L2スイッチの攻撃面は何ですか?
「トップブランド」のスイッチが、同じ機能を備えた「安価な未知のブランド」のスイッチよりも優れている理由を理解しようとしています。
多くの場合、セキュリティが混在しているのを目にしますが、これがどのように関連しているかは本当に理解できません。そのため、それが適切かどうかを調べようとしています。
私の見たところ、ほとんど(すべて?)のL2スイッチは、特定のデバイスに渡す必要のあるいくつかのデータを取得しています。L3のものはなく、ルックアップもありません。Alice has MAC X and is on port Y, I need to pass Z from port W to Y.
ここで、CAMオーバーフローとWebインターフェースエクスプロイトのほか(VLANホッピングとその他の同様のエクスプロイトは、スイッチ自体をハッキングしないため、除外します)何が問題になるのでしょうか?ほとんどのスイッチで使用されているLinuxカーネルは古いものですが、Web UI/Shellのみを実行するため、明らかに何も公開されません(ASICすべてを実行しますか?))。
ここで何か不足していますか?
攻撃面:
- 管理
- トラフィック分離(VLAN)
- トラフィックの監視/スニッフィング
- 実際のトラフィック通過/追加サービス
管理
管理インターフェースを確認します。安価なスイッチの例は、ホームルーターです。はい、切り替え以外のことも行いますが、バグは管理インターフェイスにあります。 「トップ」層のシスコデバイスにも似ています。ほとんどのCVEは、資格情報、管理の問題、または複雑なプロトコルの実装の問題に組み込まれています。
トラフィックの分離
多くのL2スイッチは、分離されたネットワークであるはずのVLANをセットアップします。多くの場合、セキュリティのためにこの分離に依存しています。このモードでL2スイッチを使用している場合、管理またはVLAN VLANをホップできるタグ付け)の妥協が最大の心配です。
VLANでトラフィックをセグメント化しない場合は、スイッチのセキュリティは本当に重要ではないと主張します。
トラフィック監視/スニッフィング
次のレベルに進みましょう。スパンポートを設定して、他のすべてのポートからのすべてのトラフィックを監視できます。私は個人的に、デバイスを離れるトラフィックはすべて監視されると想定しています。したがって、トランジット暗号化に焦点を当てます。そして、今日のWiFiの世界では、5つのデバイスがトラフィックを盗聴するのは非常に一般的です。たぶん強力な脅威ではありません。
実際の通過と追加サービス
残りは、実際のトラフィックの通過です。これらは、NSAが公衆インターネットからファイアウォールをハッキングするために使用されたバグです。ポートからポートに単純に渡されないトラフィックのバグを検出します。スパニングツリー、VLANロジックなど。これは、残りの攻撃面が存在するものです。例:
- Cisco CDP DOS
- 脆弱性 Cisco Catalystスイッチの特定のモデルで実行されている簡易ネットワーク管理プロトコル(SNMP)
実際、最大の穴はさまざまなサービスであり、デフォルトで有効になっているため、配備前に意図的に無効にするか保護する必要があります。 * STPのように、カスタマーポート(BPDU保護を有効にする必要がある)、さまざまなトポロジ検出プロトコル(Cisco Discovery Protocol、LLDP)、誤って構成された管理プロトコル(CFM、OAM)、または-スイッチ自体の引き継ぎについて質問した場合、[〜#〜] snmp [〜#〜]で、通常はpublicおよびprivate ro /で有効になりますrwコミュニティ(v2)であり、trusted portsデフォルトで設定されています(つまり、すべてのポートが信頼され、制限はまったくありません)。