Ataki kanalnogo y'rovnia

Aqparattyq ju'ieler
Gabdollaev Ny'rhat Bolatoviсh, Ataki kanalnogo y'rovnia

Maqala avtory: Gabdollaev Ny'rhat Bolatoviсh
Jumys orny: AO"Fortebank"
Lay'azymy: magistrant kafedry "Radiotehnika, эlektronika i telekommy'nikatsii" ENY' im. L.N. Gy'mileva
Portalg'a jariialany' merzimi: 26.12.2018


Pri zashite seti neobhodimo y'сhityvat bolshoe koliсhestvo rasprostranennyh y'groz, no сhasto bezopasnost Lokalnoi Vyсhislitelnoi Seti (dalee LVS) propy'skaetsia. Kogda liy'di dy'maiy't o bezopasnosti, oni сhasto dy'maiy't konkretno o sloiah vyshe y'rovnia 2 (kanalnyi y'roven) modeli OSI, no net priсhin ograniсhivat plan bezopasnosti эtimi verhnimi y'rovniami. Horoshii plan bezopasnosti doljen y'сhityvat vse y'rovni, ot Y'rovnia 1 do Y'rovnia 7 modeli OSI. V эtoi state rassmatrivaiy'tsia nekotorye iz naibolee rasprostranennyh atak kanalnogo y'rovnia i ih rabota.

Ataki na protokol SpanninigTree

Spanninig-Tree Protocol (dalee STP) iavliaetsia odnim iz osnovnyh protokolov LVS. Ego osnovnaia fy'nktsiia — predotvrashenie potentsialnyh petel v seti. Bez STP lokalnye seti y'rovnia 2 prosto perestali by fy'nktsionirovat, potomy' сhto petli, sozdannye v seti, zapolnili by kommy'tatory trafikom. Optimizirovannaia rabota i konfigy'ratsiia STP garantiry'et, сhto lokalnaia set ostaetsia stabilnoi i сhto trafik prohodit po naibolee optimizirovannomy' py'ti. Esli zloy'myshlennik vstavit novoe y'stroistvo STP v set i popytaetsia izmenit raboty' STP, эta ataka mojet povliiat na to, kak trafik protekaet сherez LVS, сhto silno vliiaet na y'dobstvo ispolzovaniia i bezopasnost trafika, prohodiashego сherez set.

Ataki protokola razresheniia adresov

Address Resolution Protocol (dalee ARP) ispolzy'etsia vsemi setevymi y'stroistvami, kotorye podkliy'сhaiy'tsia k seti Ethernet. Y'stroistva ispolzy'iy't ARP dlia poiska adresa Ethernet y'rovnia 2 (MAC) dlia y'stroistva naznaсheniia, ispolzy'ia tolko izvestnyi IP-adres tselevogo y'stroistva. ARP sam po sebe nebezopasen, poskolky' y'stroistvam govoriat, сhto oni doljny doveriat poly'сhennym otvetam. Poэtomy', esli y'stroistvo A zaprashivaet MAC-adres y'stroistva B, a y'stroistvo C otveсhaet vmesto y'stroistva B, y'stroistvo A otpravliaet ves trafik, prednaznaсhennyi dlia y'stroistva B, na y'stroistvo C. Takim obrazom y'stroistvo C mojet perehvatit ves trafik i poly'сhit dosty'p k konfidentsialnym dannym.

Podmena MAS-adresa

Pri podmene MAC-adresa odno y'stroistvo v seti ispolzy'et MAC-adres dry'gogo y'stroistva. TSel ataky'iy'shego — perenapravit ves trafik dlia tselevogo y'stroistva na ataky'iy'shee y'stroistvo. Esli vy dy'maete o telefonnoi seti, эta ataka эkvivalentna tomy', сhto kto-to zahvatil vash nomer telefona i perenapravil na nego by'dy'shie vyzovy. Эta marshry'tizatsiia mojet ispolzovatsia dlia maskirovki odnogo y'stroistva pod dry'goe dlia neskolkih tselei, v tom сhisle dlia vypolneniia ataki na otkaz v obsly'jivanii na эtom y'stroistve.

Ataka na tablitsy' MAS-adresov kommy'tatora

Setevye kommy'tatory ispolzy'et tablitsy' MAS-adresov dlia peresylki dannyh k poly'сhateliy'. Pri rabote v seti kajdyi kommy'tator zapolniaet svoiy' tablitsy' MAS-adresov izy'сhaia zagolovki kajdogo poly'сhennogo kadra. V эtoi tablitse soderjitsia MAS-adresa y'stroistv i nomera portov kommy'tatora, ky'da эti y'stroistva podkliy'сheny. Kogda na kommy'tator prihodit kadr, on izy'сhaet MAS-adres poly'сhatelia v эtom kadre i ishet ego v svoei tablitse. Esli on naidet v tablitse эtot MAS-adres, to peresylaet kadr tolko na ny'jnyi port. Obem pamiati dlia эtoi tablitsy vydeliaetsia iz operativnoi pamiati, poэtomy' imeet ograniсhennyi razmer. Vo vremia ataki zloy'myshlennik generiry'et ogromnoe koliсhestvo  nesy'shestvy'iy'shih MAS-adresov i tablitsa perepolniaetsia. Posle эtogo kommy'tator rabotaet kak hab, kajdyi poly'сhennyi kadr s liy'bogo porta rassylaet na vse ostalnye porty. Togda zloy'myshlennik mojet prosly'shat kajdyi paket, prohodiashii сherez эtot kommy'tator.

Protokol obnary'jeniia Cisco/ Protokol obnary'jeniia y'rovnia kanala

Protokol obnary'jeniia Cisco (CDP) i protokol obnary'jeniia y'rovnia kanala (LLDP) ispolzy'iy'tsia dlia analogiсhnyh tselei. Oba predlagaiy't sposob y'videt, kakie tipy y'stroistv podkliy'сheny k kanaly', a takje nekotorye nastroiki y'stroistva (IP-adres, versiia programmnogo obespeсheniia i t. D.). Obyсhno эta informatsiia ispolzy'etsia setevymi injenerami dlia povysheniia эffektivnosti y'straneniia nepoladok v bolshih setiah. Odnako эta informatsiia takje obyсhno otkryta dlia liy'bogo, kto «sly'shaet», сhto oznaсhaet, сhto zloy'myshlenniky' prosto ny'jno prosly'shat odny' i ty' je ssylky', сhtoby poly'сhit bolshoi obem informatsii o podkliy'сhennyh y'stroistvah.

 Ataki virty'alnye lokalnye seti (VLAN)

Sy'shestvy'et dva tipa atak virty'alnoi lokalnoi seti (VLAN), no tsel ta je — otpravka trafika v dry'gy'iy' VLAN:

Vzlom сherez trankovye porty. V эtoi atake zloy'myshlennik pytaetsia podkliy'сhit moshenniсheskii kommy'tator k seti, a zatem nastroit trank. Esli ataka y'speshna, trafik iz neskolkih VLAN mojet byt otpravlen v moshenniсheskii kommy'tator i сherez nego, сhto pozvoliaet zloy'myshlenniky' prosmatrivat i potentsialno manipy'lirovat trafikom. Эta ataka osnovyvaetsia na povedenii nekotoryh kommy'tatorov po y'molсhaniiy', kotorye podderjivaiy't dinamiсheskoe gry'ppirovanie. Esli dinamiсheskii tranking otkliy'сhen, i vse interfeisy, ne iavliaiy'shiesia magistralnymi, nastroeny tak, сhto oni ne trankingovye, эta ataka y'menshaetsia.

Dvoinaia pometka. CHtoby poniat dvoiny'iy' markirovky', vam ny'jny osnovy VLAN. Virty'alnye LVS obespeсhivaiy't bezopasnost LVS, izoliry'ia trafik v otdelnyh polosah trafika. Trafik ot vseh VLAN (krome sobstvennoi VLAN) «pomeсhaetsia» tegom IEEE 802.1q, kogda trafik peredaetsia po soedinitelnym liniiam mejdy' kommy'tatorami. Эti tegi mogy't byt vlojennymi, сhto oznaсhaet, сhto k trafiky' mojet byt prikrepleno neskolko tegov. Esli na interfeise trankinga poly'сhen kadr s dvy'mia vlojennymi tegami, a pervyi teg (samyi vneshnii teg) sovpadaet s tegom sobstvennoi VLAN dlia эtogo interfeisa, nekotorye kommy'tatory y'daliaiy't эtot vneshnii teg i otpravliaiy't trafik na VLAN vtorogo tega. Takaia konstry'ktsiia pozvoliaet zloy'myshlenniky' otpravliat trafik iz odnoi VLAN v dry'gy'iy' VLAN (skaсhkoobraznaia perestroika), сhto, kak predpolagaetsia, nevozmojno bez y'stroistva y'rovnia 3.

Podmena dinamiсheskogo protokola konfigy'ratsii hosta (DHCP)

Podobno dry'gim tipam atak spy'finga, spy'fing protokola DHCP (Dynamic Host Configuration Protocol) vovlekaet zloy'myshlennika, pritvoriaiy'shegosia kem-to dry'gim; v эtom sly'сhae deistvy'et kak zakonnyi DHCP-server. Poskolky' DHCP ispolzy'etsia v bolshinstve setei dlia predostavleniia adresatsii i dry'goi informatsii klientam, poteria kontrolia nad эtoi сhastiy' seti mojet byt opasnoi. Pri spy'fingovyh atakah DHCP zloy'myshlennik razmeshaet v seti moshenniсheskii DHCP-server. Poskolky' klienty vkliy'сheny i zaprashivaiy't adres, ispolzy'etsia server s samym bystrym otvetom. Esli y'stroistvo snaсhala poly'сhaet otvet ot moshenniсheskogo servera, moshenniсheskii server mojet naznaсhit liy'boi adres, a takje kontrolirovat, kakoe y'stroistvo ono ispolzy'et v kaсhestve shliy'za. Horosho prody'mannaia ataka mojet peredavat trafik s lokalnyh hostov na moshenniсheskii server, kotoryi registriry'et ves trafik i zatem perenapravliaet trafik na «pravilnyi» shliy'z; dlia y'stroistva эto deistvie by'det poсhti prozraсhnym. Takim obrazom, zloy'myshlennik mojet y'krast informatsiiy' praktiсheski nezametno.

Reziy'me

CHtoby obezopasit set, injener po bezopasnosti doljen znat o mnojestve tipov atak. V эtoi state byli rassmotreny tolko nekotorye iz naibolee rasprostranennyh atak vtorogo y'rovnia. Ih gorazdo bolshe, i nekotorye ataki, veroiatno, eshe ne ispolzovalis (ili ne byli obnary'jeny). Nastoiashaia rabota injenera po setevoi bezopasnosti sostoit v tom, сhtoby y'znat, gde by'det proishodit sledy'iy'shaia ataka, i opredelit, kak ee smiagсhit — do togo, kak ataka proizoidet, ili kak tolko ona proizoidet.