DHCP snooping na přepínači Cisco Catalyst C rozšíření a přepracování projektu z minulého roku.

Transkript

1 DHCP snooping na přepínači Cisco Catalyst C rozšíření a přepracování projektu z minulého roku. Jiří Vychodil Abstrakt: Cílem projektu je ověřit funkce DHCP snooping a Port Security na switchi Cisco Catalyst C2960. Tyto funkce jsou účinnou obranou proti útokům na přepínané sítě, jako DHCP spoofing, ARP Spoofing, ARP Cache Poisoning, MAC flooding nebo Port stealing. Klíčová slova: DHCP snooping, DHCP spoofing, ARP Spoofing, ARP Cache Poisoning, MAC flooding, Port stealing, Port Security 1 Úvod DHCP spoofing Port security MAC flooding ARP Spoofing Port stealing Zapojení Konfigurace DHCP snoopingu na přepínači Catalyst Praktické ověření funkce DHCP snooping Konfigurace Port Security Praktické ověření funkce Port security Závěr Použitá literatura Úvod DHCP snooping je obrannou proti útoku DHCP spoofing (viz 1.1). Principiálně spočívá v tom, že porty na switchi rozdělíte na trusted a untrusted. Pokud je na portu připojen počítač, pak port označíte jako untrusted. Zapneme-li DHCP Snooping, útočník bude mít zapnut DHCP server a nějaký klient požádá o IP adresu, útočníkův DHCP server sice odpoví, ale jakmile dorazí odpověď na switch, switch zkontroluje, zda je poslána z trusted portu, a podle toho ji zahodí či propustí. V tomto případě bude zahozena, jelikož útočník je na obyčejném počítači, který je připojen k untrusted portu. Tímto se spolehlivě zabrání DHCP Spoofingu. Switch poslouchá komunikaci a z průchozích DHCP zpráv si vytváří tabulku. Tato tabulka obsahuje MAC adresu klienta, přidělenou IP adresu, port, na kterém se klient nalézá, dobu, kdy vyprší zapůjčení IP adresy, VLAN, do které klient spadá, a způsob, jak byla položka přidána (staticky nebo dynamicky). DHCP snooping ale nezamezuje komunikaci počítače se statickou IP adresou. Pokud bychom tedy ke switchi připojili počítač, ať už na trusted nebo untrusted port, květen /13

2 se staticky nastavenou IP adresou, maskou podsítě, adresou výchozí brány apod., nebude provoz tohoto počítače nijak omezen. K tomu slouží funkce Port security. Aby switch věděl, na který port data odeslat, obsahuje CAM tabulku (Content Addressable Memory table), do které si zapisuje, na kterém portu je jaká MAC adresa. CAM tabulka má omezenou kapacitu. Vnitřní struktura a reakce tabulky na určité události se lišší výrobce od výrobce. Tabulku switch vytváří posloucháním provozu na portech, při přijetí rámce s neznámou MAC adresou si ji spolu s číslem portu zapíše do této tabulky a rámec odešle na port, kde se podle záznamu z tabulky nachází cílová MAC adresa rámce. Pokud v tabulce takový záznam není, pošle rámec na všechny porty kromě příchozího DHCP spoofing DHCP spoofing je útok na přepínané sítě, kdy útočník zapojí do sítě svůj falešný DHCP server, který odpovídá na pakety DHCP discovery a přiděluje stanicím kromě IP adres podvrženou adresu brány a DNS serveru. Potom bude veškerý provoz od klienta směřovaný ven ze sítě procházet přes útočníkův počítač. Jde tedy o Man-in-the- Middle útok, protože útočník pak může pakety přeposílat na správnou cílovou adresu, ale přitom může prozkoumat každý paket, který takto zachytil Port security Port security omezuje připojení zařízení s neznámou MAC adresou. Tato funkce vytváří tabulku, která obsahuje MAC adresu připojené stanice, číslo fyzického portu, na který je stanice připojena, typ záznamu (statický nebo dynamický) a dobu vypršení záznamu. Tabulka je vytvořena z odposlechu paketů, které procházejí daným portem, nebo můžeme zadat adresy dynamicky. Ke každému portu je také možné nastavit maximální možná počet MAC adres, které můžou být připojeny na port. Port security se povoluje na každém portu zvlášť. Pokud dojde na portu k narušení bezpečnosti ( security violation ), podle nastavení dojde k nastavené události, např. k vypnutí portu, zahození rámce apod. Situace, kdy nastane porušení bezpečnosti: Bylo dosaženo maximálního počtu MAC adresu na portu a zařízení, jehož adresa není v tabulce, se snaží komunikovat na interface. MAC adresa, která v tabulce přísluší jistému portu, se objeví na jiném portu stejné VLAN MAC flooding Při útoku MAC Flooding útočník zaplaví přepínač falešnými MAC adresami, čímž "vytěsní" z CAM tabulky přepínače reálné MAC adresy stanic. Přepínač v tomto stavu začne odesílat data na všechny porty dané VLAN sítě, útočník tato data může zachytit. Obranou je funkce port security, kdy zadáme maximální počet MAC adres připojených na port. Pokud je tento počet dosažen, dojde porušení bezpečnosti a nastane nastavená událost (zahození rámce, vypnutí portu, vypnutí VLAN apod.) 1.4. ARP Spoofing Útok je také nazývaný ARP poisoning či ARP Poison Routing. Útok je založen na používání tzv. gratuitous ARP paketů ("nevyžádaných" ARP paketů). Jedná o pakety, kterými stanice oznamuje vazbu mezi IP a MAC adresou (ARP Reply), aniž by obdržela požadavek na vyslání takové informace (ARP Request). Stanice většinou gratuitous ARP přijme a informace z něj si zapíše do ARP cache a používá je (mezi různými OS existují drobné rozdíly). Útočník může například pomocí gratuitous ARP podstrčit stanicím svou MAC adresu místo MAC adresy síťové brány. Stanice pak posílají data do jiných podsítí přes počítač útočníka, který je odposlouchává. Obrana - Dynamic ARP Inspection (DAI). DAI využívá tabulku, vybudovanou při DHCP Snoopingu. Přepínač zjišťuje pro každý ARP paket, zda údaje v něm obsažené květen /13

3 (IP a MAC adresa) odpovídají údajům ve zmíněné tabulce. Pokud ne, ARP paket zahodí, v krajním případě může zablokovat port, ze kterého paket přišel [4] Port stealing Útok je podobný ARP poisoningu, ale útočník nepodsouvá svou MAC adresu oběti, ale switchi. Útočník zjistí, jakou má oběť MAC adresu a pošle paket, který bude mít jako cílovou, tak výchozí adresu tuto. Switch si přepíše CAM tabulku a paket dále nepošle, protože cílový port je totožný s výchozím. Nyní, když někdo pošle paket oběti, switch jej doručí podle MAC adresy útočníkovi. Pokud chce útočník doručit paket oběti, musí opravit CAM tabulku. Pošle paket ARP Request, oběť odpoví ARP Reply, switch si opraví tabulku a útočník může odeslat zachycený paket oběti. Tento útok má nevýhodu v tom, že když oběť odešle jakýkoliv paket v době, kdy se útočník vydává za oběť, CAM tabulka se obnoví a další pakety určené oběti nebudou posílány útočníkovi ale oběti. Proto útočník musí posílat pakety pro kradení portu rychleji. Také se stává, že nějaké pakety díky tomu nezachytíme. Nemusíme třeba také čekat, než k nám dorazí paket ARP Reply, a poslat data ještě před jeho přijetím. Tím ale riskujeme, že data odešleme moc brzo a ona se nám vrátí (CAM tabulka se nestihne zotavit). květen /13

4 2 Zapojení Pro všechna měření bylo použita následující vybavení a zapojení. Switch Cisco Catalyst pracovní stanice s Linux Debian 2 DHCP server spuštěný na Linux Debian Balíček dhcp3-server DHCP server Ethernetový hub Stanice měly nastavené dynamické adresy, která se získávaly z DHCP serverů. Pravý server měl IP adresu a rozsah přidělovaných adres Falešný server měl IP adresu a rozsah Masky podsítě byly v obou případech Obrázek 1: Schéma zapojení Konfigurace pravého DHCP serveru, soubor /etc/dhcp3/dhcpd.conf authoritative; option domain-name "pravy_dhcp"; option routers ; option subnet-mask ; option broadcast-address ; default-lease-time 60; max-lease-time 120; subnet netmask { range ; } Konfigurace pravého DHCP serveru, soubor /etc/dhcp3/dhcpd.conf authoritative; option domain-name "falesny_dhcp"; option routers ; option subnet-mask ; option broadcast-address ; default-lease-time 60; max-lease-time 120; subnet netmask { range ; } květen /13

5 Konfigurační soubor pravého i falešného serveru, soubor /etc/default/dhcp3-server interfaces= eth0 ; Tento řádek je nutné do souboru přidat, pokud jej neobsahuje. Označuje interface, na kterém má DHCP poslouchat. Při tomto nastavení není nějak omezen provoz falešných DHCP serverů připojených do sítě. Stanice si tedy vyberou IP adresu serveru, jehož odpověď přišla nejdříve Konfigurace DHCP snoopingu na přepínači Catalyst 2960 Implicitně není DHCP snooping povolen. Následující příkazy popisují možnosti nastavení snoopingu Některé konfigurační příkazy: DHCP snooping trust Označení daného portu jako důvěryhodného. DHCP snooping vlan Určení VLANu, na kterém bude DHCP snooping spuštěn. DHCP snooping information option Volitelné nastavení. Pokud je DHCP požadavek zachycen na nedůvěryhodném portu, switch do něj přidá svou MAC adresu a identifikaci portu. Požadavek je pak přeposlán na pravý DHCP server. Podle RFC30462 je číslo této volby 82. DHCP snooping limit rate Volitelné nastavení. Limit určující, kolik DHCP paketů za sekundu může daným rozhraním projít. To se týká DHCP dotazů i odpovědí. Switch(config)# ip dhcp snooping Tento příkaz globálně zapne DHCP snooping. Pro vypnutí stačí předřadit klíčové slovo no. Switch(config)# ip dhcp snooping vlan (číslo) Zapne DHCP snooping na VLANu s příslušným číslem. Lze zadat také dvě čísla, která pak znamenají dolní a horní mez rozmezí všech VLANů. Switch(config)# ip dhcp snooping information option Zapne DHCP volbu č. 82 (viz výše). Switch(config-if)# ip dhcp snooping trust Nastaví příslušné rozhraní jako důvěryhodné (připojené k pravému DHCP serveru). Switch(config-if)# ip dhcp snooping limit rate (číslo) Nastaví kolik DHCP paketů může rozhraní přijmout za sekundu (pps). Obvykle se neudává hodnota větší než 100 pps. Obyčejně se limit udává na nedůvěryhodných rozhraních. Chceme-li jej použít na rozhraní důvěryhodné, musíme vzít na vědomí, že přes tato rozhraní prochází veškerý DHCP provoz ve switchi, a proto bychom měli použít větší hodnotu limitu. Switch# show ip dhcp snooping Zobrazí aktuální konfiguraci DHCP snoopingu na daném switchi. květen /13

6 2.2. Praktické ověření funkce DHCP snooping Následujícím nastavení zapneme DHCP snooping na switchi a nastavíme porty do režimů trusted nebo untrusted. ip dhcp snooping ip dhcp snooping vlan 1 Tyto příkazy provedeme v globálním nastavení switche. Zapnout DHCP snooping na VLANu 1. interface FastEthernet0/1 ip dhcp snooping trust Nastavíme port FastEthernet0/1 jako důvěryhodný, protože je na něj připojen pravý DHCP server. ip dhcp snooping limit rate rate Toto nastavení můžeme přiřadit portům, zabráníme případnému přetížení DHCP serveru. Část nastavení switche: Switch# configure terminal Enter configuration commands, one per line. End with CNTL/Z. Switch(config)# ip dhcp snooping Switch(config)# ip dhcp snooping vlan 1 Switch(config)# interface FastEthernet0/1 Switch(config-if)# ip dhcp snooping trust Switch(config-if)# ip dhcp snooping limit rate 100 Switch(config-if)# exit Switch(config)# exit Při zobrazení konfigurace jsou zobrazeny jen porty, které nemají impicitní nastavení. Zobrazení konfigurace: Switch# show ip dhcp snooping DHCP Snooping is configured on the following VLANs: 1 Insertion of option 82 information is disabled. Interface Trusted Rate limit (pps) FastEthernet0/1 yes 100 FastEthernet0/2 yes none FastEthernet0/3 no 20 Switch# Z konfigurace můžeme vyčíst následující informace: DHCP snooping byl aktivován na VLANu č. 1 Rozhraní FastEthernet0/1 a FastEthernet0/2 jsou nastavena jako důvěryhodné, tj. jsou připojena k DHCP serveru. Navíc na rozhraní FastEthernet0/1 je nastaven limit, že za sekundu může projít maximálně 100 DHCP paketů. Rozhraní FastEthernet0/3 není sice nastaveno jako důvěryhodné, ale je mu přidělen limit, že za sekundu zdu může projít maximálně 20 DHCP paketů. Stanice na portu 0/4 měla IP statickou, takže není v tabulce obsažena. Zobrazení vazební tabulky: Switch# show ip dhcp snooping binding MacAddress IP Address Lease (seconds) Type VLAN Interface dd dynamic 1 FastEthernet0/3 květen /13

7 Při tomto nastavení se switch choval podle předpokladu. Falešný server neodpovídal na DHCP discovery, ani DHCP request, pokud od něj měli stanice vypůjčenou IP adresu v době nastavení DHCP snoopingu. Ovšem pokud měla stanice IP přiřazenou staticky, nebyl její provoz v síti nijak omezen. Switch si ale tvoří vazební tabulku. květen /13

8 2.3. Konfigurace Port Security Port security zabraňuje útokům popsaným v první kapitole. Implicitně na switchi povolen není. Následující příkazy popisují nastavení security. Port security se nastavuje na vybraném portu. switchport mode access trunk Port se nastaví jako trunk nebo access, na portu v default modu nelze nastavit Port security switchport port-security Zapnutí funkce Port security na portu. Switch podporuje tyto typy MAC adres asociovaných s daným portem: statická je okamžitě přidána do běžící konfigurace. dynamická switch se ji naučí z provozu, uložená jen v tabulce adres, záznam je po restartu switche odstraněn sticky naučená z provozu, automaticky vložená do konfigurace switchport port-security mac-address mac-address Zapíše statickou MAC adresu do tabulky. switchport port-security [maximum value [vlan {vlan-list {access voice}}]] Maximum value udává možný maximální počet MAC adres na portu včetně staticky konfigurovaných. Vlan je je nepovinný argument pro nastavení maximálního počtu adres pro danou VLAN. switchport port-security [violation {protect restrict shutdown shutdown vlan}] Nastavuje mod, podle kterého nastane událost po porušení bezpečnosti: protect Po dosažení maximálního počtu MAC adres pakety přijaté z neznámé adresy budou zahazovány. Žádná zpráva není poslána. restrict - na rozdíl od protect modu je zaslán SNMP trap, je zalogována syslog zpráva a je navýšeno počítadlo porušení bezpečnosti. shutdown port je vypnut, LED portu zhasnou, je zaslán SNMP trap, je zalogována syslog zpráva a je navýšeno počítadlo porušení bezpečnosti. shutdown vlan místo portu se vypne příslušná VLAN. errdisable recovery cause psecure-violation errdisable recovery interval interval Nastavení způsobí, že při vypnutí portu při porušení bezpečnosti se port automaticky zapne po uběhnutí danéného intervalu. Interval se zadává v sekundách, od 30 do Při vypnutí portu při porušení bezpečnosti je možné port zapnout příkazem v globálním nastavení switche příkazem clear errdisable interface vlan nebo no shutdown pro daný port. switchport port-security [mac-address mac-address [vlan {vlan-id {access voice}}] Volitené nastavení, nastaví staticky MAC adresu pro daný port. Je možné přidat adresy až do dosažení maximálního počtu adres pro port. Zbylý počet adres je použit pro dynamické nastavení. switchport port-security mac-address sticky Volitelné nastavení, povolí pro daný port sticky záznamy. květen /13

9 switchport port-security mac-address sticky [mac-address vlan {vlan-id {access voice}}] Volitelné natavení, přidá sticky MAC adresu, lze zadat více adres. Pokud je adres zadáno méně, než maximální počet, zbývající budou zapsány dynamicky a převedeny převedeny na sticky. Pro toto nastavení je nutné povolení sticky záznamů. Volitelně zle nastavit maximální hodnotu pro každou VLAN. Po klíčovém slově vlan se můžou zadat možnosti: show port-security Zobrazí nastavení Port security. switchport port-security aging {static time time type {absolute inactivity}} Natavení Port security aging implicitně je vypnutý. Tato možnost se využívá k automatickému vymazání MAC adresy z tabulky po době zadané v minutách. Záznamy lze také mazat manuálně. Aging se nastavuje ke každému portu. Typy aging: Abstolutní adresy z tabulky se vymažou po určitém čase po zapsání, použijeme typ absolute Při neaktivitě adresy se vymažou, jen pokud jsou po určitou dobu neaktivní, typ inactivity Pro povolení aging pro statické adresy použijte klíčové slovo static. show port-security [interface interface-id] [address] Vypíše konfiguraci Port security. show interfaces [interface-id] switchport Vypíše nastavení všech přepínacích portu switche. show port-security [interface interface-id] Vypíše nastavení Port security pro všechny nebo zadaný port switche. show port-security [interface interface-id] address Vypíše všechny MAC adresy v tabulce všech nebo jen zadaných portů switche. show port-security interface interface-id vlan Vypíše MAC adresy z tabulky pro danou VLAN na daném portu. květen /13

10 2.4. Praktické ověření funkce Port security Při ověřování funkce port security jsme ponechali na switchi připojený jen jeden DHCP server. Abychom mohli připojit více stanic na jeden port switche, připojili jsme stanice přes hub. Obrázek 2: Schéma zapojení Switch(config)#interface fa0/3 Switch(config-if)#switchport port-security maximum 1 Switch(config-if)#switchport port-security Switch(config-if)#Switchport port-security violation restrict Switch(config-if)#switchport port-security mac-address be Switch(config-if)#switchport port-security aging type inactivity Switch(config-if)#switchport port-security aging time 3 Switch(config-if)#exit Switch(config-if)#do show port-security Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action (Count) (Count) (Count) Fa0/ Restrict Total Addresses in System (excluding one mac per port) : 0 Max Addresses limit in System (excluding one mac per port) : 8192 *Mar 1 00:34:17.641: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0060.b0b1.e8d7 on port FastEthernet0/3. Nastavili jsme port security na portu switche fa0/3. Na port může být připojena jen jedna MAC adresa. Ta je nastavena staticky a přísluší stanici připojené na tento port. Po uplynutí tří minut od přijetí posledního rámce se zdrojovou adresou dynamicky naučenou bude záznam vymazán z tabulky. V tomto nastevení to však nemá význam, protože je povolena pouze jedna MAC adresa a ta je staticky nastevená a není povoleno vymazání staticky zadaných MAC adres z tabulky po určité době nečinnosti. květen /13

11 Pokud přijde na port rámec s jinou zdrojovou adresou, rámec bude zahozen a switch vypíše oznámení. Tak se také stalo. Switch(config-if)#SwItchport port-security violation restrict Při tomto nastavení switch rámce dále zahazoval, ale nedával o tom žádnou zprávu Switch(config-if)#switchport port-security violation shutdown Switch(config-if)# *Mar 1 00:39:24.236: %PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/3, putting Fa0/3 in err-disable state *Mar 1 00:39:24.236: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 001a.a163.4e0f on port FastEthernet0/3. *Mar 1 00:39:25.243: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/3, changed state to down *Mar 1 00:39:26.241: %LINK-3-UPDOWN: Interface FastEthernet0/3, changed state to down Switch(config-if)#do show port-security interface fa 0/3 Port Security : Enabled Port Status : Secure-shutdown Violation Mode : Shutdown Aging Time : 3 mins Aging Type : Inactivity SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1 Total MAC Addresses : 1 Configured MAC Addresses : 1 Sticky MAC Addresses : 0 Last Source Address:Vlan : 001a.a163.4e0f:1 Security Violation Count : 8 Po změně nastavení události při porušení bezpečnosti na vypnutí portu, se port okamžitě vypnul a switch o události informoval. Na výpisu port security na portu 0/3 je uveden stav portu secure-shutdown. Switch(config-if)#switchport port-security maximum 2 Switch(config)#errdisable recovery cause psecure-violation Switch(config)#errdisable recovery interval 30 Switch(config)# *Mar 1 00:53:02.889: %PM-4-ERR_RECOVER: Attempting to recover from psecure-violation err-disable state on Fa0/3 *Mar 1 00:53:07.310: %LINK-3-UPDOWN: Interface FastEthernet0/3, changed state to up *Mar 1 00:53:08.316: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/3, changed state to up Povolili jsme maximálně dvě MAC adresy na portu fa0/3. Po nastavení zapnutí portu po 30 sekundách od porušení bezpečnosti se port zapnul. květen /13

12 3 Závěr Funkčnost DHCP snoopingu byla na switchi Cisco Catalyst 2960 ověřena. Bez povolení této funkce mohl být do sítě zapojen falešný DHCP server, pomocí něhož by se mohl uskutečnit útok DHCP spoofing. Tedy stanice dostaly IP adresy od falešného serveru. Po povolení funkce bylo tomuto útoku zabráněno a počítačům byly přiřazeny IP adresy jen z pravého serveru. Ověřili jsme funkci port security. Pokud jsme na portu povolili jen jednu MAC adresu a staticky ji zadali, switch zabránil připojení jiné stanice. Při přijetí rámce s neznámou zdrojovou MAC adresou switch rámec zahodil a podle nastaveného modu o tom nepodal nebo podal zprávu, přpadně vypnul port. Po povolení dvou MAC adres na portu se swich druhou adresu naučil a dále rámce s toutou zdrojovou adresou propouštěl do sítě. květen /13

13 4 Použitá literatura [1] GURECKÝ, Petr. DHCP snooping [online] [cit ]. Dostupný z WWW: < [2] HALLER, Martin. Bráníme se odposlechu : specifické útoky [online] [cit ]. Dostupný z WWW: < [3] HALLER, Martin. Odposloucháváme data na přepínaném Ethernetu : (3.) [online] [cit ]. Dostupný z WWW: < [4] Zabezpečení přepínaných sítí [online]. [2007] [cit ]. Dostupný z WWW: < květen /13