Więcej miejsc do posłuchania:
WERSJA TEKSTOWA
Cześć, witam Cię w dzisiejszym odcinku mojego podkastu, dzisiaj temat MAC Spoofing, czyli jak oszukać Port Security. Jeżeli chodzi o ten mechanizm bardzo prosty, to on był z założenia dla osób, które nie mają centralnej bazy użytkowników ani urządzeń, czyli żadnego RADIUSa, centralizacji, natomiast chcieliby ograniczyć dla swojego środowiska podpięcie MAC adresów. Jeśli o nie chodzi to tutaj jest takie założenie, że to środowisko jest bardzo statyczne. Jeśli podłączymy coś raz, nie zmienia się to przez lata np telefony IP. W przypadku zmiany wymagana jest niestety ręczna interwencja administratora, w zależności od tego, jaki tryb ustawi. Najczęściej ustawiany tryb to ograniczenie obsługiwania MAC adresów powyżej danego limitu na porcie lub ustawienie po prostu na jeden adres. Tłumacząc: jeżeli przekroczymy te wymagania, w tym momencie port jest wyłączany. Obie opcje powodują, że nowe urządzenia nie działają. Jeśli chcemy, aby zadziałały, czyli np wymieniamy telefony IP lub cokolwiek innego, to wtedy wymagana jest ręczna interwencja.
W przypadku, gdy środowisko jest małe, mamy trzy urządzenia, to jest to mniejszy problem. Natomiast gdy mamy 100 urządzeń końcowych i wszystkie musimy wymienić, zaczyna się dużo większy problem. Przy dzisiejszych rozwiązaniach, również open source, zupełnie bezpłatnych, warto jednak rozważyć rozwiązanie RADIUSowe, tj. centralizację tej funkcjonalności. Kiedyś było też tak, że nie wszystkie urządzenia i nie przy wszystkich licencjach wspierały bardziej zaawansowane funkcjonalności. Dzisiaj relatywnie proste urządzenia (jednak klasy firmowej) wspierają takie rozwiązania jak RADIUS. W związku z tym, lepiej pójść w tą stronę.
Jak oszukać takie rozwiązania? Tak samo jak MAC Authentication, czyli wystarczy, że zmienimy na hoście końcowym MAC adres. Jest to do zrobienia bez większego problemu. Kopiujemy MAC adres urządzenia, które było wpięte na dany port, klonujemy na inne urządzenie i w ten sposób oszukujemy dany mechanizm bezpieczeństwa. Mogę jeszcze dodać co się robi, aby podwyższyć ten poziom bezpieczeństwa dla urządzeń, które mają MAC Authentication w środowisku najczęściej scentralizowanym, w przypadku, gdy chcemy zrobić coś więcej, aby nie dało się tak łatwo podszyć pod dane urządzenie. Najczęściej łączymy MAC Authentication z profilowaniem. Co więcej, są dziś też rozwiązania, które umożliwiają nam jakąś reakcję, w momencie, gdy profil urządzenia się nam zmienia.
Załóżmy, że mamy kamerę IP na danym porcie, mamy uwierzytelnienie MAC Authentication, ktoś klonuje nam MAC adres tej kamery, podłączy swojego laptopa i w tym momencie to urządzenie nie powinno mieć podłączenia do sieci, dlatego, że będzie się inaczej przedstawiało. Nie jest oczywiście całkowicie nie możliwe podszycie się pod dane urządzenie i jakby udawanie, że się profiluje jako kamera, ale jest to nieporównywalnie trudniejsze rozwiązanie, dlatego, że profilowanie nie jest zestandaryzowane. Każdy z producentów może używać innych atrybutów do tego, żeby właściwie sprofilować urządzenie. Najczęściej tak właśnie jest. Bazy danych profilowania są tworzone i dostarczane per producent lub ewentualnie trzecia strona, która zajmuje się bardziej profilowaniem. Tak czy inaczej, może się to różnić pomiędzy środowiskami w zależności od tego, jakiego rozwiązania używa dany klient. W związku z tym, podłączenie laptopa zamiast kamery będzie najczęściej oznaczało, że to urządzenie zostanie wykryte, że jest to jakaś podmiana, mimo, że MAC adres jest ten sam i dzięki temu podwyższamy poziom bezpieczeństwa.
Czy takie profilowanie nie ma wad? Oczywiście ma też swoje wady, ponieważ okazuje się, że nawet te same urządzenia, bądź przy zmianie firmware mogą otrzymać różny profil. To z kolei powoduje pewne trudności po stronie administracyjnej. Nie zmienia to jednak faktu, że zazwyczaj tak jest, iż jeśli chcemy podwyższyć poziom bezpieczeństwa, to jednocześnie zwiększamy ryzyko, że administracyjnie nam trudno będzie utrzymać dane rozwiązanie. Natomiast w przypadku kamer przemysłowych to jednak myślę, że warto się tym zainteresować i podjąć wyższe wymagania, czy wyższy wysiłek konfigurowania większego poziomu bezpieczeństwa, ponieważ jeśli ktoś przejmie nam dostęp do rejestratora, do kamer, do sieci technicznej IP to w tym momencie wie dokładnie co, gdzie się dzieje a to już bardzo dużo, jeśli ktoś planuje jakieś dalsze działania.
W tym odcinku to wszystko, dziękuję Ci za uwagę. Jak zmienia się taki przykładowy MAC adres na stacji końcowej w Packet Tracer możesz zobaczyć w najbliższym odcinku. Pytania pisz w komentarzu. Do usłyszenia już za tydzień! 🙂
