Kwestie bezpieczeństwa VLAN dla większości administratorów są owiane tajemnicą – VLAN’y po prostu działają i większość nie zadaje sobie trudu ich zrozumienia. Tymczasem jest wiele metod zaatakowania sieci w warstwie drugiej, a większość tych ataków nie jest tak intuicyjna do zrozumienia, jak ataki w wyższych warstwach. W tym artykule omawiamy metody ataków na sieci VLAN i ich skuteczność.
VLAN’y umożliwiają izolację ruchu przechodzącego przez jeden przełącznik czy grupę przełączników. VLAN’y umożliwiają stworzenie w obrębie jednego przełącznika wielu sieci lokalnych, co jest realizowane poprzez filtrowanie i limitowanie transmisji rozgłoszeniowych. Ta forma izolacji jest konfigurowana przez administratora i realizowana programowo, a nie jest izolacją fizyczną. Co ważne, projektanci tego rozwiązania mieli na uwadze inne cele, niż rozwiązanie problemów z bezpieczeństwem.
Ataki
Większość ataków w warstwie drugiej wykorzystuje fakt, że urządzenia nie są w stanie wyśledzić intruza, dzięki czemu może on bez wykrycia prowadzić wrogie działania i wpływać na ścieżki przekazywania pakietów. Najczęstsze ataki w warstwie drugiej to:
- MAC Flooding (zalanie przełącznika adresami MAC),
- 802.1Q i ISL Tagging (manipulowanie znacznikami),
- podwójne kapsułkowanie 802.1Q (zagnieżdzone VLAN’y),
- ataki na tablice ARP,
- ataki na Private VLAN,
- ataki Multicast Brute Force (atak siłowy z wykorzystaniem ramek multicast),
- ataki na Spanning-Tree,
- ataki Random Frame Stress.
MAC Flooding
Nie jest to właściwy atak na sieć, ale raczej specyfika sposobu, w jaki działają przełączniki. Polega na wykorzystania fakty, że tablice źródłowych adresów MAC wszystkich odebranych pakietów mają limitowaną pojemność, która jest ograniczona pojemnością pamięci przełącznika. Gdy tablica się zapełni, kolejne pakiety, dla których zabraknie już miejsca w tablicy, będą rozgłaszane przez wszystkie porty należące do danego VLAN’u (VLAN’u, z którego zostały odebrane).
W efekcie przełącznik będzie działać podobnie, jak koncentrator (hub), co umożliwi intruzowi przechwytywanie (sniffing) wszystkich rozgłaszanych pakietów. Narzędziem umożliwiającym przeprowadzenie tego ataku jest, m.in. macof z pakietu dsniff. Poza tym MAC Flooding może być punktem wyjść do innych ataków. Aby zapobiec przepełnieniu tablic, w przełącznikach stosuje się kilka rozwiązań, np. Port Security, 802.1x oraz Dynamic VLAN.
Manipulowanie znacznikami 802.1Q i ISL
Ataki na znaczniki to różne schematy, które umożliwiają użytkownikowi jednego VLAN’u nieautoryzowany dostęp do innej sieci VLAN. Przykładowo, jeśli port przełącznika jest skonfigurowany jako DTP auto i odbierze spreparowany przez intruza pakiet DTP, może stać się portem trunk i obierać dane adresowane do dowolnej sieci VLAN. To z kolei pozwoli intruzowi komunikować się przez ten port z innymi VLAN’ami. Atakowi temu można łatwo zapobiec, wyłączając protokół DTP na wszystkich niezaufanych portach.
Podwójne kapsułkowanie 802.1Q (zagnieżdzone VLAN’y)
Numery sieci VLAN i ich dane identyfikacyjne są przenoszone z wykorzystaniem specjalnego formatu, który umożliwia zachowanie izolacji VLAN’ów na całej trasie przekazywania pakietów. Reguły znakowania są opisane przez takie standardy, jak ISL oraz 802.1Q.
Standard 802.1Q opracowany przez IEEE jest zgodny wstecz. Żeby to zapewnić, wprowadzono, tzw. native VLAN. Jest to sieć VLAN, która nie ma nadanego znacznika i jest używana do przesyłania każdego pakietu bez znacznika VLAN’u, a odebranego na porcie z obsługą 802.1Q.
Ta funkcjonalność jest potrzebna, ponieważ umożliwia bezpośrednią komunikację pomiędzy portami obsługującymi 802.1Q, a starymi portami Ethernet. Jednak w każdym innym przypadku może być bardzo szkodliwa, ponieważ pakiety przypisane do sieci native VLAN tracą swoje znaczniki, np. informacje o tożsamości, jak również bity Class of Service (802.1p) w momencie przesyłanie przez łącze z obsługa 802.1Q. Dlatego powinno się unikać stosowania native VLAN.
Jeśli w sieci pojawi się podwójnie kapsułkowany pakiet 802.1Q pochodzący z urządzenia przypisanego do native VLAN, informacje identyfikacyjne VLAN’u tego pakietu nie będą przekazywane przez całą ścieżkę przekazywania pakietu, ponieważ zostaną usunięte przez trunk 802.1Q, który odrzuci zewnętrzny znacznik VLAN. Gdy zostanie odrzucony zewnętrzny znacznik, podwójnie kapsułkowany pakiet będzie identyfikowany na podstawie wewnętrznego znacznika VLAN. W ten sposób podwójne kapsułkowanie umożliwia przesyłanie danych pomiędzy VLAN’ami.
Taki przebieg wydarzeń należy jednak uznać za efekt błędnej konfiguracji, ponieważ w takim przypadku standard 802.1Q nie zmusza użytkownika do korzystania z sieci native VLAN. W rzeczywistości, prawidłowo konfiguracja zakłada usunięcie sieci native VLAN ze wszystkich trunków 802.1Q. Jeśli nie można usunąć sieci native VLAN, wtedy bezwzględnie skonfiguruj nieużywany VLAN jako native VLAN dla wszystkich trunków i nie używaj tego VLAN’u do żadnych innych celów. Z native VLAN powinny korzystać wyłączenie takie protokoły, jak STP, DTP oraz UDLD, a pakiety tych protokołów powinny być całkowicie odizolowane od reszty ruchu w sieci.
Ataki na tablice ARP
Protokół ARP to już leciwa technologia, stworzona w czasach, gdy w sieciach nie było jeszcze zagrożeń i nikt nie myślał o kwestiach bezpieczeństwa. W efekcie każdy może podszywać się pod właściciela dowolnego adresu IP. Mówiąc precyzyjniej, każdy może deklarować, że jego adres MAC jest powiązany z danym adresem IP w obrębie określonej podsieci. Jest to możliwe, ponieważ żądania i odpowiedzi ARP przenoszą informacje identyfikacyjne urządzeń w warstwie drugiej (adresy MAC) oraz w warstwie trzeciej (adresy IP) i jednocześnie nie ma mechanizmu sprawdzającego poprawność tych danych.
Jest to kolejny przypadek, w którym brak dokładnych i wiarygodnych informacji identyfikacyjnych urządzenia prowadzi do poważnego zagrożenia bezpieczeństwa. Poza tym jest to doskonały przykład, dlaczego włamanie na niższych warstwach stosu protokołów umożliwia bezpośrednie wpływanie na wyższe warstwy, przy jednoczesnym braku świadomości na poziomie wyższych warstw, że ma miejsce atak (ARP jest unikalnym protokołem działającym w warstwie drugiej, ale logicznie umieszczonym na granicy warstw Łącza danych i Sieci).
Specjaliści od bezpieczeństwa wykonywali ataki mające na celu skłonienie przełącznika do przesyłania pakietów do innego VLAN’u. Jeden z ataków polegał na wysyłaniu pakietów zawierających sfałszowane informacje o tożsamości. Jednak w wielu dostępnych obecnie na rynku przełącznikach, w tym w przełącznikach Cisco, VLAN’y działają niezależnie od adresów MAC, więc manipulowanie pakietami ARP w żaden sposobu nie umożliwi komunikacji miedzy VLAN’ami. Próby takiej komunikacji są udaremniane przez przełącznik.
Z drugiej strony, w obrębie tego samego VLAN’u bardzo efektywne są, tzw. ataki ARP poisoning oraz ARP spoofing, które umożliwiają uczenie routerów i stacji końcowych fałszywych tożsamości. To z kolei pozwala napastnikowi przeprowadzać ataki Man-In-the-Middle. Przykładowo, napastnik może doprowadzić do tego, że z danej stacji roboczej cały ruch wychodzący będzie przesyłany do jego komputera, a dopiero stamtąd w przezroczysty sposób do routera.
Ataki Man-In-the-Middle z reguły polegają na podszywaniu się pod inne urządzenie (np. bramę domyślną) w pakietach ARP wysyłanych do atakowanego urządzenia. Te pakiety nie są weryfikowane przez atakowane urządzenie i w efekcie fałszywe dane trafiają do tablicy ARP urządzenia.
Tego rodzaju atakom można zapobiegać poprzez zablokowanie bezpośredniej komunikacji w warstwie drugiej pomiędzy atakującym a atakowanym urządzeniem lub poprzez wbudowanie w sieć mechanizmów, które będą potrafiły sprawdzać przekazywane do nich pakiety ARP pod kątem poprawności tożsamości.
Ataki na Private VLAN
Nazwa ataki Private VLAN nie jest precyzyjna, ponieważ w tym przypadku nie chodzi o wykorzystanie podatności, a raczej o spodziewane działanie określonej funkcji. Private VLANs jest funkcją działającą w warstwie drugiej i jej przeznaczeniem jest izolowanie ruchu w tej warstwie. Z drugiej strony, router jest urządzeniem działającym w warstwie trzeciej, ale kiedy zostanie podłączony do portu Private VLAN działającego w trybie promiscuous, wtedy zakłada się, że będzie on przekazywać ruch odebrany w warstwie trzeciej do dowolnej, docelowej lokalizacji, nawet jeśli znajduje się ona w tej samej podsieci, co lokalizacja źródłowa.
Dlatego całkowicie normalną jest sytuacja, gdy dwa urządzenia w wyizolowanej sieci VLAN nie mogą się komunikować bezpośrednio w warstwie drugiej, ale zamiast tego używają routera jako przekaźnika pakietów. Podobnie, jak typowy ruch przechodzący przez router, również w tym przypadku można wykorzystać mechanizmy filtrowania, np. listry kontroli dostępu.
Ataki Multicast Brute Force
Ten atak próbuje wykorzystać potencjalną podatność przełączników na zalanie falą ramek multicast w warstwie drugiej. Prawidłowym zachowaniem przełącznika w tej sytuacji jest rozgłaszanie tych ramek tylko w ramach VLAN’ów, z których są wysyłane, natomiast błędne działanie przełącznika spowoduje przeciekanie części ramek do innych VLAN’ów.
Ataki na Spanning-Tree
Kolejny atak, który próbuje wykorzystać potencjalną podatność przełączników. Domyślnie protokół STP jest włączony i każdy port w przełączniku odbiera i wysyła komunikaty Spanning-Tree Protocol. Atak zakłada, że w określonych okolicznościach może zawieść protokół PVST (Per VLAN Spanning Tree). Atak polega na przechwytywaniu (sniffing) ramek STP w celu odczytania identyfikatora portu przesyłającego te ramki. Następnie atakujący rozpoczyna wysyłanie komunikatów konfiguracyjnych BPDU, informujących, że jest nowym przełącznikiem głównym z dużo niższym priorytetem. Podczas tej procedury rozpoczyna się nadawie transmisji rozgłoszeniowej w celu sprawdzenia, czy jakieś pakiety przedostaną się do innych VLAN’ów.
Ataki Random Frame Stress
Ten rodzaj ataku można zrealizować na wiele sposobów, ale ogólnie jego przebieg jest podobny: włamywacz rozpoczyna atak siłowy (brute force), wysyłając pakiety z losowo generowanym polami, ale ze stałymi adresami nadawcy i odbiorcy. Jeśli przełącznik zawiedzie, pakiety przedostaną się do innego VLAN’u.
W tym kontekście sieci Private VLAN mogą być używane do lepszej izolacji w warstwie drugiej urządzeń końcowych i ich ochrony przed niechcianym ruchem sieciowym z wrogich urządzeń. Można tworzyć grupy wzajemnie ufających sobie urządzeń sieciowych, dzieląc sieć w warstwie drugiej na poddomeny, w których tylko zaufane urządzenia mają przyznane prawo do komunikowania się ze sobą.
Podsumowanie
Poziom bezpieczeństwa technologii VLAN okazuje się znacznie wyższy, niż wydaje się sceptykom – w praktyce największymi problemami są: błędna konfiguracja oraz niewłaściwe wykorzystanie niektórych funkcji.
Najpoważniejszą pomyłką, jaką może popełnić użytkowników, jest nie docenienie znaczenie warstwy Łącza danych, a szczególnie sieci VLAN, we współczesnej, złożonej architekturze przełączników sieciowych. Nie należy też zapominać, że stos protokołów jest tak odporny na ataki, jak jego najsłabsze ogniwo. Dlatego należy przykładać równą wagę do każdej warstwy, żeby zapewnić bezpieczeństwo całej struktury.
