Download - Ataki Na Drugą Warstwę Modelu OSI

Ataki na drug warstw modelu OSIAlfredo Andrs, David Barroso

Artyku opublikowany w numerze 5/2005 magazynu hakin9. Zapraszamy do lektury caego magazynu.

Wszystkie prawa zastrzeone. Bezpatne kopiowanie i rozpowszechnianie artykuu dozwolone

pod warunkiem zachowania jego obecnej formy i treci.

Magazyn hakin9, Software-Wydawnictwo, ul. Piaskowa 3, 01-067 Warszawa, [email protected]

www.hakin9.orghakin9 Nr 5/20052

Pod lup

Warstwa cza danych jest jednym z najsabiej zabezpieczonych ele-mentw sieci. Administrator czsto spina ze sob switche (przeczniki) i konfigu-ruje je, po czym przestaje zaprzta sobie ni-mi gow. Testy penetracyjne czsto wykry-waj przeczniki, ktre korzystaj z podat-nych na ataki wersji IOS i nie s w aden spo-sb zabezpieczone. Dodatkowo pokutuje my-lenie, e wdroenie VLAN w sieci powstrzy-muje napastnikw. Prawda jest inna taka ar-chitektura rwnie moe zosta pokonana, a jeeli do tego dojdzie, moliwe bd ataki na wysze warstwy OSI (sniffing hase, man-in-the-middle).

Pocieszeniem moe by to, e pakie-ty warstwy cza danych nie podruj przez sieci IP na przykad przez Internet w zwizku z czym ataki s ograniczone do sieci wewntrznych. Statystyki wskazu-j jednak, e ataki lokalne mog by tak sa-mo niebezpieczne, jak te z zewntrz. Trze-ba pamita, e gdy intruz z zewntrz poko-na firewall i dostanie si do strefy zdemilita-ryzowanej (DMZ), to ataki na warstw dru-g mog mu pozwoli na ucieczk z tej strefy i w konsekwencji na uzyskanie dostpu do

caej naszej sieci. Przyjrzyjmy si wic new-ralgicznym aspektom warstwy cza danych, temu, jak moe j wykorzysta atakujcy oraz temu, w jaki sposb moemy chroni swj sprzt. Wszystkie przykady odnosz si do urzdze Cisco, ale cz z nich moe dziaa ze sprztem innych producentw.

Wikszo danych i obserwacji autorzy zebrali podczas bada i tworzenia narzdzia

Ataki na drug warstw modelu OSI

Alfredo Andrs, David Barroso

stopie trudnoci

Druga warstwa modelu OSI to najsabsze ogniwo bezpieczestwa sieciowego kadego systemu. Realizowanie atakw na t warstw jest rzadkie, jednak udany atak na ni moe by tak samo niebezpieczny, jak kady inny.

Z artykuu dowiesz si...

jakie s specyfikacje protokow warstwy drugiej OSI: STP, CDP, DTP, IEEE 802.1Q, VTP,

jak przeprowadza ataki na te protokoy, jak obroni system przed tymi atakami, jak uywa uytecznego dla administrato-

rw i testerw bezpieczestwa narzdzia Yersinia.

Co powiniene wiedzie...

powiniene zna podstawy warstwy drugiej OSI,

powiniene mie wiedz o technologiach Cisco.

Ataki na drug warstw OSI

hakin9 Nr 5/2005www.hakin9.org 3

Yersinia. Czasem odnalezienie do-datkowych informacji czy publicznie dostpnego kodu byo niemoliwe,

wic obserwacje oparto na analizie behawioralnej, a nie na opublikowa-nych standardach.

STP (Spanning Tree Protocol)Celem protokou STP jest unikni-cie ptli sieciowych podczas cze-nia segmentw sieci. Moe istnie tylko jedna unikalna cieka -czca dwa urzdzenia. Kady pa-kiet STP nosi nazw BPDU (Brid-ge Protocol Data Unit). Moemy go zidentyfikowa patrzc na jego for-mat: pakiet IEEE 802.3 z nagw-kiem IEEE 802.2 i docelowym ad-resem MAC 01:80:C2:00:00:00 (patrz Rysunek 1).

Istniej dwa typy pakietw BPDU: Configuration (konfigura-cja) i Topology Change Notifica-tion (TCN powiadomienie o zmia-nie topologii). Pierwszy jest wysya-ny co pewien czas i pokazuje kon-figuracj sieci, drugi jest natomiast wysyany za kadym razem, kie-dy wykryta zostanie zmiana w sieci (port otwarty lub zamknity). Wi-cej informacji o STP mona znale w standardzie IEEE 802.1D (patrz Ramka W Sieci).

AtakiNajwiksz saboci STP jest brak uwierzytelniania i nadzoru. Kade urzdzenie i kada osoba, w tym ata-kujcy, moe wysa BPDU i uczest-niczy w transmisji protokoowej.

Aby zrozumie ataki, trzeba po-zna format Configuration (patrz Ry-sunek 2):

PID (2 bajty): protok, zawsze warto zerowa,

Version (1 bajt): wersja STP, mo-e to by 0 (STP), 1 (RSTP) lub 3 (MSTP),

Message type (1 bajt): typ BPDU: Configuration (0x00) lub TCN (0x80),

Flags (1 bajt): kilka ustawie por-tw (przydatne dla RSTP) i bit po-wiadamiania o zmianie topologii,

Root ID (8 bajtw): ID nadrzd-nego urzdzenia,

Root path cost (4 bajty): koszt przebycia trasy do urzdzenia nadrzdnego,

Bridge ID (8 bajtw): ID nadawcy BPDU,

Siedem warstw OSIW 1977 r. zaproponowano model o nazwie Open Systems Interconnection (OSI), ktre-go celem byo opracowanie standardu zgodnoci sprztu rnych producentw. Model ten definiuje kilka warstw przesyu danych, od najniszej (warstwa fizyczna) do najwy-szej (warstwa aplikacji). S one silnie zalene od siebie, a ich nagwki s zwykle doda-wane przy przechodzeniu z warstwy niszej do wyszej. Tych siedem warstw to:

warstwa 1 warstwa fizyczna obsuguje komunikacj (i nadzr) w kanale siecio-wym,

warstwa 2 warstwa cza danych ustala metody dostarczania blokw danych, warstwa 3 warstwa sieciowa odpowiada za rutowanie pakietw danych, warstwa 4 warstwa transportowa odpowiada za niezawodn (bezbdn) trans-

misj danych, warstwa 5 warstwa sesji umoliwia kontrol nad dialogiem midzy aplikacjami, warstwa 6 warstwa prezentacji pomaga aplikacjom ustali format danych, co

czyni prezentacj uporzdkowan, warstwa 7 warstwa aplikacji ustanawia metody umoliwiajce aplikacjom do-

stp do modelu OSI (czyli do sieci).

Narzdzie YersiniaDo przeprowadzania opisywanych atakw na warstw drug bdziemy uywa na-rzdzia Yersinia, napisanego przez autorw niniejszego artykuu. Yersinia jest prze-nona (napisano j w C, z wykorzystaniem bibliotek libpcap i libnet) i wielowtkowa (obsuguje wielu uytkownikw i wiele rwnoczesnych atakw). Moe by uywa-na do analizy, edycji i obserwacji pakietw sieciowych, pozwala te zapisywa ruch sieciowy w formacie pcap.Najnowsza (0.5.5.1) wersja programu Yersinia obsuguje nastpujce protokoy:

Spanning Tree Protocol (STP), Cisco Discovery Protocol (CDP), Dynamic Trunking Protocol (DTP), Dynamic Host Configuration Protocol (DHCP), Hot Standby Router Protocol (HSRP), IEEE 802.1Q, Inter-Switch Link Protocol (ISL), VLAN Trunking Protocol (VTP).

Yersinia dziaa w jednym z trzech gwnych trybw:

linia polece (CLI) moe by uywana do doranych atakw ten tryb dodano, by uatwi testerom stosowanie narzdzia w skryptach,

demon sieciowy pozwala uywa Yersinii zdalnie CLI jest bardzo podobne do stosowanego w produktach Cisco,

graficzny interfejs (GUI) napisany w ncurses.

Wszystkie opisywane ataki byy przeprowadzane w trybie GUI, chocia wykorzysta-nie innych trybw nie byoby problemem. Aby pozna moliwoci narzdzia, naley nacisn [h] podczas pracy w trybie GUI (yersinia -I). Uwaga: tryb ten wymaga du-ej liczby wierszy i kolumn, jeli wic GUI nie zadziaa, warto ponowi prb po mak-symalizacji okna teminala.

Yersinia umoliwia take przeprowadzanie innych atakw na przykad HSRP, DHCP my jednak skoncentrujemy si tylko na tych, ktre dotycz warstwy drugiej. Nazwa narzdzia pochodzi od bakterii, ktra wywoaa epidemi Czarnej mierci w redniowiecznej Europie Yersinia pestis.

hakin9 Nr 5/2005 www.hakin9.org

Pod lup

4

Port ID (2 bajty): numer portu (IE-EE lub Cisco STP BPDU), z kt-rego wysyany jest pakiet BPDU,

Message age (2 bajty): czas, ktry upyn od wysania obec-nej konfiguracji przez urzdzenie nadrzdne,

Maximum age (2 bajty): kiedy ak-tualna wiadomo o konfiguracji powinna by skasowana,

Hello time (2 bajty): czas pomi-dzy wysyaniem pakietw konfi-guracyjnych BPDU,

Forward delay (2 bajty): czas, ktry powinny odczeka mostki przed przejciem w nowy stan, po zmianie topologii.

STP mona w skrcie opisa ja-ko wybr urzdzenia nadrzdnego

i obliczenie trasy midzy urzdze-niami uczestniczcymi w rozgazia-jcym si drzewie (spanning tree). Na pocztku wszystkie bior udzia w wyborze urzdzenia nadrzdne-go wybrane zostaje to z najni-szym ID a potem wszystkie tra-sy s obliczane przy kadej zmianie w sieci. Nowe urzdzenie nadrzd-ne jest wybierane, gdy obecne znika z sieci lub gdy pojawia si nowe, z ID niszym ni ID obecnego urzdzenia nadrzdnego.

Do dzieaPrzyjrzyjmy si trzem moliwym ata-kom na STP. Dwa z nich to ataki ty-pu Denial of Service (DoS), wymu-szajce na wszystkich urzdzeniach uczestniczcych w STP cige prze-

liczanie tras. Powoduje to niestabil-no sieci, poniewa kady switch obcia podczas przeliczania za-rwno procesor, jak i pami. Ataki takie mog rwnie powodowa po-wstawanie ptli sieciowych. W naj-gorszym przypadku caa sie prze-stanie dziaa wszdzie bd kr-y zduplikowane pakiety, zapycha-jc sie i powodujc ogln awari.

Takie ataki s raczej proste. Po-legaj na wysyaniu tysicy pakie-tw BPDU (w pierwszym przypad-ku Configuration, a w drugim TCN) z losowo wygenerowanymi rdo-wymi adresami MAC (oraz, w przy-padku Configuration, innymi po-lami, na przykad Bridge ID). Jest to symulacja tysicy nowych urz-dze podczajcych si do sieci i zgaszajcych ch uczestnicze-nia w STP nic dziwnego, e efek-tem jest chaos.

Oba ataki mona przeprowadzi za pomoc narzdzia Yersinia. Na-zywaj si one sending conf BPDUs i sending tcn BPDUs (klawisz [x] w trybie GUI). Listingi 1 i 2 pokazuj reakcj przecznika na te ataki.

Trzeci atak polega na prbie uzy-skania nadrzdnej roli STP. W tym celu najpierw zostaje przechwycony pakiet BPDU zawierajcy nadrzdne ID, a nastpnie atakujcy system jest konfigurowany tak, e zachowuje si jak inne urzdzenie sieciowe chc-ce uczestniczy w STP ale maj-ce ID niszy ni aktualne urzdzenie

Dekodowanie pakietwChocia jednym z zastosowa Yersinii jest dekodowanie i obserwacja pakie-tw wartwy drugiej, mona do tego ce-lu uy innych analizatorw protokow, takich jak tcpdump czy Ethereal. Jeli na przykad chcemy przechwyci pa-kiety STP, Ethereal moe by urucho-miony w nastpujcy sposb:

# ethereal -f stp

Rysunek 1. Budowa pakietu BPDU

Rysunek 2. Struktura pakietu BPDU typu Configuration

Listing 3. Rezultaty ataku Claiming Root Role

01:58:48: STP: VLAN0001 heard root 32769-000e.84d4.2280 on Fa0/8

01:58:48: supersedes 32769-000e.84d5.2280

01:58:48: STP: VLAN0001 new root is 32769, 000e.84d4.2280 on port Fa0/8, cost 19

Listing 2. Rezultaty ataku DoS (wysyanie pakietw BPDU TCN)

01:35:39: STP: VLAN0001 Topology Change rcvd on Fa0/8





Listing 1. Rezultaty ataku DoS (wysyanie pakietw Configuration BPDU)

01:20:26: STP: VLAN0001 heard root 32768-d1bf.6d60.097b on Fa0/8

01:20:26: STP: VLAN0001 heard root 32768-9ac6.0f72.7118 on Fa0/8

01:20:26: STP: VLAN0001 heard root 32768-85a3.3662.43dc on Fa0/8

01:20:26: STP: VLAN0001 heard root 32768-3d84.bc1c.918e on Fa0/8

01:20:26: STP: VLAN0001 heard root 32768-b2e2.1a12.dbb4 on Fa0/8



nadrzdne. Faszywy nadrzdny ID jest zmniejszany tylko o 1, wic nie rni si zbytnio od prawdziwego administrator na pierwszy rzut oka nie zauway zmiany.

Najpowaniejsz konsekwencj takiego ataku jest niestabilno sieci. Trzeba pamita, e wszyscy uczest-nicy sieci wysyaj pakiety TCN do nadrzdnego urzdzenia po wykry-ciu zmiany. Tylko wtedy nadrzdne urzdzenie wysya pakiet Configura-tion BPDU z bitem zmiany ustawio-nym na 1 (pole Flags), aby nakaza wszystkim uczestnikom przeliczenie tras. Jeli atak si powiedzie, nowe, faszywe urzdzenie nadrzdne unie-wania pakiety TCN wysyane przez switche, tote aden z nich nie przeli-cza swoich tras. W efekcie niszczona jest struktura sieci.

Aby przeprowadzi taki atak za pomoc Yersinii, musimy najpierw nacisn [d ] w celu wypenienia pa-kietu domylnymi wartociami, a po-tem uruchomi atak Claiming Root Role (najpierw wcisn [x], a nastp-nie wybra atak 4). Skada si on z dwch etapw: najpierw przechwy-tujemy konfiguracyjny pakiet BPDU by pozna nadrzdny ID, a nastp-nie wysyamy nowy, spreparowany pakiet BPDU Configuration, co pew-n liczb sekund okrelon polem hello time. Reakcj przecznika wi-da na Listingu 3.

Stary nadrzdny ID mia posta 32769-000e.84d5.2280, za nowy to 32769-000e.84d4.2280. Jeli uwa-nie si przyjrzymy, zauwaymy, e pitnasty znak to 4 zamiast 5. Na-sze wirtualne urzdzenie ma niszy ID, dziki czemu zostaje wybrane jako nowy nadrzdny ID protokou STP.

S te inne moliwoci atakw na STP. Niektre zaimplementowano w narzdziu Yersinia. Jeden z nich nosi nazw Causing Eternal Root Elections i polega na nieprzerwa-nym wysyaniu pakietw z coraz ni-szymi ID, co powoduje nieskoczo-ny wybr urzdzenia nadrzdnego i totalny chaos w sieci. Inny zwie si Claiming Root Role with MiTM i jest atakiem typu man in the middle. Mo-emy te sprbowa Claiming Other Role, co oznacza prb zachowywa-

nia si tak, jak inny, zwyky switch. Jest to tylko przykad moliwego ata-ku (proof of concept), bez adnych negatywnych konsekwencji.

ObronaAby unikn atakw STP na urz-dzenia Cisco, administrator moe:

wyczy STP tam, gdzie nie jest potrzebne,

uywa Spanning Tree Port-fast BPDU Guard Enhancement i Spanning Tree Protocol Root Guard Enhancement (patrz Ram-ka W Sieci).

CDP (Cisco Discovery Protocol)CDP to wasnociowy protok Ci-sco, umoliwiajcy komunikacj mi-dzy rnymi urzdzeniami sieciowy-mi Cisco. Inni producenci rwnie mog go uywa, jednak dopiero po kupieniu licencji na technologi.

Najprostszym sposobem identy-fikacji pakietu CDP jest sprawdzenie, czy posiada on nastpujce funk-

cje: pakiet IEEE 802.3 z nagwkiem 802.2 SNAP i docelowym adresem MAC multicast w postaci 01:00:0C:CC:CC:CC (patrz Rysunek 3). Pa-kiet CDP zawsze zawiera ciekawe informacje o waciwociach wysya-jcego go urzdzenia, na przykad:

nazw urzdzenia, model, wersj IOS, adres IP (moe mie wicej ni

jeden), domen VTP, moliwoci (switch, ruter, mostek

itp.).

Dane te, okresowo wysyane przez kade urzdzenie Cisco, dostarcza-j informacji cennych przy pniej-szych atakach. Domylnie CDP jest wczony i wysya te informacje co 180 sekund czyli co trzy minuty.

AtakiWysyanie i odbieranie pakietw CDP odbywa si bez uwierzytelnia-nia. Dane s przesyane czystym

Rysunek 3. Struktura pakietu CDP

Rysunek 4. Pola pakietu CDP

Tabela 1. Przykady zestaww TLV

Zawarto TLV Typ Dugo Warto

0001 0008 7a61 7065

Device ID (0x0001)

8 (0x0008) (dwa bajty na typ, dwa bajty na dugo, cztery bajty na warto)

zape (0x7a 0x61 0x70 0x65)

000b 0005 01 Duplex type (0x000b)

5 (0x0005) (dwa bajty na typ, dwa bajty na dugo, jeden bajt na warto)

0x01 (Full Du-plex)


Pod lup

6

tekstem, co bardzo uatwia ataki. W dodatku format CDP jest objanio-ny na stronie internetowej Cisco (patrz Ramka W Sieci). Pakiet skada si z nastpujcych pl (Rysunek 4):

Version (1 bajt) wskazuje na wersj CDP, zwykle 1 lub 2,

TTL (1 bajt) Time To Live czas ycia pakietu CDP,

Checksum (2 bajty) okrela po-prawno pakietu,

TLV (rna dugo) seria Ty-pe, Length, Value. To pole zawie-ra waciwe dane, reprezento-wane przez list zestaww TLV, z ktrych kady ma nastpuj-cy format: Type (2 bajty) typ da-

nych (na przykad Device ID, Ad-dress, Port ID), Length (2 bajty) dugo TLV oraz Value (zmien-na dugo) waciwa warto. Przykady zestaww TLV znajdu-j si w Tabeli 1, za Rysunek 5 przedstawia Yersini wywietlaj-c TLV przykadowego pakietu.

Znajc ten format moemy udawa urzdzenie sieciowe, poprzez wysa-nie spreparowanego pakietu CDP. Warto te wiedzie, e stare wer-sje Cisco IOS s podatne na atak DoS podatno t odkry FX z gru-py Phenoelit (patrz Ramka W Sieci). Jeli wyle si duo pakietw CDP z rnymi ID (zachowujcych si jak

rne urzdzenia sieciowe), to wy-czerpie si pami w urzdzeniu. W efekcie przestanie ono dziaa i bdzie musiao zosta zrestartowa-ne, by zachowywao si poprawnie. Taki atak moe spowodowa od-czenie segmentu sieci lub, jeli ce-lem jest ruter, brak dostpu do Inter-netu a do restartu.

Do dzieaJeli jestemy poczeni z sieci, w ktrej dziaaj urzdzenia obsu-gujce CDP, Yersinia w trybie GUI szybko pokae tryby CDP tych urz-dze. Pierwszy atak zwizany z CDP opiera si na wspomnianej wyej po-datnoci; nie potrzebujemy adnych dodatkowych danych. W GUI Yer-sinii, w trybie CDP, wystarczy naci-sn [x] i wybra atak flooding CDP

Rysunek 5. TLV przykadowego pakietu ogldanego w Yersinii

Listing 4. Rezultat ataku CDP DoS

# show cdp neighbours

Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge

S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone

Device ID Local Intrfce Holdtme Capability Platform Port ID

2EEEWWW Gig 0/1 253 yersinia Eth 0

ZCCCUU9 Gig 0/1 250 T S I r yersinia Eth 0

J222FFX Gig 0/1 249 R T yersinia Eth 0

WAAASS6 Gig 0/1 240 R B I r yersinia Eth 0

2IIWWWE Gig 0/1 249 T B H I yersinia Eth 0

K333FFX Gig 0/1 234 R T yersinia Eth 0

TBBBOO7 Gig 0/1 252 B H r yersinia Eth 0

3KKYKYY Gig 0/1 250 R B H yersinia Eth 0

TBBBPP7 Gig 0/1 252 S H I r yersinia Eth 0

Listing 5. Rezultat ataku CDP DoS log switcha

00:06:08: %SYS-2-MALLOCFAIL: Memory allocation of 224 bytes failed from 0x800118D0, alignment 0

Pool: Processor Free: 0 Cause: Not enough free memory

Alternate Pool: I/O Free: 32 Cause: Not enough free memory

-Process= "CDP Protocol", ipl= 0, pid= 26

-Traceback= 801DFC30 801E1DD8 800118D8 80011218 801D932C 801D9318

00:06:08: ../src-calhoun/strata_stats.c at line 137: can't not push event list
















00:06:38: %SYS-2-MALLOCFAIL: Memory allocation of 140 bytes failed from 0x801E28BC, alignment 0

Pool: Processor Free: 0 Cause: Not enough free memory

Alternate Pool: I/O Free: 32 Cause: Not enough free memory



table. Rezultaty widoczne s na Li-stingu 5, za log switcha wida na Li-stingu 5.

Za pomoc Yersinii mona tak-e przeprowadzi atak umoliwiaj-cy tworzenie wirtualnych urzdze Cisco. Kiedy administrator spraw-dza sieciowych ssiadw prawdzi-wych urzdze, wszystkie sprepa-rowane pojawi si w konsoli Cisco. Ten atak nie ma adnych negatyw-nych konsekwencji poza zdenerwo-waniem administratora (ktry oczy-wicie bdzie chcia si dowiedzie, skd wziy si nowe urzdzenia podczone do sieci).

ObronaJedyn skuteczn obron przed ata-kami CDP jest wyczenie tego pro-tokou poleceniem no cdp run. Sam protok nie posiada adnych roz-szerzonych funkcji bezpieczestwa.

DTP (Dynamic Trunking Protocol)DTP to wasnociowy protok Cisco, ktry ustanawia magistrale (ang. trunk patrz Ramka Co to jest trunking) midzy przecznikami warstwy dru-giej. Pakiety DTP zwykle maj war-to 01:00:0C:CC:CC:CC jako doce-lowy adres MAC oraz ramk 802.3 zawierajc nagwek 802.2 SNAP (patrz Rysunek 6). Protok ten jest dostpny we wszystkich modelach przecznikw Cisco, poza seri XL.

W urzdzeniach Cisco protok DTP jest domylnie wczony i go-towy do negocjacji z kadym (fizycz-nym) portem switcha. Aby jednak ustanowi magistral, trzeba wie-dzie, jak negocjowa DTP. Specy-fikacja protokou jest wasnoci Ci-sco, co odrobin utrudnia spraw; autorzy artykuu byli zmuszeni do-

kona inynierii wstecznej (reverse engineering) ruchu midzy dwoma switchami poczonymi magistral, aby rozpracowa format DTP.

DTP negocjuje aktywacj magi-strali i typ enkapsulacji uywany do przesyania ruchu przez dany port. Najpopularniejszym rodzajem en-kapsulacji jest IEEE 802.1Q, obsu-giwana przez wikszo przecz-nikw Cisco jej specyfikacja to pu-bliczny standard. W zamian moe by jednak uywana ISL, bdca z kolei wasnociowym protokoem Cisco, dostpnym jedynie w urz-dzeniach z najwyszej pki. Gw-nym powodem uywania enkapsu-lacji jest znakowanie pakietw odpo-wiednimi tagami VLAN. Umoliwia to przecznikom wysyanie pakietw w odpowiednie miejsca.

AtakiJak ju wspomnielimy, DTP nie uywa uwierzytelniania nadawcy. Jest aktywne domylnie na wszyst-kich portach jedynym warunkiem jest moliwo negocjowania DTP.

Jeli tak jest, moemy zdoby do-stp do innych VLAN. Aby wiedzie jak negocjowa DTP, musimy po-zna format pakietw DTP (patrz Ry-sunek 7):

Domain (32 bajty) acuch ASCII identyczny ze skonfiguro-wan domen VTP,

Status (1 bajt) pokazuje status portu: on, off, desirable lub auto; domylnie desirable moemy zacz negocjowa DTP,

Type (1 bajt) obsugiwany typ en-kapsulacji: ISL, 802.1Q, negotiated (ISL lub 802.1Q) lub native,

Neighbor-ID (6 bajtw) identy-fikuje urzdzenie wysyajce pa-kiet, zwykle adres MAC portu.

W przypadku urzdze Cisco pierw-szym krokiem przy negocjacji DTP jest wysanie trzech pakietw je-den na sekund pokazujcych sta-tus czenia w magistral i wymaga-ny typ enkapsulacji. Nastpnie pakiet DTP jest wysyany co 30 sekund. Yer-sinia implementuje to zachowanie jako

Rysunek 6. Struktura pakietu DTP

Co to jest trunkingW telefonii trunk (magistrala) jest lini, przez ktr mona przesya midzy dwoma punktami wicej ni jeden ka-na gosu lub danych w tym samym cza-sie. W znaczeniu sieciowym, magistra-la moe czy dwa switche. W ten spo-sb przesya si ruch wielu sieci VLAN przez jedno i to samo cze.

Rysunek 7. Budowa pakietu DTP (bez nagwkw Ethernet)

Listing 6. Status VLAN przed atakiem

zipi# sh vlan

VLAN Name Status Ports

---- ----------------------------- --------- -------------------------------

1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4

Fa0/5, Fa0/6, Fa0/7, Fa0/8

Fa0/9, Fa0/14, Fa0/15, Fa0/16

Fa0/17, Fa0/18, Fa0/19, Fa0/24

Gi0/1, Gi0/2

100 Office active Fa0/10, Fa0/11, Fa0/12, Fa0/13

200 Internet active Fa0/20, Fa0/21, Fa0/22, Fa0/23


Pod lup

8

wtek odpowiedzialny za zadanie. Z drugiej strony, do zmiany wasnego statusu w razie koniecznoci niezbd-ny jest nadzr nad statusem innego urzdzenia Yersinia dokonuje tego za pomoc ptli odbierajcej pakie-ty DTP. Po kilkukrotnym sprawdzeniu, Yersinia zmienia swj status DTP sto-sownie do statusu innego urzdzenia.

Do dzieaSprawdmy jak wyglda atak uy-jemy switcha Catalyst 2950T z syste-mem IOS 12.1(22) EA3. Nazwa ho-sta to zipi, s tutaj dwie sieci VLAN: Office (porty Fa0/10, Fa0/11, Fa0/12 i Fa0/13) oraz Internet (porty Fa0/20, Fa0/21, Fa0/22 i Fa0/23). Domena VTP zostaa zmieniona na Yersinia.

Wszystkie inne parametry maj war-to domyln. Na Listingu 6 wida status VLAN przed atakiem.

W trybie GUI wybierzmy ekran protokou DTP. Jeli jest on obec-ny w sieci, zobaczymy dane DTP po niecaych 30 sekundach. Moemy take obejrze status portw DTP z konsoli przecznika: nasz port to Fa0/10, a jego status jest domylny (patrz Listing 7).

Za pomoc klawisza [d ] musimy wypeni dolne pola okna domylny-mi wartociami. Nastpnie przy uy-ciu klawisza [e] modyfikujemy pole Neighbor-ID, wprowadzajc warto 666666666666. Aby zakoczy edy-cj naciskamy [Enter].

Teraz przeczmy si do okna ataku DTP przy uyciu [x] i wybiera-my atak typu enabling trunking. Sta-tus portu DTP zmieni si na TRUN-KING, a pole Neighbor address 1 b-dzie zawiera nasz ID (patrz Listing 8).Co wicej, jeli tak jak poprzednio spojrzymy na porty przypisane VLAN, zobaczymy, e naszego portu Fa0/10 nie ma na licie VLAN (patrz Listing 9).W gwnym oknie Yersinii zobaczy-my nowe pakiety te zmodyfikowa-ne przez nas maj pole Neighbor-ID rwne 666666666666 (patrz Rysunek 8). Od tej pory bdziemy mogli prze-prowadza ataki na protokoy 802.1Q i VTP. Dodatkowo bdziemy te mogli imitowa zachowanie innego switcha, co umoliwi ledzenie ruchu VLAN (in-nego ni ten, do ktrego jestemy pod-czeni).

ObronaJedyn skuteczn metod obro-ny przeciwko atakom DTP jest wy-czenie automatycznego zestawia-nia magistral za pomoc polecenia switchport mode access admini-strator bdzie wtedy musia rcznie wcza zestawianie (w konfiguracji switcha) dla kadej nowej magistrali.

IEEE 802.1QSpecyfikacja protokou IEE 802.1Q jest publiczna. Opisuje ona format wykorzystywany w pakietach prze-chodzcych przez cza magistralo-we. Ze wzgldu na otwarty charakter specyfikacji, ten standard jest obecnie

Listing 7. Status portu DTP widziany w konsoli switcha

zipi# sh dtp int Fa0/10

DTP information for FastEthernet0/10:

TOS/TAS/TNS: ACCESS/DESIRABLE/ACCESS

TOT/TAT/TNT: NATIVE/802.1Q/802.1Q

Neighbor address 1: 000000000000


Listing 8. Status portu po ataku

zipi# sh dtp int fa0/10

DTP information for FastEthernet0/10:

TOS/TAS/TNS: TRUNK/DESIRABLE/TRUNK

TOT/TAT/TNT: 802.1Q/802.1Q/802.1Q



Listing 9. Porty przypisane do VLAN po ataku

zipi# sh vlan


---- ----------------------------- --------- -------------------------------


Fa0/5, Fa0/6, Fa0/7, Fa0/8

Fa0/9, Fa0/14, Fa0/15, Fa0/16

Fa0/17, Fa0/18, Fa0/19, Fa0/24

Gi0/1, Gi0/2

100 Office active Fa0/11, Fa0/12, Fa0/13


Rysunek 8. Efekt ataku DTP



akceptowany przez wikszo produ-centw i jest popularn metod zesta-wiania magistral pomidzy przeczni-kami rnych firm. Nie jest to jednak standard jedyny wikszo produ-centw stosuje wasne rozwizania, na przykad Cisco ma swj zastrzeo-ny protok ISL (Inter-Switch Link).

Kiedy switch odbiera ramk, do-daje do niej znacznik 802.1Q (4 baj-ty), przelicza FCS (Frame Check Se-quence) i wysya zmodyfikowan ram-k do cza magistralowego. Rysu-nek 9 przedstawia pola dodane przez 802.1Q do ramki Ethernet_II. Pole VID identyfikuje sie VLAN, do ktrej nale-y pakiet, moe przyjmowa wartoci midzy 0 a 4096. Teoretycznie jeli nawiemy poczenie magistralowe, a switch obsuguje 802.1Q moemy wysya pakiety do rnych VLAN.

AtakiDo uywania 802.1Q konieczne jest zestawienie magistrali. W poprzed-niej sekcji moglimy zobaczy, jak utworzy magistral za pomoc DTP, a dodatkowo jak okreli, czy z 802.1Q bdzie uywana enkapsu-lacja. Zamy wic, e cze magi-stralowe ju na odpowiednim porcie istnieje.

Ataki przeciwko 802.1Q mona podzieli na dwa typy:

przesyanie ramek 802.1Q do sie-ci VLAN nienalecej do atakuj-cego,

uycie podwjnie enkapsulowa-nych ramek 802.1Q ten rodzaj ataku dodaje dwa znaczniki do oryginalnej ramki, w celu uycia sieci VLAN z drugiego znacznika jako docelowej po tym, jak switch usunie pierwszy tag.

Do dzieaSprbujmy najpierw wysa za po-moc Yersinii podwjnie enkapsu-lowane ramki 802.1Q. Na ekranie 802.1Q wypeniamy pola domylny-mi wartociami (klawisz [d ]) i prze-chodzimy do trybu edytora (klawisz [e]). Teraz zmiemy warto Sour-ce MAC na 66:66:66:66:66:66, war-to VLAN na 16, a VLAN2 na 1. Na koniec wyjdmy z trybu edytora [En-

ter]. Teraz przejdmy to okna ataku klawiszem [x] i wybierzmy atak sen-ding 802.1Q double enc. packet.

Yersinia uyje 802.1Q do wysa-nia pakietw ICMP Echo Request

z adunkiem YERSINIA. Listing 10 pokazuje taki pakiet, zdekodowa-ny za pomoc narzdzia Ethere-al (cz pl usunito dla wikszej przejrzystoci). Dokadnie wida, e

Rysunek 9. Pola dodane przez 802.1Q do ramki Ethernet_II

Listing 10. Zdekodowany za pomoc Ethereal pakiet Yersinia ICMP Echo Request

Ethernet II, Src: 66:66:66:66:66:66, Dst: ff:ff:ff:ff:ff:ff

Destination: ff:ff:ff:ff:ff:ff (ff:ff:ff:ff:ff:ff)

Source: 66:66:66:66:66:66 (66:66:66:66:66:66)

Type: 802.1Q Virtual LAN (0x8100)

802.1q Virtual LAN

111. .... .... .... = Priority: 7

...0 .... .... .... = CFI: 0

.... 0000 0001 0000 = ID: 16

Type: 802.1Q Virtual LAN (0x8100)

802.1q Virtual LAN

111. .... .... .... = Priority: 7

...0 .... .... .... = CFI: 0

.... 0000 0000 0001 = ID: 1

Type: IP (0x0800)

Internet Protocol, Src Addr: 10.0.0.1 (10.0.0.1), Dst Addr: 255.255.255.255 (255.255.255.255)

Protocol: ICMP (0x01)

Source: 10.0.0.1 (10.0.0.1)

Destination: 255.255.255.255 (255.255.255.255)

Internet Control Message Protocol

Type: 8 (Echo (ping) request)

Checksum: 0xb953 (correct)

Identifier: 0x0042

Sequence number: 00:42

Data (8 bytes)

0000 59 45 52 53 49 4e 49 41 YERSINIA

Listing 11. Konfiguracja VLAN wykorzystana w ataku

zipi# sh vlan


---- ----------------------------- --------- -------------------------------


Fa0/5, Fa0/6, Fa0/7, Fa0/8

Fa0/9, Fa0/14, Fa0/15, Fa0/16

Fa0/17, Fa0/18, Fa0/19, Fa0/24

Gi0/1, Gi0/2




Pod lup

10

wysalimy podwjnie enkapsulowa-n ramk 802.1Q najpierw z VLAN 16, a nastpnie z VLAN 1.

Ten atak tylko pokazuje, e mo-emy wstrzykn ruch sieciowy do innych VLAN (tak zwany VLAN-hop-ping). Mona te przeprowadza bardziej zaawansowane ataki, na przykad man-in-the-middle. Przy-sze wersje Yersinii bd oferowa takie metody.

Do nastpnego ataku bdziemy potrzebowali bardziej zoonej kon-figuracji. Zamy, e mamy switch o nazwie zipi z systemem IOS 12.1(22) EA3 i dwiema sieciami VLAN: Office (porty Fa0/10, Fa0/11, Fa0/12 i Fa0/13) oraz Internet (Fa0/20, Fa0/21, Fa0/22 i Fa0/23) patrz Listing 11. Domena VTP zostaa zmieniona na

Yersinia. Inne zmienne konfiguracyjne maj warto domyln.

Rysunek 10 przedstawia struk-tur sieci. Urzdzenie atakujce-go jest poczone z VLAN 100 (Of-fice) przez port Fa0/10. Do VLAN 200 podczony jest komputer z systemem Windows, o adresie IP 10.13.58.128. Jak wida na Rysun-ku 10, urzdzenia z VLAN Internet cz si z Internetem przez ruter o adresie IP 10.13.58.253, a VLAN Office nie ma dostpu do Internetu.

Chcemy uzyska dostp do ru-chu generowanego przez komputer z Windows, pooonego w sieci VLAN Internet. W tym celu uyjemy ataku sending 802.1Q arp poisoning. Przed rozpoczciem ataku powinnimy jed-nak upewni si, e wpis ARP dla

10.13.58.253 (rutera internetowego) w tablicy ARP systemu z Windows (10.13.58.128) jest prawdziwym ad-resem MAC rutera. Ponadto, tak, jak w porzedniej sekcji, musimy wczy i wynegocjowa cze magistralowe.

Wybierzmy teraz ekran 802.1Q. Prawdopodobnie zobaczymy pakiety kierowane do adresu MAC broadcast lub multicast. Ten typ pakietw jest wysyany do wszystkich portw na-lecych do tej samej sieci VLAN (w naszym przypadku 200, VLAN Inter-net) i dodatkowo do wszystkich portw z wynegocjowan magistral (takich, jak nasz port). Wypenijmy teraz po-la domylnymi wartociami i przejd-my do trybu edytora, by zmieni pole Source MAC na 66:66:66:66:66:66. Nastpnie przejdmy do okna ataku i wybierzmy sending 802.1Q arp po-isoning potrzebuje on kilku parame-trw, wic pojawi si nowe okno z na-stpujcymi polami:

IP to poison adres IP, kt-ry chcemy zastpi, w naszym przypadku 10.13.58.253 (ruter in-ternetowy),

IP VLAN identyfikator sieci VLAN, do ktrej chcemy wysa pakiety, w naszym przypadku 200 (VLAN Internet),

ARP IP Source adres IP, ktry bdzie uyty do odgadnicia ad-resu MAC rutera internetowego; musi by nieprzypisanym jesz-cze adresem w tej samej VLAN, w ktrej znajduje si IP to poison uyjmy 10.13.58.66.

Teraz moemy ju rozpocz atak. Jeli wszystko pjdzie dobrze, adres MAC 66:66:66:66:66:66 pojawi si w tablicy ARP komputera z Windows (10.13.58.128), a na ekranie Yersinii pojawi si wicej danych (patrz Ry-sunek 11).

Sprbujmy zrozumie, jakie czynnoci wykonuje Yersinia:

szuka adresu MAC rutera inter-netowego przy uyciu faszy-wych (spoof) pakietw ARP,

kiedy adres MAC rutera jest ju znany, uruchamia si nowy w-tek, ktry wysya jeden pakiet

Rysunek 10. Mapa sieci dla 802.1Q

Rysunek 11. Efekt ataku 802.1Q



ARP reply na sekund; to zatru-je tablic ARP Windows faszy-wym adresem MAC adresu IP 10.13.58.253 (ruter internetowy) 66:66:66:66:66:66.

Yersinia moe teraz przechwyci wszystkie dane wysyane przez komputer z Windows (10.13.58.128) do Internetu, a nastpnie prze-pisa je i odesa do rdowe-go VLAN (VLAN Internet, ID 200) jako skierowane do prawdziwe-go adresu MAC rutera interneto-wego (10.13.58.253). Jeli chcemy zapisa dane sieciowe, wystar-czy nacisn klawisz [s] zosta-n zapisane w formacie pcap. Lepiej, eby waciciel systemu Windows nie uywa nieszyfrowa-nych hase.

ObronaObrona przed atakami IEEE 802.1Q jest taka sama, jak w przypadku DTP. Musimy wyczy automatycz-ne tworzenie magistral.

VTP (VLAN Trunking Protocol)VTP to kolejny zastrzeony protok Cisco, przeznaczony do scentralizo-wanego zarzdzania sieciami VLAN. Przykadowo jeli VLAN jest skonfi-gurowana na przeczniku, zwiza-ne z ni informacje (nazwa i identy-fikator VLAN) mog by skonfiguro-wane automatycznie we wszystkich przecznikach nalecych do tej sa-mej domeny VTP (patrz Ramka Co to jest domena VTP). Pakiet VTP s wysyane z ramk IEEE 802.3 za-wierajc nagwek 802.2 SNAP na adres MAC multicast 01:00:0C:CC:CC:CC (patrz Rysunek 12).

Istniej cztery typy pakietw VTP:

Summary advertisement SUM-MARY podobny do Hello, wysy-any co 5 minut,

Advertisement request REQU-EST uywany przy daniu in-formacji,

Subset advertisement SUBSET pakiet danych z opisami VLAN.

Join JOIN.

AtakiCho VTP umoliwia korzystanie z hase, ta opcja nie jest domylnie wczona. Jednak hash MD5 zawsze bdzie obecny w pakiecie SUMMA-RY jest obliczany razem z konfigu-racj VLAN, hasem (jeli jest uy-wane) oraz innymi polami.

Domylnie pakiet VTP SUMMA-RY jest wysyany co 5 minut. Bio-rc pod uwag fakt, e ataki VTP potrzebuj nieco danych uzyska-nych z pakietu tego typu, s nieco bardziej czasochonne. Jednorazo-wy atak nigdy nie trwa jednak duej ni 5 minut.

Yersinia umoliwia kilka atakw VTP. Przyjrzyjmy si dwm najwa-niejszym: dodawanie VLAN i usuwa-nie VLAN. Aby te ataki si powiody, naley wykona nastpujce kroki:

Rysunek 12. Struktura pakietu VTP

Co to jest domena VTPDomena VTP to acuch ASCII wsplny dla wszystkich przecznikw z tej sa-mej grupy lub jednostki (entity). Wszyst-kie pakiety VTP zawieraj ten acuch, a w dodatku domena jest obecna w nie-ktrych polach CDP nawet domena DTP jest tym samym acuchem.

Listing 12. Usunicie VLAN udany atak

zipi# sh vlan


---- ----------------------------- --------- -------------------------------


Fa0/5, Fa0/6, Fa0/7, Fa0/8

Fa0/9, Fa0/14, Fa0/15, Fa0/16

Fa0/17, Fa0/18, Fa0/19, Fa0/24

Gi0/1, Gi0/2


Rysunek 13. VTP attack results


Pod lup

12

zebranie przydatnych danych VTP; najlepszym sposobem jest oczeki-wanie na pakiet SUMMARY,

wysanie pakietu REQUEST, by zebra informacje o VLAN,

modyfikacja sieci VLAN pozna-nych we wczeniejszym kroku,

wysanie nowej konfigura-cji VLAN za pomoc pakietw SUMMARY i SUBSET.

Do dzieaKonfiguracja przykadowego ataku jest taka sama, jak poprzednio dwie sieci VLAN, Office (ID 100) i Internet (ID 200). Gwnym celem ataku jest usunicie tej drugiej sieci. Yersinia jest zlokalizowana na porcie Fa0/13.

Przejdmy do ekranu VTP, wype-nijmy pola wartociami domylnymi i rozpocznijmy atak deleting one vlan. Yersinia poprosi o podanie identyfi-katora VLAN, ktry chcemy usun (w naszym przypadku 200). Po kil-ku minutach gwne okno bdzie wyglda tak, jak na Rysunku 13.Jeli atak si powid, nie zobaczy-my VLAN 200 w konsoli switcha (patrz Listing 12).

Konsekwencje usunicia VLAN mog by rne. Testy wykazuj, e wszystkie urzdzenia poczone z portem nalecym do usunitej sie-ci VLAN zostaj rozczone. Zachca-my jednak czytelnikw do wasnych eksperymentw. Mona sprbowa skonfigurowa jedn z maszyn tak, by pingowaa komputer w tej samej sie-ci VLAN (na przykad bram domyl-n), a nastpnie usun VLAN. Za-uwaymy, e pakiety ICMP przesta-n generowa odpowiedzi. Jeli jed-nak sie VLAN zostanie ponownie do-dana (oczywicie za pomoc Yersinii), ping znw zadziaa.

ObronaTak, jak w przypadku dwch po-przednich sekcji, wyczenie auto-matycznego zestawiania magistral jest najbardziej skuteczn obron. W tym wypadku moemy jednak rwnie dobrze uy hase VTP.

PodsumowaniePoznalimy cakiem sporo protoko-w warstwy cza danych, jak rw-

nie najpopularniejszych atakw na nie. Przykady pokazuj jasno, e warstwa druga moe stanowi po-wany problem, jeli przy konfigu-racji sieci nie wemiemy pod uwag

zagroe z ni zwizanych. Wik-szo protokow jest podatna na atak podczas zarzdzania nimi trzeba zachowa szczegln ostro-no. l

W Sieci

http://yersinia.sourceforge.net/ strona domowa narzdzia Yersinia, http://www.blackhat.com/presentations/bh-usa-02/bh-us-02-convery-swit-

ches.pdf prezentacja Seana Convery'ego o hakowaniu wartwy drugiej.

Spanning Tree Protocol

http://www.javvin.com/protocolSTP.html o Spanning Tree Protocol, http://www.cisco.com/univercd/cc/td/doc/product/lan/trsrb/frames.htm#xtocid61

format pakietw BPDU, http://www.cisco.com/warp/public/473/146.html artyku Understanding Rapid

Spanning Tree Protocol (802.1w), http://www.cisco.com/warp/public/473/17.html artyku Understanding Span-

ning-Tree Protocol Topology Changes, http://www.cisco.com/warp/public/473/65.html artyku o Spanning Tree Portfast

BPDU Guard Enhancement, http://www.cisco.com/warp/public/473/74.html artyku o Spanning Tree Protocol

Root Guard Enhancement.

Cisco Discovery Protocol

http://www.cisco.com/univercd/cc/td/doc/product/lan/trsrb/frames.htm#xtocid12 format pakietw CDP,

http://www.phenoelit.de/stuff/CiscoCDP.txt rady grupy Phenoelit dotyczce po-datnoci systemu IOS na ataki CDP.

Dynamic Trunking Protocol

http://www.netcraftsmen.net/welcher/papers/switchvtp.html artyku Switching: Trunks and Dynamic Trunking Protocol (DTP).

IEEE 802.1Q

http://standards.ieee.org/getieee802/download/802.1Q-2003.pdf standard IEEE 802.1Q w PDF.

VLAN Trunking Protocol

http://www.cisco.com/univercd/cc/td/doc/product/lan/trsrb/frames.htm#xtocid31 format ramki VTP.

O autorachDavid Barroso specjalizuje si w reagowaniu na incydenty w bezpieczestwie sie-ciowym. Obecnie pracuje w hiszpaskiej firmie S21sec zajmujcej si bezpiecze-stwem sieci, jest gboko zaangaowany w oglnowiatow spoeczno zaintereso-wan tym zagadnieniem pisze artykuy, dokumenty i tworzy nowe narzdzia bez-pieczestwa.

Alfredo Andrs od kilku lat zajmuje si zawodowo bezpieczestwem sieciowym. Jest aktywnym uczestnikiem ruchu Wolnego Oprogramowania, tworzy narzdzia i a-ty. Pracuje w S21sec, szefujc grupie zajmujcej si testami penetracyjnymi.

Obaj autorzy prezentowali Yersini na konferencji Black Hat Europe 2005, gdzie pokazali te, zwizany z jednym z omawianych protokow, premierowy (0-day), kon-trolowany atak na Cisco, odkryty podczas tworzenia narzdzia.