RuCore.NET

Безопасность: атака VLAN и дополнительный уровень защиты сети





Безопасность VLAN ­— организация такого использования VLAN, когда невозможно несанкционированно получить доступ к трафику, передающихся во всех VLAN’ах за исключением тех, к которым доступ разрешён. Принято считать, что достаточно изолировать трафик внутри отдельного VLAN и становится абсолютно невозможно ни просмотреть, ни, тем более, модифицировать его другим участникам сети, которые не имеют прямого доступа к этому VLAN’у. В действительности, это правда только отчасти. Существует большое количество различных способов в случае некорректной настройки коммутатора заставить его направлять на порт вместо трафика одного VLAN’а тегированный трафик множества VLAN’ов. Это возможно только при некорректной настройке коммутатора.

 



Чаще всего технологию VLAN используют для объединения в одну подсеть компьютеров, подключенных к разным физическим маршрутизаторам (например, машины, находящиеся в разных офисах). Однако с точки зрения информационной безопасности у нее тоже много преимуществ. Она не только позволяет обезопасить устройство одной подсети от несанкционированного доступа из другой, но и облегчает управление политиками безопасности, позволяя применять эти политики к целой подсети, а не к отдельным устройствам.

Для полноценного использования VLAN вам понадобится любое сетевое оборудование профессионального уровня. Впрочем, сейчас технология поддерживается и некоторыми бытовыми роутерами, в частности Keenetic.

Любые пакеты, передаваемые между VLAN, должны пройти через маршрутизатор или другие устройства уровня 3. Безопасность-одна из многих причин, по которым сетевые администраторы настраивают VLAN. Однако с помощью эксплойта, известного как «Hopping VLAN», злоумышленник может обойти эти реализации безопасности.

VLAN Hopping

Через порт атакующим отправляется пакет DTP (Dynamic Trunking Protocol), указывающий коммутатору, что данный порт является транковым (то есть, через него передаётся тегированный трафик VLANов). Необходимо чтобы порт был соответствующим образом сконфигурирован. Не все фреймы будут обрабатываться.

Этот тип эксплойта позволяет злоумышленнику обойти любые ограничения уровня 2, созданные для разделения узлов. При правильной настройке порта коммутатора злоумышленник должен будет пройти через маршрутизатор и любые другие устройства уровня 3 для доступа к своей цели. Тем не менее, многие сети либо имеют плохую реализацию VLAN, либо имеют неправильные конфигурации, которые позволят злоумышленникам выполнить указанный эксплойт. В этой статье я рассмотрю два основных метода прыжков VLAN, известных как’ подмены с коммутацией ‘и’двойной пометки’. Затем я расскажу о методах смягчения последствий.

Switched Network

Крайне важно понимать, как работают коммутаторы, если мы хотим найти и использовать их уязвимости. Мы не обязательно эксплуатируем само устройство, а скорее протоколы и конфигурации, инструктирующие, как они работают.

На коммутаторе порт или настроен как порт доступа или как порт транкинга. Порт доступа обычно используется при подключении хоста к коммутатору. С реализацией VLAN каждый порт доступа назначен только одной VLAN. Транкинговый порт используется при соединении двух коммутаторов или коммутатора и маршрутизатора. Транкинговые порты позволяют использовать трафик из нескольких VLAN. Магистральный порт можно настроить вручную или создать динамически с помощью протокола динамической магистрали (dtp).

DTP является проприетарным протоколом Cisco, где одно использование должно динамично установить магистральное соединение между двумя коммутаторами.

Switched Spoofing VLAN Attack

Атакующий действует как коммутатор, чтобы обмануть легитимный коммутатор в создание транкинговой связи между ними. Как упоминалось ранее, пакеты из любой VLAN могут проходить через магистральный канал. Как только магистральное соединение установлено, атакующий тогда имеет доступ к трафику от любой VLAN. Эта уязвимость успешна только в том случае, если допустимый коммутатор настроен для согласования магистрали. Это происходит, когда интерфейс настроен или с «динамическим желательным», «динамическим авто» или с режимом «Транка». Если целевой коммутатор имеет один из этих настроенных режимов, атакующий тогда может генерировать сообщение DTP от их компьютера, и магистральное соединение может быть сформировано.

Double Tagging

Двойная маркировка происходит, когда злоумышленник добавляет и изменяет теги на фрейме Ethernet, чтобы позволить отправку пакетов через любую VLAN. Эта атака использует преимущества того, сколько переключателей обрабатывают теги. Большинство коммутаторов только удалят внешний тег и передадут кадр ко всем собственным портам VLAN. С учетом сказанного, этот эксплойт является успешным только в том случае, если злоумышленник принадлежит к собственной VLAN магистрального канала. Еще один важный момент, эта атака строго в одну сторону как нельзя инкапсулировать пакет.

VLAN Hopping Exploit

 

В этом случае существует злоумышленник, коммутатор и целевой сервер. Злоумышленник подключается к интерфейсу коммутатора FastEthernet 0/12, а целевой сервер подключается к интерфейсу коммутатора FastEthernet 0/11 и входит в состав VLAN 2. Взгляните на следующую топологию.

Как только вы знакомы с топологией, взгляните на некоторые конфигурации, установленные для коммутатора:

интерфейс FastEthernet0/11

switchport режим доступа

switchport nonegotiate режиме

switchport доступ vlan 2

интерфейс FastEthernet0/12

режим switchport динамичный авто

Надеюсь, вы видите проблему конфигурации с интерфейсом fa0 / 12. Этот порт настроен на прием входящих переговоров, чтобы определить, является ли порт для доступа или транкинг. Это означает, что злоумышленник может выполнить атаку на коммутатор. После того, как злоумышленник подключается к порту, они могут отправить сообщение DTP и магистральное соединение будет установлено.

Злоумышленник может использовать программу Yersinia для создания и отправки сообщения DTP. Yersinia-это платформа для тестирования на проникновение, созданная для атаки на многие протоколы, которые находятся на уровне 2. Он поставляется с предустановленным с kali Linux и имеет простой в использовании графический интерфейс пользователя (GUI).

Yersinia Homepage — //www.yersinia.net/

Чтобы запустить Yersinia:

yersinia-G

Вот быстрый взгляд на графический интерфейс:

 

Теперь отправить сообщение DTP так же просто, как следующие 4 шага:

  1. click «Launch attack»
  2. click the tab «DTP»
  3. click «enable trunking»
  4. click «ok»

 

Yersinia будет посылать сообщение DTP и в течение нескольких секунд, транкинговая связь будет установлена. В нашем сценарии атакующий будет иметь доступ ко всему трафику, проходящему через VLAN 2, и может непосредственно атаковать, не проходя через устройства уровня 3.

 

Сценарий 2 — Двойная Атака Пометки

В этом случае существует злоумышленник, 2 коммутатора и целевой сервер. Злоумышленник подключен к коммутатору 1. Переключатель 1 прикреплен к переключателю 2 и, наконец, наша цель прикреплена к переключателю 2. Взгляните на следующую топологию.

 

Как только вы знакомы с топологией, взгляните на некоторые конфигурации, установленные для коммутатора 1.

интерфейс FastEthernet0/12

switchport режим доступа

switchport nonegotiate

switchport доступ vlan 1

 

интерфейс FastEthernet0/11

багажник инкапсуляции dot1q switchport

магистраль режима switchport

switchport nonegotiate

switchport багажник родной vlan 1

Из этих конфигураций мы видим, что злоумышленник не сможет выполнить атаку подмены коммутатора. Однако мы видим, что злоумышленник принадлежит к собственной VLAN магистрального порта. Это означает, что эта топология уязвима для атаки с двойным тегированием.

Злоумышленник может использовать программу Scapy, чтобы создать специально созданные кадры, необходимые для обработки этой атаки. Scapy-это программа на Python, созданная для работы с пакетами.

Scapy Homepage — //scapy.net/

Scapy Documentation — //scapy.readthedocs.io/en/latest/usage.html

Start Scapy:

sudo ./scapy

Использование функции sendp() для создания пакета:

>>sendp(Ether()/Dot1Q(vlan=1)/Dot1Q(vlan=2)/IP(dst='<destination IP’, src='<source IP>’)/ICMP())

Это создаст двойной 802.1 q инкапсулированный пакет для цели на VLAN 2. Посмотрите на следующую топологию, чтобы увидеть, как коммутаторы управляют этим кадром.

 

На рисунке видно, что коммутатор 1 считывает и удаляет только внешний тег. Это проверяет, что хост является частью заявленной VLAN и передает пакет ко всем собственным портам VLAN (VLAN 1). Коммутатор 2 тогда получает пакет только с одним левым заголовком. Это предполагает, что кадр принадлежит заявленной VLAN на этом теге (VLAN 2) и вперед ко всем портам, настроенным для VLAN 2. Цель получает пакет, отправленный злоумышленником.

VLAN = HOPPED.

Сегментация локальной сети

Один из самых эффективных способов защитить подразделения, работающие с критически важной информацией, от риска заражения — разбить корпоративную сеть на несколько автономных подсетей. Сегментация позволяет изолировать отдельные компьютеры или группы компьютеров от других устройств.

По-хорошему, все потенциально опасные отделы надо бы изолировать физически. То есть установить несколько маршрутизаторов и с их помощью разделить корпоративную сеть на несколько обособленных подсетей. Однако тут мы сталкиваемся с серьезными недостатками: во-первых, дополнительное оборудование означает дополнительные расходы, а во-вторых, внесение изменений в уже построенную сетевую инфраструктуру — это всегда боль для системных администраторов.

Альтернативный и более простой вариант — использовать виртуальные сети VLAN. То есть, не меняя оборудования, организовать на базе одной физической сети несколько логических. Они конфигурируются программно, а значит, не нужно менять даже кабельную разводку.

Не сегментацией единой…

Разумеется, применение виртуальных локальных сетей — это не панацея. Так вы просто минимизируете шансы заражения критических узлов. Сами отделы «зоны риска» это никак не защищает. Поэтому для верности будет не лишним:

  • Повышать грамотность ваших сотрудников в сфере информационной безопасности и регулярно напоминать им, что стоит с осторожностью относиться к подозрительным письмам.
  • Регулярно обновлять программное обеспечение на рабочих станциях, сетевых и других устройствах, чтобы злоумышленники не могли проникнуть в вашу инфраструктуру через давно известные уязвимости.
  • Использовать надежные защитные решения для рабочих станций и серверов, распознающие и обезвреживающие вредоносные программы и ресурсы.

Как защитится?

Чтобы предотвратить атаку подмены, необходимо выполнить несколько шагов:

  • Не настраивайте точки доступа ни с одним из следующих режимов: «желательно динамический», «динамический автоматический»или » магистральный».
  • Вручную настройте порты доступа и отключите DTP на всех портах доступа.
  • switchport режим доступа
  • switchport nonegotiate режиме
  • Вручную настройте все магистральные порты и отключите DTP на всех магистральных портах.
  • магистраль режима switchport
  • switchport nonegotiate режиме
  • Отключение всех интерфейсов, которые в настоящее время не используется.

 

Чтобы предотвратить двойную атаку тегов, держите собственную VLAN всех магистральных портов, отличных от пользовательских VLAN. Коммутаторы не были созданы для обеспечения безопасности. Однако важно использовать меры безопасности на всех уровнях. Если требуется время для сегментирования сети, убедитесь, что это сделано правильно и безопасно. Будьте внимательны при настройке сети.

 

 

Источник: //hackfix.ru/ и //habr.com/ и //www.kaspersky.ru/



Поделись статьей с друзьями


62 просмотров



Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: