مقدمه
رشد شبکه های کامپیوتری و تحت شبکه شدن کلیه فعالیت های سازمان ها باعث ایجاد نگرانی هایی در حوزه امنیت شبکه برای مدیران سازمانها و مدیران فناوری اطلاعات شده است بطوریکه این مدیران همواره در پی تهیه راهکارهایی جهت تامین امنیت در کلیه لایه های شبکه (مبتنی بر مدل OSI) هستند.
اما به تجربه به کارشناسان امنیت شبکه شرکت پرساتک چه در جایگاه مشاور چه در جایگاه پیمانکار و مجری ثابت شده است که اغلب کارشناسان، برقراری امنیت در لایه دو شبکه (Data-Link layer) را نادیده می گیرند. این در حالیست که لایه دو شبکه کلید دسترسی به سایر لایه هاست بنابراین در صورت امن نبودن این لایه، کل شبکه در معرض نفوذ قرار خواهد گرفت.
اهمیت امنیت شبکه در لایه دو (لایه Data-link)
اگر قسمت های مختلف یک شبکه را مرور کنیم متوجه خواهیم شد که بطور کلی یک شبکه دارای سه بخش اصلی Inside، Outside و DMZ است.
اغلب سازمان ها معمولا به دنبال تامین امنیت و جلوگیری از حملات از سمت Outside به Inside و DMZ هستند حال اینکه در جهت خلاف این مسیر یعنی از Inside و DMZ به سمت Outside تمهیدات و پیکربندی های امنیتی انجام نمی شود یا بطور ناقص انجام می پذیرد. این مورد می تواند باعث ایجاد حفره های امنیتی در شبکه و سیستم های یک سازمان، فراهم ساختن امکان نفوذ به شبکه برای هکرها و مهاجمان سایبری و در نهایت تحمیل خسارت های جبران ناپذیری به سازمان یا مختل شدن شبکه سازمان شود.
بطور مثال:
تصور کنید کاربری ناآگاهانه ایمیلی حاوی یک تروجان را باز می کند، این تروجان روی سیستم کاربر اجرا شده و شروع به اسکن سیستم کاربر و سپس کل IP range شبکه جهت شناسایی شبکه و رسیدن به سایر مقاصد مخرب خود می کند. همین شرایط و شرایط مشابه نیز توسط مهاجمان Insider می تواند اتفاق بیفتد. شاید در اینجا بگوئید این موضوع اغلب با نصب یک آنتی ویروس قدرتمند قابل حل است و مرتبط به لایه هفت شبکه می باشد اما با کمی تامل درمیابیم اسکن IP range شبکه و شناسایی منابع شبکه و سایر سیستم ها در لایه دو، سه و چهار مدل OSI رخ می دهد بنابراین در صورت پیکربندی مناسب CISF Cisco (Catalyst Integrated Security Features) تجهیزات سوئیچینگ سیسکو که در لایه دو انجام می شود به راحتی می توان تاثیر چنین تروجان ها و تهدیداتی را در شبکه تا حد قابل توجهی کاهش داد و جلوی آلودگی سایر سیستم ها و ایجاد حفره های امنیتی از Inside و DMZ به سمت Outside که منجر به ایجاد اختلال در شبکه، اعطای دسترسی به هکرها و مهاجمان سایبری و در نهایت نفوذ به شبکه می شود را گرفت.
با توجه به مطالب ذکر شده و یادآوری اهمیت لایه دو به عنوان کلید دسترسی به لایه های بالاتر (در مدل OSI)، تنها در صورت انجام پیکربندی های امنیتی در لایه دو، بسیاری از اینگونه حملات و مخاطرات سایبری خنثی خواهند شد.
تهدیدات لایه دو
حملات و تهدیدات لایه دو که منجر به نفوذ به سایر قسمت های شبکه و منابع شبکه می شود عبارتند از:
VLAN Hopping
MAC Attacks
ARP Attacks
DHCP Attacks
Spoofing Attacks
STP Attacks
CDP Attacks
VLAN Hopping
همانطور که می دانید دسترسی از یک VLAN به VLAN دیگر در لایه دو امکان پذیر نیست و تنها در لایه سه با استفاده از روتر و VLAN Routing این امکان فراهم می شود. VLAN Hopping نوعی از حملات است که توسط آن هکر می تواند در لایه دو شبکه از یک VLAN به VLAN دیگر دسترسی پیدا کند. این حملات به دو شیوه Switch spoofing و Double Tagging قابل اجراست.
MAC Flooding
از آنجایی که MAC پروتکلی است که در لایه دو مورد استفاده قرار می گیرد، بدون در نظر گرفتن تمهیدات امنیتی برای این پروتکل، یک هکر می تواند با هدف قرار دادن CAM Table سوئیچ ها باعث بوجود آمدن CAM Overflow شده در نتیجه می تواند به شنود ترافیک شبکه بپردازد. این ترافیک می تواند حاوی اطلاعات حساس شرکت از جمله اطلاعات مالی، ترافیک صدا در شبکه، پسورد سیستم ها، سرورها، تجهیزات و … باشد.
DHCP Attacks
DHCP Starvation و Rogue DHCP: در این حملات، مهاجم با برادکست نمودن درخواست های DHCP توسط آدرس های مک جعلی و ساختگی باعث استفاده شدن تمام آدرس های DHCP Address Pool می شود در نتیجه DHCP آدرسی برای اختصاص به سایر درخواست های DHCP ندارد. اینجاست که هکر با راه اندازی یک DHCP جعلی (Rogue DHCP) براحتی می تواند سیستم های یک شبکه را مورد سوء استفاده قرار دهد.
ARP Table Poisoning
همه ما با نحوه عملکرد پروتکل ARP در شبکه آشنایی داریم اما یک نکته جالب در مورد این پروتکل وجود دارد و آن اینست که هر کلاینت اجازه دارد یک ARP Reply را بدون اینکه کلاینتی ARP Request بفرستد بصورت برادکست ارسال کند در اصطلاح به این فریم ارسالی Gratuitous ARP گفته می شود و صرفا جهت معرفی آدرس مک کلاینت توسط خود کلاینت به سایر کلاینت ها استفاده می شود.
یک هکر می تواند از این ویژگی استفاده کند و خود را به عنوان یک کلاینت دیگر در شبکه بطور مثال گیت وی شبکه معرفی کند در نتیجه آدرس مک هکر به جای آدرس مک گیت وی شبکه در ARP Table کلاینت ها قرار می گیرد. بدین ترتیب درخواست کلاینت ها به جای ارسال به گیت وی به سمت هکر هدایت می شود. با این روش ترافیک شبکه که می تواند حاوی اطلاعات حساس از جمله پسورد سیستم ها و … باشد توسط هکر مورد شنود قرار گیرد.
Spoofing Attacks
MAC Spoofing
تکنیک استفاده از آدرس مک سیستمی درگیر در شبکه جهت مقاصد خراب کارانه تحت عنوان MAC Spoofing شناخته می شود.
تصور کنید در شبکه ای یک هکر آدرس مک خود را به آدرس مک یکی از سیستم ها در شبکه تغییر دهد در این شرایط CAM table سوئیچ نیر تغیر می کند. با این عمل، ترافیک شبکه به آن سیستم خاص به سیستم هکر هدایت شده و در این صورت هکر می تواند ترافیک ارسالی به سیستم مورد نظر را بطور موقت شنود کند. به این مثال توجه کنید:
شکل فوق عملکرداین حمله را به خوبی نشان می دهد. در شبکه سمت چپ CAM Table سوئیچ پس از پایان فرایند Learning به این شکل خواهد بود:
| VLAN | Mac Address | Port |
| ۱ | A | F0/1 |
| ۱ | B | F0/2 |
| ۱ | C | F0/3 |
| ۱ | D | F0/4 (Attacker) |
اما پس از تغییر مک آدرس سیستم هکر به آدرس سیستم A(MAC Spoofing)، CAM Table سوئیچ به این شکل (شبکه سمت راست) تغییر پیدا می کند
| VLAN | Mac Address | Port |
| ۱ | F0/1 | |
| ۱ | B | F0/2 |
| ۱ | C | F0/3 |
| ۱ | D, A | F0/4 (Attacker) |
همانطور که می بینید پس از اجرای این حمله و ارسال یک فریم توسط سیستم D که سیستم هکر است، سوئیچ در CAM Table خود محل سیستم A را از روی پورت F0/1 به پورت F0/4 تغییر می دهد و جدول خود را به این شکل بروز رسانی می کند. بدین ترتیب همانطور که گفته شد ازین پس ترافیک ارسالی به مقصد سیستم A به سیستم هکر هدایت می شود.
لازم به ذکر است در چنین شرایطی اگر دسترسی به برخی منابع یا تجهیزات شبکه بر اساس MAC Address تعیین شده باشد، یک هکر براحتی می تواند به منابع و تجهیزات دسترسی پیدا کند.
IP Spoofing
همانند حمله MAC Spoofing است با این تفاوت که در این حمله آدرس آی پی به تنهایی یا همراه با آدرس مک مورد سوء استفاده قرار می گیرد. علاوه بر این IP Spoofing در اجرای حملات مخرب دیگری از جمله:
Ping of death
ICMP unreachable storm
SYN Flood
می تواند مورد استفاده قرار گیرد.
STP Attacks
در شبکه همواره لینک های Redundant از اهمیت ویژه ای برخورد بوده اند این اهمیت در لینک های Redundant بین سوئیچ ها نیز کاملا محسوس است. اما در این شرایط امکان ایجاد لوپ در شبکه وجود دارد بنابراین پروتکلSTP برای جلوگیری از Loop در لایه دو شبکه بوجود آمد. این پروتکل در صورت نادیده گرفتن تمهیدات امنیتی در این لایه براحتی می تواند مورد سوء استفاده قرار گیرد.
بطور خلاصه پروتکل STP در شبکه برای تعیین سوئیچ Root bridge و تعیین لینک فعال بین لینکهای Redundant از پروتکل BPDU استفاده می کند. Root bridge سوئیچی است که ترافیک شبکه از طریق این سوئیچ به سایر بخشهای شبکه منتقل می شود.
حال تصور کنید یک هکر در شبکه سیتسم خود را به عنوان یک سوئیچ در شبکه معرفی کند و در نهایت با ارسال فریم های BPDU با پارامترهایی خاص، خود را به عنوان Root Bridge می شناساند بنابراین قادر به شنود ترافیک شبکه خواهد بود.
CDP Attacks
در واقع از پروتکل CDP نه برای حمله بلکه جهت کسب و جمع آوری اطلاعاتی در خصوص شبکه (CDP Sender, IP Address, Software Version, Device Model,…) و توپولوژی شبکه مورد استفاده قرار می گیرد. علاوه بر جمع آوری اطلاعات، این پروتکل در IOS های سیسکو در ورژن های قبل از ۱۲٫۱(۱۰٫۱) آسیب پذیر بوده طوری که با ارسال پکت های بی شمار CDP به یک سوئیچ (CDP Flooding)، سوئیچ Crash کرده و نیاز به ریستارت داشته است.
راهکارهای جلوگیری از حملات لایه دو
جهت جلوگیری از حملاتی که تا کنون ذکر شد اقدامات ذیل صورت می پذیرد. در نظر داشته باشید با توجه به وابستگی برخی اقدامات به یکدیگر، انجام آنها به ترتیبی که ذکر می شود ضروری است.
راهکارهای جلوِری از حملات VLAN Hopping
- غیرقعال سازی DTP روی پورتهای سوئیچ به جز پورت های ترانک
- عدم اجازه کلیه VLAN ها به جز VLAN های استفاده شده در پورتهای ترانک
- عدم استفاده از VLAN 1 (Native VLAN)
- تغییرID Native VLAN به یک VLAN غیر کاربردی
- اعمال پیکربندی Native VLAN Tagging در سوئیچ ها
- Shutdown کردن پورتهای بلا استفاده و قرار دادن آنها در یک VLAN غیر کاربردی
راهکارهای جلوگیری از MAC Attacks
- اجرای Port Security
- در اجرای این پیکربندی ملاحظات مربوط به voice Vlan نیز در نظر گرفته می شود.
راهکارهای جلوِگیری از DHCP Attacks
- اجرای Port Security برای جلوگیری از DHCP Starvation به همراه پیکربندی های پیشرفته Port Security از جمله بررسی CHADDR field در فریم های درخواست DHCP که در اجرای پیشرفته این نوع حملات مورد استفاده قرار می گیرد.
- DHCP Snooping برای جلوگیری از حملهRogue DHCP
راهکارهای جلوِگیری از ARP Attacks
- DAI (Dynamic ARP Inspection)
این قابلیت به بررسی درخواست ها و پاسخ های ARP می پردازد و این درخواست ها و پاسخ ها را با دیتابیس و جدول DHCP Snooping (این جدول خود از درخواست های DHCP تشکیل می شود) مقایسه می کند در صورتیکه ترکیب IP و MAC موجود در فریم های ARP در جدول DHCP Snooping وجود داشته باشد، این فریم یک فریم معتبر شناخته شده و درنتیجه توسط سوئیچ به مقصد مورد نظر هدایت و در غیر این صورت فریم drop می شود.
*همانطور که متوجه شدید پیش نیاز اجرای DAI راه اندازی DHCP Snooping و Port Security می باشد به همین دلیل اجرای کلیه این پیکربندی ها به ترتیبی که ذکر می شود ضروری است.
*در صورتیکه در شبکه ای DHCP راه اندازی نشده باشد، باز هم امکان پیاده سازی DAI با استفاده از ARP ACL یا DHCP Static entry وجود دارد.
راهکارهای جلوِگیری از IP/MAC Spoofing Attacks
- IP Source Guard
این قابلیت همانند DAI عمل می کند با این تفاوت که علاوه بر بررسی فریم های ARP، سایر پکت ها و فریم ها را نیز بررسی می کند.
IPSG (IP Source Guard) جهت جلوگیری از حملات IP Spoofing از اطلاعات جدول DHCP Snooping استفاده می کند اما جهت جلوگیری از حملات MAC Spoofing وابسته به اجرای پیکربندی های ذیل است:
- فعال سازی DHCP option 82 در سرور DHCP (در ویندوز سرور ۲۰۱۲ برخلاف ورژن های گذشته ویندوز سرور این قابلیت اضافه شده است)
- پیکربندی Trust نمودن Option 82 در سوئیچ های لایه سه بین کلاینت ها و سرور DHCP (سوئیچ هایی که نقش DHCP relay را بازی میکنند)
راهکارهای جلوگیری از حملات مبتنی بر STP
- Root Guard
- BPDU Guard
راهکارهای جلوگیری از حملات مبتنی بر CDP
همانطور که ذکر شد هکرها از این پروتکل جهت جمع آوری اطلاعاتی در مورد شبکه استفاده می نمایند به عبارت دیگر این پروتکل مورد حمله قرار نمی گیرد بلکه از ان صرفا جهت جمع آوری اطلاعات بهره گیری می شود. بنابراین جهت جلوگیری از این اتفاق کافی است CDP روی پورتهای لایه Access غیرفعال شود.
شرکت پرسا تک می تواند با استفاده از کارشناسان امنیتی خود به شرکت های صنعتی در زمینه تست و نفوذ خدمات ارزنده ای را ارائه دهد
منبع:
Sean- Philip Orivano,”CEH V9,Certified Ethical Hacker Version 9”, SYBEX publisher, 2016
