L2 säkerhet

Det sker många förbättringar ständigt vad gäller nätverkssäkerhet exempelvis implementeringar av 802.1X säkerhetsstandard för trådbundna och trådlösa nätverk. Redan 1990 insåg vi att vi skulle behöva en ny version av IP och därför är IPv6 idag i bruk. Men IPv4 är kvar och Ethernet har inte ändrats i sitt fungerande. Det kan vara förklaringen varför oftast sker de flesta attacker inifrån i det egna lokala nätverket. Det är just detta som väcker upp motivationen att säkra det lokala nätverket redan i L2 nätverksmiljön.

Idag är trenden att användaren tar med sig sina egna datorliknande hjälpmedel till jobbet därmed höjs upp risker för fler attacker inifrån det lokala nätverket. Det räcker att en missnöjd anställd kopplar sin dator till en switch via en TP-kabel och starta ett broadcast storm som skulle ta ner det lokala. Det sker ifall switchen är synlig och obevakad. Till exempel det som hände i Malmö sjukhuset år 2010:

Bild 2: SVT nyhet

Eftersom alla datoranvändare kan få tillgång till alla Ethernet-portar (RJ45 uttag på vägen till hands) så är dessa portar potentiell ingång för en hackare. I OSI-modellen fungerar de olika kommunikationsskikten självständiga från varandra därmed en attack till skiktet 2 kan kompromissa säkerheten för alla andra skikt i kommunikationsmodellen.

Det är viktigt att förstå att användning av autentiserings- och säkerhetsfunktioner som IEEE 802.1x och åtkomstkontrollistor (ACL) kan inte garantera att ett nätverk kan utsättas till många olika attacker. Det som krävs är ett integrerat säkerhetspolicy som omfattar strukturerade och strategiska säkerhetsmekanismer.

Hot inriktade mot L2

  • MAC-address flooding (CAM flow attacker)
  • DHCP-server spoofing
  • MITM eller Man In The Middle (ARP attacker)
  • IP host spoofing

MAC-address flooding

Denial-of-service-attacker (DoS) -attacker är avsedda att förhindra att ett nätverk bär behöriga användares data. En attack av denna typ får en nätverkskomponent att sluta vidarebefordra paket eller vidarebefordra de på fel sätt. Normalt, i ett säkert nätverk, är L2-kommunikation baserad på MAC-adresserna.

En switch lär sig MAC-adresser automatiskt så fort nätverksenheter ansluts till dess Ethernet-portar. Dessa MAC adresser lagras i CAM-tabellen. När en ram (frame) har adresserats med en MAC-adress som inte finns i CAM-tabellen vidarebefordrar switchen ramen genom alla dess portar förutom porten som tog emot ramen.

Eftersom CAM-tabellen har en specifik lagringsutrymme kan denna fyllas i med så många MAC adresser så att alla Ethernet-frame skickas ut genom alla switchens Ethernet-portar.  Detta gör det möjligt för en hacker att avlyssna nätverkstrafiken.

Lyckligtvis kan Ethernet-portar skyddas exempelvis med PORT-SECURITY.

Port Security är en dynamisk funktion som kan användas för att begränsa och identifiera MAC-adresserna för nätverksenheter som ansluts till Ethernet-portar. När en administratör tilldelar specifika MAC-adresser till en Ethernet-port ingen annan MAC-adress accepteras av porten.

En obehörig DHCP-server används vanligtvis i MITM-attacker. En hacker kommer att sända DHCP-förfrågningar med falska MAC-adresser med syfte att få alla IP-adresser en behörig DHCP server har. När den behöriga DHCP-server inte längre kan tillhandahålla IP-adresser tar över den obehöriga DHCP-server. Nu kan IP-adresser för DNS-server, Default Gateway manipuleras så att trafiken omdirigeras till attackers maskiner.

För att förhindra denna typ av attack bör en funktion som kallas DHCP Snooping vara aktiverad på alla L 2-portar. Den här funktionen definierar portar som godkända eller betrodda därmed auktoriserade att ta emot eller vidarebefordra nätverkstrafik.

ARP spoofing

ARP, i sin mest grundläggande funktion, används av IPv4-nätverksenheter för att binda MAC-adresser till respektive IP-adresser. Detta gör att två nätverksenheter i ett LAN kan kommunicera med varandra. När MAC-adresser inte är kända kan inte bindas iho med någon IP-adress därmed ingen kommunikation kan etableras. I en sådan situation skickar en nätverksenhet en ARP-Request till alla andra nätverksenheter. Nätverksenheten som känner sig träffad skickar tillbaka sitt MAC-adress vilken lagras i ARP-cacheminnet. Med MITN-attacker kan hackare fånga ARP-nätverkstrafik upp och manipulera innehållet i svaren för att ge sig som den nätverksenhet som har den okända MAC-adressen.

Dessa attacker kan förhindras med hjälp av Dynamic ARP Inspection (DAI), vilket hjälper till att säkerställa att switchar vidarebefordrar “giltiga” ARP-nätverkstrafik. DAI fångar upp varje ARP-paket på switchar och verifierar giltiga associationer mellan IP och MAC adresser innan de lagras i ARP-cacheminnet.

IP host spoofing

Förutom ARP spoofing kan en attacker också förfalska host IP-adresser. Detta görs vanligtvis för att utföra DoS-attacker genom “behöriga” nätverksenheter. Detta kan skyddas med en funktion känd som IP Source Guard.

Med denna funktion kan host IP-adresser verifieras giltiga sammanbinda IP- och MAC-adresser inkluderade i DHCP-snooping bindningstabell.

Slutligen avrundar vi denna lektion med klar-kristall tanke, skydda varje Ethernet-port.

I en kort video förklarar Keith Barker vad CAM flow attack är: