Pular para o conteúdo

Segurança em redes locais VI: Protegendo-se contra CAM Table Overflow

18 18UTC março 18UTC 2011
tags: ,

Estou de volta. Também mereço ferias.

Na ultima matéria falamos de DHCP Spoofing.

Todo comutador (switch) possui uma tabela onde são armazenados endereços MAC dos dispositivos directamente conectados a ela. Ja falamos aqui como este processo ocorre.

Um hacker que conhece equipamentos Cisco de médio porte como alguns comutadores Catalyst sabe bem o comportamento deles quando o numero de endereços MAC aprendidos pelo comutador chega ao limite possível (depende de cada comutador): Quando um dispositivo comunicante decide enviar uma frame a um endereço MAC nao existente na tabela CAM: ‘As frames são encaminhadas para todas as interfaces directamente conectadas a ela, menos a interface pelo qual o comutador recebeu a frame do dispositivo comunicante’. Isto é conhecido como fail open mode.

Isso significa que todas as interfaces passam a receber uma copia da frame do dispositivo comunicantes. Ora, isso não é comportamento dum comutador mas sim dum HUB. Como sabemos os HUBs hoje estão em extinção e não são recomendados por causa do facto de compartilharem debito binário e acesso ao meio.

Com um comutador a comportar-se assim um hacker está em condições de ‘farejar’ todos frames dos dispositivos comunicantes já que eles sao enviados a todas as portas.

Isso não é nenhuma ficção. Existem artigos que mostram como se fazer, usando ferramentas open source como o macof que geram milhares de endereços MAC em questão de minutos (155000 por minuto) lotando a CAM table com relativa facilidade e rapidez. Ferramentas com o dsniff do dug song completam o trabalho.

Ataques deste género são geralmente fáceis de detectar e causam muit0 ‘barulho’ muitas vezes resultando em ‘crashs’ e restarts dos dispositivos alvos. Daí a necessidade de serem mitigados.

A forma mais fácil de se mitigar este tipo de ataque é usando port-security ja aqui analisado, isto é limitando o numero de endereços MAC que uma determinada interface pode aprender. Por exemplo, limitando para 1 endereço MAC.

from → CCNA Security, Redes, Segurança
Ainda sem comentários

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Gravatar
WordPress.com Logo

You are commenting using your WordPress.com account. Sair / Alterar )

Imagem do Twitter

You are commenting using your Twitter account. Sair / Alterar )

Foto do Facebook

You are commenting using your Facebook account. Sair / Alterar )

Cancelar

Connecting to %s

Seguir

Obtenha todo post novo entregue na sua caixa de entrada.

Join 61 other followers