Угрозы безопасности VPLS, аналогичные угрозам в vlan

Атака DoS на протокол связующего дерева STP. Рассмотрим потенциальную атаку злоумышленника на протокол связующего дерева IEEE 802.1d Spanning Tree Protocol (STP). Основной задачей STP является устранение петель в топологии произвольной сети VLAN, в которой есть один или более сетевых мостов, связанных избыточными соединениями. STP решает эту задачу, автоматически блокируя соединения, которые являются избыточными. STP также позволяет защитить сеть от широковещательных штормов и переполнения таблицы коммутации [6]. Так как VPLS логически представляет собой коммутатор (мост), то в нем существуют инстанции (инстанция – единичный экземпляр любого сетевого протокола; высокопроизводительное оборудование провайдера (P и PE) позволяет запускать по несколько экземпляров одного и того же протокола для различных целей) протокола STP, защита которых становится важной задачей.

После построения связующего дерева, всем портам виртуального коммутатора назначаются следующие роли (в соответствии с терминологией STP):

· Корневой порт (Root Port).

· Выделенный порт (Designated port).

· Блокирующий порт (Blocking port).

· Альтернативный порт (Alternate Port).

· Перенаправляющий порт (Forwarding Port).

Предположим, что другой виртуальный или физический коммутатор появился в VPLS с приоритетом моста меньшим, чем у конкретного корневого моста. Тогда новый коммутатор станет корневым мостом для данной услуги VPLS (т.к. по правилам STP коммутатор с наименьшим приоритетом становится коревым мостом). Начнется изменение всей топологии связующего дерева STP, при которой произойдет отказ в обслуживании услуги VPLS (DoS атака). Защита от этой атаки DoS при проектировании VPLS не предусмотрена.

Для защиты всей топологии STP в сервисе VPLS от данной атаки необходимо использовать функцию Root Guard на всех интерфейсах (доступа абонента и туннельных), на которых не предполагается наличие корневого коммутатора. Предлагается эту функцию реализовать с помощью определенных команд конфигурации на граничном маршрутизаторе PE. Список команд также как и в последующих примерах не приводится, поскольку зависит от конкретного производителя оборудования.

Угроза вставки фиктивной метки в структуру кадра стандарта 802.1q. На рис. 16.15 приведена структура кадра Ethernet в соответствии со стандартом IEEE 802.1q [7]. Основную функцию выполняет идентификатор VLAN.

 

Рис. 16.15.. Структура кадра Ethernet в соответствии со стандартом IEEE 802.1q

Суть данной атаки отражена на рис. 16.16. АРМ (автоматизированное рабочее место) злоумышленника находится в VLAN 10 (первичная VLAN для коммутатора A) и отправляет дважды промаркированные 802.1q метками пакеты в магистральный порт (порт коммутатора через который может передаваться информация о нескольких VLAN). На самом деле злоумышленник не подключен к магистральному порту, а пытается обмануть магистральную инкапсуляцию, чтобы попасть в другую VLAN.

Рис. 16.16. Пример связи VLAN10 и VLAN20

Когда коммутатор CE A получает дважды тегированный кадр, он принимает решение отправить его через магистральный интерфейс. Так как первая метка 802.1q имеет значение первичной VLAN, то она удаляется и кадр пересылается по магистральному интерфейсу.

Когда коммутатор CE B получает кадр, то обнаруживает вторую метку 802.1q. Соответственно вторая метка отбрасывается и кадр нелегитимно попадает в VLAN 20 посредством коммутации. Таким образом злоумышленник может осуществить вторжения на оборудование, находящееся в VLAN 20. Для того, чтобы убрать уязвимость с повторным тегированием 802.1q необходимо просто исключить первичную VLAN со всех магистральных каналов в VPLS. Это выполняется при конфигурации.

Подмена DHCP сервера и защита от атаки DoS. Рассмотрим случай, когда злоумышленник смог подменить DHCP сервер в услуге VPLS. Теперь, когда любой компьютер в VPLS отправляет широковещательный DHCP запрос, то нелегитимный DHCP сервер может отправить ложный DHCP ответ, в котором будет указан IP-адрес устройства злоумышленника вместо адреса шлюза по умолчанию.

Когда компьютер получит DHCP-ответ, он начнет использовать устройство злоумышленника, как шлюз по умолчанию и пакеты, предназначенные для других подсетей будут отправлены злоумышленнику.

Для предотвращения такой атаки DoS предлагается использовать функцию DHCP Snooping [8]. Эта функция позволяет составить список всех легитимных DHCP серверов в услуге VPLS. Это выполняется при конфигурации.

Защита от широковещательных штормов. Производители оборудования компании Cisco предусмотрели конфигурирование так, чтобы ограничивалась сумма загрузки широковещательного трафика на входе интерфейса [9].

Прозрачная работа VTP (VLAN trunking protocol). Для того чтобы передать через порт трафик нескольких VLAN, порт переводится в режим транка. По умолчанию в транке разрешены все VLAN. Для того чтобы через соответствующий VLAN в транке передавались данные, как минимум, необходимо чтобы VLAN был активным. Активным VLAN становится тогда, когда он создан на коммутаторе. В то время, как использование VLAN транкингового протокола может быть выгодным в корпоративной среде, это создает угрозы безопасности для поставщиков услуг, потому что VTP допускает динамическое определение VLAN. Данную функцию необходимо отключить на сетевом оборудовании для большей безопасно. Протокол VTP является проприетарным протоколом компании Cisco, в связи с этим он реализуется на оборудовании только этой компании [9].

Ограничение MAC адресов и безопасность портов. Оборудование может быть сконфигурировано так, чтобы разрешить доступ для предопределенного максимального количества MAC адресов. Это помогает предотвратить переполнение таблицы памяти адресов CAM (Content Addressable Memory Table). Коммутатор имеет CAM таблицу, где содержится «привязка», какие MAC адреса на каком порту принимаются.), обычно связанной с атаками переполнения. Оборудование должно выполнять операции по определению допустимого максимума следующим образом:

· Защищенный режим - отбрасывание пакетов от неизвестных исходных адресов, пока администратор не удалит достаточное количество безопасных MAC адресов, чтобы их количество опустилось ниже максимального значения.

· Режим ограничения - отбрасывание пакетов от неизвестных исходных адресов, пока администратор не удалит достаточное количество безопасных MAC адресов, чтобы их количество опустилось ниже максимального значения и вызывает операцию Security Violation вместо инкремента.

· Режим завершения работы - отключение незаконного порта и генерирует SNMP прерывание, однако это требует ручное вмешательство администратора для восстановления работы [9].