Existem inúmeras vulnerabilidades nos switches Ethernet e as ferramentas de ataque para explorá-los existem há mais de uma década. Um atacante pode desviar qualquer tráfego para seu próprio PC para quebrar a confidencialidade, privacidade ou a integridade desse tráfego.
A maioria das vulnerabilidades são inerentes aos protocolos da Camada 2 e não somente aos switches. Se a camada 2 estiver comprometida, é mais fácil criar ataques em protocolos das camadas superiores usando técnicas comuns como ataques de man-in-the-middle (MITM) para coleta e manipulação do conteúdo.
Para explorar as vulnerabilidades da camada 2, um invasor geralmente deve estar mesma rede local do alvo. Se o atacante se utilizar de outros meios de exploração, poderá conseguir um acesso remoto ou até mesmo físico ao equipamento. Uma vez dentro da rede, a movimentação lateral do atacante torna-se mais fácil para conseguir acesso aos dispositivos ou tráfego desejado.
No vídeo descrevemos as 8 (oito) principais funcionalidades de segurança para switches que todo administrador de redes deveria saber..
No vídeo descrevemos os 5 (cinco) erros geralmente cometidos na configuração do Spanning-Tree, incluindo dicas de como iniciar o troubleshooting em caso de problemas.
Os switches ArubaOS, vem de fábrica com o protocolo STP desabilitado, assim como a maioria dos protocolos e serviços do equipamento. Nesse caso, sempre verifique o status do Spanning-Tree antes de colocar o equipamento em uma rede de produção e se necessário, habilite.
Switch# show spanning-tree
Multiple Spanning Tree (MST) Information
STP Enabled : No
Switch# configure
Switch(config)# spanning-tree Habilitando o STP
Switch(config)# show spanning-tree
Multiple Spanning Tree (MST) Information
STP Enabled : Yes
Force Version : MSTP-operation
IST Mapped VLANs : 1-4094
Switch MAC Address : a01d48-37aaaa
Switch Priority : 32768
Max Age : 20
Max Hops : 20
Forward Delay : 15
Nesse vídeo mostramos a configuração e logs dos Switches com a utilização do comando ‘BPDU-Protection’.
A feature edged-port (portfast) permite a interface saltar os estados Listening e Learning do Spanning-Tree Protocol (STP), colocando as portas imediatamente em estado Forwarding (Encaminhamento). A configuração do ‘stp edged-port enable’ força a interface a ignorar os estados de convergência do STP, incluindo as mensagens de notificação de mudança na topologia (mensagens TCN ).
A utilização da feature ‘edged-port’ com a configuração do comando ‘stp bpdu-protection’, protege as portas configuradas como edged-port de receberem BPDUs. Ao receber um BPDU a porta entrará em shutdown.
O Objetivo do STP é eliminar loops na rede com a negociação de caminhos livres através do Switch Root (Raiz). Dessa forma é garantido que haverá apenas um caminho para qualquer destino mas com o bloqueio dos caminhos redundantes. Se houver falha no enlace principal, o caminho em estado de bloqueio torna-se o principal.
Nesse vídeos fazemos um resumo do Spanning-Tree e suas configurações.
Os ataques ao protocolo STP geralmente têm como objetivo assumir a identidade do switch root da rede, ocasionando assim cenários de indisponibilidade na rede. Programas como o Yersinia permitem gerar esse tipo de ataque. Há também cenários em que usuários adicionam switches não gerenciados e hubs (propositadamente ou não) com o intuito de fornecer mais pontos de rede em ambientes que deveriam ser controlados.
Funcionalidades comentadas no video para mitigar os ataques ao STP, são: Root Protection (Root Guard), BPDU Protection (BPDU guard) com STP edged-port (portfast) e loop protection (loop guard).
Alguns Switches HPN serie-A, como por exemplo da série 7500, dependendo da versão do Comware, vem de fábrica com o protocolo STP desabilitado, assim como a maioria dos Protocolos e Serviços do equipamento. Nesse caso, sempre verifique o status do Spanning-Tree antes de colocar o equipamento em uma rede de produção e se necessário, habilite. 😉
[Switch] display stp
Protocol Status :disabled
Protocol Std. :IEEE 802.1s
Version :3
Bridge-Prio. :32768
MAC address :000f-e203-0200
Max age(s) :20
Forward delay(s) :15
Hello time(s) :2
Max hops :20
! Identificando que o STP está desabilitado no Switch
[Switch]stp enable
%Jun 18 16:21:10:253 2012 Switch MSTP/6/MSTP_ENABLE: STP is now
enabled on the device.
! Habilitando o Spanning-Tree
Para criar uma rede livre de Loops, o Protocolo Spanning-tree (802.1d) utiliza 4 processos:
1º Processo
Eleição do menor Bridge ID para escolher o Switch Root
2º Processo
Eleição do menor caminho para o Root
3º Processo eleição do menor Bridge ID do Switch que está encaminhando o BPDU do Root
4º Processo Eleição do menor Port ID
Todo Switch da LAN (exceto os “Switches-Hub”) , recebe informações sobre os outros Switches da rede através da troca de mensagens chamadas de BPDUs (Bridge Protocol Data Units) que são encaminhados a cada 2 segundos em todas as portas para garantir a estabilidade da rede.
Entretanto, se a porta recebe um BPDU mais interessante (1º processo) de outro Switch, ele parará de gerar mensagens BPDUs e apenas encaminhará as mensagens desse dispositivo.
Baseado nas informações do Bridge ID dentro dos BPDUs os switches são capazes de:
– Eleger um Switch único, entre todos da LANs, para ser o Root Bridge (Raiz).
A partir do Switch Root os outros Switches da Rede escolherão o melhor caminho(baseado no custo do ponto de vista do Switch não-Root) para o Switch Root e bloquearão os caminhos redundantes para evitar loops na rede.
No exemplo acima (utilizando o custo das portas estabelecido no primeiro padrão do STP) a porta Fa0/1 (custo 19) do Switch não-Root ficará no estado de Bloqueio pois possui o MAIOR custo para chegar ao Root em comparação com a porta G0/1 (custo 4).
Existem cenários que é necessário manipular o path cost (custo do caminho) para escolha do melhor caminho para o Root visto que o meios físicos escolhido para transmissão dos quadros é mais suscetível a interferências, etc.
No exemplo abaixo a Empresa X possui 2 Switches com todas as portas GigabitEthernet para interligação entre 2 prédios distantes. Para conexão entre esses 2 dispositivos,foi utilizado fibra óptica e devido ao alto custo para passagem de nova infra-estrutura para redundância foi decidido a utilização de antenas (wireless) para contingência.
Se apenas tivéssemos manipulado o valor do Bridge ID do Switch Root, a eleição da porta Bloqueada basearia-se no 4º processo ( eleição do menor port ID, no sentido Root –> não-Root), pois o custo para o Root sofreria empate no 2º processo.
Para resolução desse cenário, poderia utilizar as seguintes tarefas:
1º Inverter as portas do Switch Root (G0/1 para Fibra e G0/2 para conexão sem fio); ou…
2º Aumerntar o Custo da porta G0/1 do Switch não-Root para alterarmos os estados das portas.
Configuração
Para a configuração da maioria dos Switches 3Com (no exemplo acima ), digite o comando dentro da Interface G1/0/1 do Switch não-Root:
interface Gi1/0/1
stp cost 19
Nesse caso a conexão com fibra ficaria ativa pelo MENOR custo e o link wireless (redundante) em estado de bloqueio!
