有效阻止ARP欺騙、Snarf等對交換機的***
ARP欺騙、SNMP snarf以及fuzzing都是常見的針對以太網交換機的***手段。本文看看Cisco網絡專家講解如何保護網絡使之避免這類的***。
研究***以太網交換機是一件令人高興的事情。我做過一次關於***交換機的報告,這次報告似乎效果不錯。但是我還是看到很多網管人員盡力在高層次保護他們的用戶而忽略了網絡底層的不安全。這就像是將你樓上的窗戶都鎖得死死的,結果卻敞開着後門。真的,以太網能夠成爲一扇“後門”。
在這篇文章中我將討論***們最常使用的“後門”,這些後門我幾乎天天能看見。我主要關注OSI模型第二層,第三層相關的內容我將在另外的文章中專門討論。
我是物理層安全的堅定信徒:不管你的網絡其他方面是如何的安全,如果脫離的物理層的安全,網絡並不安全。最起碼,簡單地將你的交換機拔線就能導致一次拒絕服務***(denial of service,Dos)。
1.ARP欺騙
地址解析協議(Address resolution protocol,簡稱ARP)欺騙是所有交換機***的基石。***們熱衷於這項***,因爲它很簡單,而且十次***中九次能成功。ARP欺騙通過污染終端節點中ARP緩衝,能夠使未授權的用戶訪問交換網絡中的數據。
當以太幀在局域網中從一臺機器廣播到另一臺機器時,48位的MAC地址用於決定該幀的目的接口。接口設備驅動並不解析該以太幀中IP包的目的IP地址。這就是問題的所在。任何人都能夠僞造一個ARP數據包,這樣的數據包會被終端節點所接受。這就是“中間人***”(man-in-the-middle attack)的基本思想,這種方式也被稱爲“再現式***”(replay attack)。
現在,既然我的機器是在你通信的通路上,如果你能見到一臺機子,那麼我也能見到它。記住:你必須讓流量從你的機子通過,而不是以你的機子爲終點。在你的機子上裝上類似路由轉發的軟件。不要錯誤使用ARP僞造服務器的地址。這樣會使服務器監控臺上的報警急劇增加而在系統日誌中留下記錄。
防範措施:
這種***很難阻止。這就是爲什麼它應該是你首先需要學會如何對抗的。這是“必需具備”的能力。我最喜歡的兩款工具是Windows平臺下的EtterCap和Linux平臺下的arpsproof。你也可以在客戶機上運行類似ARPWatch的程序,這是免費軟件;除非你是運行的是Linux,不然“Patch Turesday”能夠很容易的攻陷它。
2.SNMP Snarf
大部分人都購買能夠管理的交換機。當我們談起“管理”的時候,我們當然指的是簡單網絡管理協議(Simple Network Management Protocol, SNMP)。在***圈子裏,SNMP代表的是“安全不是我關注的問題(Security is Not My Problem)”。
***SNMP是件簡單而有趣的事情。SNMP的主要問題是它的認證機制——公開的和私有的團體字(類似於密碼)——很原始很脆弱,是用明文發送的。而且,SNMP是基於UDP協議的,相對來說比較容易僞造。這樣就導致了一個脆弱的協議,經常被遺忘,被錯誤配置,被誤解,於是,***的“歡樂時光”就要到來了。
作爲一種枚舉型協議,SNMP的功能很強大。它能告訴***幾乎所有他想知道的。對於SNMP人們通常存在一種誤解,那就是SNMP是“只讀”的,不能通過SNMP做任何實質性的改動。事實遠非如此。
防護措施:
這類***的防護很簡單,只要使用SNMPv3即可。但是記住:只使用SNMPv3。不要使用向後兼容模式,因爲在這模式下,交換機會以SNMPv1和SNMPv2的協議來應答。SNMPv1-v2團體字是通過UPD包明文傳輸的。通過Dsniff工具獲得團體字簡直就是小菜一碟。我最喜歡的工具是Linux平臺下運行於magic模式的Dsniff,它能實時解析SNMP團體字;然後切換到Windows平臺使用SolarWinds IP Network Browser工具。我也會只在Windows平臺下使用SolarWinds,用SNMP Dictionary Attack(SNMP詞典***)來暴力破解團體字。
3.針對LLDP的fuzzing***
以太網天生就是不安全的,但是在它設計的時候,安全並不是個問題。那時候一臺計算機花費約$8000到$10000,沒有人會擁有家庭計算機。
和其他傳輸方式相比,以太網的最大的不同是:它很靈活。任何的生產商都能夠添加安全機制來確保網絡的安全。例如,既然ARP不安全,那麼就設計了動態ARP監測(Dynamic ARP Inspection)機制來確保安全;既然DHCP不安全,那麼就設計了DHCP檢測(DHCP Snooping)機制來保證它的安全。現在,很多人正在爲設備的標準而爭論不休。沒有人希望有所謂的專利問題而是他們的網絡收到限制。***們也在注意着標準進程。他們知道ARP,DHCP等不安全,而目前並沒有沒有標準的方法來保護這些不安全的機制。這樣就形成了不同生產商佔領的不同市場的局面。
鏈路層發現協議(Link Layer Discovery Protocol,LLDP)是你的網絡中最新的安全漏洞。LLDP是用於運行Cisco發現協議(Cisco Discovery Protocol)的一套基於標準的機制。是不是聽起來很不錯?事實並非如此。LLDP還比較稚嫩。它沒有認證,對於一類被稱爲fuzzing的***很脆弱。這類***通過發送非法數據幀,觀察設備如何處理這些出錯的異常來測試軟件和硬件。
聽起來很熟悉?應該是的,我們也是通過類似的方法發現緩衝區溢出漏洞的。網絡管理員需要關注LLDP有許多方面。***通過輸入各種各樣不同的數據包導致電話或交換機崩潰,或者最起碼會引起一次拒絕服務***。
防範措施:
下載Jeremy Hollander的LLDP安全***框架或者LLDP fuzzer文件和對應的文檔。Jeremy Hollander是一名畢業於德克薩斯大學的研究生。2007年,一個主要的***安全會議專門設立了一場工作組會議來演示如何應用該框架。
作爲獎勵,我真的很欣賞網絡搜索引擎的索引功能。跟蹤一個網絡的最好方式是用google。爲了檢查是否能夠通過因特網被訪問到,打開你的瀏覽器(咳…火狐…咳),轉到Google,運行如下命令:
intitle:"HP ProCurve Switch *" "This product requires a frame capable browser."
看看是否有你的材料被顯示。希望沒有。一週中我至少能看到兩到三次一些比較大的***列表。將這些信息隱藏起來,這對你的網絡有益處。希望這也會在加薪的時候讓你的老闆感謝你。