Escolar Documentos
Profissional Documentos
Cultura Documentos
da Pilha TCP/IP:
Camada 2
Prof. Marcelo Veiga Neves
marcelo.neves@pucrs.br
Segurança na camada 2 (Enlace)
• Normalmente o administrador da rede foca em
segurança na camada 3 para cima
• Uso de firewall, proxy autenticado, etc.
• Pouca preocupação com a camada 2
• Rede interna = confiança nos usuários
• Pode virar o elo mais fraco da segurança da rede
• Equipamentos com a configuração de fábrica
Camada de enlace (Ethernet)
• Repasse de quadros em uma LAN
• Implementada nos switches, placas de rede, drivers
de rede e SO
• Switches Ethernet
• Aprendizado de MAC
• Repasse de quadros de acordo com uma tabela interna
• Broadcast quando não conhece o destinatário
• Spanning tree para evitar loops
• VLANs para particionar a rede, etc.
Principais vulnerabilidades da
camada 2
• Privacidade/confidencialidade
• Não há criptografia na camada
• Possibilidade de "sniffar” a rede (em Hubs isso é trivial, em
switches existem algumas técnicas)
• Autenticidade
• Possibilidade de “falsificar” quadros para enganar protocolos
• Spoofing = falsificar o remetente do quadro
• Integridade
• Possibilidade de alterar o conteúdo de quadros envidados por
outros hosts
• Disponibilidade
• Possibilidade de derrubar um host ou até mesmo a rede toda
• Também possível deixar a rede mais lenta
Principais tipos de ataque
• MAC Spoofing (falsificação de endereço MAC)
• MAC Address Table Overflow (estouro da tabela
MAC)
• Tempestade de broadcast (Broadcast Storm)
• Ataques de DHCP (relacionado com a camada 7)
• Ataques de ARP/NDP (relacionado com a camada 3)
• Ataques ao protocolo STP
• Ataques a VLANs (LANs Virtuais)
MAC Spoofing
• Falsificação do endereço MAC de origem
• Pode ser utilizado para:
• Esconder a identidade de remetente
• Alterar uma entrada na tabela de aprendizado de MAC
dos switches (CAM - Content Addressable Memory)
• Para receber os quadros destinados para outro host
• Implementar ataque do tipo man-in-the-middle para
interceptar o trafego entre dois hosts ou mesmo da rede inteira
• Derrubar a capacidade de comunicação de um host ou toda a
rede
• Encher a tabela de aprendizado (provocar Overflow)
MAC Spoofing (proteção)
• Se os usuários tiverem acesso físico à rede, a única
proteção é utilizar funcionalidade de segurança
implementadas no equipamentos Switches
• Desabilitar aprendizado de MAC nas portas não
confiáveis (mapeamento estático)
• Cisco Port security
• Permite atribuir um endereço ou um grupo de endereços MAC
a uma porta
• Quadros com endereços de origem desconhecidos serão
descartados
• Em caso de violação das regras pode-se gerar um alarme e/ou
desabilitar a interface
• Autenticação de porta (IEEE 802.1X)
MAC Address Table Overflow
• Estouro da tabela MAC
• Cada switch utiliza uma tabela para fazer o repasse
dos quadros
• Adição: uma nova entrada é colocada cada vez que um
novo host aparece em uma porta
• Remoção: por tempo de inatividade (ex: 20 min)
• Fisicamente essa tabela fica armazenada em uma
memória CAM de tamanho limitado (ex: 4K entries)
• Se a tabela encher, o switch não consegue mais
aprender endereços
MAC Address Table Overflow
MAC Address Table Overflow
(proteção)
• Usar switches gerenciáveis com funcionalidades de
segurança:
• Cisco port security
• Permite limitar o número de endereços que uma porta pode
aprender
• Storm control
Broadcast Storm
• Quadros enviados para o endereço de Broadcast
são repassados por todos os switches
• Geração de muitos pacotes desses pode degradar o
desempenho da rede e até derrubar serviços (DoS)
Broadcast Storm (proteção)
• Isolar a rede de diferentes domínios de broadcast
usando VLANs
• Utilizar switches gerenciáveis que com a função
“storm control”
• Possível configurar a taxa máxima usada para broadcast
Ataque a DHCP
• Funcionamento do DHCP:
Ataque a DHCP
• Possível esgotar todos os possíveis endereços IP de
um servidor DHCP
• Ataque de negação de serviço (DoS)
• Novos computadores não receberão endereço IP
roteador
ip: 192.168.1.1
switch
roteador
ip: 192.168.1.1
switch
roteador
ip: 192.168.1.1
switch