Säkerheten i moderna nätverk står ständigt inför utmaningar från olika typer av attacker, särskilt på Lager 2, där angrepp som MAC-adressförfalskning (MAC address spoofing) och STP attacker kan underminera nätverkets integritet och tillgänglighet. I denna genomgång fokuserar vi på dessa två specifika attacker, vilka både utnyttjar svagheter i nätverkens datalänkskikt för att orsaka störningar eller för att otillbörligen fånga nätverkstrafik.

• MAC Address Spoofing: Genom att förvanska MAC-adresser kan en angripare omdirigera trafik till eller från en legitim enhet, vilket möjliggör avlyssning eller störning av kommunikationen.
• STP attack: Spanning Tree Protocol (STP) är avgörande för att förhindra nätverksloopar och säkerställa effektiv dataflöde i nätverk med flera vägar. Genom att manipulera STP-information kan en angripare dock orsaka att nätverkstrafiken omdirigeras eller att hela nätverkssegment blir otillgängliga, vilket effektivt sätter dem ur spel.

Adressförfalskningsattacker

IP-adresser och MAC-adresser kan förfalskas av olika skäl. IP-adressförfalskning sker när en hotaktör kapar en giltig IP-adress från en annan enhet på delnätet eller använder en slumpmässig IP-adress. IP-adressförfalskning är svårt att motverka, särskilt när den används inom ett delnät där IP-adressen tillhör.

MAC Address Spoofing inträffar när hotaktörer ändrar MAC-adressen på sin dator för att matcha en annan känd MAC-adress hos en målenhet. Den angripande datorn sänder då en ram över nätverket med den ny-konfigurerade MAC-adressen. När switchen tar emot ramen granskar den source-MAC-adressen. Switchens nuvarande MAC-tabell skrivs över och MAC-adressen tilldelas till den nya porten, som visas i figuren. Switchen vidarebefordrar sedan oavsiktligt ramar som är avsedda för målenheten till den angripande värden.

Obs: MAC-adresserna visas som 24 bitar för enkelhetens skull

När målenheten sänder trafik kommer switchen att korrigera felet och återigen koppla MAC-adressen till den ursprungliga porten. För att förhindra att switchen återställer porttilldelningen till sitt korrekta tillstånd kan hotaktören skapa ett program eller ett skript som ständigt skickar ramar till switchen så att switchen bibehåller den felaktiga eller förfalskade informationen. Det finns ingen säkerhetsmekanism på Lager 2 som tillåter en switch att verifiera avsändarens MAC-adresser, vilket gör det sårbart för förfalskning.

IP- och MAC-adressförfalskning kan mildras genom att implementera IP Source Guard (IPSG).

STP attack

Nätverksangripare kan manipulera Spanning Tree Protocol (STP) för att genomföra en attack genom att förfalska root-bridgen och ändra nätverkets topologi. Angripare kan få sina värdar att framstå som root-bridgar; och därmed fånga all trafik för det omedelbara switchade domänet.

För att genomföra en STP-manipulationsattack sänder den angripande värden ut STP-bridge protocol data units (BPDUs) som innehåller konfigurations- och topologiförändringar som kommer att tvinga fram omberäkningar av spanning-tree, som visas i figuren. BPDUs som skickas av den angripande värden annonserar en lägre bridge-prioritet i ett försök att bli vald som root-bridge.

Obs: Dessa problem kan inträffa när någon lägger till en Ethernet-switch i nätverket utan någon ondskefull avsikt.

Om den är framgångsrik blir den angripandes dator en root-bridge, som visas i figuren, och kan nu fånga en mängd ramar som annars inte skulle vara tillgängliga.

Denna STP-attack mildras genom att implementera BPDU Guard på alla åtkomstportar. BPDU Guard diskuteras mer i detalj senare i kommande avsnitt.

Rekognosering med CDP

Rekognosering i nätverkssäkerhetssammanhang avser processen där en angripare samlar information om ett mål för att förbereda sig för en attack. Det kan innebära insamling av data om nätverksstrukturen, systemkonfigurationer, programvaruversioner, och sårbarheter. Rekognosering är oftast det första steget i en attackkedja, eftersom den ger angriparen viktig information som kan användas för att utnyttja svagheter i målsystemet effektivt.

Det finns flera metoder för rekognosering, inklusive:

• Passiv rekognosering: Insamling av information utan direkt interaktion med målsystemet, till exempel genom att söka information på internet, sociala medier eller genom offentligt tillgängliga databaser.
• Aktiv rekognosering: Direkt interaktion med målsystemet genom skanning av portar, nätverk och system för att identifiera öppna portar, tjänster, och applikationer samt deras versioner och konfigurationer.

Rekognosering kan även involvera användning av olika verktyg och protokoll som ARP, CDP eller LLDP, som samlar in detaljerad information om enheter och deras roller inom ett nätverk. Denna information kan vara avgörande för en angripare som planerar att penetrera ett nätverk eller system.

Cisco Discovery Protocol (CDP) är ett Ciscos upptäckningsprotokoll för Lager 2. Det är som standard aktiverat på alla Cisco-enheter. CDP kan automatiskt upptäcka andra CDP-aktiverade enheter och hjälpa till med att auto-konfigurera deras anslutning. Nätverksadministratörer använder också CDP för att konfigurera och felsöka nätverksenheterna.

CDP-information sänds från CDP-aktiverade portar i en periodisk, okrypterad multicast. CDP-informationen inkluderar enhetens IP-adress, IOS-programvaruversion, plattform, funktioner och den ursprungliga VLAN. Enheten som tar emot CDP-meddelandet uppdaterar sin CDP-databas.

CDP-information är extremt användbar vid felsökning av nätverk. Till exempel kan CDP användas för att verifiera anslutningar för Lager 1 och 2. Om en administratör inte kan pinga ett direktanslutet gränssnitt, men fortfarande tar emot CDP-information, är problemet sannolikt relaterat till konfigurationen på Lager 3. Dock kan information som tillhandahålls av CDP även användas av en hotaktör för att upptäcka sårbarheter i nätverksinfrastrukturen.

I figuren visas ett Wireshark-utdrag som visar innehållet i ett CDP-paket. Angriparen kan identifiera vilken version av Cisco IOS-programvara som används av enheten. Detta gör det möjligt för angriparen att avgöra om det finns några säkerhetssårbarheter specifika för den versionen av IOS.

CDP-sändningar (broadcast) skickas okrypterade och utan autentisering. Därför kan en angripare störa nätverksinfrastrukturen genom att skicka manipulerade CDP-ramar med felaktig enhetsinformation till direktanslutna Cisco-enheter.

För att mildra utnyttjandet av CDP, begränsa användningen av CDP på enheter eller portar. Till exempel, inaktivera CDP på portar som ansluter till opålitliga enheter.

För att globalt inaktivera CDP på en enhet, använd kommandot no cdp run i global konfigurationsläge. För att globalt aktivera CDP, använd kommandot cdp run.

För att inaktivera CDP på en port, använd kommandot no cdp enable i interfacets konfigurationsläget. För att aktivera CDP på en port, använd kommandot cdp enable.

Observera: Link Layer Discovery Protocol (LLDP) är också känslig för rekognoseringsattacker. Konfigurera no lldp run för att globalt inaktivera LLDP. För att inaktivera LLDP på interfacet, konfigurera no lldp transmit och no lldp receive.