Segurança em redes locais VI: Protegendo-se contra CAM Table Overflow

Estou de volta. Também mereço ferias.

Na ultima matéria falamos de DHCP Spoofing.

Todo comutador (switch) possui uma tabela onde são armazenados endereços MAC dos dispositivos directamente conectados a ela. Ja falamos aqui como este processo ocorre.

Um hacker que conhece equipamentos Cisco de médio porte como alguns comutadores Catalyst sabe bem o comportamento deles quando o numero de endereços MAC aprendidos pelo comutador chega ao limite possível (depende de cada comutador): Quando um dispositivo comunicante decide enviar uma frame a um endereço MAC nao existente na tabela CAM: ‘As frames são encaminhadas para todas as interfaces directamente conectadas a ela, menos a interface pelo qual o comutador recebeu a frame do dispositivo comunicante’. Isto é conhecido como fail open mode.

Isso significa que todas as interfaces passam a receber uma copia da frame do dispositivo comunicantes. Ora, isso não é comportamento dum comutador mas sim dum HUB. Como sabemos os HUBs hoje estão em extinção e não são recomendados por causa do facto de compartilharem debito binário e acesso ao meio.

Com um comutador a comportar-se assim um hacker está em condições de ‘farejar’ todos frames dos dispositivos comunicantes já que eles sao enviados a todas as portas.

Isso não é nenhuma ficção. Existem artigos que mostram como se fazer, usando ferramentas open source como o macof que geram milhares de endereços MAC em questão de minutos (155000 por minuto) lotando a CAM table com relativa facilidade e rapidez. Ferramentas com o dsniff do dug song completam o trabalho.

Ataques deste género são geralmente fáceis de detectar e causam muit0 ‘barulho’ muitas vezes resultando em ‘crashs’ e restarts dos dispositivos alvos. Daí a necessidade de serem mitigados.

A forma mais fácil de se mitigar este tipo de ataque é usando port-security ja aqui analisado, isto é limitando o numero de endereços MAC que uma determinada interface pode aprender. Por exemplo, limitando para 1 endereço MAC.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s