Vulnerabilidades

da Pilha TCP/IP:
Camada 2
Prof. Marcelo Veiga Neves
marcelo.neves@pucrs.br
Segurança na camada 2 (Enlace)
• Normalmente o administrador da rede foca em
segurança na camada 3 para cima
• Uso de firewall, proxy autenticado, etc.
• Pouca preocupação com a camada 2
• Rede interna = confiança nos usuários
• Pode virar o elo mais fraco da segurança da rede
• Equipamentos com a configuração de fábrica
Camada de enlace (Ethernet)
• Repasse de quadros em uma LAN
• Implementada nos switches, placas de rede, drivers
de rede e SO
• Switches Ethernet
• Aprendizado de MAC
• Repasse de quadros de acordo com uma tabela interna
• Broadcast quando não conhece o destinatário
• Spanning tree para evitar loops
• VLANs para particionar a rede, etc.
Principais vulnerabilidades da
camada 2
• Privacidade/confidencialidade
• Não há criptografia na camada
• Possibilidade de "sniffar” a rede (em Hubs isso é trivial, em
switches existem algumas técnicas)
• Autenticidade
• Possibilidade de “falsificar” quadros para enganar protocolos
• Spoofing = falsificar o remetente do quadro
• Integridade
• Possibilidade de alterar o conteúdo de quadros envidados por
outros hosts
• Disponibilidade
• Possibilidade de derrubar um host ou até mesmo a rede toda
• Também possível deixar a rede mais lenta
Principais tipos de ataque
• MAC Spoofing (falsificação de endereço MAC)
• MAC Address Table Overflow (estouro da tabela
MAC)
• Tempestade de broadcast (Broadcast Storm)
• Ataques de DHCP (relacionado com a camada 7)
• Ataques de ARP/NDP (relacionado com a camada 3)
• Ataques ao protocolo STP
• Ataques a VLANs (LANs Virtuais)
MAC Spoofing
• Falsificação do endereço MAC de origem
• Pode ser utilizado para:
• Esconder a identidade de remetente
• Alterar uma entrada na tabela de aprendizado de MAC
dos switches (CAM - Content Addressable Memory)
• Para receber os quadros destinados para outro host
• Implementar ataque do tipo man-in-the-middle para
interceptar o trafego entre dois hosts ou mesmo da rede inteira
• Derrubar a capacidade de comunicação de um host ou toda a
rede
• Encher a tabela de aprendizado (provocar Overflow)
MAC Spoofing (proteção)
• Se os usuários tiverem acesso físico à rede, a única
proteção é utilizar funcionalidade de segurança
implementadas no equipamentos Switches
• Desabilitar aprendizado de MAC nas portas não
confiáveis (mapeamento estático)
• Cisco Port security
• Permite atribuir um endereço ou um grupo de endereços MAC
a uma porta
• Quadros com endereços de origem desconhecidos serão
descartados
• Em caso de violação das regras pode-se gerar um alarme e/ou
desabilitar a interface
• Autenticação de porta (IEEE 802.1X)
MAC Address Table Overflow
• Estouro da tabela MAC
• Cada switch utiliza uma tabela para fazer o repasse
dos quadros
• Adição: uma nova entrada é colocada cada vez que um
novo host aparece em uma porta
• Remoção: por tempo de inatividade (ex: 20 min)
• Fisicamente essa tabela fica armazenada em uma
memória CAM de tamanho limitado (ex: 4K entries)
• Se a tabela encher, o switch não consegue mais
aprender endereços
MAC Address Table Overflow
MAC Address Table Overflow
(proteção)
• Usar switches gerenciáveis com funcionalidades de
segurança:
• Cisco port security
• Permite limitar o número de endereços que uma porta pode
aprender
• Storm control
Broadcast Storm
• Quadros enviados para o endereço de Broadcast
são repassados por todos os switches
• Geração de muitos pacotes desses pode degradar o
desempenho da rede e até derrubar serviços (DoS)
Broadcast Storm (proteção)
• Isolar a rede de diferentes domínios de broadcast
usando VLANs
• Utilizar switches gerenciáveis que com a função
“storm control”
• Possível configurar a taxa máxima usada para broadcast
Ataque a DHCP
• Funcionamento do DHCP:
Ataque a DHCP
• Possível esgotar todos os possíveis endereços IP de
um servidor DHCP
• Ataque de negação de serviço (DoS)
• Novos computadores não receberão endereço IP

• Possível configurar um servidor DHCP falso

• Implementar Man-in-the-Middle
• Ou tirar hosts da rede
• Especificar qualquer um dos parâmetros configuráveis
via DHCP (ex: servidor DNS, hostname, mtu, etc.)
 Ataque a DHCP
Internet

roteador
ip: 192.168.1.1

switch

host A responde host D requisita

a requisição de endereços ip,
A B C D
D antes do gw e dns via
servidor DHCP DHCP

ip: 192.168.1.10 ip: ?

gw: 192.168.1.1

Passo 1: um host D que precisa de um endereço IP (por exemplo, durante a

inicialização do sistema) envia uma mensagem via broadcast (DHCP Discover)
 Ataque a DHCP
Internet

roteador
ip: 192.168.1.1

switch

host A responde host D requisita

a requisição de endereços ip,
A B C D
D antes do gw e dns via
servidor DHCP DHCP

ip: 192.168.1.10 ip: ?

gw: 192.168.1.1

Passo 2: um host atacante A tenta responder a requisição enviada pelo host D

antes do servidor DHCP principal da rede.
 Ataque a DHCP
Internet

roteador
ip: 192.168.1.1

switch

host A responde host D recebe

a requisição de os endereços
A B C D
D antes do atribuídos por A
servidor DHCP

ip: 192.168.1.10 ip: 192.168.200

gw: 192.168.1.1 gw: 192.168.1.10

Passo 3: em caso de sucesso, o host atacante A torna-se o servidor DHCP responsável

por atribuir endereços ao host vítima D (DHCP Ack).
Ataque a DHCP (proteção)
• Usar switches gerenciáveis que suporte a
funcionalidade DHCP Snooping
• Portas são marcadas como trusted e unstruted
• Caso receba um DHCP Offer de uma porta não confiável,
o pacote é descartado
• Snooping = switch analisa o pacote para tomar decisão
Ataques de ARP/NDP
• ARP Spoofing, ARP Poisoning
• Possiblidade de modifcar a tabela ARP (cache) dos hosts
da rede
• ARP para IPv4 e Neighbor Discovery Protocol
• Pode ser usado para:
• Tirar um ou todos os hosts da rede (DoS)
• Implementar ataque do tipo man-in-the-middle
Ataques de ARP/NDP (Proteção)
• Utilizar switch gerenciável:
• Mesmas utilizada contra ARP Spoofing
• Cisco Port security
• Autenticação de porta (IEEE 802.1X)
• Dynamic ARP Inspection (DAI)
• Similar ao DHCP Snooping
• Inspeciona todas as mensagens ARP e valida o conteúdo
usando uma tabela de mapeamento de IP-to-MAC
• Outra possibilidade sem envolver o switch:
• Configurar mapeamento estático IP-to-MAC nos hosts
• Não escala na prática, mas pode ser usado para o
gateway da rede
Ataques a VLANs
• VLAN = Virtual LAN
• Permite dividir uma LAN e múltiplas LANs virtuais
• Cada VLAN é completamente isolada das demais
• Diferentes domínios de broadcast
• Isolamento de tráfego (segurança)
• Criação de topologias lógicas

• Problema está na má configuração das VLANs!

• VLAN hopping: permite o atacante enviar pacotes
para hosts que não estejam na mesma VLAN
através da alteração de tags
IEEE 802.1q
• Implementação de VLANs baseada em tags
• Cabeçalho IEEE 802.1q

VLAN ID: 12 bits (até 4096 VLANs)

VLAN Tagging
• Tipos de porta
• Acesso (access port)
• Entrada: adiciona tag
• Saída: remove tag
• Normalmente conecta-se a um host
• Tronco (trunk port)
• Sempre carrega tag
• Switch verifica VLAN ID
• Normalmente conecta-se a outro switch
• Hibrida:
• para tráfego sem tag, funciona como acesso
• Para tráfego com tag, funciona como trunk
Como fica a configuração das
portas?
Ataques a VLANs (Proteção)
• Configuração todas as portas conectadas a hosts
(ou segmentos de rede não confiáveis) como
acesso
Ataques a Spanning Tree
• Múltiplos links = redundância
• Problema: loops causam “storm” de quadros
• Utilização do Spanning Tree Protocol (STP)
• Switches trocam pacotes BPDUs (Bridge Protocol
Data Units)
• Multicast: 01:80:C2:00:00:00
• Dois tipos de BPDUs:
• Configuration BPDU (CBPDU): usado na criação da
árvore
• Topology Change Notification (TCN) BPDU: usado para
anunciar modificações na topologia (ex: um link caiu)
Ataques a Spanning Tree
• Vulnerabilidade:
• Atacante pode enviar pacotes BPDU para a rede
forçando a reconfiguração do spanning tree
• Reconfigurações aleatórias
• Tempo de convergência ~ 30 segundos
• Indisponibilidade (DoS)
• Reconfiguração para se tornar o novo root
• Capacidade de monitorar todo o tráfego da rede
Ataques a STP (proteção)
• Utilizar switches com funcionalidades do tipo
portfast, root guard e BPDU guard
• Somente portas conectadas a outros switches podem
enviar mensagens STP
Referências
• Palestra Princípios de Segurança da Informação do
CERT.BR, disponível em
http://www.cert.br/docs/palestras/
• Palestra Spywares, Worms, Bots, Zumbis e outros
bichos do CERT.BR, disponível em
http://www.cert.br/docs/palestras/
• Relatórios do CERT.br, disponível em:
https://www.cert.br/stats/
• Slides do Prof. Ricardo Dahab, Gerência de Segurança
da Informação, UNICAMP
• Slides do Prof. Marcelo Conterato, Segurança de Redes,
SENAC