Andra LAN attacker

ARP attacker          Säkerhetskonfigurationer

Moderna nätverk utsätts ofta för attacker på Lager 2, där angrepp som MAC-adressförfalskning och STP-attacker hotar nätverkets säkerhet och tillgänglighet. Här fokuserar vi på dessa två attacker, som utnyttjar sårbarheter i nätverkets datalänkskikt.

  • MAC Address Spoofing: Genom att manipulera sin MAC-adress kan en angripare omdirigera trafik som är avsedd för en annan enhet, vilket gör det möjligt att avlyssna eller störa kommunikationen.
  • STP-attack: Spanning Tree Protocol (STP) förhindrar nätverksloopar och optimerar dataflödet i nätverk. En angripare kan dock manipulera STP för att omdirigera trafik eller göra nätverkssegment otillgängliga.

Adressförfalskningsattacker

Både IP- och MAC-adresser kan förfalskas (IP Address spoofing, MAC Address Spoofing).

  • IP-adressförfalskning: Sker när en angripare använder en giltig IP-adress från en annan enhet på samma nätverk. Detta är svårt att upptäcka, särskilt inom ett delnät.
  • MAC-adressförfalskning: Här ändrar en angripare sin MAC-adress för att matcha en annan enhets MAC-adress. Angriparen skickar en ram med den nya MAC-adressen, vilket får switchen att uppdatera sin MAC-tabell och omdirigera trafik till angriparens enhet istället för till målet.

När en enhet på nätverket behöver skicka trafik till en specifik IP-adress men inte känner till dess tillhörande MAC-adress, skickar den ett ARP-request meddelande som broadcast. Alla enheter i det lokala nätverket tar emot denna förfrågan, men endast den enhet vars IP-adress matchar svarar med sin MAC-adress. Switchar använder denna information för att uppdatera sin MAC-tabell och dirigera trafiken till rätt port.

Obs: MAC-adresserna visas här som 24 bitar för enkelhetens skull, annars är de 48 bitar.

Om en angripare har förfalskat ARP-meddelanden med felaktig MAC-adress, kan detta störa denna process. Men när målenheten skickar datatrafik, upptäcker switchen normalt ett fel och uppdaterar sin MAC-tabell med den korrekta informationen baserat på vilken port trafiken faktiskt kommer ifrån.

För att förhindra detta kan en angripare använda program eller skript som kontinuerligt skickar falska ARP-ramar till switchen, vilket tvingar den att behålla felaktig information i MAC-tabellen. Detta gör det möjligt för angriparen att framstå som en annan enhet i nätverket.

IP- och MAC-adressförfalskning kan motverkas genom att implementera IP Source Guard (IPSG), som säkerställer att endast trafik från betrodda IP- och MAC-adresser tillåts, och skyddar därmed nätverket från denna typ av attacker.

STP attack

Spanning Tree Protocol (STP) används i nätverk för att undvika loopar genom att välja en central switch, kallad root-bridge, som styr nätverkstopologin. Root-bridgen väljs baserat på lägst prioritet och MAC-adress.

En angripare kan utnyttja detta genom att förfalska STP-meddelanden (BPDUs, Bridge Protocol Data Units) och manipulera nätverkets spanning-tree. Genom att skicka falska BPDUs med en mycket låg prioritet och/eller fördelaktig MAC-adress kan angriparen lura nätverket att utse angriparens enhet som root-bridge därmed styra nätverkstrafik.

Om attacken lyckas blir angriparens dator vald som root-bridge i nätverket, vilket innebär att den nu får en central roll i datatrafiken. Detta gör att angriparen kan fånga och analysera många ramar som normalt inte skulle passera den enheten. Angriparen kan då få tillgång till känslig nätverkstrafik och potentiellt manipulera eller störa datakommunikationen mellan andra enheter i nätverket.

Denna STP-attack kan förhindras genom att aktivera BPDU Guard på alla åtkomstportar. BPDU Guard förklaras mer ingående i ett senare avsnitt.

Rekognosering med CDP

Rekognosering inom nätverkssäkerhet handlar om att samla information om ett mål för att förbereda en attack. Det ger angriparen insikter i nätverkets struktur, system och sårbarheter.

Det finns två typer av rekognosering:

  • Passiv rekognosering: Samla information utan direkt kontakt med målet, t.ex. via publika källor eller internet.
  • Aktiv rekognosering: Direkt interaktion med målet, som portskanning och identifiering av öppna tjänster.

Säkerhetsrisker med CDP

Cisco Discovery Protocol (CDP) används av Cisco-enheter för att automatiskt upptäcka andra enheter och dela information, som IP-adress, VLAN och Cisco IOS-version. CDP är användbart för nätverkshantering men skickar informationen okrypterad, vilket gör det till en säkerhetsrisk. Angripare kan använda CDP för att identifiera svagheter, särskilt om enheterna kör en sårbar Cisco IOS-version.

Här nedan visas informationen i ett inspekterat paket.

Så här kan CDP hanteras:

  • För att globalt inaktivera CDP, använd: 
    • no cdp run
  • För att globalt aktivera CDP, använd: 
    • cdp run
  • För att inaktivera CDP på en port, använd: 
    • no cdp enable
  • För att aktivera CDP på en port, använd: 
    • cdp enable
Observera: Link Layer Discovery Protocol (LLDP) är också känslig för rekognoseringsattacker. Konfigurera no lldp run för att globalt inaktivera LLDP. För att inaktivera LLDP på interfacet, konfigurera no lldp transmit och no lldp receive.

ARP attacker          Säkerhetskonfigurationer