooping vlan nr Ustawić wybrany port jako zaufane źródło ofert z serwera DHCP: Switch(config-if)# ip dhcp snooping trust Zagrożenia w sieciach komputerowych 49

50 Weryfikacja DHCP spoofing Sprawdzić działanie DHCP snooping: Switch# show ip dhcp snooping MacAddress IpAddress Lease(sec) Type VLAN Interface :16:D3:2C:ED:BE dhcp-snooping 1 FastEthernet0/13 00:21:70:AB:D4:8C dhcp-snooping 1 FastEthernet0/5 08:00:27:CE:49: dhcp-snooping 1 FastEthernet0/1 Total number of bindings: 3 Zagrożenia w sieciach komputerowych 50

51 IP source guard Zagrożenia w sieciach komputerowych 51

52 IP source guard IP source guard prevents a malicious user from spoofing or taking over another user's IP address by creating a binding table between the client's IP and MAC address, port, and VLAN. Cisco 2960 Data Sheet: oduct_data_sheet0900aecd80322c0c.html Zagrożenia w sieciach komputerowych 52

53 IP Source Guard IPSG przeciwdziała między innymi IP spoofing, z którym mamy do czynienia gdy intruz żąda / przypisuje sobie adres IP innego urządzenia (np. serwer, router). Takie podszycie umożliwia prowadzenie podsłuchu danych oraz ich fabrykację. Zagrożenia w sieciach komputerowych 53

54 IP Source Guard Włączenie IPSG wymaga wcześniejszej konfiguracji: DHCP snooping port-security Switch(config-if)#ip verify source port-security W pierwszej kolejności sprawdzany jest źródłowy adres IP w przychodzącym pakiecie z bazą DHCP snooping a następnie sprawdzany jest źródłowy adres MAC z bazą port-security na danym porcie. Tworzone są ACL na każdym porcie (brak widoczności w running-config). Ruch, który nie spełnia podanych wyżej warunków jest odrzucany przez sprzęt. Jednakże port nie przechodzi w status errdisable standardowo wyświetla na konsoli informację o naruszeniu reguł. Zagrożenia w sieciach komputerowych 54

55 Weryfikacja IP Source Guard Switch#sh ip verify source Interface Filter-type Filter-mode IP-address Mac-address Vlan Fa0/5 ip-mac active :21:70:AB:D4:8C 1 Jeśli urządzenie z włączonym IPSG otrzyma pakiet IP z adresem , IPSG prześle pakiet tylko jeśli adres MAC ramki ma wartość 00:21:70:AB:D4:8C. Zagrożenia w sieciach komputerowych 55

56 Bezpieczeństwo L2 i L3 Przełącznik L2 Cisco 2960: Port Security DHCP Snooping Dynamic ARP Inspection (DAI) IP Source Guard Cisco 2960 Data Sheet: data_sheet0900aecd80322c0c.html Zagrożenia w sieciach komputerowych 56

57 Zagrożenia w sieciach komputerowych KONIEC Zagrożenia w sieciach komputerowych 57