Канальный уровень глазами атакующего: ARP Spoofing, прыжки по VLAN и игры с коммутатором

В сфере искусственного интеллекта произошло заметное событие. k1ngk0ng 20 минут назад Канальный уровень глазами атакующего: ARP Spoofing, прыжки по VLAN и игры с коммутатором Средний 21 мин 803 Информационная безопасность * Сетевые технологии * ВведениеВ первой части цикла мы говорили о физическом уровне модели OSI и о том, как атакующий может получить доступ к инфраструктуре без эксплуатации программных уязвимостей: через пассивные TAP-врезки, сетевые дропбоксы, BadUSB-устройства и другие техники, основанные на физическом доступе к оборудованию. Предположим, что этот этап уже позади. Кабель подключён, линк поднялся, а устройство стало полноценным участником локального сегмента сети.

На первый взгляд может показаться, что дальше атакующего ждёт серьёзный барьер. Эпоха Ethernet-хабов давно закончилась: современные коммутаторы доставляют трафик точечно, а не дублируют его на все порты подряд, VLAN позволяют логически разделять инфраструктуру на отдельные сегменты сети, а механизмы вроде NAC и 802. 1X должны ограничивать подключение неавторизованных устройств.

Технические детали

Логика выглядит вполне убедительно. Если коммутатор больше не рассылает весь трафик на каждый порт, кажется, что проблема прослушивания сети осталась в прошлом. Если устройства находятся в разных VLAN, значит они изолированы друг от друга.

Если внедрён контроль доступа к сети, значит постороннее устройство вообще не должно получить полноценный доступ к инфраструктуре. На практике всё несколько сложнее. Большинство механизмов канального уровня создавались прежде всего для обеспечения связности, масштабируемости и удобства администрирования сети.

Безопасность зачастую была не основной целью их разработки. Поэтому многие протоколы и механизмы внутри Ethernet-сегмента по-прежнему основаны на доверии между устройствами. А там, где существует доверие, почти всегда появляются способы им злоупотребить.

Отраслевые последствия

В этой части мы посмотрим на канальный уровень глазами атакующего и разберём, почему наличие коммутатора ещё не делает сеть безопасной, как работают атаки на Ethernet-инфраструктуру и какие особенности сетевых протоколов позволяют атакующему влиять на сетевой обмен, перехватывать данные или получать дополнительный доступ внутри сегмента сети. Коммутатор защищает от перехвата трафикаВ эпоху применения Ethernet-концентраторов (хабов) сеть функционировала как единый домен коллизий. Получив кадр на один порт, концентратор на физическом уровне ретранслировал его на все остальные порты.

Атакующему было достаточно перевести сетевой интерфейс в неразборчивый режим (Promiscuous mode) и запустить анализатор трафика – весь сетевой обмен сегмента оказывался доступен для анализа. Появление коммутаторов принципиально изменило логику обработки данных. Коммутатор осуществляет направленную доставку известного unicast-трафика на основе CAM-таблицы (Content Addressable Memory), где фиксируется динамическое соответствие между аппаратными MAC-адресами узлов и физическими портами устройства.

Событие, по словам экспертов, усилит конкуренцию в сфере ИИ.