Åtkomstkontroll MAC-adresstabell attack
De två föregående avsnitten fokuserade på slutpunkters säkerhet. I detta avsnitt tass upp hur man skyddar ett LAN, med särskild inriktning på ramarna (frames) i datalänkskiktet (Lager 2) och hur dessa hanteras av switchar.
Nätverksadministratörer skyddar ofta nätverkets övre lager (Lager 3 till Lager 7) med säkerhetslösningar som VPN, brandväggar och IPS-enheter. Men om Lager 2 äventyras, kan även de övre lagren påverkas. Om en angripare med åtkomst till nätverket avlyssnar trafik på Lager 2, blir säkerheten i de högre lagren ineffektiv. Angriparen kan då orsaka betydande skador på nätverkets Lager 2-infrastruktur.
Kategorier av switch-attacker
Säkerheten i ett system är bara så stark som dess svagaste länk, och ofta ses Lager 2 som denna svaga länk. Detta beror på att LAN historiskt har hanterats av en enda organisation, med en grundläggande tillit till alla som anslöt till nätverket. Men med att fler tar med egna enheter (BYOD) och att angreppsmetoder blivit mer avancerade, är lokala nätverk idag mer sårbara för hot. Därför är det viktigt att nätverkssäkerhets experter inte bara skyddar Lager 3 till 7, utan också aktivt säkrar Lager 2 i LAN.
Lager 2 attacker
Attacker mot Lager 2 LAN-infrastrukturen beskrivs i tabellen nedan och diskuteras mer ingående senare i denna modul.
| Kategori | Exempel |
|---|---|
| MAC-tabellattacker | Inkluderar attacker genom MAC-adressöversvämning. |
| VLAN-attacker | Inkluderar VLAN hopping och VLAN double-tagging attacker. Inkluderar även attacker mellan enheter på samma VLAN. |
| DHCP-attacker | Inkluderar DHCP starvation och DHCP spoofing attacker. |
| ARP-attacker | Inkluderar ARP spoofing och ARP poisoning attacker. |
| Address Spoofing | Inkluderar spoofing av MAC-adresser och IP-adresser. |
| STP-attacker | Inkluderar manipulering av Spanning Tree Protocol. |
Mitigering av Lager 2-attacker
Tabellen ger en översikt över Cisco-lösningar för att hjälpa till att mildra attacker mot Lager 2.
| Lösning | Beskrivning |
|---|---|
| Port Security | Förhindrar många typer av attacker inklusive MAC address flooding och DHCP starvation attacker. |
| DHCP Snooping | Förhindrar DHCP-starvation och DHCP-spoofing attacker. |
| Dynamic ARP Inspection (DAI) | Förhindrar ARP spoofing och ARP poisoning attacker.. |
| IP Source Guard (IPSG) | Förhindrar spoofing av MAC- och IP-adresser. |
För att stärka säkerheten på Lager 2 är det viktigt att skydda hanteringsprotokollen. Många vanliga protokoll som Syslog, SNMP, TFTP, Telnet och FTP är kända för att vara osäkra. Därför bör man följa rekommenderade strategier för att öka säkerheten, såsom:
- Använd alltid säkra varianter av dessa protokoll såsom SSH, Secure Copy Protocol (SCP), Secure FTP (SFTP) och Secure Socket Layer/Transport Layer Security (SSL/TLS).
- Överväg att använda ett out-of-band nätverk för hantering av enheter.
- Använd en dedikerad hanterings-VLAN där endast hanteringstrafik förekommer.
- Använd ACLs (Access Control Lists) för att filtrera oönskad åtkomst.