Protezione contro l’attacco MAC flooding

In un tipico attacco MAC flooding, uno switch viene inondato di pacchetti, ognuno contenente diversi indirizzi MAC di origine. L’intenzione è di consumare la memoria limitata messa da parte nello switch per memorizzare la tabella di traduzione della porta MAC address-to-physical.

Il risultato di questo attacco fa sì che lo switch entri in uno stato chiamato failopen mode, in cui tutti i pacchetti in arrivo vengono trasmessi su tutte le porte (come con un hub), invece che sulla porta corretta come da normale operazione. Un utente malintenzionato potrebbe quindi utilizzare uno sniffer di pacchetti in esecuzione in modalità promiscua per acquisire dati sensibili da altri computer, che non sarebbero accessibili se lo switch funzionasse normalmente.

Cisco offre l’opportunità di impostare la protezione contro questo attacco limitando e/o cablando alcuni indirizzi MAC su una porta dedicata.

Comprendere l’attacco flooding MAC
Supponiamo di avere uno switch con 3 PC: PC A, PC B e PC C; in situazione normale, quando PC A invia un pacchetto a PC B, PC C non visualizza il pacchetto inviato tra PC A e PC B.

mac_learning

Questo perché i 3 PC sono collegati a uno switch e NON a un hub.

In MAC flooding attack, il comportamento dello switch è diverso. Durante l’attacco MAC flooding, l’attaccante (in questo caso PC C) inonda lo switch con pacchetti, ognuno con un diverso indirizzo MAC di origine.

mac_flooding_attack

Se la Memoria indirizzabile del contenuto (la memoria in cui sono memorizzati gli indirizzi MAC) è piena, lo switch funziona come un hub; quindi, se il PC A invia un pacchetto al PC B, il pacchetto verrà ricevuto anche al PC C.

mac_flooding_attack_2

Protezione contro gli attacchi MAC flooding
Cisco ha implementato una funzionalità, chiamata switchport port-security, per proteggere da questo tipo di attacco. È possibile utilizzare la funzione port security per limitare l’input a un’interfaccia limitando e identificando gli indirizzi MAC delle stazioni autorizzate ad accedere alla porta.

Esistono tre tipi di indirizzi MAC sicuri:

  • Indirizzi MAC statici sicuri: Questi vengono configurati manualmente utilizzando il comando switchport port-security mac-address mac-address interface configuration, memorizzato nella tabella degli indirizzi e aggiunto alla configurazione dello switch in esecuzione.
  • Indirizzi MAC sicuri dinamici: questi vengono appresi dinamicamente, memorizzati solo nella tabella degli indirizzi e rimossi al riavvio dello switch.
  • Indirizzi MAC Sticky secure: questi possono essere appresi dinamicamente o configurati manualmente, memorizzati nella tabella degli indirizzi e aggiunti alla configurazione in esecuzione. Se questi indirizzi vengono salvati nel file di configurazione, l’interfaccia non ha bisogno di riapprenderli dinamicamente al riavvio dello switch.

Ricorda: una porta sicura può avere da 1 a 132 indirizzi sicuri associati. Il numero totale di indirizzi sicuri disponibili sullo switch è 1024.

Quando il numero massimo di indirizzi MAC sicuri è stato aggiunto alla tabella degli indirizzi e una stazione il cui indirizzo MAC non è nella tabella degli indirizzi tenta di accedere all’interfaccia si verifica una violazione della sicurezza.

Lo switch può reagire a una violazione della sicurezza in tre modi diversi:

  • protezione: quando il numero di indirizzi MAC sicuri raggiunge il limite consentito sulla porta, i pacchetti con indirizzi di origine sconosciuti vengono eliminati fino a rimuovere un numero sufficiente di indirizzi MAC sicuri o aumentare il numero di indirizzi massimi consentiti. Non viene notificato che si è verificata una violazione della sicurezza.
  • limitare: Quando il numero di indirizzi MAC sicuri raggiunge il limite consentito sulla porta, i pacchetti con indirizzi di origine sconosciuti vengono eliminati finché non si rimuove un numero sufficiente di indirizzi MAC sicuri o si aumenta il numero massimo di indirizzi consentiti. In questa modalità, si riceve una notifica che si è verificata una violazione della sicurezza. In particolare, viene inviato un trap SNMP, viene registrato un messaggio syslog e il contatore delle violazioni aumenta.
  • arresto: in questa modalità, una violazione della sicurezza della porta fa sì che l’interfaccia diventi immediatamente disabilitata dagli errori e spenga il LED della porta. Invia anche un trap SNMP, registra un messaggio syslog e incrementa il contatore delle violazioni. Quando una porta sicura si trova nello stato di errore disabilitato, è possibile portarla fuori da questo stato immettendo il comando di configurazione globale errdisable recovery cause psecure-violation, oppure è possibile riattivarla manualmente immettendo i comandi di configurazione dell’interfaccia shutdown e no shutdown. Questa è la modalità predefinita.

Esempio: Limite a dieci indirizzi MAC, due dei quali sono statici (aaaa.aaaa.aaaa, bbbb.bbbb.bbbb), sulla porta FastEthernet 0/1. La violazione richiesta è “limitata”.

Ciscozine# conf tCiscozine(config)# interface fastethernet0/1Ciscozine(config-if)# switchport mode accessCiscozine(config-if)# switchport port-securityCiscozine(config-if)# switchport port-security maximum 10Ciscozine(config-if)# switchport port-security violation restrictCiscozine(config-if)# switchport port-security mac-address aaaa.aaaa.aaaaCiscozine(config-if)# switchport port-security mac-address bbbb.bbbb.bbbb

switchport mode access: La port-security funziona solo sulla porta di accesso, quindi definiscila.
switchport port-security: abilita la protezione della porta sull’interfaccia.
porta switchport-sicurezza massima 10: imposta il numero massimo di indirizzi MAC sicuri per l’interfaccia su 10.
switchport port-security violation restrict: definisce di “limitare” la modalità di violazione.
switchport port-security mac-address aaaa.aaaa.aaaa: Definisci l’indirizzo MAC statico; ricorda che se configuri meno indirizzi MAC sicuri rispetto al massimo, gli indirizzi MAC rimanenti vengono appresi dinamicamente.

I comandi utili per visualizzare lo stato e la configurazione del controllo del traffico sono:

  • mostra interfacce switchport: Visualizza lo stato amministrativo e operativo di tutte le porte di commutazione (non routing) o la porta specificata, comprese le impostazioni di blocco porta e protezione porta.
  • mostra porta-sicurezza : Visualizza le impostazioni di sicurezza della porta per lo switch o per l’interfaccia specificata, incluso il numero massimo consentito di indirizzi MAC sicuri per ciascuna interfaccia, il numero di indirizzi MAC sicuri sull’interfaccia, il numero di violazioni di sicurezza verificatesi e la modalità di violazione.
  • mostra port-security address: Visualizza tutti gli indirizzi MAC sicuri configurati su tutte le interfacce switch o su un’interfaccia specificata con informazioni di invecchiamento per ciascun indirizzo.

Ricorda: è possibile abilitare la protezione della porta su un’interfaccia solo se la porta non è configurata come una di queste:

  • Porte trunk: se si tenta di abilitare la protezione della porta su una porta trunk, viene visualizzato un messaggio di errore e la sicurezza della porta non è abilitata. Se si tenta di modificare la modalità di una porta sicura in trunk, la modalità porta non viene modificata.
  • Porta dinamica: una porta in modalità dinamica può negoziare con il suo vicino per diventare una porta trunk. Se si tenta di abilitare la protezione della porta su una porta dinamica, viene visualizzato un messaggio di errore e la sicurezza della porta non è abilitata. Se si tenta di cambiare la modalità di una porta sicura in dinamica, la modalità porta non viene modificata.
  • Porta di accesso dinamico: se si tenta di abilitare la protezione della porta su una porta di accesso dinamico (VLAN Query Protocol), viene visualizzato un messaggio di errore e la sicurezza della porta non è abilitata. Se si tenta di modificare una porta protetta in assegnazione VLAN dinamica, viene visualizzato un messaggio di errore e la configurazione della VLAN non viene modificata.
  • Porta EtherChannel: prima di abilitare la sicurezza della porta sulla porta, è necessario prima rimuoverla da EtherChannel. Se si tenta di abilitare la sicurezza della porta su un canale EtherChannel o su una porta attiva in un canale EtherChannel, viene visualizzato un messaggio di errore e la sicurezza della porta non è abilitata. Se si abilita la protezione della porta su una porta non ancora attiva di un EtherChannel, la porta non si unisce a EtherChannel.
  • porta 802.1 X: non è possibile configurare una porta 802.1 X come porta sicura. Se si tenta di abilitare la protezione della porta su una porta 802.1 X, viene visualizzato un messaggio di errore e la sicurezza della porta non è abilitata. Se si tenta di modificare una porta protetta in una porta 802.1 X, viene visualizzato un messaggio di errore e le impostazioni 802.1 X non vengono modificate.
  • Porta di destinazione Switch Port Analyzer (SPAN): è possibile abilitare la sicurezza della porta su una porta che è una porta di destinazione SPAN; tuttavia, la sicurezza della porta è disabilitata fino a quando la porta non viene rimossa come destinazione SPAN. È possibile abilitare la protezione della porta su una porta di origine SPAN.

Write a Comment

Il tuo indirizzo email non sarà pubblicato.