При защите сети необходимо учитывать большое количество распространенных угроз, но часто безопасность Локальной Вычислительной Сети (далее ЛВС) пропускается. Когда люди думают о безопасности, они часто думают конкретно о слоях выше уровня 2 (канальный уровень) модели OSI, но нет причин ограничивать план безопасности этими верхними уровнями. Хороший план безопасности должен учитывать все уровни, от Уровня 1 до Уровня 7 модели OSI. В этой статье рассматриваются некоторые из наиболее распространенных атак канального уровня и их работа.

Атаки на протокол Spanninig-Tree Spanninig-Tree Protocol (далее STP) является одним из основных протоколов ЛВС. Его основная функция - предотвращение потенциальных петель в сети. Без STP локальные сети уровня 2 просто перестали бы функционировать, потому что петли, созданные в сети, заполнили бы коммутаторы трафиком. Оптимизированная работа и конфигурация STP гарантирует, что локальная сеть остается стабильной и что трафик проходит по наиболее оптимизированному пути. Если злоумышленник вставит новое устройство STP в сеть и попытается изменить работу STP, эта атака может повлиять на то, как трафик протекает через ЛВС, что сильно влияет на удобство использования и безопасность трафика, проходящего через сеть.

Атаки протокола разрешения адресов Address Resolution Protocol (далее ARP) используется всеми сетевыми устройствами, которые подключаются к сети Ethernet. Устройства используют ARP для поиска адреса Ethernet уровня 2 (MAC) для устройства назначения, используя только известный IP-адрес целевого устройства. ARP сам по себе небезопасен, поскольку устройствам говорят, что они должны доверять полученным ответам. Поэтому, если устройство A запрашивает MAC-адрес устройства B, а устройство C отвечает вместо устройства B, устройство A отправляет весь трафик, предназначенный для устройства B, на устройство C. Таким образом устройство C может перехватить весь трафик и получить доступ к конфиденциальным данным.

Подмена МАС-адреса При подмене MAC-адреса одно устройство в сети использует MAC-адрес другого устройства. Цель атакующего - перенаправить весь трафик для целевого устройства на атакующее устройство. Если вы думаете о телефонной сети, эта атака эквивалентна тому, что кто-то захватил ваш номер телефона и перенаправил на него будущие вызовы. Эта маршрутизация может использоваться для маскировки одного устройства под другое для нескольких целей, в том числе для выполнения атаки на отказ в обслуживании на этом устройстве.

Атака на таблицу МАС-адресов коммутатора Сетевые коммутаторы использует таблицу МАС-адресов для пересылки данных к получателю. При работе в сети каждый коммутатор заполняет свою таблицу МАС-адресов изучая заголовки каждого полученного кадра. В этой таблице содержится МАС-адреса устройств и номера портов коммутатора, куда эти устройства подключены. Когда на коммутатор приходит кадр, он изучает МАС-адрес получателя в этом кадре и ищет его в своей таблице. Если он найдет в таблице этот МАС-адрес, то пересылает кадр только на нужный порт. Объем памяти для этой таблицы выделяется из оперативной памяти, поэтому имеет ограниченный размер. Во время атаки злоумышленник генерирует огромное количество несуществующих МАС-адресов и таблица переполняется. После этого коммутатор работает как хаб, каждый полученный кадр с любого порта рассылает на все остальные порты. Тогда злоумышленник может прослушать каждый пакет, проходящий через этот коммутатор.

Протокол обнаружения Cisco/ Протокол обнаружения уровня канала Протокол обнаружения Cisco (CDP) и протокол обнаружения уровня канала (LLDP) используются для аналогичных целей. Оба предлагают способ увидеть, какие типы устройств подключены к каналу, а также некоторые настройки устройства (IP-адрес, версия программного обеспечения и т. Д.). Обычно эта информация используется сетевыми инженерами для повышения эффективности устранения неполадок в больших сетях. Однако эта информация также обычно открыта для любого, кто «слушает», что означает, что злоумышленнику просто нужно прослушать одну и ту же ссылку, чтобы получить большой объем информации о подключенных устройствах.  

Атаки виртуальные локальные сети (VLAN) Существует два типа атак виртуальной локальной сети (VLAN), но цель та же - отправка трафика в другую VLAN: Взлом через транковые порты. В этой атаке злоумышленник пытается подключить мошеннический коммутатор к сети, а затем настроить транк. Если атака успешна, трафик из нескольких VLAN может быть отправлен в мошеннический коммутатор и через него, что позволяет злоумышленнику просматривать и потенциально манипулировать трафиком. Эта атака основывается на поведении некоторых коммутаторов по умолчанию, которые поддерживают динамическое группирование. Если динамический транкинг отключен, и все интерфейсы, не являющиеся магистральными, настроены так, что они не транкинговые, эта атака уменьшается. Двойная пометка. Чтобы понять двойную маркировку, вам нужны основы VLAN. Виртуальные ЛВС обеспечивают безопасность ЛВС, изолируя трафик в отдельных полосах трафика. Трафик от всех VLAN (кроме собственной VLAN) «помечается» тегом IEEE 802.1q, когда трафик передается по соединительным линиям между коммутаторами. Эти теги могут быть вложенными, что означает, что к трафику может быть прикреплено несколько тегов. Если на интерфейсе транкинга получен кадр с двумя вложенными тегами, а первый тег (самый внешний тег) совпадает с тегом собственной VLAN для этого интерфейса, некоторые коммутаторы удаляют этот внешний тег и отправляют трафик на VLAN второго тега. Такая конструкция позволяет злоумышленнику отправлять трафик из одной VLAN в другую VLAN (скачкообразная перестройка), что, как предполагается, невозможно без устройства уровня 3.

Подмена динамического протокола конфигурации хоста (DHCP) Подобно другим типам атак спуфинга, спуфинг протокола DHCP (Dynamic Host Configuration Protocol) вовлекает злоумышленника, притворяющегося кем-то другим; в этом случае действует как законный DHCP-сервер. Поскольку DHCP используется в большинстве сетей для предоставления адресации и другой информации клиентам, потеря контроля над этой частью сети может быть опасной. При спуфинговых атаках DHCP злоумышленник размещает в сети мошеннический DHCP-сервер. Поскольку клиенты включены и запрашивают адрес, используется сервер с самым быстрым ответом. Если устройство сначала получает ответ от мошеннического сервера, мошеннический сервер может назначить любой адрес, а также контролировать, какое устройство оно использует в качестве шлюза. Хорошо продуманная атака может передавать трафик с локальных хостов на мошеннический сервер, который регистрирует весь трафик и затем перенаправляет трафик на «правильный» шлюз; для устройства это действие будет почти прозрачным. Таким образом, злоумышленник может украсть информацию практически незаметно.

Резюме Чтобы обезопасить сеть, инженер по безопасности должен знать о множестве типов атак. В этой статье были рассмотрены только некоторые из наиболее распространенных атак второго уровня. Их гораздо больше, и некоторые атаки, вероятно, еще не использовались (или не были обнаружены). Настоящая работа инженера по сетевой безопасности состоит в том, чтобы узнать, где будет происходить следующая атака, и определить, как ее смягчить - до того, как атака произойдет, или как только она произойдет.