Sposób na ominięcie zabezpieczeń Port Security
Na samym początku warto powiedzieć o tym, iż Port Security odpowiada za zabezpieczenie interfejsów przełącznika. Możliwe jest ograniczenie liczby hostów podłączonych do interfejsu.
Instrukcję w formie video zobaczysz tutaj 🙂
Topologia wykorzystana w zadaniu
Powyższa topologia składa się z:
- jednego przełącznika SW1
- trzech stacji roboczych H1, H2, H3
- jednej stacji roboczej H4Atak
Założenie zadania
Skonfigurowanie Port Security na interfejsie FE0/1 przełącznika, a następnie wykazanie w jaki sposób ominąć te zabezpieczenie na przełączniku używając w tym celu stacji roboczej H4Atak.
Konfiguracja urządzeń
Poniżej znajduję się lista adresów IP wraz z maskami, które będą przypisane do stacji roboczych:
SW1
Switch>enSwitch#conf tEnter configuration commands, one per line. End with CNTL/Z. Switch(config)#interface fastethernet 0/1Switch(config-if)#switchport mode accessSwitch(config-if)#switchport port-securitySwitch(config-if)#switchport port-security maximum 1Switch(config-if)#switchport port-security mac-address stickySwitch(config-if)#switchport port-security violation shutdown
Sprawdzenie komunikacji między stacją roboczą H1 a H2
Komunikacja prawidłowa – przełącznik SW1 uzyska adres MAC
Weryfikacja adresu MAC na przełączniku i stacji roboczej
Odłączenie interfejsu fe0/1
Na przełączniku nastąpiło odłączenie interfejsu fe0/1 i przydzielenie go do stacji roboczej H4Atak – jak widać nie ma możliwości komunikacji ze stacją roboczą H2, a interfejs jest odłączony. Wszystko zgodnie z konfiguracją na przełączniku.
Zamiana adresu mac na stacji roboczej H4Atak
W celu uzyskania dostępu do przełącznika na interfejsie FE0/1 stacji roboczej H4Atak należy podmienić adres MAC stacji roboczej H4Atak na tę co posiadała stacja robocza H1.
Po podmianie adresu MAC na stacji roboczej H4Atak można się podłączyć do przełącznika na porcie FE0/1. Co dodatkowo się uzyskało? Stacja robocza H4Atak może się teraz komunikować ze stacją roboczą H2.
Podsumowanie
Ten atak jest możliwy, o ile nie zablokujemy wcześniej interfejsu podłączając urządzenie z innym adresem MAC. Jeśli atakujący wie o istniejącym zabezpieczeniu, może wcześniej pozyskać adres MAC karty sieciowej zaufanego urządzenia, przypisać go do swojej karty sieciowej i wpiąć się fizycznie do jego interfejsu. W takiej sytuacji nie dojdzie do blokady i obce urządzenie będzie mogło podłączyć się do sieci.
