Ochrona przed atakiem flooding Mac

w typowym ataku flooding Mac, Przełącznik jest zalany pakietami, z których każdy zawiera różne źródłowe adresy MAC. Intencją jest wykorzystanie ograniczonej pamięci odłożonej w przełączniku do przechowywania tabeli translacji adresu MAC na port fizyczny.

wynik tego ataku powoduje, że przełącznik wchodzi w stan zwany failopen mode, w którym wszystkie przychodzące pakiety są nadawane na wszystkich portach (jak w przypadku koncentratora), zamiast po prostu w dół właściwego portu, jak w przypadku normalnej pracy. Złośliwy użytkownik może następnie użyć sniffera pakietów działającego w trybie promiscuous do przechwytywania poufnych danych z innych komputerów, które nie byłyby dostępne, gdyby przełącznik działał normalnie.

Cisco daje możliwość skonfigurowania ochrony przed tym atakiem poprzez ograniczenie i / lub podłączenie niektórych adresów MAC do dedykowanego portu.

zrozum atak floodingu MAC
Załóżmy, że ma przełącznik z 3 komputerami PC: PC a, PC B i PC C; w normalnej sytuacji, gdy komputer A wysyła pakiet do komputera B, komputer C nie wyświetla pakietu wysłanego między komputerem a i komputerem B.

mac_learning

to dlatego, że 3 PC są podłączone do przełącznika, a nie do koncentratora.

w przypadku ataku powodziowego MAC zachowanie przełącznika jest inne. Podczas ataku Mac flooding atakujący (w tym przypadku PC C) zalewa przełącznik pakietami, z których każdy ma inny adres MAC.

mac_flooding_attack

jeśli zawartość pamięci adresowalnej (pamięć, w której przechowywane są adresy MAC) jest pełna, przełącznik działa jak koncentrator; tak więc, jeśli komputer A wyśle pakiet do komputera B, pakiet zostanie również odebrany do komputera C.

mac_flooding_attack_2

Ochrona przed atakiem Mac flooding
Cisco wdrożyło funkcję o nazwie switchport port-security, aby chronić przed tego typu atakiem. Funkcja zabezpieczenia portu pozwala ograniczyć wprowadzanie danych do interfejsu, ograniczając i identyfikując adresy MAC stacji, które mają dostęp do portu.

istnieją trzy typy bezpiecznych adresów MAC:

  • statyczne bezpieczne adresy MAC: Są one konfigurowane ręcznie za pomocą polecenia switchport port-security mac-address mac-address interface configuration, zapisanego w tabeli adresów i dodanego do konfiguracji uruchomionego przełącznika.
  • bezpieczne dynamiczne adresy MAC: są one odczytywane dynamicznie, przechowywane tylko w tabeli adresów i usuwane po ponownym uruchomieniu przełącznika.
  • Sticky secure MAC addresses: można je dynamicznie uczyć się lub konfigurować ręcznie, przechowywać w tabeli adresów i dodawać do uruchomionej konfiguracji. Jeśli adresy te są zapisane w pliku konfiguracyjnym, interfejs nie musi ich dynamicznie ponownie uczyć się po ponownym uruchomieniu przełącznika.

pamiętaj: bezpieczny port może mieć od 1 do 132 powiązanych bezpiecznych adresów. Całkowita liczba dostępnych bezpiecznych adresów na przełączniku wynosi 1024.

gdy do tabeli adresów została dodana Maksymalna liczba bezpiecznych adresów MAC, a stacja, której adresu MAC nie ma w tabeli adresów, próbuje uzyskać dostęp do interfejsu, dochodzi do naruszenia zabezpieczeń.

przełącznik może reagować na naruszenie bezpieczeństwa na trzy różne sposoby:

  • Ochrona: gdy liczba bezpiecznych adresów MAC osiągnie limit dozwolony na porcie, pakiety z nieznanymi adresami źródłowymi są usuwane do czasu usunięcia wystarczającej liczby bezpiecznych adresów MAC lub zwiększenia liczby maksymalnych dozwolonych adresów. Nie otrzymujesz powiadomienia o naruszeniu bezpieczeństwa.
  • ogranicz: Gdy liczba bezpiecznych adresów MAC osiągnie limit dozwolony na porcie, pakiety z nieznanymi adresami źródłowymi są usuwane do czasu usunięcia wystarczającej liczby bezpiecznych adresów MAC lub zwiększenia liczby maksymalnych dozwolonych adresów. W tym trybie zostaniesz powiadomiony o naruszeniu bezpieczeństwa. W szczególności, wysyłana jest pułapka SNMP, rejestrowana jest wiadomość syslog, a licznik naruszeń jest zwiększany.
  • shutdown: w tym trybie naruszenie bezpieczeństwa portu powoduje, że interfejs natychmiast zostaje wyłączony i wyłącza diodę LED portu. Wysyła również pułapkę SNMP, rejestruje komunikat syslog i zwiększa licznik naruszeń. Gdy bezpieczny port znajduje się w stanie wyłączonego błędu, można go z niego usunąć, wprowadzając polecenie globalnej konfiguracji psecure-violation errdisable recovery cause psecure-violation, lub można go ręcznie ponownie włączyć, wprowadzając polecenia konfiguracji interfejsu wyłączanie i brak wyłączania. Jest to tryb domyślny.

przykład: ograniczenie do dziesięciu adresów MAC, z których dwa są statyczne (aaaa.aaaa.aaaa, bbbb.bbbb.bbbb), na porcie FastEthernet 0/1. Wymagane naruszenie jest “ograniczone”.

Ciscozine# conf tCiscozine(config)# interface fastethernet0/1Ciscozine(config-if)# switchport mode accessCiscozine(config-if)# switchport port-securityCiscozine(config-if)# switchport port-security maximum 10Ciscozine(config-if)# switchport port-security violation restrictCiscozine(config-if)# switchport port-security mac-address aaaa.aaaa.aaaaCiscozine(config-if)# switchport port-security mac-address bbbb.bbbb.bbbb

dostęp do trybu switchport: zabezpieczenie portu działa tylko na porcie dostępu, więc zdefiniuj je.
switchport port-security: Włącz zabezpieczenie portu w interfejsie.
switchport Port-Security maximum 10: ustawia maksymalną liczbę bezpiecznych adresów MAC dla interfejsu na 10.
switchport Port-Security violation restrict: definiuje “ograniczenie” trybu naruszenia.
switchport port-security mac-address aaaa.aaaa.AAAA: Zdefiniuj statyczny adres MAC; pamiętaj, że jeśli skonfigurujesz mniej bezpiecznych adresów MAC niż maksimum, pozostałe adresy MAC będą uczone dynamicznie.

przydatne polecenia do wyświetlania stanu kontroli ruchu i konfiguracji to:

  • show interfaces switchport: wyświetla stan administracyjny i operacyjny wszystkich portów przełączania (bez routingu) lub określonego portu, w tym Ustawienia blokowania portów i ochrony portów.
  • Pokaż Port-bezpieczeństwo : Wyświetla ustawienia zabezpieczeń portów dla Przełącznika Lub określonego interfejsu, w tym maksymalną dozwoloną liczbę bezpiecznych adresów MAC dla każdego interfejsu, liczbę bezpiecznych adresów MAC w interfejsie, liczbę naruszeń zabezpieczeń, które wystąpiły, oraz tryb naruszenia.
  • show Port-security address: wyświetla wszystkie bezpieczne adresy MAC skonfigurowane na wszystkich interfejsach przełączników lub na określonym interfejsie ze starzejącymi się informacjami dla każdego adresu.

pamiętaj: zabezpieczenie portów można włączyć w interfejsie tylko wtedy, gdy port nie jest skonfigurowany jako jeden z tych portów:

  • porty Trunk: jeśli spróbujesz włączyć zabezpieczenie portu na porcie trunk, pojawi się komunikat o błędzie i zabezpieczenie portu nie jest włączone. Jeśli spróbujesz zmienić tryb bezpiecznego portu na trunk, tryb portu nie zostanie zmieniony.
  • dynamiczny port: port w trybie dynamicznym może negocjować ze swoim sąsiadem, aby stać się portem trunk. Jeśli spróbujesz włączyć zabezpieczenie portu na dynamicznym porcie, pojawi się komunikat o błędzie i zabezpieczenie portu nie jest włączone. Jeśli spróbujesz zmienić tryb bezpiecznego portu na dynamiczny, tryb portu nie zostanie zmieniony.
  • Port dynamicznego dostępu: jeśli spróbujesz włączyć zabezpieczenie portów na porcie dynamicznego dostępu (VLAN Query Protocol), pojawi się komunikat o błędzie i zabezpieczenie portów nie jest włączone. Jeśli spróbujesz zmienić bezpieczny port na dynamiczne przypisanie VLAN, pojawi się komunikat o błędzie i konfiguracja VLAN nie zostanie zmieniona.
  • EtherChannel porT: przed włączeniem zabezpieczenia portu na porcie, musisz najpierw usunąć go z EtherChannel. Jeśli spróbujesz włączyć zabezpieczenia portów w kanale EtherChannel lub na aktywnym porcie w kanale EtherChannel, pojawi się komunikat o błędzie i zabezpieczenie portów nie jest włączone. Jeśli włączysz zabezpieczenie portu na jeszcze nie aktywnym porcie EtherChannel, port ten nie dołączy do EtherChannel.
  • port 802.1 X: nie można skonfigurować portu 802.1 X jako bezpiecznego portu. Jeśli spróbujesz włączyć zabezpieczenie portu na porcie 802.1 X, pojawi się komunikat o błędzie i zabezpieczenie portu nie jest włączone. Jeśli spróbujesz zmienić bezpieczny port na port 802.1 X, pojawi się komunikat o błędzie i ustawienia 802.1 X nie zostaną zmienione.
  • Przełącz port docelowy analizatora portów (SPAN): możesz włączyć zabezpieczenie portu na porcie, który jest portem docelowym zakresu; jednak zabezpieczenie portu jest wyłączone, dopóki port nie zostanie usunięty jako port docelowy zakresu. Zabezpieczenie portu można włączyć na źródłowym porcie SPAN.

Write a Comment

Twój adres e-mail nie zostanie opublikowany.