Sicurezza di rete: livello di collegamento dati

Abbiamo visto che la rapida crescita di Internet ha sollevato una grande preoccupazione per la sicurezza della rete. Sono stati sviluppati diversi metodi per fornire sicurezza nell'applicazione, nel trasporto o nel livello di rete di una rete.

Molte organizzazioni incorporano misure di sicurezza a livelli OSI superiori, dal livello applicativo fino al livello IP. Tuttavia, un'area generalmente lasciata incustodita è il rafforzamento del livello Data Link. Ciò può aprire la rete a una varietà di attacchi e compromissioni.

In questo capitolo, discuteremo dei problemi di sicurezza a Data Link Layer e dei metodi per contrastarli. La nostra discussione sarà incentrata sulla rete Ethernet.

Problemi di sicurezza nel livello di collegamento dati

Il livello di collegamento dati nelle reti Ethernet è altamente soggetto a numerosi attacchi. Gli attacchi più comuni sono:

ARP Spoofing

Address Resolution Protocol (ARP) è un protocollo utilizzato per mappare un indirizzo IP su un indirizzo di macchina fisica riconoscibile nell'Ethernet locale. Quando una macchina host deve trovare un indirizzo MAC (Media Access Control) fisico per un indirizzo IP, trasmette una richiesta ARP. L'altro host che possiede l'indirizzo IP invia un messaggio di risposta ARP con il suo indirizzo fisico.

Ogni macchina host sulla rete mantiene una tabella, chiamata "cache ARP". La tabella contiene l'indirizzo IP e gli indirizzi MAC associati di altri host sulla rete.

Poiché ARP è un protocollo senza stato, ogni volta che un host riceve una risposta ARP da un altro host, anche se non ha inviato una richiesta ARP, accetta quella voce ARP e aggiorna la sua cache ARP. Il processo di modifica della cache ARP di un host di destinazione con una voce contraffatta nota come avvelenamento da ARP o spoofing ARP.

Lo spoofing ARP può consentire a un utente malintenzionato di mascherarsi come host legittimo e quindi intercettare i frame di dati su una rete, modificarli o bloccarli. Spesso l'attacco viene utilizzato per lanciare altri attacchi come man-in-the-middle, dirottamento di sessione o denial of service.

MAC Flooding

Ogni switch in Ethernet dispone di una tabella CAM (Content-Addressable Memory) che memorizza gli indirizzi MAC, i numeri di porta dello switch e altre informazioni. Il tavolo ha una dimensione fissa. Nell'attacco di inondazione MAC, l'autore dell'attacco inonda lo switch con indirizzi MAC utilizzando pacchetti ARP contraffatti fino a quando la tabella CAM non è piena.

Una volta che il CAM è inondato, lo switch entra in modalità simile a un hub e inizia a trasmettere il traffico che non ha accesso CAM. L'aggressore che si trova sulla stessa rete, ora riceve tutti i frame che erano destinati solo a un host specifico.

Port Stealing

Gli switch Ethernet hanno la capacità di apprendere e associare gli indirizzi MAC alle porte. Quando uno switch riceve traffico da una porta con un indirizzo sorgente MAC, associa il numero di porta e quell'indirizzo MAC.

L'attacco furto di porte sfrutta questa capacità degli interruttori. L'autore dell'attacco inonda lo switch con frame ARP contraffatti con l'indirizzo MAC dell'host di destinazione come indirizzo di origine. Switch è ingannato nel credere che l'host di destinazione sia sulla porta, sulla quale è effettivamente connesso un aggressore.

Ora tutti i frame di dati destinati all'host di destinazione vengono inviati alla porta dello switch dell'aggressore e non all'host di destinazione. Pertanto, l'attaccante ora riceve tutti i frame che erano effettivamente destinati solo all'host di destinazione.

Attacchi DHCP

Il protocollo DHCP (Dynamic Host Configuration Protocol) non è un protocollo di collegamento dati, ma le soluzioni agli attacchi DHCP sono utili anche per contrastare gli attacchi di livello 2.

DHCP viene utilizzato per allocare dinamicamente gli indirizzi IP ai computer per un periodo di tempo specifico. È possibile attaccare i server DHCP provocando la negazione del servizio nella rete o impersonando il server DHCP. In un attacco di fame DHCP, l'aggressore richiede tutti gli indirizzi DHCP disponibili. Ciò si traduce in una negazione del servizio per l'host legittimo sulla rete.

Nell'attacco di spoofing DHCP, l'attaccante può distribuire un server DHCP non autorizzato per fornire indirizzi ai client. Qui, l'attaccante può fornire alle macchine host un gateway predefinito rouge con le risposte DHCP. I frame di dati dall'host vengono ora guidati al gateway rouge dove l'attaccante può intercettare tutti i pacchetti e rispondere al gateway effettivo o rilasciarli.

Altri attacchi

Oltre ai suddetti attacchi popolari, ci sono altri attacchi come la trasmissione basata su Layer 2, Denial of Service (DoS), clonazione MAC.

Nell'attacco di trasmissione, l'attaccante invia risposte ARP contraffatte agli host sulla rete. Queste risposte ARP impostano l'indirizzo MAC del gateway predefinito sull'indirizzo di trasmissione. Ciò fa sì che tutto il traffico in uscita venga trasmesso, consentendo lo sniffing da parte dell'attaccante seduto sulla stessa Ethernet. Questo tipo di attacco influisce anche sulla capacità della rete.

Negli attacchi DoS basati sul livello 2, l'aggressore aggiorna le cache ARP degli host nella rete con indirizzi MAC inesistenti. L'indirizzo MAC di ciascuna scheda di interfaccia di rete in una rete dovrebbe essere globalmente unico. Tuttavia, può essere facilmente modificato abilitando la clonazione MAC. L'autore dell'attacco disabilita l'host di destinazione tramite un attacco DoS e quindi utilizza gli indirizzi IP e MAC dell'host di destinazione.

L'aggressore esegue gli attacchi per lanciare gli attacchi di livello superiore in modo da mettere a rischio la sicurezza delle informazioni che viaggiano sulla rete. Può intercettare tutti i frame e sarebbe in grado di leggere i dati del frame. L'aggressore può agire come un man-in-middle e modificare i dati o semplicemente eliminare il frame che porta a DoS. Può dirottare la sessione in corso tra l'host di destinazione e altre macchine e comunicare del tutto informazioni errate.

Protezione delle LAN Ethernet

Abbiamo discusso alcuni attacchi ampiamente noti a Data Link Layer nella sezione precedente. Sono stati sviluppati diversi metodi per mitigare questi tipi di attacchi. Alcuni dei metodi importanti sono:

Sicurezza del porto

È una funzionalità di sicurezza di livello 2 disponibile sugli switch Ethernet intelligenti. Implica il collegamento di una porta fisica di uno switch a uno o più indirizzi MAC specifici. Chiunque può accedere a una rete non sicura semplicemente collegando l'host a una delle porte dello switch disponibili. Tuttavia, la sicurezza delle porte può proteggere l'accesso al livello 2.

Per impostazione predefinita, la sicurezza della porta limita il conteggio degli indirizzi MAC in ingresso a uno. Tuttavia, è possibile consentire a più di un host autorizzato di connettersi da quella porta tramite la configurazione. Gli indirizzi MAC consentiti per interfaccia possono essere configurati staticamente. Un'alternativa conveniente è abilitare l'apprendimento "permanente" degli indirizzi MAC in cui gli indirizzi MAC verranno appresi dinamicamente dalla porta dello switch fino al raggiungimento del limite massimo per la porta.

Per garantire la sicurezza, la reazione alla modifica degli indirizzi MAC specificati su una porta o degli indirizzi in eccesso su una porta può essere controllata in molti modi diversi. La porta può essere configurata per arrestare o bloccare gli indirizzi MAC che superano un limite specificato. La migliore pratica consigliata è chiudere la porta. La sicurezza delle porte impedisce il flooding MAC e gli attacchi di clonazione.

DHCP Snooping

Abbiamo visto che lo spoofing DHCP è un attacco in cui l'attaccante ascolta le richieste DHCP dall'host sulla rete e risponde con una falsa risposta DHCP prima che la risposta DHCP autorizzata arrivi all'host.

Lo snooping DHCP può prevenire tali attacchi. Lo snooping DHCP è una funzionalità di commutazione. Lo switch può essere configurato per determinare quali porte dello switch possono rispondere alle richieste DHCP. Le porte dello switch vengono identificate come porte attendibili o non attendibili.

Solo le porte che si connettono a un server DHCP autorizzato sono configurate come "affidabili" e autorizzate a inviare tutti i tipi di messaggi DHCP. Tutte le altre porte sullo switch non sono attendibili e possono inviare solo richieste DHCP. Se viene visualizzata una risposta DHCP su una porta non attendibile, la porta viene arrestata.

Prevenire lo spoofing ARP

Il metodo di sicurezza della porta può prevenire attacchi di clonazione e flooding MAC. Tuttavia, non impedisce lo spoofing ARP. La sicurezza della porta convalida l'indirizzo di origine MAC nell'intestazione del frame, ma i frame ARP contengono un campo di origine MAC aggiuntivo nel payload dei dati e l'host utilizza questo campo per popolare la cache ARP. Alcuni metodi per impedire lo spoofing ARP sono elencati di seguito.

  • Static ARP- Una delle azioni consigliate consiste nell'utilizzare voci ARP statiche nella tabella ARP host. Le voci ARP statiche sono voci permanenti in una cache ARP. Tuttavia, questo metodo non è pratico. Inoltre, non consente l'utilizzo di alcuni DHCP (Dynamic Host Configuration Protocol) poiché è necessario utilizzare l'IP statico per tutti gli host nella rete di livello 2.

  • Intrusion Detection System- Il metodo di difesa consiste nell'utilizzare Intrusion Detection System (IDS) configurato per rilevare quantità elevate di traffico ARP. Tuttavia, IDS è incline a segnalare falsi positivi.

  • Dynamic ARP Inspection- Questo metodo per impedire lo spoofing ARP è simile allo snooping DHCP. Utilizza porte attendibili e non attendibili. Le risposte ARP sono consentite nell'interfaccia dello switch solo su porte attendibili. Se una risposta ARP arriva allo switch su una porta non attendibile, il contenuto del pacchetto di risposta ARP viene confrontato con la tabella di binding DHCP per verificarne l'accuratezza. Se la risposta ARP non è valida, la risposta ARP viene eliminata e la porta viene disabilitata.

Protezione del protocollo Spanning Tree

Spanning Tree Protocol (STP) è un protocollo di gestione dei collegamenti di livello 2. Lo scopo principale di STP è garantire che non vi siano loop del flusso di dati quando la rete ha percorsi ridondanti. In genere, i percorsi ridondanti sono costruiti per fornire affidabilità alla rete. Ma possono formare loop mortali che possono portare ad attacchi DoS nella rete.

Protocollo Spanning Tree

Per fornire la ridondanza del percorso desiderata, nonché per evitare una condizione di loop, STP definisce un albero che copre tutti gli switch in una rete. STP forza alcuni collegamenti dati ridondanti in uno stato bloccato e mantiene altri collegamenti in uno stato di inoltro.

Se un collegamento nello stato di inoltro si interrompe, STP riconfigura la rete e ridefinisce i percorsi dei dati attivando il percorso di standby appropriato. STP viene eseguito su bridge e switch distribuiti nella rete. Tutti gli switch si scambiano informazioni per la selezione dello switch root e per la successiva configurazione della rete. Le BPDU (Bridge Protocol Data Unit) contengono queste informazioni. Attraverso lo scambio di BPDU, tutti gli switch della rete eleggono un root bridge / switch che diventa il punto focale della rete e controlla i collegamenti bloccati e inoltrati.

Attacchi a STP

  • Rilevamento del ponte radice. È uno dei tipi di attacco più distruttivi al livello 2. Per impostazione predefinita, uno switch LAN accetta qualsiasi BPDU inviato dallo switch vicino al valore nominale. Per inciso, STP è affidabile, senza stato e non fornisce alcun meccanismo di autenticazione del suono.

  • Una volta in modalità di attacco root, lo switch attaccante invia un BPDU ogni 2 secondi con la stessa priorità dell'attuale root bridge, ma con un indirizzo MAC leggermente inferiore numericamente, che garantisce la sua vittoria nel processo di elezione del root bridge. L'interruttore dell'aggressore può lanciare un attacco DoS non riconoscendo correttamente altri interruttori che causano l'inondazione di BPDU o sottoponendo gli interruttori a BPDUS in eccesso affermando di essere root contemporaneamente e ritirandosi in rapida successione.

  • DoS utilizzando Flood of Configuration BPDU. Lo switch attaccante non tenta di subentrare come root. Invece, genera un numero elevato di BPDU al secondo che porta a un utilizzo molto elevato della CPU sugli switch.

Prevenire gli attacchi a STP

Fortunatamente, la contromisura a un attacco di acquisizione di root è semplice e diretta. Due funzionalità aiutano a sconfiggere un attacco di acquisizione di root.

  • Root Guard- Root guard limita le porte dello switch dalle quali è possibile negoziare il bridge root. Se una porta "abilitata per root-guard" riceve BPDU superiori a quelle inviate dal bridge root corrente, quella porta viene spostata in uno stato root inconsistente e nessun traffico di dati viene inoltrato attraverso quella porta. Root Guard è meglio distribuito verso le porte che si collegano a switch che non dovrebbero assumere il ruolo di root bridge.

  • BPDU-Guard- BPDU guard viene utilizzato per proteggere la rete dai problemi che possono essere causati dalla ricezione di BPDU sulle porte di accesso. Queste sono le porte che non dovrebbero riceverle. La protezione BPDU è meglio distribuita verso le porte rivolte all'utente per impedire l'inserimento di switch non autorizzati da parte di un utente malintenzionato.

Protezione della LAN virtuale

Nelle reti locali, le reti locali virtuali (VLAN) sono talvolta configurate come misura di sicurezza per limitare il numero di host suscettibili agli attacchi di livello 2. Le VLAN creano confini di rete, oltre i quali il traffico broadcast (ARP, DHCP) non può attraversare.

Rete locale virtuale

Una rete che utilizza uno o più switch che supportano le funzionalità VLAN può essere configurata per definire più VLAN su una singola infrastruttura LAN fisica.

La forma comune di VLAN è una VLAN basata su porta. In questa struttura VLAN, le porte dello switch sono raggruppate in VLAN utilizzando il software di gestione dello switch. Pertanto, un singolo switch fisico può agire come più switch virtuali.

L'impiego di VLAN fornisce l'isolamento del traffico. Divide la rete di livello 2 di trasmissione di grandi dimensioni in reti di livello 2 logiche più piccole e riduce quindi la portata degli attacchi come lo spoofing ARP / DHCP. I frame di dati di una VLAN possono spostarsi solo da / verso le porte appartenenti alla stessa VLAN. L'inoltro dei frame tra due VLAN avviene tramite il routing.

Le VLAN generalmente si estendono su più switch come mostrato nel diagramma sopra. Il collegamento tra le porte trunk trasporta i frame di tutte le VLAN definite su più switch fisici. Quindi, i frame VLAN inoltrati tra switch non possono essere semplici frame in formato Ethernet IEEE 802.1. Poiché questi frame si spostano sullo stesso collegamento fisico, ora devono trasportare le informazioni sull'ID VLAN. Il protocollo IEEE 802.1Q aggiunge / rimuove campi di intestazione aggiuntivi a semplici frame Ethernet inoltrati tra le porte trunk.

Quando il campo che segue i due campi degli indirizzi IP è 0x8100 (> 1500), il frame viene identificato come frame 802.1Q. Il valore del TPI (Tag Protocol Identifier) ​​a 2 byte è 81-00. Il campo TCI è costituito da informazioni di priorità a 3 bit, indicatore di idoneità Drop a 1 bit (DEI) e ID VLAN a 12 bit. Questo campo di priorità a 3 bit e il campo DEI non sono rilevanti per le VLAN. I bit prioritari vengono utilizzati per fornire la qualità del servizio.

Quando un frame non appartiene a nessuna VLAN, esiste un ID VLAN predefinito al quale il frame è considerato associato.

Attacco a VLAN e misure di prevenzione

In un attacco con salto di VLAN, un utente malintenzionato su una VLAN può ottenere l'accesso al traffico su altre VLAN che normalmente non sarebbero accessibili. Bypasserebbe un dispositivo di livello 3 (router) durante la comunicazione da una VLAN a un'altra, vanificando così lo scopo della creazione della VLAN.

Il salto della VLAN può essere eseguito con due metodi; cambia spoofing e double tagging.

Cambia spoofing

Può verificarsi quando la porta dello switch, a cui è connesso l'attaccante, è in modalità "trunking" o "negoziazione automatica". L'aggressore funge da switch e aggiunge intestazioni di incapsulamento 802.1Q con tag VLAN per le VLAN remote di destinazione ai frame in uscita. Lo switch ricevente interpreta quei frame come originati da un altro switch 802.1Q e inoltra i frame alla VLAN di destinazione.

Le due misure preventive contro gli attacchi di spoofing dello switch consistono nell'impostare le porte edge in modalità di accesso statico e nel disabilitare la negoziazione automatica su tutte le porte.

Doppia codifica

In questo attacco, un utente malintenzionato connesso alla porta VLAN nativa dello switch antepone due tag VLAN nell'intestazione del frame. Il primo tag è della VLAN nativa e il secondo è per la VLAN di destinazione. Quando il primo switch riceve i frame dell'aggressore, rimuove il primo tag poiché i frame della VLAN nativa vengono inoltrati senza tag sulla porta trunk.

  • Poiché il secondo tag non è mai stato rimosso dal primo switch, lo switch ricevente identifica il tag rimanente come destinazione VLAN e inoltra i frame all'host di destinazione in quella VLAN. L'attacco double tagging sfrutta il concetto di VLAN nativa. Poiché la VLAN 1 è la VLAN predefinita per le porte di accesso e la VLAN nativa predefinita sui trunk, è un obiettivo facile.

  • La prima misura di prevenzione consiste nel rimuovere tutte le porte di accesso dalla VLAN 1 predefinita poiché la porta dell'aggressore deve corrispondere a quella della VLAN nativa dello switch. La seconda misura di prevenzione consiste nell'assegnare la VLAN nativa su tutti i trunk dello switch a una VLAN inutilizzata, ad esempio VLAN id 999. Infine, tutti gli switch devono essere configurati per eseguire la codifica esplicita dei frame VLAN nativi sulla porta trunk.

Protezione della LAN wireless

La rete locale wireless è una rete di nodi wireless all'interno di un'area geografica limitata, come un edificio per uffici o un campus scolastico. I nodi sono in grado di comunicare radio.

LAN senza fili

La LAN wireless viene solitamente implementata come estensioni della LAN cablata esistente per fornire l'accesso alla rete con mobilità del dispositivo. Le tecnologie LAN wireless più ampiamente implementate si basano sullo standard IEEE 802.11 e sui suoi emendamenti.

I due componenti principali nella LAN wireless sono:

  • Access Points (APs)- Queste sono le stazioni base per la rete wireless. Trasmettono e ricevono frequenze radio per comunicare con i client wireless.

  • Wireless Clients- Questi sono dispositivi informatici dotati di una scheda di interfaccia di rete wireless (WNIC). Laptop, telefoni IP, PDA sono esempi tipici di client wireless.

Molte organizzazioni hanno implementato LAN wireless. Queste reti stanno crescendo in modo fenomenale. È quindi fondamentale comprendere le minacce nelle LAN wireless e apprendere la misura preventiva comune per garantire la sicurezza della rete.

Attacchi in Wireless LAN

I tipici attacchi che vengono effettuati su Wireless LAN sono:

  • Eavesdropping - L'aggressore monitora passivamente le reti wireless per i dati, comprese le credenziali di autenticazione.

  • Masquerading - L'aggressore si spaccia per un utente autorizzato e ottiene accesso e privilegi sulle reti wireless.

  • Traffic Analysis - L'aggressore monitora le trasmissioni tramite reti wireless per identificare i modelli di comunicazione e i partecipanti.

  • Denial of Service - L'aggressore impedisce o limita il normale utilizzo o la gestione della LAN wireless o dei dispositivi di rete.

  • Message Modification/Replay - L'autore dell'attacco altera o risponde a un messaggio legittimo inviato tramite reti wireless eliminandolo, aggiungendolo, modificandolo o riordinandolo.

Misure di sicurezza nella LAN wireless

Le misure di sicurezza forniscono i mezzi per sconfiggere gli attacchi e gestire i rischi per le reti. Si tratta di gestione della rete, funzionamento e misure tecniche. Di seguito vengono descritte le misure tecniche adottate per garantire la riservatezza, la disponibilità e l'integrità dei dati trasmessi tramite LAN wireless.

Nelle LAN wireless, tutti gli AP devono essere configurati per fornire sicurezza tramite crittografia e autenticazione client. I tipi di schemi utilizzati nella LAN wireless per fornire sicurezza sono i seguenti:

Wired Equivalent Privacy (WEP)

È un algoritmo di crittografia integrato nello standard 802.11 per proteggere le reti wireless. La crittografia WEP utilizza il cifrario a flusso RC4 (Rivest Cipher 4) con chiavi a 40 bit / 104 bit e un vettore di inizializzazione a 24 bit. Può anche fornire l'autenticazione dell'endpoint.

È, tuttavia, il meccanismo di sicurezza della crittografia più debole, poiché sono stati scoperti numerosi difetti nella crittografia WEP. WEP inoltre non dispone del protocollo di autenticazione. Pertanto, l'utilizzo di WEP non è altamente raccomandato.

Protocollo 802.11i

In questo protocollo sono possibili numerose e più potenti forme di crittografia. È stato sviluppato per sostituire il debole schema WEP. Fornisce meccanismo di distribuzione delle chiavi. Supporta una chiave per stazione e non utilizza la stessa chiave per tutte. Utilizza un server di autenticazione separato dal punto di accesso.

IEEE802.11i impone l'uso di un protocollo denominato modalità contatore con protocollo CBC-MAC (CCMP). CCMP garantisce la riservatezza e l'integrità dei dati trasferiti e l'autenticità del mittente. Si basa sulla crittografia a blocchi Advanced Encryption Standard (AES).

Il protocollo IEEE802.11i prevede quattro fasi operative.

  • STA e AP comunicano e scoprono capacità di sicurezza reciproca come gli algoritmi supportati.

  • STA e AS si autenticano reciprocamente e insieme generano la Master Key (MK). AP funge da "passaggio".

  • STA deriva la Pairwise Master Key (PMK). AS deriva lo stesso PMK e invia ad AP.

  • STA, AP utilizza PMK per derivare la chiave temporale (TK) da utilizzare per la crittografia dei messaggi e l'integrità dei dati.

Altri standard

  • Wi-Fi Protected Access(WPA) - Questo protocollo implementa la maggior parte dello standard IEEE 802.11i. Esisteva prima di IEEE 802.11i e utilizza l'algoritmo RC4 per la crittografia. Ha due modalità di funzionamento. In modalità "Enterprise", WPA utilizza il protocollo di autenticazione 802.1x per comunicare con il server di autenticazione, e quindi le chiavi pre-master (PMK) sono specifiche della stazione client. In modalità "Personale", non utilizza 802.1x, PMK viene sostituito da una chiave precondivisa, utilizzata per gli ambienti LAN wireless Small Office Home Office (SOHO).

    WPA include anche un controllo di integrità del messaggio sonoro che sostituisce il controllo di ridondanza ciclica (CRC) utilizzato dallo standard WEP.

  • WPA2- WPA2 ha sostituito WPA. WPA2 implementa tutti gli elementi obbligatori dello schema IEEE 802.11i. In particolare, include il supporto obbligatorio per CCMP, una modalità di crittografia basata su AES con una forte sicurezza. Quindi, per quanto riguarda gli attacchi, WPA2 / IEEE802.11i fornisce soluzioni adeguate per difendersi da debolezze WEP, attacchi man-in-the-middle, contraffazione di pacchetti contraffatti e attacchi replay. Tuttavia, l'attacco DoS non viene affrontato correttamente e non esistono protocolli solidi per fermare tali attacchi fondamentalmente perché tali attacchi prendono di mira il livello fisico come interferire con la banda di frequenza.

Sommario

In questo capitolo, abbiamo considerato gli attacchi e le tecniche di mitigazione assumendo una rete Ethernet commutata che esegue IP. Se la tua rete non utilizza Ethernet come protocollo di livello 2, alcuni di questi attacchi potrebbero non essere applicabili, ma è probabile che tale rete sia vulnerabile a diversi tipi di attacchi.

La sicurezza è forte solo quanto l'anello più debole. Quando si tratta di networking, il livello 2 può essere un anello molto debole. Le misure di sicurezza di livello 2 menzionate in questo capitolo contribuiscono notevolmente alla protezione di una rete da molti tipi di attacchi.