ความปลอดภัยของเครือข่าย - Data Link Layer
เราได้เห็นว่าการเติบโตอย่างรวดเร็วของอินเทอร์เน็ตทำให้เกิดความกังวลหลักในเรื่องความปลอดภัยของเครือข่าย มีการพัฒนาวิธีการหลายอย่างเพื่อรักษาความปลอดภัยในแอปพลิเคชันการขนส่งหรือเลเยอร์เครือข่ายของเครือข่าย
หลายองค์กรรวมมาตรการรักษาความปลอดภัยไว้ที่ชั้น OSI ที่สูงขึ้นตั้งแต่ชั้นแอปพลิเคชันไปจนถึงชั้น IP อย่างไรก็ตามโดยทั่วไปพื้นที่หนึ่งที่ถูกปล่อยทิ้งไว้โดยไม่มีใครดูแลคือการทำให้เลเยอร์ Data Link แข็งตัว สิ่งนี้สามารถเปิดเครือข่ายให้มีการโจมตีและการประนีประนอมที่หลากหลาย
ในบทนี้เราจะพูดถึงปัญหาด้านความปลอดภัยที่ Data Link Layer และวิธีการตอบโต้ การสนทนาของเราจะเน้นไปที่เครือข่ายอีเธอร์เน็ต
ข้อกังวลด้านความปลอดภัยใน Data Link Layer
Data link Layer ในเครือข่ายอีเทอร์เน็ตมีแนวโน้มที่จะถูกโจมตีหลายครั้ง การโจมตีที่พบบ่อยที่สุดคือ -
ARP การปลอมแปลง
Address Resolution Protocol (ARP) เป็นโปรโตคอลที่ใช้ในการแมปที่อยู่ IP กับที่อยู่เครื่องจริงที่รู้จักในอีเทอร์เน็ตภายในเครื่อง เมื่อเครื่องโฮสต์ต้องการค้นหาที่อยู่ Media Access Control (MAC) ทางกายภาพสำหรับที่อยู่ IP เครื่องจะออกอากาศคำขอ ARP โฮสต์อื่นที่เป็นเจ้าของที่อยู่ IP จะส่งข้อความตอบกลับ ARP พร้อมที่อยู่จริง
เครื่องโฮสต์แต่ละเครื่องบนเครือข่ายจะดูแลตารางที่เรียกว่า 'ARP cache' ตารางนี้เก็บที่อยู่ IP และที่อยู่ MAC ที่เกี่ยวข้องของโฮสต์อื่นบนเครือข่าย
เนื่องจาก ARP เป็นโปรโตคอลไร้สถานะทุกครั้งที่โฮสต์ได้รับการตอบกลับ ARP จากโฮสต์อื่นแม้ว่าจะไม่ได้ส่งคำขอ ARP แต่ก็ยอมรับรายการ ARP และอัปเดตแคช ARP กระบวนการแก้ไขแคช ARP ของโฮสต์เป้าหมายด้วยรายการปลอมแปลงที่เรียกว่าการเป็นพิษ ARP หรือการปลอมแปลง ARP
การปลอมแปลง ARP อาจทำให้ผู้โจมตีสามารถปลอมตัวเป็นโฮสต์ที่ถูกต้องจากนั้นดักจับเฟรมข้อมูลบนเครือข่ายแก้ไขหรือหยุดการทำงานดังกล่าว บ่อยครั้งที่การโจมตีถูกใช้เพื่อเริ่มการโจมตีอื่น ๆ เช่นการโจมตีแบบคนตรงกลางการจี้เซสชันหรือการปฏิเสธการให้บริการ
MAC น้ำท่วม
สวิตช์ทุกตัวในอีเทอร์เน็ตมีตาราง Content-Addressable Memory (CAM) ที่จัดเก็บที่อยู่ MAC หมายเลขพอร์ตสลับและข้อมูลอื่น ๆ โต๊ะมีขนาดคงที่ ในการโจมตีด้วยน้ำท่วมของ MAC ผู้โจมตีจะเปิดสวิตช์ด้วยที่อยู่ MAC โดยใช้แพ็กเก็ต ARP ที่ปลอมแปลงจนกว่าตาราง CAM จะเต็ม
เมื่อ CAM ถูกน้ำท่วมสวิตช์จะเข้าสู่โหมดเหมือนฮับและเริ่มแพร่ภาพการรับส่งข้อมูลที่ไม่มีรายการ CAM ผู้โจมตีที่อยู่ในเครือข่ายเดียวกันตอนนี้ได้รับเฟรมทั้งหมดที่กำหนดไว้สำหรับโฮสต์ที่ระบุเท่านั้น
การขโมยพอร์ต
สวิตช์อีเทอร์เน็ตมีความสามารถในการเรียนรู้และผูกที่อยู่ MAC กับพอร์ต เมื่อสวิตช์รับทราฟฟิกจากพอร์ตที่มีที่อยู่ต้นทาง MAC มันจะผูกหมายเลขพอร์ตและที่อยู่ MAC นั้น
การโจมตีแบบขโมยพอร์ตใช้ประโยชน์จากความสามารถของสวิตช์นี้ ผู้โจมตีล้นสวิตช์ด้วยเฟรม ARP ปลอมโดยมีที่อยู่ MAC ของโฮสต์เป้าหมายเป็นที่อยู่ต้นทาง สวิตช์ถูกหลอกให้เชื่อว่าโฮสต์เป้าหมายอยู่บนพอร์ตซึ่งเชื่อมต่อกับผู้โจมตีจริง
ตอนนี้เฟรมข้อมูลทั้งหมดที่มีไว้สำหรับโฮสต์เป้าหมายจะถูกส่งไปยังพอร์ตสวิตช์ของผู้โจมตีและไม่ส่งไปยังโฮสต์เป้าหมาย ดังนั้นตอนนี้ผู้โจมตีจะได้รับเฟรมทั้งหมดซึ่งถูกกำหนดไว้สำหรับโฮสต์เป้าหมายเท่านั้น
การโจมตี DHCP
Dynamic Host Configuration Protocol (DHCP) ไม่ใช่โปรโตคอลดาต้าลิงค์ แต่วิธีแก้ปัญหาการโจมตี DHCP ยังมีประโยชน์ในการขัดขวางการโจมตี Layer 2
DHCP ใช้เพื่อจัดสรรที่อยู่ IP แบบไดนามิกให้กับคอมพิวเตอร์ในช่วงเวลาที่กำหนด เป็นไปได้ที่จะโจมตีเซิร์ฟเวอร์ DHCP โดยทำให้เกิดการปฏิเสธการให้บริการในเครือข่ายหรือโดยการแอบอ้างเป็นเซิร์ฟเวอร์ DHCP ในการโจมตีด้วยความอดอยาก DHCP ผู้โจมตีจะร้องขอที่อยู่ DHCP ที่มีอยู่ทั้งหมด ซึ่งส่งผลให้เกิดการปฏิเสธการให้บริการไปยังโฮสต์ที่ถูกต้องบนเครือข่าย
ในการโจมตีด้วยการปลอมแปลง DHCP ผู้โจมตีสามารถปรับใช้เซิร์ฟเวอร์ DHCP ที่หลอกลวงเพื่อให้ที่อยู่แก่ไคลเอ็นต์ ที่นี่ผู้โจมตีสามารถให้เครื่องโฮสต์ด้วยเกตเวย์เริ่มต้นของ rouge พร้อมการตอบสนอง DHCP ขณะนี้เฟรมข้อมูลจากโฮสต์ถูกนำทางไปยังรูจเกตเวย์ซึ่งผู้โจมตีสามารถสกัดกั้นแพ็คเกจทั้งหมดและตอบกลับเกตเวย์จริงหรือวางได้
การโจมตีอื่น ๆ
นอกเหนือจากการโจมตีที่ได้รับความนิยมข้างต้นแล้วยังมีการโจมตีอื่น ๆ เช่นการแพร่ภาพแบบ Layer 2, Denial of Service (DoS), การโคลน MAC
ในการโจมตีการแพร่ภาพผู้โจมตีจะส่งการตอบกลับ ARP ที่ปลอมแปลงไปยังโฮสต์บนเครือข่าย การตอบกลับ ARP เหล่านี้ตั้งค่าที่อยู่ MAC ของเกตเวย์เริ่มต้นไปยังที่อยู่ออกอากาศ สิ่งนี้ทำให้การรับส่งข้อมูลขาออกทั้งหมดได้รับการแพร่ภาพทำให้สามารถดักจับโดยผู้โจมตีที่นั่งบนอีเธอร์เน็ตเดียวกันได้ การโจมตีประเภทนี้ยังส่งผลต่อความจุของเครือข่าย
ในการโจมตี DoS ที่ใช้เลเยอร์ 2 ผู้โจมตีจะอัปเดตแคช ARP ของโฮสต์ในเครือข่ายด้วยที่อยู่ MAC ที่ไม่มีอยู่จริง ที่อยู่ MAC ของการ์ดอินเทอร์เฟซเครือข่ายแต่ละอันในเครือข่ายควรจะไม่ซ้ำกันทั่วโลก อย่างไรก็ตามสามารถเปลี่ยนแปลงได้อย่างง่ายดายโดยการเปิดใช้งานการโคลน MAC ผู้โจมตีปิดใช้งานโฮสต์เป้าหมายผ่านการโจมตี DoS จากนั้นใช้ที่อยู่ IP และ MAC ของโฮสต์เป้าหมาย
ผู้โจมตีดำเนินการโจมตีเพื่อเปิดการโจมตีระดับสูงขึ้นเพื่อเป็นอันตรายต่อความปลอดภัยของข้อมูลที่เดินทางบนเครือข่าย เขาสามารถดักจับเฟรมทั้งหมดและจะสามารถอ่านข้อมูลเฟรมได้ ผู้โจมตีสามารถทำหน้าที่เป็นคนกลางและแก้ไขข้อมูลหรือเพียงแค่วางกรอบที่นำไปสู่ DoS เขาสามารถจี้เซสชันที่กำลังดำเนินอยู่ระหว่างโฮสต์เป้าหมายและเครื่องอื่น ๆ และสื่อสารข้อมูลที่ไม่ถูกต้องทั้งหมด
การรักษาความปลอดภัย Ethernet LAN
เราได้พูดถึงการโจมตีที่รู้จักกันอย่างแพร่หลายใน Data Link Layer ในหัวข้อก่อนหน้านี้ มีการพัฒนาวิธีการหลายวิธีเพื่อลดการโจมตีประเภทนี้ บางส่วนของวิธีการที่สำคัญ ได้แก่ -
ความปลอดภัยของพอร์ต
เป็นคุณสมบัติความปลอดภัยชั้น 2 ที่มีอยู่ในสวิตช์อีเธอร์เน็ตอัจฉริยะ เกี่ยวข้องกับการผูกพอร์ตทางกายภาพของสวิตช์ไปยังที่อยู่ MAC / es เฉพาะ ทุกคนสามารถเข้าถึงเครือข่ายที่ไม่ปลอดภัยได้เพียงแค่เชื่อมต่อโฮสต์เข้ากับพอร์ตสวิตช์ที่มีอยู่ แต่การรักษาความปลอดภัยของพอร์ตสามารถรักษาความปลอดภัยในการเข้าถึงเลเยอร์ 2 ได้
ตามค่าเริ่มต้นความปลอดภัยของพอร์ตจะ จำกัด ที่อยู่ MAC ทางเข้าให้นับเป็นหนึ่ง อย่างไรก็ตามเป็นไปได้ที่จะอนุญาตให้โฮสต์ที่ได้รับอนุญาตมากกว่าหนึ่งโฮสต์เชื่อมต่อจากพอร์ตนั้นผ่านการกำหนดค่า ที่อยู่ MAC ที่อนุญาตต่ออินเทอร์เฟซสามารถกำหนดค่าแบบคงที่ได้ ทางเลือกที่สะดวกคือการเปิดใช้งานการเรียนรู้ที่อยู่ MAC แบบ "ติดหนึบ" ซึ่งที่อยู่ MAC จะเรียนรู้แบบไดนามิกโดยสวิตช์พอร์ตจนกว่าจะถึงขีด จำกัด สูงสุดสำหรับพอร์ต
เพื่อให้มั่นใจในความปลอดภัยปฏิกิริยาต่อการเปลี่ยนแปลงของที่อยู่ MAC ที่ระบุบนพอร์ตหรือแอดเดรสส่วนเกินบนพอร์ตสามารถควบคุมได้หลายวิธี พอร์ตสามารถกำหนดค่าเพื่อปิดหรือบล็อกที่อยู่ MAC ที่เกินขีด จำกัด ที่ระบุ แนวทางปฏิบัติที่ดีที่สุดที่แนะนำคือปิดพอร์ต การรักษาความปลอดภัยของพอร์ตป้องกันการท่วมของ MAC และการโจมตีแบบโคลน
DHCP Snooping
เราได้เห็นแล้วว่าการปลอมแปลง DHCP เป็นการโจมตีที่ผู้โจมตีรับฟังคำขอ DHCP จากโฮสต์บนเครือข่ายและตอบกลับด้วยการตอบสนอง DHCP ปลอมก่อนที่การตอบสนอง DHCP ที่ได้รับอนุญาตจะมาถึงโฮสต์
การสอดแนม DHCP สามารถป้องกันการโจมตีดังกล่าวได้ DHCP snooping เป็นคุณลักษณะของสวิตช์ สามารถกำหนดค่าสวิตช์เพื่อกำหนดว่าพอร์ตสวิตช์ใดที่สามารถตอบสนองต่อคำขอ DHCP ได้ พอร์ตสวิตช์ถูกระบุว่าเป็นพอร์ตที่เชื่อถือได้หรือไม่น่าเชื่อถือ
เฉพาะพอร์ตที่เชื่อมต่อกับเซิร์ฟเวอร์ DHCP ที่ได้รับอนุญาตเท่านั้นที่ได้รับการกำหนดค่าเป็น“ เชื่อถือได้” และอนุญาตให้ส่งข้อความ DHCP ทุกประเภท พอร์ตอื่น ๆ ทั้งหมดบนสวิตช์ไม่น่าเชื่อถือและสามารถส่งได้เฉพาะคำขอ DHCP เท่านั้น หากพบการตอบสนอง DHCP บนพอร์ตที่ไม่น่าเชื่อถือแสดงว่าพอร์ตนั้นปิดลง
การป้องกันการปลอมแปลง ARP
วิธีการรักษาความปลอดภัยของพอร์ตสามารถป้องกันการโจมตีของ MAC และการโคลน อย่างไรก็ตามไม่ได้ป้องกันการปลอมแปลง ARP ความปลอดภัยของพอร์ตจะตรวจสอบที่อยู่ต้นทาง MAC ในส่วนหัวของเฟรม แต่เฟรม ARP มีฟิลด์แหล่งที่มา MAC เพิ่มเติมในเพย์โหลดข้อมูลและโฮสต์ใช้ฟิลด์นี้เพื่อเติมข้อมูลแคช ARP วิธีการบางอย่างในการป้องกันการปลอมแปลง ARP มีดังต่อไปนี้
Static ARP- การดำเนินการอย่างหนึ่งที่แนะนำคือการใช้รายการ ARP แบบคงที่ในตาราง ARP ของโฮสต์ รายการ Static ARP เป็นรายการถาวรในแคช ARP อย่างไรก็ตามวิธีนี้ไม่สามารถทำได้ นอกจากนี้ยังไม่อนุญาตให้ใช้ Dynamic Host Configuration Protocol (DHCP) เนื่องจากต้องใช้ IP แบบคงที่สำหรับโฮสต์ทั้งหมดในเครือข่ายเลเยอร์ 2
Intrusion Detection System- วิธีการป้องกันคือการใช้ Intrusion Detection System (IDS) ที่กำหนดค่าให้ตรวจจับการรับส่งข้อมูล ARP จำนวนมาก อย่างไรก็ตาม IDS มีแนวโน้มที่จะรายงานผลบวกที่ผิดพลาด
Dynamic ARP Inspection- วิธีการป้องกันการปลอมแปลง ARP นี้คล้ายกับการสอดแนม DHCP ใช้พอร์ตที่เชื่อถือได้และไม่น่าเชื่อถือ การตอบกลับ ARP ได้รับอนุญาตในอินเทอร์เฟซสวิตช์บนพอร์ตที่เชื่อถือได้เท่านั้น หากการตอบกลับ ARP มาถึงสวิตช์บนพอร์ตที่ไม่น่าเชื่อถือเนื้อหาของแพ็กเก็ตการตอบกลับ ARP จะถูกเปรียบเทียบกับตารางการรวม DHCP เพื่อตรวจสอบความถูกต้อง หากการตอบกลับ ARP ไม่ถูกต้องการตอบกลับ ARP จะหลุดและพอร์ตถูกปิดใช้งาน
การรักษาความปลอดภัยโปรโตคอล Spanning Tree
Spanning Tree Protocol (STP) คือโปรโตคอลการจัดการลิงค์เลเยอร์ 2 วัตถุประสงค์หลักของ STP คือเพื่อให้แน่ใจว่าไม่มีการวนซ้ำการไหลของข้อมูลเมื่อเครือข่ายมีเส้นทางที่ซ้ำซ้อน โดยทั่วไปเส้นทางที่ซ้ำซ้อนถูกสร้างขึ้นเพื่อมอบความน่าเชื่อถือให้กับเครือข่าย แต่พวกมันสามารถสร้างลูปอันตรายซึ่งอาจนำไปสู่การโจมตี DoS ในเครือข่าย
พิธีสาร Spanning Tree
เพื่อให้ความซ้ำซ้อนของพา ธ ที่ต้องการรวมทั้งเพื่อหลีกเลี่ยงเงื่อนไขการวนซ้ำ STP จึงกำหนดโครงสร้างที่ครอบคลุมสวิตช์ทั้งหมดในเครือข่าย STP บังคับให้ลิงก์ข้อมูลที่ซ้ำซ้อนบางอย่างอยู่ในสถานะที่ถูกบล็อกและทำให้ลิงก์อื่น ๆ อยู่ในสถานะส่งต่อ
หากลิงก์ในสถานะการส่งต่อหยุดทำงาน STP จะกำหนดค่าเครือข่ายใหม่และกำหนดเส้นทางข้อมูลใหม่โดยเปิดใช้งานเส้นทางสแตนด์บายที่เหมาะสม STP ทำงานบนบริดจ์และสวิตช์ที่ใช้งานในเครือข่าย สวิตช์ทั้งหมดแลกเปลี่ยนข้อมูลสำหรับการเลือกสวิตช์รูทและสำหรับการกำหนดค่าเครือข่ายในภายหลัง Bridge Protocol Data Units (BPDUs) มีข้อมูลนี้ ด้วยการแลกเปลี่ยน BPDU สวิทช์ทั้งหมดในเครือข่ายจะเลือกรูทบริดจ์ / สวิตช์ที่กลายเป็นจุดโฟกัสในเครือข่ายและควบคุมลิงก์ที่ถูกบล็อกและส่งต่อ
การโจมตี STP
การข้ามรูทบริดจ์ เป็นการโจมตีประเภทหนึ่งที่ก่อกวนมากที่สุดในเลเยอร์ 2 โดยค่าเริ่มต้นสวิตช์ LAN จะรับ BPDU ที่ส่งจากสวิตช์ข้างเคียงตามมูลค่าที่ตราไว้ อนึ่ง STP เชื่อถือได้ไร้สัญชาติและไม่มีกลไกการตรวจสอบสิทธิ์เสียงใด ๆ
เมื่ออยู่ในโหมดการโจมตีรูทสวิตช์โจมตีจะส่ง BPDU ทุก ๆ 2 วินาทีโดยมีลำดับความสำคัญเดียวกันกับรูทบริดจ์ปัจจุบัน แต่มีที่อยู่ MAC ที่มีตัวเลขต่ำกว่าเล็กน้อยซึ่งทำให้มั่นใจได้ว่าจะได้รับชัยชนะในกระบวนการเลือกตั้งรูทบริดจ์ สวิตช์ผู้โจมตีสามารถเปิดการโจมตี DoS ได้โดยไม่รับทราบสวิตช์อื่น ๆ ที่ทำให้ BPDU ท่วมหรือโดยการกำหนดให้สวิตช์ไปยัง BPDUS ที่เกินกระบวนการโดยอ้างว่าเป็นรูทในครั้งเดียวและถอนกลับอย่างรวดเร็ว
DoS โดยใช้ Flood of Configuration BPDU สวิตช์โจมตีไม่พยายามเข้ายึดครองในฐานะรูท แต่จะสร้าง BPDU จำนวนมากต่อวินาทีซึ่งนำไปสู่การใช้งาน CPU ที่สูงมากบนสวิตช์
การป้องกันการโจมตี STP
โชคดีที่มาตรการรับมือกับการจู่โจมยึดรากนั้นง่ายและตรงไปตรงมา คุณสมบัติสองประการช่วยในการเอาชนะการโจมตีการยึดครองราก
Root Guard- ตัวป้องกันรูท จำกัด พอร์ตสวิตช์ซึ่งอาจใช้ต่อรองรูทบริดจ์ได้ หากพอร์ตที่เปิดใช้งาน root-guard ได้รับ BPDU ที่เหนือกว่าพอร์ตที่รูทบริดจ์ปัจจุบันกำลังส่งพอร์ตนั้นจะถูกย้ายไปยังสถานะที่ไม่สอดคล้องกันของรูทและไม่มีการส่งต่อการรับส่งข้อมูลข้ามพอร์ตนั้น รูทการ์ดถูกนำไปใช้งานได้ดีที่สุดกับพอร์ตที่เชื่อมต่อกับสวิตช์ซึ่งไม่คาดว่าจะรับช่วงต่อเป็นรูทบริดจ์
BPDU-Guard- BPDU guard ใช้เพื่อป้องกันเครือข่ายจากปัญหาที่อาจเกิดจากการรับ BPDU บนพอร์ตการเข้าถึง นี่คือพอร์ตที่ไม่ควรรับ BPDU guard ถูกนำไปใช้กับพอร์ตที่ผู้ใช้หันหน้าไปทางผู้ใช้ได้ดีที่สุดเพื่อป้องกันไม่ให้ผู้โจมตีแทรกสวิตช์โกง
การรักษาความปลอดภัย Virtual LAN
ในเครือข่ายท้องถิ่นบางครั้ง Virtual Local Area Networks (VLANs) ได้รับการกำหนดค่าเป็นมาตรการรักษาความปลอดภัยเพื่อ จำกัด จำนวนโฮสต์ที่เสี่ยงต่อการโจมตีเลเยอร์ 2 VLAN สร้างขอบเขตเครือข่ายซึ่งการรับส่งข้อมูลออกอากาศ (ARP, DHCP) ไม่สามารถข้ามได้
เครือข่ายท้องถิ่นเสมือน
เครือข่ายที่ใช้สวิตช์ / es ที่รองรับความสามารถ VLAN สามารถกำหนดค่าเพื่อกำหนด VLAN หลายตัวบนโครงสร้างพื้นฐาน LAN ทางกายภาพเดียว
รูปแบบทั่วไปของ VLAN คือ VLAN ที่ใช้พอร์ต ในโครงสร้าง VLAN นี้พอร์ตสวิตช์จะถูกจัดกลุ่มเป็น VLAN โดยใช้ซอฟต์แวร์การจัดการสวิตช์ ดังนั้นสวิตช์จริงตัวเดียวสามารถทำหน้าที่เป็นสวิตช์เสมือนหลายตัวได้
การใช้ VLAN ช่วยแยกการรับส่งข้อมูล มันแบ่งเครือข่ายเลเยอร์ 2 ที่ออกอากาศขนาดใหญ่ออกเป็นเครือข่ายชั้นโลจิคัลเลเยอร์ 2 ที่เล็กกว่าและลดขอบเขตของการโจมตีเช่นการปลอมแปลง ARP / DHCP เฟรมข้อมูลของ VLAN หนึ่งเฟรมสามารถย้ายจาก / ไปยังภายในพอร์ตที่เป็นของ VLAN เดียวกันเท่านั้น การส่งต่อเฟรมระหว่างสอง VLAN จะกระทำผ่านการกำหนดเส้นทาง
โดยทั่วไป VLAN จะขยายสวิตช์หลายตัวดังที่แสดงในแผนภาพด้านบน การเชื่อมโยงระหว่างพอร์ต Trunk มีเฟรมของ VLAN ทั้งหมดที่กำหนดไว้บนสวิตช์ทางกายภาพหลายตัว ดังนั้นเฟรม VLAN ที่ส่งต่อระหว่างสวิตช์จึงไม่สามารถเป็นเฟรมรูปแบบอีเธอร์เน็ต IEEE 802.1 แบบธรรมดาได้ เนื่องจากเฟรมเหล่านี้ย้ายไปบนลิงค์ทางกายภาพเดียวกันตอนนี้จึงจำเป็นต้องมีข้อมูล VLAN ID โปรโตคอล IEEE 802.1Q เพิ่ม / ลบฟิลด์ส่วนหัวเพิ่มเติมให้กับเฟรมอีเธอร์เน็ตธรรมดาที่ส่งต่อระหว่างพอร์ตท้ายรถ
เมื่อฟิลด์ที่อยู่ถัดจากฟิลด์ที่อยู่ IP สองช่องคือ 0x8100 (> 1500) เฟรมจะถูกระบุเป็นเฟรม 802.1Q ค่าของ 2-byte Tag Protocol Identifier (TPI) คือ 81-00 ช่อง TCI ประกอบด้วยข้อมูลลำดับความสำคัญ 3 บิตตัวบ่งชี้ที่มีสิทธิ์ Drop 1 บิต (DEI) และรหัส VLAN 12 บิต ฟิลด์ลำดับความสำคัญ 3 บิตและฟิลด์ DEI นี้ไม่เกี่ยวข้องกับ VLAN บิตลำดับความสำคัญใช้สำหรับการจัดเตรียมคุณภาพการบริการ
เมื่อเฟรมไม่ได้เป็นของ VLAN ใด ๆ จะมีรหัส VLAN เริ่มต้นซึ่งถือว่าเฟรมนั้นเชื่อมโยงด้วย
โจมตี VLAN และมาตรการป้องกัน
ในการโจมตีด้วยการกระโดด VLAN ผู้โจมตีบน VLAN หนึ่งสามารถเข้าถึงการรับส่งข้อมูลบน VLAN อื่น ๆ ที่ปกติจะไม่สามารถเข้าถึงได้ มันจะข้ามอุปกรณ์เลเยอร์ 3 (เราเตอร์) เมื่อสื่อสารจาก VLAN หนึ่งไปยังอีกเครื่องหนึ่งดังนั้นจึงเอาชนะจุดประสงค์ของการสร้าง VLAN
การกระโดด VLAN สามารถทำได้สองวิธี สลับการปลอมแปลงและการติดแท็กสองครั้ง
สลับการปลอมแปลง
อาจเกิดขึ้นได้เมื่อพอร์ตสวิตช์ที่ผู้โจมตีเชื่อมต่ออยู่ไม่ว่าจะอยู่ในโหมด 'เดินสายไฟ' หรือโหมด 'เจรจาอัตโนมัติ' ผู้โจมตีทำหน้าที่เป็นสวิตช์และเพิ่มส่วนหัวการห่อหุ้ม 802.1Q พร้อมแท็ก VLAN สำหรับ VLAN ระยะไกลเป้าหมายไปยังเฟรมขาออก สวิตช์รับจะตีความเฟรมเหล่านั้นว่ามาจากสวิตช์ 802.1Q อื่นและส่งต่อเฟรมไปยัง VLAN เป้าหมาย
มาตรการป้องกันสองประการในการโจมตีด้วยการปลอมแปลงด้วยสวิตช์คือการตั้งค่าพอร์ตขอบเป็นโหมดการเข้าถึงแบบคงที่และปิดใช้งานการเจรจาอัตโนมัติในทุกพอร์ต
การแท็กสองครั้ง
ในการโจมตีครั้งนี้ผู้โจมตีที่เชื่อมต่อกับพอร์ต VLAN ดั้งเดิมของสวิตช์จะนำแท็ก VLAN สองแท็กในส่วนหัวของเฟรม แท็กแรกเป็นของ VLAN ดั้งเดิมและที่สองใช้สำหรับ VLAN เป้าหมาย เมื่อสวิตช์แรกได้รับเฟรมของผู้โจมตีระบบจะลบแท็กแรกออกเนื่องจากเฟรมของ VLAN ดั้งเดิมจะถูกส่งต่อโดยไม่มีแท็กบนพอร์ต trunk
เนื่องจากแท็กที่สองไม่เคยถูกลบออกโดยสวิตช์แรกสวิตช์รับจะระบุแท็กที่เหลือเป็นปลายทาง VLAN และส่งต่อเฟรมไปยังโฮสต์เป้าหมายใน VLAN นั้น การโจมตีด้วยการแท็กสองครั้งใช้ประโยชน์จากแนวคิดของ VLAN ดั้งเดิม เนื่องจาก VLAN 1 เป็น VLAN เริ่มต้นสำหรับพอร์ตการเข้าถึงและ VLAN ดั้งเดิมเริ่มต้นบน trunks จึงเป็นเป้าหมายที่ง่าย
มาตรการป้องกันอันดับแรกคือการลบพอร์ตการเข้าถึงทั้งหมดออกจาก VLAN 1 เริ่มต้นเนื่องจากพอร์ตของผู้โจมตีต้องตรงกับ VLAN ดั้งเดิมของสวิตช์ มาตรการป้องกันที่สองคือการกำหนด VLAN ดั้งเดิมบนสวิตช์ Trunks ทั้งหมดให้กับ VLAN ที่ไม่ได้ใช้บางตัวพูดว่า VLAN id 999 และสุดท้ายสวิตช์ทั้งหมดจะได้รับการกำหนดค่าให้ดำเนินการติดแท็กเฟรม VLAN ดั้งเดิมบนพอร์ต trunk
การรักษาความปลอดภัย LAN ไร้สาย
เครือข่ายท้องถิ่นแบบไร้สายคือเครือข่ายของโหนดไร้สายภายในพื้นที่ทางภูมิศาสตร์ที่ จำกัด เช่นอาคารสำนักงานหรือวิทยาเขตของโรงเรียน โหนดสามารถสื่อสารทางวิทยุได้
LAN ไร้สาย
โดยปกติแล้ว LAN ไร้สายจะใช้เป็นส่วนขยายของ LAN แบบใช้สายที่มีอยู่เพื่อให้การเข้าถึงเครือข่ายด้วยการเคลื่อนย้ายอุปกรณ์ เทคโนโลยี LAN ไร้สายที่นำมาใช้อย่างแพร่หลายมากที่สุดนั้นขึ้นอยู่กับมาตรฐาน IEEE 802.11 และการแก้ไขเพิ่มเติม
ส่วนประกอบหลักสองอย่างใน LAN ไร้สาย ได้แก่ -
Access Points (APs)- นี่คือสถานีฐานสำหรับเครือข่ายไร้สาย พวกเขาส่งและรับความถี่วิทยุเพื่อสื่อสารกับไคลเอนต์ไร้สาย
Wireless Clients- เป็นอุปกรณ์คอมพิวเตอร์ที่ติดตั้ง Wireless Network Interface Card (WNIC) แล็ปท็อปโทรศัพท์ IP พีดีเอเป็นตัวอย่างทั่วไปของไคลเอนต์ไร้สาย
หลายองค์กรได้นำ LAN ไร้สายมาใช้ เครือข่ายเหล่านี้กำลังเติบโตอย่างน่าอัศจรรย์ ดังนั้นสิ่งสำคัญคือต้องทำความเข้าใจภัยคุกคามใน LAN ไร้สายและเรียนรู้มาตรการป้องกันทั่วไปเพื่อให้มั่นใจในความปลอดภัยของเครือข่าย
การโจมตีใน LAN ไร้สาย
การโจมตีโดยทั่วไปที่ดำเนินการบน LAN ไร้สาย ได้แก่ -
Eavesdropping - ผู้โจมตีจะตรวจสอบเครือข่ายไร้สายเพื่อหาข้อมูลรวมถึงข้อมูลรับรองการตรวจสอบสิทธิ์
Masquerading - ผู้โจมตีแอบอ้างเป็นผู้ใช้ที่ได้รับอนุญาตและได้รับการเข้าถึงและสิทธิพิเศษบนเครือข่ายไร้สาย
Traffic Analysis - ผู้โจมตีจะตรวจสอบการส่งผ่านเครือข่ายไร้สายเพื่อระบุรูปแบบการสื่อสารและผู้เข้าร่วม
Denial of Service - ผู้โจมตีป้องกันหรือ จำกัด การใช้งานตามปกติหรือการจัดการ LAN ไร้สายหรืออุปกรณ์เครือข่าย
Message Modification/Replay - ผู้โจมตีแก้ไขหรือตอบกลับข้อความที่ถูกต้องที่ส่งผ่านเครือข่ายไร้สายโดยการลบเพิ่มเปลี่ยนแปลงหรือจัดลำดับใหม่
มาตรการด้านความปลอดภัยใน LAN ไร้สาย
มาตรการรักษาความปลอดภัยเป็นวิธีที่จะกำจัดการโจมตีและจัดการความเสี่ยงต่อเครือข่าย นี่คือการจัดการเครือข่ายการดำเนินการและมาตรการทางเทคนิค เราอธิบายด้านล่างของมาตรการทางเทคนิคที่นำมาใช้เพื่อรับรองความลับความพร้อมใช้งานและความสมบูรณ์ของข้อมูลที่ส่งผ่าน LAN ไร้สาย
ใน LAN ไร้สาย AP ทั้งหมดควรได้รับการกำหนดค่าเพื่อให้มีความปลอดภัยผ่านการเข้ารหัสและการพิสูจน์ตัวตนไคลเอนต์ ประเภทของโครงร่างที่ใช้ใน LAN ไร้สายเพื่อรักษาความปลอดภัยมีดังนี้ -
ความเป็นส่วนตัวเทียบเท่าสาย (WEP)
เป็นอัลกอริธึมการเข้ารหัสที่สร้างขึ้นในมาตรฐาน 802.11 เพื่อรักษาความปลอดภัยเครือข่ายไร้สาย การเข้ารหัส WEP ใช้การเข้ารหัสสตรีม RC4 (Rivest Cipher 4) ที่มีคีย์ 40 บิต / 104 บิตและเวกเตอร์เริ่มต้น 24 บิต นอกจากนี้ยังสามารถให้การรับรองความถูกต้องปลายทาง
อย่างไรก็ตามกลไกการรักษาความปลอดภัยการเข้ารหัสที่อ่อนแอที่สุดเนื่องจากพบข้อบกพร่องหลายประการในการเข้ารหัส WEP WEP ยังไม่มีโปรโตคอลการตรวจสอบสิทธิ์ ดังนั้นจึงไม่แนะนำให้ใช้ WEP
โปรโตคอล 802.11i
ในโปรโตคอลนี้สามารถเข้ารหัสได้หลายรูปแบบและรัดกุมยิ่งขึ้น ได้รับการพัฒนาเพื่อทดแทนโครงการ WEP ที่อ่อนแอ มีกลไกการกระจายที่สำคัญ รองรับหนึ่งคีย์ต่อสถานีและไม่ใช้คีย์เดียวกันสำหรับทุกคน ใช้เซิร์ฟเวอร์การตรวจสอบความถูกต้องแยกจากจุดเชื่อมต่อ
IEEE802.11i กำหนดให้ใช้โปรโตคอลที่ชื่อว่า Counter mode ด้วย CBC-MAC Protocol (CCMP) CCMP ให้การรักษาความลับและความสมบูรณ์ของข้อมูลที่ถ่ายโอนและความถูกต้องของผู้ส่ง มันขึ้นอยู่กับการเข้ารหัสบล็อก Advanced Encryption Standard (AES)
โปรโตคอล IEEE802.11i มีการทำงานสี่ขั้นตอน
STA และ AP สื่อสารและค้นพบความสามารถด้านความปลอดภัยร่วมกันเช่นอัลกอริทึมที่รองรับ
STA และ AS รับรองความถูกต้องร่วมกันและร่วมกันสร้าง Master Key (MK) AP ทำหน้าที่เป็น "ส่งผ่าน"
STA ได้รับคีย์ Master Key แบบคู่ (PMK) AS ได้รับ PMK เดียวกันและส่งไปยัง AP
STA, AP ใช้ PMK เพื่อรับ Temporal Key (TK) เพื่อใช้สำหรับการเข้ารหัสข้อความและความสมบูรณ์ของข้อมูล
มาตรฐานอื่น ๆ
Wi-Fi Protected Access(WPA) - โปรโตคอลนี้ใช้มาตรฐาน IEEE 802.11i ส่วนใหญ่ มีอยู่ก่อน IEEE 802.11i และใช้อัลกอริทึม RC4 สำหรับการเข้ารหัส มีสองโหมดการทำงาน ในโหมด 'Enterprise' WPA ใช้โปรโตคอลการตรวจสอบความถูกต้อง 802.1x เพื่อสื่อสารกับเซิร์ฟเวอร์การตรวจสอบความถูกต้องและด้วยเหตุนี้คีย์ล่วงหน้า (PMK) จึงมีไว้สำหรับไคลเอนต์สเตชั่น ในโหมด 'ส่วนบุคคล' จะไม่ใช้ 802.1x PMK จะถูกแทนที่ด้วยคีย์ที่แชร์ล่วงหน้าตามที่ใช้สำหรับสภาพแวดล้อม LAN ไร้สายของ Office Home Office (SOHO)
WPA ยังมีการตรวจสอบความสมบูรณ์ของข้อความเสียงแทนที่ Cyclic Redundancy Check (CRC) ที่ใช้โดยมาตรฐาน WEP
WPA2- WPA2 แทนที่ WPA WPA2 ใช้องค์ประกอบบังคับทั้งหมดของโครงร่าง IEEE 802.11i โดยเฉพาะอย่างยิ่งรวมถึงการสนับสนุนที่จำเป็นสำหรับ CCMP ซึ่งเป็นโหมดการเข้ารหัสที่ใช้ AES พร้อมความปลอดภัยที่แข็งแกร่ง ดังนั้นเท่าที่เกี่ยวข้องกับการโจมตี WPA2 / IEEE802.11i มีวิธีแก้ปัญหาที่เพียงพอเพื่อป้องกันจุดอ่อนของ WEP การโจมตีแบบคนตรงกลางการปลอมแปลงแพ็คเก็ตปลอมและการโจมตีซ้ำ อย่างไรก็ตามการโจมตี DoS ไม่ได้รับการแก้ไขอย่างถูกต้องและไม่มีโปรโตคอลที่มั่นคงในการหยุดการโจมตีดังกล่าวโดยทั่วไปเนื่องจากการโจมตีดังกล่าวกำหนดเป้าหมายไปที่เลเยอร์ทางกายภาพเช่นการรบกวนย่านความถี่
สรุป
ในบทนี้เราพิจารณาการโจมตีและเทคนิคการลดผลกระทบโดยสมมติว่าเครือข่ายอีเธอร์เน็ตแบบสวิตช์ที่ใช้ IP หากเครือข่ายของคุณไม่ได้ใช้อีเธอร์เน็ตเป็นโปรโตคอลเลเยอร์ 2 การโจมตีเหล่านี้บางอย่างอาจใช้ไม่ได้ แต่มีโอกาสที่เครือข่ายดังกล่าวจะเสี่ยงต่อการโจมตีประเภทต่างๆ
ความปลอดภัยนั้นแข็งแกร่งพอ ๆ กับลิงค์ที่อ่อนแอที่สุดเท่านั้น เมื่อพูดถึงระบบเครือข่ายเลเยอร์ 2 อาจเป็นลิงก์ที่อ่อนแอมาก มาตรการรักษาความปลอดภัยชั้น 2 ที่กล่าวถึงในบทนี้ช่วยปกป้องเครือข่ายจากการโจมตีหลายประเภท