čtvrtek 11. dubna 2013

Síťové útoky na LAN

Na lokální síti (LAN) se lze setkat s několika typy útoky.
Na menších sítích (čítajících desítky - stovky pracovníků), kde se uživatelé i navzájem znají se spíše jedná o špatnou konfiguraci či neúmyslné jednání.
Na větších sítí se však může jednat i o úmyslné - záměrné jednání.

Jaké možné síťové útoky se mohou vyskytnout na LAN?



  • DHCP Spoofing
    Na LAN síti se vyskytuje neznámé zařízení (server, router, switch, firewall, bezpečnostní brána ...), které se chová jako DHCP Server. Na požadavky DHCP klientů odpovídá a nabízí nesmyslné, podvržené IP adresy (včetně masky, brány a DNS serveru.).
    Následně DHCP klienti komunikují (veškerý provoz od těchto klientů) skrz tuto podvrženou bránu (útočníkův počítač) směrem ven z LAN.
    Útočník může tedy prozkoumat každý paket (zachytí veškerý provoz) a následně ho odešle standardní cestou.
    Na CISCO switchích (přepínačích) se lze proti ne-autorizovaným DHCP serverům bránit zapnutím funkce: ip dhcp snooping
  • MAC Flooding 
    Při tomto útoku útočník zaplaví přepínač falešnými MAC adresami, čímž vypadnou (vymažou se)
    z CAM tabulky přepínače reálné MAC adresy všech komunikujících zařízení.
    (Přeci jen ... tabulka má omezený rozsah MAC adres.)
    Přepínač v tomto stavu začne odesílat data na všechny porty VLAN sítě, útočník tato data může zachytit.
    Obranou je funkce Port Security na CISCO přepíačích, kdy zadáme maximální počet MAC adres připojených na port.
    Pokud je tento počet dosažen, dojde porušení bezpečnosti a nastane nastavená událost (zahození rámce, vypnutí portu, vypnutí VLAN apod.)

  • ARP Spoofing
    Také se nazývaný ARP poisoning nebo ARP Poison Routing nebo ARP Cache Poisoning.
    Útok je založen na používání tzv. gratuitous ARP paketů ("nevyžádaných" ARP paketů). 
    Jedná se o pakety, kterými stanice oznamuje vazbu mezi IP a MAC adresou (ARP Reply), aniž by obdržela požadavek na vyslání takové informace (ARP Request). 
    Stanice většinou gratuitous ARP přijme a informace z něj si zapíše do ARP cache a používá je (mezi různými OS mohou existovat rozdíly). 
    Útočník může například pomocí gratuitous ARP podstrčit stanicím svou MAC adresu místo MAC adresy síťové brány. Stanice pak posílají data do jiných podsítí přes počítač útočníka, který je odposlouchává.
    Obranou je Dynamic ARP Inspection (DAI). DAI využívá tabulku, vybudovanou při DHCP Snoopingu. Přepínač zjišťuje pro každý ARP paket, zda údaje v něm obsažené (IP a MAC adresa) odpovídají údajům ve zmíněné tabulce. Pokud ne, ARP paket zahodí, v krajním případě může zablokovat port, ze kterého paket přišel.

  • Port Stealing 
    Tento útok je podobný ARP poisoningu, ale útočník nepodsouvá svou MAC adresu oběti, ale switchi. Útočník zjistí, jakou má oběť MAC adresu a pošle paket, který bude mít jako cílovou, tak výchozí adresu tuto.
    Switch si přepíše CAM tabulku a paket dále nepošle, protože cílový port je totožný s výchozím. Nyní, když někdo pošle paket oběti, switch jej doručí podle MAC adresy útočníkovi. Pokud chce útočník doručit paket oběti, musí opravit CAM tabulku. Pošle paket ARP Request, oběť odpoví ARP Reply, switch si opraví tabulku a útočník může odeslat zachycený paket oběti. Tento útok má nevýhodu v tom, že když oběť odešle jakýkoliv paket v době, kdy se útočník vydává za oběť, CAM tabulka se obnoví a další pakety určené oběti nebudou posílány útočníkovi ale oběti. Proto útočník musí posílat pakety pro kradení portu rychleji. Také se stává, že nějaké pakety díky tomu nezachytíme. Nemusíme třeba také čekat, než k nám dorazí paket ARP Reply, a poslat data ještě před jeho přijetím. Tím ale riskujeme, že data odešleme moc brzo a ona se nám vrátí (CAM tabulka se nestihne zotavit).
  • ICMP Redirect 
    Detekce tohoto útoku je možná pouze v případě, že můžete odposlouchávat provoz celé sítě. Pokud tomu tak je, vyhledáváte veškeré ICMP pakety typu 5. Analýzou tohoto paketu můžete odhalit, kdo je útočník, a to tak, že se podíváte na IP adresu, na kterou měl být provoz přesměrován. Bohužel vždy tato IP adresa nemusí patřit útočníkovi. Útočník ji může totiž nastavit na IP adresu někoho, komu se chce pomstít, s vědomím toho, že vy budete tohoto člověka považovat za útočníka.
    ICMP Redirect potřebuje, aby zdrojová IP adresa byla zfalšována. Jenomže to IP Source Guard znemožňuje, takže tento útok není možný.
     
  • DNS Spoofing
    Pokud budeme nahlížet na tento útok z možnosti útoku na klienta, lze říci, že nám nebezpečí nehrozí, pokud používáme updatovaný systém Windows nebo jiný operační systém. Jediná možnost, jak tohoto útoku efektivně využít, vyžaduje zapojení dalšího útoku, abychom mohli odposlouchávat provoz od oběti. V tomto případě ale také tento útok ztrácí většinu svého využití.
Shrnutí:
Všem útokům se tedy dá zabránit. Pojďme si vše stručně zopakovat.
  • ARP Cache Poisoning: DAI
  • DHCP Spoofing: DHCP Snooping
  • ICMP Redirect: IP Source Guard
  • MAC Flooding: Port Security
  • Port Stealing: Port Security
  • Připojení počítače do sítě: autentizace
v
Štítky:

Žádné komentáře:

Okomentovat

Přihlásit se k odběru: Komentáře k příspěvku (Atom)