link layer security (tsz. link layer securities)
Hálózati interfész réteg A kapcsolati réteg az interfész a gazdarendszer és a hálózati hardver között. Meghatározza, hogyan kell formázni az adatcsomagokat az átvitelhez és az útválasztáshoz. Néhány elterjedt link-layer protokoll közé tartozik az IEEE 802.2 és az X.25 . Az adatkapcsolati réteg és a hozzá tartozó protokollok szabályozzák a gazdaszámítógép és a hálózati hardver közötti fizikai interfészt. Ennek a rétegnek az a célja, hogy megbízható kommunikációt biztosítson a hálózatra csatlakoztatott gazdagépek között. A hálózati verem ezen rétege által nyújtott szolgáltatások a következők:
Adatkeretezés – Az adatfolyam felosztása egyedi keretekre vagy csomagokra. Ellenőrző összegek – Ellenőrző összeg adatok küldése minden egyes kerethez, hogy a fogadó csomópont megállapíthassa, hogy a keret hibamentesen érkezett-e vagy sem. Nyugtázás – Pozitív (adat érkezett) vagy negatív (nem érkezett adat, de várható) nyugtázás küldése a vevőtől a feladó felé a megbízható adatátvitel biztosítása érdekében. Flow Control – Az adatátvitel pufferelése annak biztosítására, hogy a gyors küldő ne terhelje túl a lassabb vevőt. Sebezhetőségek és enyhítő stratégiák Vezetékes hálózatok Tartalom-címmemória (CAM) tábla kimerülési támadása Az adatkapcsolati réteg a célhardver fizikai Media Access Control (MAC) címe alapján címzi meg az adatcsomagokat. A hálózaton belüli kapcsolók tartalomcímtáblázatokat (CAM) tartanak fenn, amelyek a kapcsoló portjait meghatározott MAC-címekhez rendelik hozzá. Ezek a táblázatok lehetővé teszik, hogy a kapcsoló biztonságosan továbbítsa a csomagot a tervezett fizikai címre. Ha a kapcsolót csak a kommunikáló rendszerek csatlakoztatására használjuk, az sokkal nagyobb biztonságot nyújt, mint egy hálózati hub, amely az összes forgalmat az összes porton keresztül sugározza, lehetővé téve a lehallgató számára, hogy elfogja és felügyelje az összes hálózati forgalmat. A CAM Table Exhaustion Attack alapvetően a kapcsolót hubbá változtatja. A támadó elárasztja a CAM táblát új MAC-port leképezésekkel, amíg a tábla fix memóriakiosztása meg nem telik. Ezen a ponton a switch már nem tudja, hogyan továbbítsa a forgalmat MAC-port leképezés alapján, és alapértelmezés szerint a forgalmat minden porton keresztül sugározza. Az ellenfél ezután képes elfogni és figyelni a kapcsolón áthaladó összes hálózati forgalmat, beleértve a jelszavakat, e-maileket, azonnali üzeneteket stb.
A CAM-tábla-túlcsordulási támadás mérsékelhető a kapcsoló portbiztonságának konfigurálásával. Ez az opció vagy egy adott kapcsolóporton lévő MAC-címek megadását vagy a kapcsolóport által megtanulható MAC-címek számának megadását írja elő. Ha érvénytelen MAC-címet észlel a porton, a kapcsoló blokkolhatja a sértő MAC-címet, vagy leállíthatja a portot.
Address Routing Protocol (ARP) hamisítás Fő cikk: ARP-hamisítás Az adatkapcsolati rétegben a hálózati réteg által hozzárendelt logikai IP-címet lefordítják fizikai MAC-címmé . A megbízható adatkommunikáció biztosítása érdekében a hálózat minden kapcsolójának naprakész táblázatokat kell vezetnie a logikai (IP) fizikai (MAC) címek leképezéséhez. Ha egy kliens vagy kapcsoló nem biztos a fogadott adatcsomag IP-MAC leképezésében, akkor egy Address Resolution Protocol ( ARP ) üzenetet küld a legközelebbi kapcsolónak, amelyben az adott IP-címhez társított MAC-címet kéri. Ha ez megtörtént, a kliens vagy a kapcsoló frissíti a táblázatát, hogy tükrözze az új leképezést. ARP hamisítási támadásban az ellenfél a megtámadandó gép IP-címét a saját MAC-címével együtt sugározza. Ezután minden szomszédos kapcsoló frissíti a leképezési tábláit, és megkezdi a megtámadott rendszer IP-címére szánt adatok továbbítását a támadó MAC-címére. Az ilyen támadást általában "ember a középen" támadásnak nevezik.
Az ARP-hamisítás elleni védekezés általában az ARP-válaszok valamilyen tanúsításán vagy keresztellenőrzésén alapul. A nem hitelesített ARP válaszok blokkolva vannak. Ezek a technikák integrálhatók a Dynamic Host Configuration Protocol (DHCP) kiszolgálóval, így a dinamikus és a statikus IP-címek is tanúsítottak. Ez a képesség megvalósítható egyedi állomásokon is, vagy integrálható Ethernet-kapcsolókba vagy más hálózati berendezésekbe.
A Dynamic Host Configuration Protocol (DHCP) éhezés Amikor egy IP - cím nélküli kliensrendszer belép a hálózatba , IP - címet kér a rezidens DHCP - kiszolgálótól . A DHCP-szerver lefoglal egy IP-címet (így bárki, aki ilyet kér, ezt nem kapja meg), és ezt az IP-címet elküldi az eszköznek egy bérlettel együtt, amely meghatározza, hogy a cím mennyi ideig lesz érvényes. Normális esetben ettől a ponttól kezdve az eszköz úgy válaszol, hogy megerősíti az IP-címet a DHCP-kiszolgálóval, és a DHCP-szerver végül egy nyugtával válaszol.
DHCP-kiéheztetési támadás esetén, ha az ellenfél megkapja az IP-címet és a bérleti időszakot a DHCP-kiszolgálótól, az ellenfél nem válaszol a megerősítéssel. Ehelyett az ellenfél elárasztja a DHCP-kiszolgálót IP-címkérésekkel mindaddig, amíg a szerver címterében lévő összes címet le nem foglalják (kimerültek). Ezen a ponton a hálózathoz csatlakozni kívánó gazdagépek hozzáférését megtagadják, ami szolgáltatásmegtagadást eredményez . Az ellenfél ezután beállíthat egy rosszindulatú DHCP-kiszolgálót, így az ügyfelek helytelen hálózati beállításokat kapnak, és ennek eredményeként adatokat továbbítanak a támadó gépére.
Az ilyen típusú támadások mérséklésének egyik módja a számos Ethernet-kapcsolón elérhető IP-forrás-őr funkció használata. Az IP-őr kezdetben blokkol minden forgalmat, kivéve a DHCP-csomagokat. Amikor egy kliens érvényes IP-címet kap a DHCP-kiszolgálótól, az IP-cím és a kapcsolóport kapcsolata egy hozzáférés-vezérlési listában (ACL) van kötve. Az ACL ezután csak az összerendelésben konfigurált IP-címekre korlátozza a forgalmat.
Vezeték nélküli hálózatok Rejtett csomóponti támadás Egy vezeték nélküli hálózatban sok gazdagép vagy csomópont közös adathordozón osztozik. Ha az A és B csomópontok egyaránt irodai környezetben kommunikáló vezeték nélküli hordozható számítógépek, fizikai szétválasztásuk szükségessé teheti, hogy vezeték nélküli hozzáférési ponton keresztül kommunikáljanak . A csomagütközések elkerülése érdekében azonban egyszerre csak egy eszköz tud továbbítani. Az átvitel előtt az A csomópont küldésre kész (RTS) jelet küld. Ha nem fogad más forgalmat, a hozzáférési pont Clear to Send (CTS) jelet sugároz a hálózaton keresztül. Az A csomópont ezután megkezdi az átvitelt, miközben a B csomópont tudja, hogy egyelőre visszatartja az adatok továbbítását. Annak ellenére, hogy nem tud közvetlenül kommunikálni az A csomóponttal, azaz az A csomópont rejtett, a hozzáférési ponttal való kommunikációja alapján tudja, hogy várnia kell. A támadó kihasználhatja ezt a funkciót, ha elárasztja a hálózatot CTS-üzenetekkel. Ezután minden csomópont feltételezi, hogy van egy rejtett csomópont, amely megpróbálja továbbítani, és megtartja saját átviteleit, ami szolgáltatásmegtagadást eredményez .
A rejtett csomóponti támadások megakadályozásához hálózati eszközre, például NetEqualizerre van szükség. Egy ilyen eszköz figyeli a hozzáférési pontok forgalmát, és kialakítja a forgalom alapszintjét. Feltételezzük, hogy a CTS/RTS jelek minden kiugrása egy rejtett csomóponti támadás eredménye, és ezt követően blokkolják.
De-auth (de-autentication) támadás A vezeték nélküli hálózatba belépő minden kliensnek először hitelesítenie kell magát egy hozzáférési ponttal (AP), és ezt követően hozzá kell rendelni ahhoz a hozzáférési ponthoz. Amikor a kliens kilép, hitelesítés- vagy deauth-üzenetet küld, hogy leválasztja magát a hozzáférési pontról. A támadó deauth üzeneteket küldhet az ügyfelek IP-címeihez kötött hozzáférési pontra, ezáltal a felhasználók offline állapotba kerül, és folyamatos újrahitelesítést igényel, így a támadó értékes betekintést nyújt a fellépő újrahitelesítési kézfogásba.
A támadás mérséklése érdekében a hozzáférési pont úgy állítható be, hogy késleltesse a hitelesítés- vagy szétválasztási kérelmek hatását (pl. az ilyen kérések 5-10 másodperces sorba állításával), ezáltal lehetőséget adva a hozzáférési pontnak, hogy megfigyelje a klienstől érkező további csomagokat. Ha egy adatcsomag azután érkezik, hogy egy hitelesítési vagy leválasztási kérés sorba került, a kérést elveti, mivel egy legitim kliens soha nem generálna csomagokat ebben a sorrendben.