Segurança em redes locais I: Protegendo-se contra ataques de MAC Address Spoofing usando Sticky Secure MAC Addresses

Esta é a primeira duma serie de artigos envolvendo segurança em redes locais, tao importantes hoje em dia. É importante nao se confundir redes locais com ‘redes pequenas’.

Os ataques de MAC Address Spoofing sao um perigo demasiado obvio para serem deixados assim, sem serem mitigados. Por falar nisso, as instituições serias como bancos sabem bem que o maior perigo vem de dentro, nao de fora. Dificilmente se ouve falar em hacking de bancos tao banalmente como se ouve falar de ataques a hosts normais.

O MAC Address Spoofing baseia-se no conceito de rede local usando comutadores. Se dois determinados hosts A e B pretendam se comunicar, imaginemos com endereços IP 10.1.1.1 e 10.1.1.2 o host comunicante A (com endereço IP 10.1.1.1 e MAC AAAA:AAAA:AAAA) como nao possui na sua tabela interna ARP uma correspondencia do host receptor B (com endereço IP 10.1.1.2) e um determinado endereço MAC envia uma frame ao comutador.

O comutador como tambem nao possui (supondo) envia um broadcast a todas as portas excepto a porta do host A. A porta cujo computador possua o endereço endereço IP 10.1.1.2 responde com uma frame e ao achegar ao comutador o seu endereço MAC de origem é adicionado ao comutador fazendo uma correspondencia de 10.1.1.2 com BBBB:BBBB:BBBB que supomos ser o endereço MAC de B. Esta correspondencia é entao adicionada a tabela CAM do comutador. Fica uma tabela mais ou menos assim:

Interface Endereço MAC

fa0/1         AAAA:AAAA:AAAA
fa0/2        BBBB:BBBB:BBBB
fa0/3        CCCC:CCCC:CCCC

Desta vez o host A envia a comunicação a B diretamente. Quando a frame de A chega ao comutador, o endereço MAC de destino está na frame. O comutador recebe a frame interpreta o endereço MAC de destino, consulta a sua tabela CAM e encontra uma correspondencia para onde deva ser enviada a mensagem que conforme a tabela acima é a porta fa0/2, e a mensagem chega ao seu destino.

O problema é que o atacante C também sabe disto e disto tira proveito fazendo com que o comutador associe o endereço MAC de B a CCCC:CCCC:CCCC e o de A tambem a  CCCC:CCCC:CCCC. A isto chama-se Spoofing:

Na figura acima nota-se as mas intenções do nosso amigo C.Confundir a tabela MAC do comutador de modo a criar a seguinte correspondencia:

Interface Endereço MAC

fa0/3 CCCC:CCCC:CCCC
fa0/3 CCCC:CCCC:CCCC
fa0/3       CCCC:CCCC:CCCC

Esperto, não? Todas as mensagens destinadas por exemplo ao host A (MAC AAAA:AAAA:AAAA, porta fa0/1) sao encaminhadas diretamente a ele C (porta fa0/3).

Como ele faz isso? Faz isso enviando frames forjadas (usando ferramentas do Dug Song por ex) de forma a associar determinada porta a um determinado endereço MAC. Enviando estes frames ele pode forjar de tal forma que um determinado endereço MAC corresponda a uma especifico porta no nosso caso do atacante fa0/3.

Embora seja uma condição temporaria, ja que o host A pode voltar a enviar uma frame a B ou vice-versa e desta forma actualizar a tabela CAM, mesmo assim é uma condição perigosa para a rede.

Protecção

Para proteger-se de ataques deste genero, a melhor forma é usar a segurança de portas e associar a caracterista de aprendizado dinamico limitado conhecido como Sticky Secure MAC Address. Quando habilitado o Sticky um novo endereço MAC aprendido é adicionado a running-configuration impedindo que um atacante possa ‘spoofar’ o endereço MAC previamente aprendido:

COMUTADOR(fa0/1-3)>switchport port-security
COMUTADOR(fa0/1-3)>switchport port-security maximum 1
COMUTADOR(fa0/1-3)>switchport port-security violation protect
COMUTADOR(fa0/1-3)>switchport port-security mac-address sticky

No proximo artigo falaremos sobre ARP cache Poisoning e protecção usando DAI.

Anúncios

Um pensamento sobre “Segurança em redes locais I: Protegendo-se contra ataques de MAC Address Spoofing usando Sticky Secure MAC Addresses

  1. Pingback: Segurança em redes locais IV:Protegendo-se de ataques por IP Spoofing « Switching News Network Angola (SNN Angola)

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s