Podkast 22T5 Port Security – Omini臋cie zabezpieczenia
Wi臋cej miejsc do pos艂uchania:
WERSJA TEKSTOWA
Cze艣膰, witam Ci臋 w dzisiejszym odcinku mojego podkastu, dzisiaj temat MAC Spoofing, czyli jak oszuka膰 Port Security. Je偶eli chodzi o ten mechanizm bardzo prosty, to on by艂 z za艂o偶enia dla os贸b, kt贸re nie maj膮 centralnej bazy u偶ytkownik贸w ani urz膮dze艅, czyli 偶adnego RADIUSa, centralizacji, natomiast chcieliby ograniczy膰 dla swojego 艣rodowiska podpi臋cie MAC adres贸w. Je艣li o nie chodzi to tutaj jest takie za艂o偶enie, 偶e to 艣rodowisko jest bardzo statyczne. Je艣li pod艂膮czymy co艣 raz, nie zmienia si臋 to przez lata np telefony IP. W przypadku zmiany wymagana jest niestety r臋czna interwencja administratora, w zale偶no艣ci od tego, jaki tryb ustawi. Najcz臋艣ciej ustawiany tryb to ograniczenie obs艂ugiwania MAC adres贸w powy偶ej danego limitu na porcie lub ustawienie po prostu na jeden adres. T艂umacz膮c: je偶eli przekroczymy te wymagania, w tym momencie port jest wy艂膮czany. Obie opcje powoduj膮, 偶e nowe urz膮dzenia nie dzia艂aj膮. Je艣li chcemy, aby zadzia艂a艂y, czyli np wymieniamy telefony IP lub cokolwiek innego, to wtedy wymagana jest r臋czna interwencja.
W przypadku, gdy 艣rodowisko jest ma艂e, mamy trzy urz膮dzenia, to jest to mniejszy problem. Natomiast gdy mamy 100 urz膮dze艅 ko艅cowych i wszystkie musimy wymieni膰, zaczyna si臋 du偶o wi臋kszy problem. Przy dzisiejszych rozwi膮zaniach, r贸wnie偶 open source, zupe艂nie bezp艂atnych, warto jednak rozwa偶y膰 rozwi膮zanie RADIUSowe, tj. centralizacj臋 tej funkcjonalno艣ci. Kiedy艣 by艂o te偶 tak, 偶e nie wszystkie urz膮dzenia i nie przy wszystkich licencjach wspiera艂y bardziej zaawansowane funkcjonalno艣ci. Dzisiaj relatywnie proste urz膮dzenia (jednak klasy firmowej) wspieraj膮 takie rozwi膮zania jak RADIUS. W zwi膮zku z tym, lepiej p贸j艣膰 w t膮 stron臋.
Jak oszuka膰 takie rozwi膮zania? Tak samo jak MAC Authentication, czyli wystarczy, 偶e zmienimy na ho艣cie ko艅cowym MAC adres. Jest to do zrobienia bez wi臋kszego problemu. Kopiujemy MAC adres urz膮dzenia, kt贸re by艂o wpi臋te na dany port, klonujemy na inne urz膮dzenie i w ten spos贸b oszukujemy dany mechanizm bezpiecze艅stwa. Mog臋 jeszcze doda膰 co si臋 robi, aby podwy偶szy膰 ten poziom bezpiecze艅stwa dla urz膮dze艅, kt贸re maj膮 MAC Authentication w 艣rodowisku najcz臋艣ciej scentralizowanym, w przypadku, gdy chcemy zrobi膰 co艣 wi臋cej, aby nie da艂o si臋 tak 艂atwo podszy膰 pod dane urz膮dzenie. Najcz臋艣ciej 艂膮czymy MAC Authentication z profilowaniem. Co wi臋cej, s膮 dzi艣 te偶 rozwi膮zania, kt贸re umo偶liwiaj膮 nam jak膮艣 reakcj臋, w momencie, gdy profil urz膮dzenia si臋 nam zmienia.
Za艂贸偶my, 偶e mamy kamer臋 IP na danym porcie, mamy uwierzytelnienie MAC Authentication, kto艣 klonuje nam MAC adres tej kamery, pod艂膮czy swojego laptopa i w tym momencie to urz膮dzenie nie powinno mie膰 pod艂膮czenia do sieci, dlatego, 偶e b臋dzie si臋 inaczej przedstawia艂o. Nie jest oczywi艣cie ca艂kowicie nie mo偶liwe podszycie si臋 pod dane urz膮dzenie i jakby udawanie, 偶e si臋 profiluje jako kamera, ale jest to niepor贸wnywalnie trudniejsze rozwi膮zanie, dlatego, 偶e profilowanie nie jest zestandaryzowane. Ka偶dy z producent贸w mo偶e u偶ywa膰 innych atrybut贸w do tego, 偶eby w艂a艣ciwie sprofilowa膰 urz膮dzenie. Najcz臋艣ciej tak w艂a艣nie jest. Bazy danych profilowania s膮 tworzone i dostarczane per producent lub ewentualnie trzecia strona, kt贸ra zajmuje si臋 bardziej profilowaniem. Tak czy inaczej, mo偶e si臋 to r贸偶ni膰 pomi臋dzy 艣rodowiskami w zale偶no艣ci od tego, jakiego rozwi膮zania u偶ywa dany klient. W zwi膮zku z tym, pod艂膮czenie laptopa zamiast kamery b臋dzie najcz臋艣ciej oznacza艂o, 偶e to urz膮dzenie zostanie wykryte, 偶e jest to jaka艣 podmiana, mimo, 偶e MAC adres jest ten sam i dzi臋ki temu podwy偶szamy poziom bezpiecze艅stwa.
Czy takie profilowanie nie ma wad? Oczywi艣cie ma te偶 swoje wady, poniewa偶 okazuje si臋, 偶e nawet te same urz膮dzenia, b膮d藕 przy zmianie firmware mog膮 otrzyma膰 r贸偶ny profil. To z kolei powoduje pewne trudno艣ci po stronie administracyjnej. Nie zmienia to jednak faktu, 偶e zazwyczaj tak jest, i偶 je艣li chcemy podwy偶szy膰 poziom bezpiecze艅stwa, to jednocze艣nie zwi臋kszamy ryzyko, 偶e administracyjnie nam trudno b臋dzie utrzyma膰 dane rozwi膮zanie. Natomiast w przypadku kamer przemys艂owych to jednak my艣l臋, 偶e warto si臋 tym zainteresowa膰 i podj膮膰 wy偶sze wymagania, czy wy偶szy wysi艂ek konfigurowania wi臋kszego poziomu bezpiecze艅stwa, poniewa偶 je艣li kto艣 przejmie nam dost臋p do rejestratora, do kamer, do sieci technicznej IP to w tym momencie wie dok艂adnie co, gdzie si臋 dzieje a to ju偶 bardzo du偶o, je艣li kto艣 planuje jakie艣 dalsze dzia艂ania.
W tym odcinku to wszystko, dzi臋kuj臋 Ci za uwag臋. Jak zmienia si臋 taki przyk艂adowy MAC adres na stacji ko艅cowej w Packet Tracer mo偶esz zobaczy膰 w najbli偶szym odcinku. Pytania pisz w komentarzu. Do us艂yszenia ju偶 za tydzie艅! 馃檪