top of page

Zabezpečenie pred útokom Port stealing

 

 

Podstata útoku:

Podstatou útoku Port Stealing - krádež portu je to aby sa útočník stal prostredným členom v sieťovej komunikácií medzi dvoma systémami. Potom čo sa útočník stane prostredným členom v sieťovej komunikácií, tak je schopný odpočúvať prípadne meniť dáta preposielané medzi týmito dvoma zariadeniami. Útočník môže získať citlivé údaje ako napríklad meno, heslo..., ktoré môže zneužiť.

 

Popis útoku:

Útok Port stealing spočíva v tom, že útočník "ukradne" port na prepínači, ktorý patrí obeti. Je nevyhnutné aby útočník poznal MAC adresu obete. Na LAN sieti to nieje pre útočníka veľký problém. Podstatou útoku je, že útočník posiela rámce, ktoré majú cieľovú MAC adresu zhodnú s jeho MAC adresou a zdrojová MAC adresa je zhodná s adresou obete. Prepínač podľa zdrojovej MAC adresy upraví záznam v CAM tabuľke. Prepínač si omylom myslí, že obeť je na porte, ktorý v skutočnosti používa útočník. V prípade, že na prepínač príde nejaký rámec pre obeť tak bude vyslaný útočníkovy. Útočník môže prijaté rámce analyzovať prípadne modifikovať ale mal by ich ďalej preposlať skutočnému príjemcovi a to je obeť. No najprv musí opäť pozmeniť záznam v CAM tabuľke prepínača a to docieli, tým že prestane posielať rámce s upravenými MAC adresami a vyšle paket ARP request, obeť odpovie paketom ARP reply s prepínač následne upraví záznam v CAM tabuľke.

 

 

Zabezpečenie pred útokom:

Na počítači:

  • ​keďže sa jedná o útok, ktorý využíva slabinu prepínača, tak obrana proti tomuto útoku je možná len na prepínači

 

​Na prepínači:

  • obranu proti tomutu útoku ponúkajú iba drahšie manažovateľné prepínače

  • prepínače, ktoré ponúkajú bezpečnostné funkcie ako DHCP Snooping a Port Security predstavujú formu zabezpečenia proti tomuto útoku.

  • DHCP Snooping tabuľka, ktorá sa nachádza v pamäti prepínača zabezpečí zahodenie rámcov, ktorých MAC a IP adresa nie je totožná s jej záznamami. Týmto zabezpečíme blokovanie rámcov s podvrhnutými MAC adresami.

 

Detekcia útoku:

​Na prepínači:

  • Detekciu na prepínači umožňujú väčšinou iba manažovateľné typy, ktoré sú drahšie než klasické prepínače

  • u manažovateľných typoch je možné tento útok rozpoznať vypísaním CAM tabuľky.

​Na počítači:

  • tento útok je možné rozpoznať pasívnym sledovaním sieťovej premávky

  • útok je možné spoznať podľa veľkého množstva paketov ARP Request, ktoré žiadajú o preklad rovnakej IP adresy 

© 2015 Vytvoril Ján Ivák

bottom of page