¿Cuál es la superficie de ataque en un interruptor L2?

3

Estoy tratando de averiguar qué hace que un interruptor de "marca principal" sea mejor que uno de "marca desconocida barata" con las mismas características.

A menudo veo la seguridad en la mezcla, pero realmente no puedo entender cómo esto es relevante, así que estoy tratando de averiguar si lo es.

La forma en que lo veo, la mayoría (¿todos?) los conmutadores L2 solo obtienen algunos datos que tienen que pasar a dispositivos específicos, sin L3, sin buscar, solo Alice has MAC X and is on port Y, I need to pass Z from port W to Y.

Ahora, además del exceso de CAM y las vulnerabilidades de la interfaz web (estoy dejando el salto de VLAN y otras vulnerabilidades similares porque no hackearán el conmutador en sí) ¿Qué podría salir mal? Parece que el kernel de Linux usado en la mayoría de los switches es antiguo, pero aparentemente, no se expone a nada, ya que solo ejecuta la interfaz de usuario / shell de la web (¿el ASIC hace todo?).

¿Me estoy perdiendo algo aquí?

    
pregunta Dgm 01.06.2018 - 22:50
fuente

2 respuestas

2

Superficie de ataque:

  • Gestión
  • Aislamiento de tráfico (VLAN)
  • Monitoreo de tráfico / sniffing
  • Pasaje de tráfico real / servicios adicionales

Gestión

Mira las interfaces de gestión. Un ejemplo de interruptor barato es un enrutador doméstico. Sí, hace más que cambiar, pero los errores están en las interfaces de administración. Similar a incluso los dispositivos de nivel superior de Cisco. La mayoría de las CVE están basadas en credenciales, problemas con la administración o problemas con la implementación de protocolos complejos.

Aislamiento de tráfico

Muchos conmutadores L2 configurarán redes VLAN, que deberían ser redes aisladas, y con frecuencia dependemos de este aislamiento por seguridad. Si está utilizando un conmutador L2 en este modo, su mayor preocupación es un compromiso de la administración o del etiquetado de VLAN que le permite saltar VLAN.

Si no está segmentando el tráfico por VLAN, diría que la seguridad del conmutador realmente no importa.

Monitoreo de tráfico / sniffing

Toma el siguiente nivel. Puede configurar un puerto de tramo y controlar todo el tráfico de todos los demás puertos. Personalmente asumo que cualquier tráfico que salga de mi dispositivo será monitoreado. Así que me enfoco en el cifrado de tránsito. Y en el mundo WiFi de hoy en día, es bastante típico que muchos dispositivos detecten su tráfico. Quizás no sea una amenaza fuerte.

Pasaje de tráfico real y servicios adicionales

Lo que queda, el tráfico real que pasa. Estos son los errores que la NSA usó para hackear firewalls de la Internet pública. Encuentran errores en el tráfico que no se pasa simplemente de un puerto a otro. Árbol de expansión, lógica de VLAN y similares. Esta es la materia donde se encuentra la superficie de ataque restante. Ejemplo:

  1. Cisco CDP DOS
  2. vulnerabilidad en el Protocolo simple de administración de red (SNMP) que se ejecuta en ciertos modelos de Cisco Catalyst Switches
respondido por el Jonathan 01.06.2018 - 23:43
fuente
1

En realidad, el agujero más grande son varios servicios, que están habilitados de forma predeterminada y deben ser deshabilitados o asegurados deliberadamente antes de la implementación. Al igual que * STP , que nunca debe habilitarse en los puertos del cliente (debe habilitar las protecciones BPDU), varios protocolos de detección de topología (Cisco Discovery Protocol, LLDP), protocolos de administración mal configurados (CFM, OAM) o - si pregunta acerca de tomar el interruptor, SNMP , que generalmente está habilitado con las comunidades public y private ro / rw (v2) y no tiene trusted ports configurado de forma predeterminada ( lo que significa que todos los puertos son confiables, sin restricciones en absoluto).

    
respondido por el Tomasz Pala 02.06.2018 - 11:23
fuente

Lea otras preguntas en las etiquetas