Menu

Region US

Grandmetric LLC
Lewes DE 19958
16192 Coastal Hwy USA
EIN: 98-1615498
+1 302 691 94 10
info@grandmetric.com

Region EMEA

GRANDMETRIC Sp. z o.o.
ul. Metalowa 5, 60-118 Poznań, Poland
NIP 7792433527
+48 61 271 04 43
info@grandmetric.com

UK

Grandmetric LTD
Office 584b
182-184 High Street North
London
E6 2JA
+44 20 3321 5276
info@grandmetric.com

  • en
  • pl
  • Popularne ataki na sieć LAN i sposoby, aby skutecznie się przed nimi bronić

    Bezpieczeństwo sieci LAN

    Date: 07.04.2022



    W celu sprawdzenia, czy dana infrastruktura IT jest odporna na zagrożenia i ataki, w pierwszej kolejności przeprowadzamy audyty oraz testy pentesterskie. Podczas tych działań wykorzystujemy różne techniki forsowania zabezpieczeń, by uzyskać dostęp do zasobów firmy. Jednym z podstawowych testów jest próba uzyskania jak największej ilości informacji z poziomu sieci lokalnej, która często jest gorzej chroniona niż pozostałe obszary i zasoby w sieci.

    Chcąc dostać się do sieci lokalnej, możemy to zrobić najczęściej na dwa sposoby – poprzez dostęp przewodowy lub bezprzewodowy. O bezpieczeństwie sieci bezprzewodowych pisaliśmy przy okazji sieci klasy enterprise. W tym materiale zajmiemy się tym pierwszym, czyli dostępem przewodowym.

    Pobierz raport: Infrastruktura IT przedsiębiorstw produkcyjnych w dobie pandemii Covid-19

    Dostęp przewodowy, czyli atak “po kablu”

    Do sieci przewodowej możemy dostać się wszędzie tam, gdzie mamy możliwość podłączenia naszego urządzenia za pomocą przewodu Ethernet, tj. do gniazda w ścianie, floor boxa,, a także wprost do przełącznika Ethernet lub wolnego gniazda w telefonie IP. Uzyskując dostęp w taki sposób, mamy możliwość penetrowania sieci lokalnej, a w przypadku braku zabezpieczeń w infrastrukturze nawet sieci rozległej czy też segmentów aplikacyjnych firmy.

    Potencjalne punkty dostępu do sieci LAN
    Rys.1 Potencjalne punkty dostępu do sieci LAN

    Najcześciej podłączenie się dowolnym urządzeniem do gniazda sieciowego daje możliwość dynamicznego uzyskania adresu IP. To w konsekwencji pozwala na inicjowanie dowolnego ruchu i inne działania w firmowej sieci.

    Rozgłoszeniowy charakter sieci LAN

    Sieć typu Ethernet bazuje na medium i protokołach mających charakter rozgłoszeniowy. Oznacza to, że komputery i urządzenia podłączone do tej samej sieci lokalnej kontaktują się za pomocą mechanizmów po wcześniejszym lub cyklicznym rozgłoszeniu pewnych informacji do wszystkich podłączonych urządzeń. Taki typ ruchu, to tzw. broadcast. W praktyce wygląda to tak, że komputer podłączając się do sieci rozgłasza zapytanie w celu uzyskania właściwego adresu IP.  Przyjmując, że serwer, który i zarządza adresami (serwer DHCP), jest zaufany, komputer momentalnie otrzymuje prawidłowy adres IP i może zacząć pracę w sieci.

    Rys.2 Mechanizm uzyskania adresu IP w sieci sieci typu Ethernet – krok pierwszy, DHCP Discover

    Rozgłoszeniowy charakter sieci może powodować problemy w dwóch obszarach:

    • bezpieczeństwa sieci, danych i użytkowników,
    • stabilności sieci lokalnej kampusowej, a w rezultacie naszego biznesu.

    Atak Man in The Middle

    Medium rozgłoszeniowe powoduje możliwość naruszenia bezpieczeństwa głównie ze względu na charakter sieci.

    Problem numer jeden pojawia się w momencie, kiedy urządzenie atakującego podłączone do sieci podszywa się pod serwer zarządzający adresami (serwer DHCP)

    Warto zwrócić uwagę, że wraz z informacją o adresie IP, serwer DHCP przydziela szereg innych informacji, a jedną z nich jest adres IP bramy domyślnej, czyli węzła / urządzenia odpowiadającego za cały routing poza podsieć lokalną.

    W momencie, gdy atakujący będzie szybszy (np. będzie bliżej klienta) od prawdziwego serwera DHCP i wyśle informację o adresie IP, która w polu bramy zawiera adres komputera atakującego, wówczas atakujący stanie się bramą domyślną dla tego komputera. W taki sposób spowoduje, że cały ruch domyślny poza sieć klienta będzie przechodził przez komputer atakującego.

    Takie działanie może umożliwić przeprowadzenie tzw. ataku Man in the Middle, czyli pośredniczenia w komunikacji między komputerem ofiary a systemami docelowymi, a w konsekwencji zmianę danych, czy podsłuchiwanie komunikacji prowadzonej przez nieświadomego użytkownika będącego ofiarą ataku MITM. 

    Mechanika ataku Man in The Middle z wykorzystaniem obcego serwera DHCP wraz z późniejszym atakiem typu DNS Spoofing - bezpieczeństwo sieci LAN
    Rys.3 Mechanika ataku Man in The Middle z wykorzystaniem obcego serwera DHCP wraz z późniejszym atakiem typu DNS Spoofing

    Fałszywy serwer DNS

    Kolejny problem to możliwość zastosowania podstawionego serwera DNS.

    Jedną z informacji  przekazywanych przez serwer DHCP w procesie uzyskania adresu IP przez klienta jest również adres serwera DNS.

    Sam DNS (Domain Name System) jest kluczową usługą, a jej zadaniem jest tłumaczenie nazw (FQDN) na adresy IP. To właśnie na tej usłudze oparta jest większość dzisiejszej komunikacji w Internecie. Jeżeli atakujący uruchomi swój serwer DNS tylko po to, by przekierować ruch na serwer, który wcześniej spreparował (aby np. wyłudzić informacje – tzw. phishing), wystarczy, że podstawi w komunikacie DHCP offer adres swojego serwera DNS. Ofiara ataku następnie użyje podstawionego serwera DNS otwierając np. stronę banku, a atakujący przekieruje ruch ofiary na dowolny serwer docelowy imitujący serwer banku.

    Strona wyłudzająca informacje przygotowana jest tak, aby wyglądała identycznie jak strona banku. W konsekwencji takiego ataku może dojść np. do wyłudzenia informacji o nazwie użytkownika i haśle do bankowości elektronicznej ofiary. 

    O podobnym przypadku wyłudzania danych przez atakującego podszywającego się pod BLIK pisał w tym artykule na swoim blogu Niebezpiecznik.pl

    Rys.4 Fałszywa bramka płatności

    Co możemy zrobić, aby ograniczyć możliwość przeprowadzenia opisanych wyżej ataków?

    Jak zabezpieczyć sieć LAN – sposoby

    Bezpieczeństwo fizyczne

    Mówiąc, o dostępie do sieci przewodowej obracamy się w obszarze budynku, fabryki, pomieszczeń, przestrzeni biurowych typu open space, czyli konkretnych, fizycznych miejsc. Kontrola dostępu do pomieszczeń i centralne uwierzytelnienie będzie dla atakującego pierwszą barierą do pokonania.

    Oczywiście, atakujący opierając się na sugestii czy wykorzystując brak świadomości pracowników, może pokonać te zabezpieczenia i przedostać się w pożądane obszary budynku. Dlatego warto przygotować szczegółowe procedury dotyczące poruszania się w strefach budynku i na terenie naszej firmy, a także prowadzić cykliczną edukację pracowników.

    Kolejnym elementem ochrony może być po prostu zabezpieczenie przewodowej sieci dostępowej. Nie jesteśmy w stanie założyć kłódki na gniazdo sieciowe, ale mamy do dyspozycji szereg mechanizmów i dobrych praktyk, które mogą pomóc w zabezpieczeniu portów dostępowych czy przełączników Ethernet. To właśnie one agregują wszystkie gniazdka przewodowe, floor boksy i urządzenia dostępowe.

    Przykładem może być zabezpieczenie dostępu do szafy dystrybucyjnej, a już na samym przełączniku włączenie np. mechanizmy 802.1x, który uniemożliwi osobie postronnej, fizycznie podłączonej do gniazda rozpoczęcia komunikacji w sieci LAN.

    Segmentacja za pomocą VLAN

    Używając podstawowych technik segmentacji ruchu możemy ograniczyć i kontrolować tak zwane domeny rozgłoszeniowe, do których ograniczy się aktywność atakującego w przypadku przełamania dostępu. W tym konkretnym przypadku mówimy o segmentacji za pomocą VLAN, czyli wydzielenia w sposób logiczny poszczególnych sieci w warstwie łącza danych (L2). Nie zapewni ona pełnego bezpieczeństwa infrastruktury, ale jest pierwszym krokiem w stronę zabezpieczenia sieci dostępowych. 

    VLAN to logiczne sieci lokalne, które z jednej strony ograniczają segment typu broadcast (czyli ograniczają wpływ i skalę potencjalnego ataku), a z drugiej izolują grupy systemów użytkowników ze względu np. na  ich rolę. Warto dodać, że VLAN to funkcjonalność dostępna w większości przełączników dobrej klasy, jakie mamy na rynku, choćby seria dostępowa Cisco Catalyst 9200.

    Warto dodać, że dany segment VLAN może zostać “rozciągnięty” na wiele urządzeń dostępowych (przełączników access) w ramach sieci lokalnej, a z drugiej strony wiele segmentów VLAN może istnieć na tym samym przełączniku fizycznym.

    Wzmacnianie bezpieczeństwa sieci LAN - Jak działa segmentacja sieci VLAN
    Rys.5 Jak działa segmentacja sieci VLAN?

    Chcąc zupełnie ograniczyć nieautoryzowane podłączenia do naszej sieci lokalnej, powinniśmy wprowadzić możliwość uwierzytelniania i autoryzacji urządzeń, użytkowników przed dopuszczeniem ich do sieci. Takie zabezpieczenie można osiągnąć na kilka sposobów.  Najpopularniejszym jest 802.1x, o którym pisaliśmy nieco więcej w artykule o dostępie gościnnym.

    Zadaniem mechanizmu 802.1x jest weryfikacja urządzenia lub użytkownika, który podłącza się do portu. W zależności od wyniku operacji mechanizm 802.1x ustawia port przełącznika w tryb autoryzowany, bądź nieautoryzowany. Dodatkowo umożliwia opcjonalne dynamiczne przyznanie VLANu, czyli nałożenie dynamicznej access listy w celu filtrowania ruchu na bazie przeprowadzonej autoryzacji.

    Mechanizm 802.1x - rozpoznanie użytkownika na bazie jego obecności w domenie
    Rys.6 Mechanizm 802.1x – rozpoznanie użytkownika na bazie jego obecności w domenie

    Mikrosegmentacja

    Inną, pokrewną metodą mogącą znacznie ograniczyć możliwości atakującego w sieci dostępowej, a także w Data Center, gdzie jest  wykorzystywana częściej jest tzw. mikrosegmentacja. Umożliwia ona separację urządzeń i użytkowników w ramach jednego VLAN.

    Dzięki zastosowaniu mikrosegmentacji 2 urządzenia przebywające w jednym segmencie VLAN mogą zostać odseparowane logicznie na bazie tzw. “kontraktu”, który będzie polityką narzuconą przez administratora sieci. Dobrym przykładem użycia mikrosegmentacji w sieci dostępowej jest architektura Cisco TrustSec i zastosowanie tzw. tagów SGT (Security Group Tag).

    Guest access

    Mówiąc o dostępie Ethernet często mamy do czynienia z pomieszczeniami typu open space, sale konferencyjne czy innymi części budynków, w których przyjmowani są np. goście. Wtedy możemy posłużyć się mechanizmami, które przekierują nieznanego użytkownika na portal gościnny. Takie działanie obarcza naszego gościa większymi restrykcjami bezpieczeństwa, ale umożliwi np. korzystanie z internetu. Co ciekawe, oba mechanizmy można połączyć w jedną logiczną całość, która będzie działać na jednym porcie Ethernet. Przyznanie uprawnień będzie w takim wypadku wynikiem uwierzytelnienia na porcie opartym o sekwencję mechanizmów MAB i 802.1x.

    Wspomniane zabiegi mogą znacząco poprawić bezpieczeństwo sieci LAN.

    Uwaga, pętle!

    Działanie, które może zdestabilizować sieć lokalną, a nawet dużą sieć kampus, może być intencjonalne lub przypadkowe. Przykładem takiego działania jest podłączenie obcego przełącznika lub urządzenia do gniazda sieciowego w celu powiększenia liczby dostępnych portów sieciowych (możliwy błąd administratora). Niestety zdarza się, że  takie zabiegi mogą być opłakane w skutkach i to dla całej sieci lokalnej np. całego budynku lub całej fabryki.

    W sieci o charakterze broadcast, w której medium jest Ethernet, mamy do czynienia ze zjawiskami takimi jak pętle, broadcast storm czy niestabilność połączeń (link flaps). Skutki wspomnianych zjawisk mogą być minimalizowane przez zastosowanie mechanizmów takich jak np. Spanning Tree Protocol, lub ograniczenie struktur L2 (routing to the edge), natomiast nawet takie podejście nie eliminuje całkowicie możliwości wystąpienia pętli w sieci.

    Zjawisko pętli w sieciach LAN
    Rys.7 Zjawisko pętli w sieciach LAN

    Jeżeli do gniazda Ethernet zostanie w nieodpowiedni sposób podłączony przełącznik, ruch dochodzący do przełącznika może zostać na nim skierowny z powrotem. To z kolei  powoduje nasilający się efekt zapętlania coraz większej ilości ruchu. Taka pętla w krytycznym przypadku może dotknąć każdego urządzenia sieciowego i klienckiego, a nawet całkowicie wyłączyć sieć z pracy produkcyjnej.

    Warto zdać sobie sprawę z tego, że urządzenia sieciowe odpowiedniej klasy dysponują wbudowanymi mechanizmami, które potrafią radzić sobie z takimi zjawiskami. Mówimy tutaj np. o funkcjonalności storm control, unidirectional link detection, czy port security.

    Odpowiednio skonfigurowane urządzenia z wcześniej zaprojektowaną funkcjonalnością pomagają zapobiec większości przykrych efektów charakterystycznych dla ataków na przewodowe sieci dostępowe Ethernet.

    Podsumowanie

    Choć na co dzień najsilniej doświadczamy działania sieci bezprzewodowych jako użytkownicy, to właśnie najsłabsze lub mniej popularne ogniwo (w tym wypadku dostęp przewodowy) może być tym wektorem ataku, który zadecyduje o jego powodzeniu . Warto o tym pamiętać podczas projektowania sieci oraz doboru odpowiedniej klasy sprzętu. Licho nie śpi.

    Planujesz wzmocnienie bezpieczeństwa Twojej sieci kampusowej? Sprawdź, które rozwiązania będą najkorzystniejsze dla Twojej infrastruktury.

    Umów bezpłatną konsultację

    Autor

    Joanna Sajkowska

    Z wykształcenia inżynier telekomunikacji. Od ponad 10 lat pracuje po biznesowej stronie mocy, zawsze w organizacjach technicznych (związanych z telekomunikacją lub wytwarzaniem oprogramowania). Skupia się na tłumaczeniu technologii i rozpoznawaniu wartości tam, gdzie inni widzą specyfikację. W Grandmetric kieruje marketingiem i komunikacją marki, w tym kampaniami edukacyjnymi z zakresu cyberbezpieczeństwa.

    Dodaj komentarz

    Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *


    Grandmetric: Network & Security