LAYER-2-SECURITY 64. DFN-Betriebstagung, Berlin

Transkript

1 LAYER-2-SECURITY 64. DFN-Betriebstagung, Berlin

2 Ziel Darstellung von Layer-2-Angriffsmöglichkeiten, die Gefahren, die dadurch entstehen und Lösungsvorschläge.

3 Sicherheit und Fortschritt Manchmal bedeutet Neuartiges etwas besseres und sicheres Manchmal bedeutet Erfahrung etwas besseres und sicheres

4 Aktivitäten im Internet Was wir im Internet tun Wie wir angegriffen werden

5 Angriffsmöglichkeiten STP-Root schützen (Spanning-Tree Protocol) Broadcaststürme unterbinden Manipulation von STP-Parametern verhindern MAC- Adresstabellen- Überläufe abwehren DHCP-Spoofing und Starvation verhindern

6 Das Puzzle Port- Security

7 STP-Root schützen Parameter zur Netzwerksteuerung werden meistens unverschlüsselt übertragen, um die Performance nicht zu schmälern -> daraus resultiert ein Sicherheitsrisiko Nur für PPP auf Layer 2 im WAN-Bereich stehen mit PAP und CHAP Authentifizierungsverfahren zur Verfügung

8 Gefahr Schritt 1: Ein Angreifer platziert einen Switch in das Netzwerk über einen Port oder eine freie Netzwerkdose (Hörsaal, Seminarraum). Schritt 2: Der Switch wird als Trunk konfiguriert und mit einer hohen Priorität (niedriger Wert der Bridge-ID, z.b. 0) versehen wenn kein Schutz installiert ist und die Ports als Access-Ports konfiguriert sind. Schritt 3: Der Rogue-Switch wird Root-Bridge Der Datenverkehr läuft über die Root-Bridge und kann durch Wireshark leicht mitgeschnitten werden.

9 Lösung Um zu verhindern, dass der Rogue-Switch zur Root wird, wird ein Schutzmechanismus auf den Trunk-Interfaces der Root-Bridge implementiert. Aus Architekturgründen werden diese Ports niemals zu ROOT-Ports - Root Guard (d.h. wechseln nicht den Status von Designated zu Root) Root Guard ist ein von Cisco entwickelter Sicherheitsmechanismus für das Spanning Tree Protocol (STP). Versucht ein Gerät hinter einem Port mit aktivem Root Guard (die aktuelle Root-Bridge) zur Root Bridge zu werden, deaktiviert der Switch diesen Port. Damit lassen sich Angriffe auf Spanning Tree wirksam abwehren.

10 Manipulation von STP-Parametern STP verfügt über keinerlei Sicherheitsmechanismen. Jede Station kann ohne Authentifikation BPDUs erzeugen und ins Netz senden. Switches werten diese BPDUs aus.

11 Gefahr Grundsätzlich sendet und empfängt jeder Switchport BPDUs, sofern er sich im Status Forwarding/Learning/Listening befindet. Diese Eigenschaft bietet Angreifern die Möglichkeit, die Topologie zu erkennen, auszulesen und sie mit gefälschten BPDUs gezielt zu verändern.

12 Lösung Das Abschalten von STP ist keine gute Idee. Eine Schleife auf Layer 2 löst dann sofort einen Broadcast Storm aus. BPDU Guard wird auf Access Ports aktiviert, d.h. Geräte hinter einem mit Portfast konfiguriertem Port sollen nicht in der Lage sein, die STP- Topologie zu beeinflussen Empfängt ein Access-Port - auf dem BPDU Guard aktiviert ist - eine BPDU, wird dieser Port deaktiviert. BPDU Guard sollte zusammen mit PortFast genutzt werden Wird in Folge von BPDU Guard der Port deaktiviert, wechselt der Interface-Status in ERR-Disabled. Die Folge ist ein Recovery, dass bis zu 5 Min dauern kann.

13 Beispiel Switch A Switch B Switch C Switch D Switch A ist die Root-Brigde mit Priorität 8192 Switch B ist die Backup-Root mit Priorität Switch C ist ein Access-Switch mit Portfast-Konfiguration zu Switch D Sind alle weiteren Parameter als Default vereinbart, befindet sich der Port zu Switch B im Blocking-Status

14 Beispiel cont. Switch A Switch B Switch C Versucht Switch D eine Teilnahme an STP mit einer Priorität von 0, um Root-Bridge zu werden, verhindert BPDU Guard auf Switch C dieses. Switch D

15 Broadcaststürme unterbinden Broadcaststürme können leicht ganze Netzwerke zum Ausfall durch Überlastung bringen. Sie breiten sich innerhalb einer Broadcast Domain des Layer 2 aus. Ein Broadcaststurm bedeutet, dass Broadcasts und Multicasts auf alle Switch-Ports weitergeleitet werden mit Ausnahme desjenigen Ports, von dem der Datenverkehr stammt. Dadurch wird eine Schleife erzeugt, und die Switches leiten die Broadcasts des jeweils anderen Switches weiter, so dass es innerhalb kürzester Zeit zur Überlastung des Netzwerkes kommt.

16 Gefahr Der typische Verursacher für einen Broadcaststurm ist der kleine Switch im Büro oder auf dem Besprechungstisch, der versehentlich eine Schleife (Loop) erzeugt, weil er nur temporär genutzt/angeschlossen werden soll. Die Ursache liegt in der redundanten Verkabelung von zwei oder mehr Uplinks zwischen zwei Switches.

17 Lösung Das Feature Storm Control bietet die Möglichkeit, auf Broadcast-, Multicast- und Unicast-Storms zu reagieren. Pro Trunk-Interface können Schwellwerte für die Erkennung eines Storms in Bit pro Sekunde, Paketen pro Sekunde oder Prozent der Bandbreite angegeben werden.

18 Beispiel interface FastEthernet0/1 storm-control broadcast level pps 100 storm-control multicast level pps 500 storm-control action shutdown Hier erfolgt die Angabe in Paketen pro Sekunde pro Trunk-Interface

19 MAC-Adresstabellenüberlauf Bei dieser Angriffsform versucht der Angreifer den Switch mit gefälschten Source-MAC-Adressen zu überhäufen. Da die MAC-Adresstabelle eine endliche Ressource ist, führt die Menge der Frames zu einem Tabellenüberlauf. In Folge dieses Überlaufs geht der Switch in einen fail-open Modus über. Er handelt dann als HUB und flutet jeden neu empfangenen Frame auf alle Interfaces.

20 Gefahr Der Angreifer kann nun den normalen Datenverkehr mitschneiden, da er alle Frames zwischen den Opfer-Hosts sieht. Diese Möglichkeit schafft ihm Einblick in die Kommunikation der beteiligten Rechner und damit Einsichten über das Netz.

21 Lösung Port-Security als Merkmal der Schicht 2 begrenzt die Zahl möglicher MAC-Adressen auf einem Port. Bei Überschreiten dieser Maximalzahl kann eine abgestufte Entscheidung bezüglich der Portverfügbarkeit getroffen werden. Beispiel: beträgt die pro Port zugelassenen Zahl von MAC-Adressen 3, so löst ein vierter Frame mit unbekannter MAC-Adresse eine administrativ konfigurierbare Entscheidung aus Diese Entscheidung ist nur suboptimal. Insbesondere bei Verwendung virtueller Maschinen, bei der mehrere VMs einen physikalischen Port benutzen, ist diese Maßnahme eher unkomfortabel Die Anzahl der MAC-Adressen kann auf eins begrenzt werden. Diese Einschränkung kann sinnvoll sein, wenn z.b. ein Drucker angebunden wird

22 Beispiel switchport port-security Dieser Befehl ist auf Accessports beschränkt! switchport port-security maximum 3 Beschränkt die Anzahl maximal zulässiger MAC-Adressen switchport port-security violation {shutdown, restrict, protect} Aktion bei Überschreiten der maximalen Zahl. Default: shutdown Die allgemein Konfiguration erlaubt ein dynamisches Lernen der MAC-Adressen (sticky) oder eine manuelle Vorkonfiguration.

23 DHCP-Spoofing Spoofing Der Angreifer versucht Antworten eines zulässigen DHCP-Servers zu fälschen. Das falsche DHCP-Device antwortet auf eine DHCP-Anfrage eines Clients schneller als der gültige DHCP-Server. Der DHCP Server antwortet auf die Client-Anfrage mit der Basiskonfiguration: IP-Adresse, Subnetzmaske, Default-Gateway und DNS-Server Die Antwort enthält des Angreifers enthält seine IP-Adresse als Default-Gateway oder eine gefälschte Adresse des DNS-Servers.

24 Gefahr Spoofing Im Falle des Default-Gateways werden die Pakete des Clients an den Angreifer weitergeleitet, der diese dann dem Empfänger zustellt Man-in-the-Middle-Attacke

25 DHCP-Spoofing Client 3. DHCP-Response 2. Gefälschte DHCP-Response DHCP-Server DHCP-Angreifer

26 Lösung Zur Verhinderung dieser Angriffsform wird DHCP-Snooping verwendet. Snooping verwendet das Prinzip vertrauenswürdiger Ports. Nur vertrauenswürdige Ports können die Quelle/Erzeuger von DHCP- Nachrichten sein. Nicht vertrauenswürdige Ports können nur antworten. DHCP-Server sind mit einem vertrauenswürdigen Port verbunden. Versucht ein falscher DHCP-Server mit einem nicht vertrauenswürdigen Port eine DHCP-Nachricht zu senden, wird der Port deaktiviert. Nicht vertrauenswürdige Ports sind alle diejenigen, die nicht explizit als vertrauenswürdig konfiguriert wurden.

27 DHCP-Snooping Client vertrauenswürdig nicht vertrauenswürdig Port wird deaktiviert DHCP-Server DHCP-Angreifer

28 Beispiel Schritt 1: ip dhcp snooping Im globalen Konfigurationsmodus Schritt 2: ip dhcp snooping vlan number # Aktiviert DHCP-Snooping für ein spezifisches VLAN im globalen Konfigurationsmode Schritt 3: interface fa0/1 ip dhcp snooping trust Definiert Ports im Interfacemodus als vertrauenswürdig. Dazu zählen alle Uplinkports in Richtung DHCP-Server Schritt 4: show ip dhcp snooping Zeigt an, für welches Interface DHCP-Snooping aktiviert ist

29 DHCP-Starvation Angriffsart Der Angreifer fordert kontinuierlich IP-Adressen an und ändert gleichzeitig permanent seine Source-MAC-Adresse, d.h. verlangt eine IP-Adresse für immer weitere Endnutzer. Gefahr Im Erfolgsfall werden alle verfügbaren IP-Adressen vergeben, so dass die ordnungsgemäßen Nutzer leer ausgehen Lösung Port-Security an den Switch-Ports aktivieren

30 Problem Die angebotenen Lösungen skizzieren allerdings auch ein Problem. Alle Vorschläge besitzen proprietären Charakter und lassen folglich eine Allgemeingültigkeit vermissen.

31 Vielen Dank!