La sicurezza negli switch PREMESSA La sicurezza di un infrastruttura di rete aziendale ha molti aspetti, ognuno dei quali legato ad un particolare livello dei modelli di riferimento ISO/OSI o TCP/IP. I primi livelli sono quelli relativi ai dispositivi che compongono la rete locale. Armadi di distribuzione, mezzi trasmissivi, switches, access points, routers, firewalls sono alcuni dei componenti con cui si ha a che fare. In questa presentazione ci occuperemo degli aspetti legati alla sicurezza negli switches 1
PREMESSA Quando si parla di sicurezza informatica i non addetti ai lavori pensano all antivirus, altri, un po più introdotti nell ambiente, pensano a firewalls e sistemi anti intrusione (IDS), solo alcuni sono a conoscenza delle potenzialità offerte da uno switch per contrastare comportamenti illeciti che possono causare problemi all infrastruttura. Gli switch odierni, quelli di una certa fascia, sono in grado di realizzare un alto livello di sicurezza perimetrale interna. PREMESSA Con sicurezza perimetrale ci si riferisce solitamente ai firewalls, i quali marcano in maniera definita l ambito esterno da quello interno. Possiamo però utilizzare questo termine anche per quanto riguarda il perimetro interno, ovvero le porte di tutti gli switches che compongono la nostra LAN. Questi permettono ad un amministratore di rete di controllare in maniera molto accurata gli accessi su ogni singola porta evitando la possibilità di bucare la rete dall interno. 2
Lo switch E il dispositivo di rete basilare in una rete locale e garantisce a tutti gli altri dispositivi di comunicare tra loro. Ne esistono di gestibili e di non gestibili, di standalone, di modulari e di stackable. Ovviamente quelli cui faremo riferimento in questa presentazione sono di tipo gestibile. Le architetture di rete prevedono diversi ruoli per gli switch all interno di una LAN: Core, Distribution e Access. LO SWITCH cont. I primi sono situati in ambienti protetti e sicuri (CED); i secondi sono spesso inesistenti nella realtà italiana; quelli di Access sono invece dislocati in tutto l ambito aziendale e spesso sono soggetti ad una minore attenzione. E proprio su questi dispositivi che chi vuole accedere alla rete per fini non propri ortodossi trova il terreno più fertile. Tralasciamo le tematiche relative agli armadi che ospitano gli switch periferici considerandole eseguite 3
Lo SWITCH cont. a regola d arte. Ogni switch è raggiungibile attraverso il cablaggio da ogni punto rete che serve. Un amministratore di rete dovrebbe sempre avere la situazione delle porte aggiornata, al fine di poter disabilitare attraverso gli strumenti di configurazione quelle inutilizzate. Così facendo si possono evitare spiacevoli inconvenienti. Ma cosa mai può succedere lasciando le porte di uno switch senza controllo? Prima di affrontare questo argomento vediamo di capire come funziona uno switch LO SWITCH cont. Uno switch lavora con le informazioni presenti nell intestazione di livello 2, ovvero gli indirizzi MAC. Suo compito è costruire una tabella (CAM, SAT o MAC table) dove associare un indirizzo MAC sorgente ad una porta. Per quanto riguarda l inoltro del traffico deve analizzare l indirizzo MAC di destinazione. Gli indirizzi possono essere di tipo unicast, broadcast o multicast. Nel caso degli ultimi due tipi lo switch li inoltra su tutte le porte tranne quella da cui li ha ricevuti. 4
LO SWITCH cont. Nel caso di indirizzi unicast controlla se ha delle informazioni nella sua MAC table, se non ce ne sono inoltra anche questi su tutte le porte (come un hub). PCx Porta x Porta x MAC table MAC-PCx porta x MAC-PCy porta y PCy GLI ATTACCHI Vediamo ora cosa può succedere quando una porta è a disposizione di chiunque senza alcun divieto. Ecco alcuni possibili attacchi effettuabili: MAC : spoofing, flooding ARP: poisoning, MITM DHCP: spoofing, starvation IP: spoofing DoS: spanning-tree protocol, virtual trunking protocol 5
ATTACCHI MAC Flooding: consiste nell inondare la MAC table di uno switch fino a farlo regredire ad hub e poter vedere tutto il traffico da una singola porta. Solitamente è il preludio per un attacco di tipo MITM Spoofing: si iniettano dei pacchetti con l indirizzo MAC di un altro PC e lo switch aggiorna la sua MAC table reindirizzando così il traffico verso l attaccante (è detto anche port stealing) LA DIFESA - PORT SECURITY E una funzionalità degli switch che permette di definire quanti e quali indirizzi MAC saranno accettati su ogni porta Si configura a livello di interfaccia Può imparare i MAC presenti sulle porte in modalità automatica e definire il tempo di durata del binding MAC/porta Può operare congiuntamente ad IP source guard Si possono definire diverse azioni da intraprendere in caso di violazione 6
ATTACCHI ARP ARP (Address Resolution Protocol) è un protocollo molto usato sulle reti Ethernet, poiché permette di ottenere le informazioni di livello 2 necessarie per inviare il traffico a destinazione. Tutte le associazioni indirizzi IP/MAC sono mantenute in una cache dinamica. Purtroppo questa cache è facilmente manipolabile, cosa che rende assai vulnerabile la comunicazione all interno del dominio di broadcast. Gli attacchi di tipo MITM sono basati proprio su questa falla ATTACCHI ARP cont. ARP poisoning è la base per un attacco di tipo MITM; l attaccante, dopo aver identificato la comunicazione nella quale vuole inserirsi, invia delle informazioni false verso le ARP cache delle due stazioni. In pratica sostituisce l associazione IP/MAC nelle due stazioni indicando il proprio MAC come indirizzo didestinazione sia per un IP sia per l altro. Ovviamente per fare questa operazione i pacchetti ARP useranno indirizzi unicast. Una volta aggiornate le tabelle di ARP le due stazioni continueranno a comunicare transitando però dalla stazione attaccante 7
ATTACCHI ARP cont. Esistono diversi tool per realizzare un attacco del genere, facilmente scaricabili da Internet e molto semplici da usare PC a IP b MAC z PC b IP a MAC z Attaccante IP z MAC z DYNAMIC ARP INSPECTION (DAI) E un meccanismo di controllo che assicura la validità della coppia indirizzo IP/indirizzo MAC all interno di un dominio di broadcast (VLAN) Utilizza le informazioni presenti nel database del DHCP snooping o in specifiche ACL per ARP (stazioni con IP fisso) Analizza esclusivamente il traffico ARP Le porte trusted non sono sottoposte a verifiche, mentre le untrusted sì 8
DAI cont. Se una stazione non è presente nel database del DHCP snooping tutto il traffico ARP originante dalla porta cui è collegata viene rifiutato, salvo istruzioni presenti in apposite ACL Si configura per VLAN L Attacco al DHCP Il protocollo DHCP è molto utilizzato nelle reti locali ed ha il compito di assegnare gli indirizzi IP alle stazioni che lo richiedono. Gli attacchi a questo componente di rete così importante sono: DHCP spoofing, dove un server DHCP non ufficiale viene collegato in rete fornendo ai clients informazioni errate in modo da creare un disservizio o, peggio, far transitare tutto il traffico dalla stazione attaccante. 9
L Attacco al DHCP cont. DHCP starvation, dove l attaccante cerca di esaurire gli indirizzi disponibili facendo pervenire moltissime richieste al server. Questo attacco può essere fatto usando indirizzi MAC sempre diversi, oppure variando il campo CHADDR all interno della richiesta DHCP. La difesa - DHCP Snooping È una funzionalità configurabile negli switches che salvaguarda contro messaggi DHCP provenienti da sorgenti sconosciute (untrusted) Viene abilitato per VLAN Occorre definire quali porte sono da considerare fidate (trusted); queste sono le porte di uplink e quelle dove sono collegati i server DHCP Crea un database dove sono presenti le informazioni di rilascio indirizzi per ogni porta e per ogni VLAN 10
La difesa - DHCP Snooping cont. Abilita l inoltro delle richieste DHCP solo verso le porte definite trusted Ogni switch possiede un database per VLAN costruito attraverso le richieste dei clients collegati alle proprie porte untrusted E utile nel contrastare attacchi di tipo DHCP spoofing Può essere usato anche per evitare attacchi di tipo DHCP starvation generati con lo stesso MAC sorgente La difesa - DHCP Snooping cont Il database delle associazioni IP/MAC può essere immagazzinato sia sullo switch che su un server esterno. La seconda opzione è sicuramente più leggera per lo switch eutilizza meno risorse. Fornisce un database informativo per altre funzionalità difensive quali IP source guard e DAI (Dynamic ARP inspection) 11
DHCP snooping cont IP SOURCE GUARD Garantisce la validità dell indirizzo IP su porte (L2) basandosi sul database del DHCP snooping o su informazioni configurate manualmente dall amministratore di rete (IP source binding) Il traffico che si presenta con un indirizzo IP diverso da quello presente nel database o nell IP source binding viene rifiutato E configurabile a livello interfaccia e crea automaticamente una ACL per porta (PACL) che ha priorità su altre ACL (VACL per es.) configurate 12
IP SOURCE GUARD cont. E supportato su porte di tipo trunk e access Può essere configurato sulle porte con voice VLAN Può essere usato con indirizzi IP fissi, quindi non presenti nel database del dhcp binding. In questo caso è possibile definire un numero massimo di indirizzi accettabili sulla porta. La funzionalità è simile a quella del port-security, ma a livello 3. E uno strumento che contrasta lo spoofing degli indirizzi IP STP (Spanning-Tree Protocol) In una rete ridondata, ovvero dove è possibile avere più percorsi di comunicazione tra una stazione e l altra questo protocollo è di vitale importanza per la buona riuscita delle comunicazioni. Il suo compito è quello di creare una topologia esente da percorsi ridondati (loops), questo è necessario per la presenza di un tipo di traffico che renderebbe la rete inutilizzabile qualora ci fossero dei loops. Abbiamo detto che gli switch quando ricevono una trama con indirizzo di destinazione di broadcast lo inoltrano su tutte le porte tranne quella da cui l hanno ricevuta 13
STP (Spanning-Tree Protocol)cont. Come si può vedere nel disegno la trama con indirizzo di broadcast emessa dalpc arriva allo switch, il quale la inoltra sulle altre porte. Lo stesso fanno gli altri switch ed è facile intuire che nel giro di poco tempo la quantità di queste trame sarà enorme. Nella trama di livello 2 non esistono meccanismi per bloccarequesto fenomeno e quindi si deve ricorrere allo Spanning-Tree broadcast STP (Spanning-Tree Protocol)cont. Lo STP risolve il problema mettendo in blocco alcuni link tra gli switch ed evitando così che ci sia più di un percorso tra due nodi della rete. Per fare questo deve eleggere uno switch master detto root bridge broadcast 14
STP (Spanning-Tree Protocol)cont. Un possibile attacco verso questo protocollo è quello di collegare illecitamente uno switch sulla presa di un punto rete. Se non sono state prese le giuste precauzioni c è il rischio di invalidare l elezione del root bridge e di far ricalcolare a tutti gli switch i percorsi esenti da loops con conseguente perdita di connessione da parte delle stazioni Un altro possibile malfunzionamento può accadere semplicemente collegando una porta di uno switch con una porta dello stesso switch. In questo modo si crea un loop e la rete comincia a funzionare a singhiozzo fino al blocco totale STP-Le contromisure Per evitare che avvengano incidenti come quelli appena citati occorre : disabilitare lo STP su tutte le porte access disabilitare in queste ultime la possibilità di negoziare il trunking Configurare sulle porte access il blocco della porta nel caso si riceva un trama originata da uno switch (BPDU) 15
DTP e TRUNKING Le porte degli switches di default sono in modalità ibrida e possono diventare porte trunk o access in base a chi ci si connette (pc o switch) Il DTP (Dynamic Trunking Protocol) permette la creazione dinamica di un trunk. Può essere comodo, ma è consigliato configurare il ruolo delle porte onde evitare che qualcuno possa trasformare una porta in trunk e ottenere informazioni relative alle VLAN ed al protocollo VTP. DTP e TRUNKING e VTP - attacchi e difese Una porta lasciata in configurazione di default può negoziare il trunking con altre porte, se un attaccante dovesse collegare uno switch ad una porta in quella condizione potrebbe ottenere informazioni sulle VLAN e cambiare VLAN d appartenenza a suo piacimento, andando anche dove non si può. Se poi la rete sta usando il VTP per la gestione delle VLAN c è il forte rischio che possa alterare i database delle VLAN in tutti gli switches rendendo inutilizzabile la rete. Se le VLAN vengono cancellate le porte che ne fanno parte divengono inutilizzabili 16
DTP e TRUNKING e VTP - attacchi e difese Per evitare quanto appena detto occorre: Assegnare un ruolo ben preciso alle porte degli switch Evitare di avere porte incustodite, ma disabilitarle VTP (Virtual Trunking Protocol) Il VTP permette la distribuzione automatica delle VLAN definite su un singolo switch (VTP server) Viene inoltrato solo sulle porte trunk E molto utile e riduce notevolmente il carico di lavoro, ma può diventare molto pericoloso Se qualcuno riesce a trasformare una porta in trunk può ricevere i VTP advertisement e iniettare advertisement fasulli che possono bloccare completamente la rete 17
CDP (Cisco Discovery Protocol) CDP serve a conoscere i dispositivi di rete direttamente collegati ad uno switch Gli switches che ricevono i pacchetti CDP non li inoltrano In ogni pacchetto sono presenti diverse informazioni (piattaforma, sistema operativo, porte di comunicazione, indirizzi IP, capabilities) Se non si vuole che queste informazioni possano essere carpite da chiunque si colleghi ad una porta con uno sniffer e meglio disabilitare il CDP sulle porte access Non è un protocollo pericoloso, ma può fornire informazioni a chi collega uno sniffer su una porta incustodita LINEE GUIDA PER LA CONFIGURAZIONE DEGLI SWITCHES Proteggere l accesso attraverso delle password, sia in locale (console), sia da remoto (Telnet, SSH) Proteggere l accesso fisico ai dispositivi Salvare una copia del file di configurazione (TFTP server) Prediligere SSH a Telnet per le connessioni remote Configurare banner di login Disabilitare le porte inutilizzate Definire il ruolo delle porte (access o trunk) 18
SWITCH DI LIVELLO 2/3/4 E GESTIONE DEL TRAFFICO Sono gli switch di CORE, che di solito sono situati in aree ben protette e non gestiscono l utenza direttamente Nel corso degli anni hanno implementato funzionalità di livello 3 e 4 per poter mettere in comunicazione i diversi domini di broadcast presenti in LAN senza bisogno di un dispositivo di livello 3 esterno Necessitano comunque di un router per accedere alla WAN, poiché non dispongono di interfacce tipiche del mondo WAN SWITCH DI LIVELLO 2/3/4 E GESTIONE DEL TRAFFICO cont. Hanno la possibilità di configurare policies di gestione del traffico attraverso l uso di ACL Le ACL sono uno strumento molto flessibile e molto importante in un ambiente suddiviso in più domini di broadcast, dove la comunicazione tra un dominio e l altro deve forzatamente passare per un dispositivo di livello 3. In una rete cosiddetta piatta, con un unico dominio di broadcast non esiste alcuna possibilità di implementare policies di gestione del traffico ai livelli più bassi della pila ISO/OSI 19
Conclusioni Visto quante cose possono succedere se si lasciano le porte aperte! Gli switches sono sempre più dotati di mezzi di contrasto alle attività illecite, le quali per altro, possono essere anche involontarie. Capita che nelle sale riunioni qualcuno attacchi un cavo di rete dove non deve, oppure che il dipendente con un po di cognizione di rete si faccia il suo hotspot in ufficio per collegarsi in rete via wifi. Conclusioni E bene quindi cominciare ad utilizzare questi strumenti, che spesso non prevedono neanche costi aggiuntivi! Grazie a tutti per la partecipazione 20