Vulnerabilidades e ataques na camada 2

Prévia do material em texto

14/02/22, 10:02 AVA UNINOVE
https://ava.uninove.br/seu/AVA/topico/topico.php 1/8
Marcar 
tópico

Vulnerabilidades e ataques na camada 2
O presente tópico tem por objetivo mostrar as possíveis vulnerabilidade e ataques na camada de enlace de dados e
como melhorar a segurança com vista a diminuir as vulnerabilidades e evitar um ataque.
AUTOR(A)
PROF.
FRANCISCO
ARAUJO
BOMFIM
JUNIOR
    
Introdução
Quando se fala em mecanismos de segurança, logo se vem a mente os
Firewalls, antivírus, IDS e IPS, com vistas a oferecer proteção entre a rede
local e a internet e proteção dos serviços contidos nos servidores e estações.
Mas, muitas vezes, os administradores de redes negligenciam a segurança na
camada 2 (Enlace de dados), não dando a devida importância aos
equipamentos da rede interna, principalmente os switches.
Isso se deve, principalmente, a tendência em supor que a maior parte das
ameaças tem origem na Internet. Isso não deixa de ser verdade, porém, nos
últimos tempos, tem crescido o número de ataques que exploram as
vulnerabilidades decorrentes da lógica de funcionamento na camada de
Enlace, principalmente dos switches e do modo de aprendizado dos
endereços MACs.
Proteger a camada 2 tem impacto direto sobre as camadas superiores,
protegendo muitas vezes, os serviços que estão ativos na camada de
Aplicação, como será demonstrado no decorrer do presente tópico.
NESTE TÓPICO


14/02/22, 10:02 AVA UNINOVE
https://ava.uninove.br/seu/AVA/topico/topico.php 2/8
Switch camada 2
Vulnerabilidades na Camada 2
As vulnerabilidades na camada 2 são decorrentes do funcionamento dos
switches e da lógica de descobertas de dispositivos dentro da rede. Por isso,
devemos entender como esses processos ocorrem para entender as
vulnerabilidades (Cisco Systems, 2020).
Vamos começar pelo aprendizado de endereços MACs. Em uma rede de
computadores, sempre que um pacote é enviado de um host A para o Host B,
é preciso conhecer endereços IPs e MACs de destino. Em redes IPv4 esse
processo ocorre por meio do envio, em broadcast, de pacotes ARP (Address
Resolution Protocol -  Protocolo de Resolução de Endereços), enquanto no
IPv6 a descoberta ocorre por meio do envio de mensagens, em multicast,
NDP (Neighbor Discovery Protocol - Protocolo de Descoberta de vizinho).
O switch por sua vez, ao receber este tipo de mensagem, propaga por todas
as suas interfaces, já que o campo de destino do quadro possui o endereço
MAC de destino um endereço MAC de Broadcast/Multicast. Por sua vez, os
dispositivos de rede que possui aquele endereço IP de destino, responde a
solicitação, por meio de uma mensagem ARP/NDP, em unicast, com o seu
próprio endereço MAC. Esse processo é ilustrado na figura que segue, onde o
PC com IP 192.168.0.1  envia um ARP Request em broadcast .

14/02/22, 10:02 AVA UNINOVE
https://ava.uninove.br/seu/AVA/topico/topico.php 3/8
Solicitação ARP
O switch por sua vez, ao receber este tipo de mensagem, propaga por todas
as suas interfaces, já que o campo de destino do quadro possui o endereço
MAC de destino um endereço MAC de Broadcast/Multicast. Por sua vez, os
dispositivos de rede que possui aquele endereço IP de destino, responde a
solicitação, por meio de uma mensagem ARP/NDP, em unicast, com o seu
próprio endereço MAC. Esse processo é ilustrado na figura que segue, onde o
PC com IP 192.168.0.1  envia um ARP Request em broadcast.
Do ponto de vista da lógica de funcionamento do switch, os endereços MACs
de origem são adicionados a sua tabela de endereços MACs, conhecida com
  SAT/CAM (Content Addressable Memory -  Memória Endereçável de
Conteúdo) a medida em que os dispositivos trocam pacotes na rede,
conforme ilustrado na figura que segue. Entretanto, quando os switches não
possuem em sua tabela SAT/CAM o endereço MAC associado a uma de suas
portas, ele realizar um broadcast, enviando estes quadros por todas as suas
interfaces.

14/02/22, 10:02 AVA UNINOVE
https://ava.uninove.br/seu/AVA/topico/topico.php 4/8
Aprendizado dos endereços MACs de origem pelo switch
Ataques na camada 2
A partir dessa lógica de aprendizado de endereços MACs por parte dos
dispositivos finais e dos switches, surgem os seguintes ataques (Cisco
System, 2020).
Falsificação de endereço (MAC Spoofing): Quando um switch aprende um
endereço MAC ele associa esse endereço a respectiva porta, mas se o
atacante utiliza esse mesmo endereço MAC em outra porta, o switch
atualiza a sua tabela CAM, retirando o endereço MAC associado a interface
antiga e associa a nova interface, onde, normalmente, está o atacante.
Estouro da tabela MAC (MAC Address Table Overflow): A tabela CAM é
limitada, normalmente, associa até 128 endereços por interface e essa
limitação pode ser explorada pelo atacante. Existem uma ferramenta
chamada Macof  que, quando ativada na máquina do atacante, ela inunda a
tabela CAM do switch com endereços MACs falsos a uma taxa de 155000
por minuto. O resultado prático disso é que o switch passa a comportar
como HUB, já que ele não consegue encontrar o endereço MAC verdadeiro
em sua tabela CAM.
Ataques de DHCP: O atacante esgota todos os endereços IPs disponíveis no
servidor DHCP a partir do envio do envio de solicitação DHCP com
endereços MACs falso. Este ataque é conhecido DHCP Starvation e algumas
literatura reporta como ataque de camada 3. Em associação a este tipo de
ataque, após levar a inoperância do DHCP legítimo, o atacante insere na
rede um servidor DHCP pirata (Rogue DHCP Server) e todas as solicitações
DHCP, agora, serão respondidas pelo Rogue DHCP.
Ataques de ARP: É uma técnica utilizada pelo atacante para associa o seu
endereço MAC a um endereço IP da rede, geralmente de um gateway
padrão. Isso faz com que, por exemplo, o tráfego a uma rede remota seja
redirecionado para o computador do ataque. Este tipo de ataque é

14/02/22, 10:02 AVA UNINOVE
https://ava.uninove.br/seu/AVA/topico/topico.php 5/8
normalmente utilizado abertura para outros tipos de ataque como, por
exemplo, Man-in-the-middle, negação de serviço ou sequestro de conexão.
Como se prevenir?
Existem diversos recursos de segurança que tem por objetivo prevenir
alguns efeitos causados pelos ataques vistos anteriormente. Cabe
acrescentar que estes recursos variam de fabricante para fabricante, e
muitas vezes, são até inexistentes, por isso, é importante verificar se o
switch permite tais configurações, antes de implantá-los em rede. Veja
abaixo algumas possibilidades (Cisco System, 2020):
Inspeção dinâmica de ARP (Dynamic ARP inspection): analisa as
características dos hosts conectados as interfaces do switch prevenindo
spoofing de camada 2.
Inplementar autenticação 802.1x: O protocolo 802.1x e os servidores de
autenticação (RADIUS e Tacacs) permitem que apenas os dispositivos
autenticados tenham acesso a rede. O 802.1x será visto em outro tópico.
Implementar DHCP snooping: Este recurso configurado no switch permite
filtrar mensagens DHCP, atribuindo status de não confiáveis/inválidas a
partir da construção de uma tabela de uma DHCP Snooping Binding Table.
A partir dessa tabela, sabe-se quais portas podem responder a solicitações
DHCP (portas confiáveis conectadas ao servidor DHCP) e não confiáveis
(portas que não deve responder à solicitações DHCP).
Implementar Storm control: limita a quantidade de tráfego broadcast ou
multicast enviados pelos switches na rede.
Implementar Segurança de porta (Port security): limita o número de
endereços MACs que o switch aprende por interface. Este tipo mecanismo
de segurança pode prevenir ataques do tipo MAC flooding. Para
exemplificar este mecanismo vamos criar a topologia abaixo no Packet
Tracer.
Laboratório: Configuração do port-security
Para exemplificar este mecanismo vamos criar a topologia abaixo no Packet
Tracer. Siga as seguintes etapas.
1. Etapa: Crie a topologia conforme figura da esquerda. Utilize o switch
genérico ou 2960.

14/02/22, 10:02 AVA UNINOVE
https://ava.uninove.br/seu/AVA/topico/topico.php 6/8
Topologiapara configuração do port-security
Fonte:
2. Etapa: Configure os endereços IPs e realize um Ping do PC1 para o PC2, para verificar a conectividade.
ATENÇÃO: Não conecte ainda o PC do ATACANTE
3. Etapa: Adicione a configuração a seguir nas interfaces do switch. Na configuração abaixo a configuração
será aplicada nas interfaces f0/1 a f0/5:
1. Switch(config)# interface range f0/1-5
2. Switch(config-if-range)# switchport mode access
3. Switch(config-if-range)# switchport port-security
4. Switch(config-if-range)# switchport port-security maximum 1
5. Switch(config-if-range)# switchport port-security mac-address stick
6. Switch(config-if-range)# switchport port-security violation shutdown
Explicação:
switchport mode access: A porta foi configurada em modo acesso, onde são
conectados os dispositivos terminais;
switchport port-security: Ativação da segurança de porta.
switchport port-security maximum 1: informa ao switch que será aprendido
apenas um endereço MAC.
switchport port-security mac-address stick: mac-address stick permite o
aprendizado dinâmico do endereço MAC. Como no comando anterior foi
informado o aprendizado de apenas 1 endereço MAC (maximum 1), será
aprendido apenas um endereço MAC. Obs: o endereço MAC do dispositivo
pode ser adicionado estaticamente por meio do comando )# switchport
port-security mac-address "endereço MAC".
switchport port-security violation shutdown: A opção shutdown indica para
o switch desligar a porta caso haja violação. Existem também o modo
Protect (Proteger) que ignora os pacotes com endereços MACs
desconhecidos ou aumente o número máximo de endereços permitidos.
Neste caso não há notificação ao administrador. Outra opção é modo
Restrict (Restringir), é semelhante ao anterior, mas você é notificado e
contador de violação é incrementado.
4. Etapa: Realize novamente um ping entre os PC1 e PC2 para que os endereços MACs dos dispositivos
sejam associados as respectivas portas.
5. Etapa: Substitua o PC2 pelo PC do ATACANTE (Coloque o PC do ATACANTE na interface f0/1). Na
sequência tente realizar um ping para o PC1. A porta agora deve ter sido desligada (shutdown).
6.  Etapa: Verifique a situação geral do port-security e da interface por meio dos comandos:
1. Switch# show port-security 
2. Switch# show port-security interface f0/1
7. Última Etapa: Para ativar novamente a interface emita o comando shutdown e posteriormente no
shutdown.

14/02/22, 10:02 AVA UNINOVE
https://ava.uninove.br/seu/AVA/topico/topico.php 7/8

Chegamos ao fim de mais uma aula. Para consolidar os conhecimentos
aprendidos até agora, assista o vídeo que trata da ferramenta Macof   e da
segurança do switch.
16:23
Referências
Cisco Systems. CCNA Operation Security. Disponível em: cisco.netacad.net, acesso em Jun. 2020.
McNab, Chris. Avaliação de segurança de redes: conheça a sua rede.  São Paulo: Novatec, 2017.
Filippetti, Marco Aurélio. CCNA 6.0: Guia Completo de Estudo. Florianópolis: Visual Books, 2017.
 
Avalie este tópico


ANTERIOR
Scanners e Farejadores de rede e sua
implementação

PRÓXIMO
Roteiro
 
ÍndiceBiblioteca
(https://www.uninove.br/conheca-
a-
uninove/biblioteca/sobre-
a-
biblioteca/apresentacao/)
Portal Uninove
(http://www.uninove.br)
Mapa do Site
® Todos os direitos reservados
Ajuda?
(https://ava.un
idCurso=)

https://www.uninove.br/conheca-a-uninove/biblioteca/sobre-a-biblioteca/apresentacao/
http://www.uninove.br/
https://ava.uninove.br/seu/AVA/help/help.php?idCurso=
14/02/22, 10:02 AVA UNINOVE
https://ava.uninove.br/seu/AVA/topico/topico.php 8/8