Tabla de Contenido
Vídeo – Ataques VLAN e DHCP
Este tópico investiga os vários tipos diferentes de ataques à LAN e suas técnicas de mitigação. Como os tópicos anteriores, esses ataques tendem a ser específicos para switches e Camada 2.
Clique em Play na figura para ver um vídeo sobre ataques de VLAN e DHCP.
Ataques de salto de VLAN
Um ataque de salto de VLAN permite que o tráfego de uma VLAN seja visto por outra VLAN sem a ajuda de um roteador. Em um ataque básico de salto de VLAN, o agente da ameaça configura um host para agir como um switch para aproveitar as vantagens do recurso de porta de entroncamento automático habilitado por padrão na maioria das portas de switch.
O ator da ameaça configura o host para falsificar a sinalização 802.1Q e a sinalização do Dynamic Trunking Protocol (DTP) proprietário da Cisco para o tronco com o switch de conexão. Se for bem-sucedido, o switch estabelece um link de tronco com o host, conforme mostrado na figura. Agora, o ator da ameaça pode acessar todas as VLANs no switch. O ator da ameaça pode enviar e receber tráfego em qualquer VLAN, saltando efetivamente entre as VLANs.
Ataque de dupla tag VLAN
Um ator de ameaça em situações específicas pode incorporar uma marca 802.1Q oculta dentro do quadro que já tem uma marca 802.1Q. Essa tag permite que o quadro vá para uma VLAN que a tag 802.1Q original não especificou.
Clique em cada etapa para obter um exemplo e uma explicação de um ataque de marcação dupla.
O ator da ameaça envia um quadro 802.1Q com marcação dupla para o switch. O cabeçalho externo tem a tag VLAN do ator da ameaça, que é a mesma que a VLAN nativa da porta do tronco. Para os fins deste exemplo, suponha que esta seja a VLAN 10. A tag interna é a VLAN da vítima, neste exemplo, a VLAN 20.
O quadro chega ao segundo switch que não tem conhecimento de que deveria ser para a VLAN 10. O tráfego de VLAN nativo não é marcado pelo switch de envio conforme especificado na especificação 802.1Q. O segundo switch olha apenas para a tag 802.1Q interna que o ator da ameaça inseriu e vê que o quadro é destinado à VLAN 20, a VLAN de destino. O segundo switch envia o quadro para o destino ou o inunda, dependendo da existência de uma entrada na tabela de endereços MAC para o destino.
Um ataque de marcação dupla de VLAN é unidirecional e funciona apenas quando o invasor está conectado a uma porta que reside na mesma VLAN que a VLAN nativa da porta do tronco. A ideia é que a marcação dupla permite que o invasor envie dados para hosts ou servidores em uma VLAN que, de outra forma, seriam bloqueados por algum tipo de configuração de controle de acesso. Presumivelmente, o tráfego de retorno também será permitido, dando ao invasor a capacidade de se comunicar com dispositivos na VLAN normalmente bloqueada.
Mitigação de Ataque VLAN
Ataques de salto de VLAN e marcação dupla de VLAN podem ser evitados com a implementação das seguintes diretrizes de segurança de tronco, conforme discutido em um módulo anterior:
- Desative o entroncamento em todas as portas de acesso.
- Desabilite o entroncamento automático nos links de tronco para que os troncos sejam habilitados manualmente.
- Certifique-se de que a VLAN nativa seja usada apenas para links de tronco.
Mensagens DHCP
Os servidores DHCP fornecem dinamicamente informações de configuração de IP, incluindo endereço IP, máscara de sub-rede, gateway padrão, servidores DNS e muito mais aos clientes. Uma revisão da seqüência de troca de mensagens DHCP entre o cliente e o servidor é mostrada na figura.
Ataques DHCP
Dois tipos de ataques DHCP são privação de DHCP e falsificação de DHCP. Ambos os ataques são atenuados pela implementação de espionagem de DHCP.
Ataque de fome de DHCP
O objetivo do ataque de fome DHCP é criar um DoS para conectar clientes. Os ataques de fome de DHCP requerem uma ferramenta de ataque como o Gobbler.
Gobbler tem a capacidade de examinar todo o escopo de endereços IP alugáveis e tenta alugá-los todos. Especificamente, ele cria mensagens de descoberta de DHCP com endereços MAC falsos.
Ataque de spoofing de DHCP
Um ataque de falsificação de DHCP ocorre quando um servidor DHCP não autorizado é conectado à rede e fornece parâmetros de configuração de IP falsos para clientes legítimos. Um servidor não autorizado pode fornecer uma variedade de informações enganosas:
- Gateway padrão errado – O servidor invasor fornece um gateway inválido ou o endereço IP de seu host para criar um ataque man-in-the-middle. Isso pode passar totalmente despercebido, pois o invasor intercepta o fluxo de dados pela rede.
- Servidor DNS errado – O servidor não autorizado fornece um endereço de servidor DNS incorreto, apontando o usuário para um site nefasto.
- Endereço IP errado – O servidor não autorizado fornece um endereço IP inválido, criando efetivamente um ataque DoS no cliente DHCP.
Clique em cada etapa para obter um exemplo e uma explicação de um ataque de falsificação de DHCP.
Threat Actor conecta servidor DHCP Rogue
Um ator de ameaça conecta com êxito um servidor DHCP não autorizado a uma porta de switch na mesma sub-rede e VLANs que os clientes-alvo. O objetivo do servidor não autorizado é fornecer aos clientes informações falsas de configuração de IP.
Resposta DHCP legítima e não autorizada
O servidor DHCP legítimo responde com parâmetros de configuração de IP válidos. No entanto, o servidor invasor também responde com uma oferta DHCP contendo parâmetros de configuração de IP definidos pelo ator da ameaça. O cliente responderá à primeira oferta recebida.
Rogue Server Reconhece
O servidor invasor unicasts uma resposta ao cliente para reconhecer sua solicitação. O servidor legítimo deixará de se comunicar com o cliente.
Vídeo – Ataques ARP, Ataques STP e Reconhecimento CDP
Clique em Reproduzir na figura para ver um vídeo sobre Ataques ARP, Ataques STP e Reconhecimento CDP.
Ataques ARP
Lembre-se de que os hosts transmitem solicitações ARP para determinar o endereço MAC de um host com um endereço IP específico. Normalmente, isso é feito para descobrir o endereço MAC do gateway padrão. Todos os hosts na sub-rede recebem e processam a solicitação ARP. O host com o endereço IP correspondente na solicitação ARP envia uma resposta ARP.
De acordo com o ARP RFC, um cliente tem permissão para enviar uma resposta ARP não solicitada, chamada de “ARP gratuito”. Quando um host envia um ARP gratuito, outros hosts na sub-rede armazenam o endereço MAC e o endereço IP contidos no ARP gratuito em suas tabelas ARP.
O problema é que um invasor pode enviar uma mensagem ARP gratuita contendo um endereço MAC falsificado para um switch, e o switch atualizaria sua tabela MAC de acordo. Portanto, qualquer host pode reivindicar ser o proprietário de qualquer combinação de endereço IP e MAC que escolher. Em um ataque típico, um agente de ameaça pode enviar respostas ARP não solicitadas a outros hosts na sub-rede com o endereço MAC do agente de ameaça e o endereço IP do gateway padrão.
Existem muitas ferramentas disponíveis na Internet para criar ataques man-in-the-middle ARP, incluindo dsniff, Cain & Abel, ettercap, Yersinia e outros. O IPv6 usa o protocolo de descoberta de vizinho ICMPv6 para resolução de endereço da camada 2. O IPv6 inclui estratégias para mitigar a falsificação de anúncio de vizinho, semelhante à forma como o IPv6 evita uma resposta ARP falsificada.
ARP spoofing e envenenamento ARP são mitigados pela implementação de DAI.
Clique em cada etapa para obter um exemplo e uma explicação de spoofing e envenenamento de ARP.
Estado normal com tabelas MAC convergentes
Cada dispositivo tem uma tabela MAC precisa com os endereços IP e MAC corretos para os outros dispositivos na LAN.
Ataque de envenenamento ARP com ataque man-in-the-middle
R1 e PC1 removem a entrada correta para o endereço MAC um do outro e substituem-no pelo endereço MAC do PC2. O ator da ameaça agora envenenou os caches ARP de todos os dispositivos na sub-rede. O envenenamento por ARP leva a vários ataques man-in-the-middle, representando uma séria ameaça à segurança da rede.
Ataque de falsificação de endereço
Os endereços IP e endereços MAC podem ser falsificados por vários motivos. A falsificação de endereço IP ocorre quando um agente de ameaça sequestra um endereço IP válido de outro dispositivo na sub-rede ou usa um endereço IP aleatório. A falsificação de endereços IP é difícil de mitigar, especialmente quando é usada dentro de uma sub-rede à qual o IP pertence.
Ataques de falsificação de endereço MAC ocorrem quando os agentes da ameaça alteram o endereço MAC de seu host para corresponder a outro endereço MAC conhecido de um host de destino. O host de ataque então envia um quadro por toda a rede com o endereço MAC recém-configurado. Quando o switch recebe o quadro, ele examina o endereço MAC de origem. O switch sobrescreve a entrada da tabela MAC atual e atribui o endereço MAC à nova porta, conforme mostrado na figura. Em seguida, ele encaminha inadvertidamente os quadros destinados ao host de destino para o host de ataque.
Quando o host de destino envia tráfego, o switch corrige o erro, realinhando o endereço MAC com a porta original. Para impedir que o switch retorne a atribuição de porta ao seu estado correto, o agente da ameaça pode criar um programa ou script que enviará quadros constantemente ao switch para que ele mantenha as informações incorretas ou falsificadas. Não há mecanismo de segurança na Camada 2 que permita a um switch verificar a origem dos endereços MAC, o que o torna tão vulnerável a spoofing.
A falsificação de endereços IP e MAC pode ser atenuada com a implementação de IPSG.
Ataque STP
Os invasores de rede podem manipular o Spanning Tree Protocol (STP) para conduzir um ataque falsificando a ponte raiz e alterando a topologia de uma rede. Os invasores podem fazer seus hosts aparecerem como pontes de raiz; e, portanto, capture todo o tráfego para o domínio comutado imediato.
Para conduzir um ataque de manipulação de STP, o host de ataque transmite unidades de dados de protocolo de ponte STP (BPDUs) contendo alterações de configuração e topologia que forçarão os recálculos de spanning tree, conforme mostrado na figura. Os BPDUs enviados pelo host de ataque anunciam uma prioridade de bridge mais baixa em uma tentativa de serem eleitos como a bridge raiz.
Se for bem-sucedido, o host de ataque torna-se a ponte raiz, conforme mostrado na figura, e agora pode capturar uma variedade de quadros que de outra forma não seriam acessíveis.
Este ataque STP é mitigado pela implementação do BPDU Guard em todas as portas de acesso. O BPDU Guard é discutido com mais detalhes posteriormente no curso.
Reconhecimento CDP
O Cisco Discovery Protocol (CDP) é um protocolo de descoberta de link de Camada 2 proprietário. Ele é habilitado em todos os dispositivos Cisco por padrão. O CDP pode descobrir automaticamente outros dispositivos habilitados para CDP e ajudar a configurar automaticamente sua conexão. Os administradores de rede também usam o CDP para ajudar a configurar e solucionar problemas de dispositivos de rede.
As informações do CDP são enviadas pelas portas habilitadas para CDP em transmissões periódicas e não criptografadas. As informações do CDP incluem o endereço IP do dispositivo, a versão do software IOS, a plataforma, os recursos e a VLAN nativa. O dispositivo que recebe a mensagem CDP atualiza seu banco de dados CDP.
As informações do CDP são extremamente úteis na solução de problemas de rede. Por exemplo, o CDP pode ser usado para verificar a conectividade das camadas 1 e 2. Se um administrador não puder fazer ping em uma interface conectada diretamente, mas ainda receber informações do CDP, o problema provavelmente está relacionado à configuração da Camada 3.
No entanto, as informações fornecidas pelo CDP também podem ser usadas por um ator de ameaça para descobrir vulnerabilidades de infraestrutura de rede.
Na figura, um exemplo de captura do Wireshark exibe o conteúdo de um pacote CDP. O invasor é capaz de identificar a versão do software Cisco IOS usada pelo dispositivo. Isso permite que o invasor determine se há alguma vulnerabilidade de segurança específica para essa versão específica do IOS.
As transmissões de CDP são enviadas sem criptografia e sem autenticação. Portanto, um invasor pode interferir na infraestrutura de rede, enviando quadros CDP elaborados contendo informações falsas sobre o dispositivo para dispositivos Cisco conectados diretamente.
Para mitigar a exploração do CDP, limite o uso do CDP em dispositivos ou portas. Por exemplo, desative o CDP nas portas de extremidade que se conectam a dispositivos não confiáveis.
Para desabilitar o CDP globalmente em um dispositivo, use o comando do modo de configuração global no cdp run. Para habilitar o CDP globalmente, use o comando cdp run global configuration.
Para desabilitar o CDP em uma porta, use o comando de configuração de interface no cdp enable. Para habilitar o CDP em uma porta, use o comando cdp enable interface configuration.
Nota: Link Layer Discovery Protocol (LLDP) também é vulnerável a ataques de reconhecimento. Configure nenhuma execução de lldp para desabilitar o LLDP globalmente. Para desabilitar o LLDP na interface, não configure nenhuma transmissão lldp e nenhum recebimento lldp.
Pronto para ir! Continue visitando nosso blog do curso de networking, confira todo o conteúdo do CCNA 3 aqui; e você encontrará mais ferramentas e conceitos que o tornarão um profissional de rede.