¿Los conmutadores de hoy son vulnerables al ataque de la tabla CAM?
enlace
¿Los conmutadores de hoy son vulnerables al ataque de la tabla CAM?
enlace
Inundar la tabla CAM para forzar que el conmutador vuelva al comportamiento del concentrador (transmitir todos los paquetes a todos los puertos) es un "ataque" solo si considera el comportamiento normal del conmutador (enviar el paquete solo en el enlace "derecho") para ser una característica de seguridad - que no lo es. Los interruptores son una optimización , no una protección . Desafortunadamente, la idea de que "los interruptores protegen contra el espionaje" es generalizada (pero errónea).
Además de la inundación, otros tipos de "ataques" incluyen el envío de paquetes con una dirección MAC enmarcada, por lo que los paquetes destinados a un host determinado se desvían. Dichos "ataques" funcionarán en todos los conmutadores, ya que solo realizan el trabajo que el conmutador debe realizar ( algunos pueden configurarse para mantener una lista estática de traducciones de MAC a puerto y en en ese caso, levante un indicador de advertencia, pero esto es un problema ortogonal: algunos conmutadores incorporan todo tipo de cortafuegos y filtros y pueden tener una dirección IP, y generalmente pueden pensarse como una combinación entre un conmutador y un host).
Algunos aún pueden ser susceptibles a un estado de error de 'transmisión a todos los puertos' cuando la tabla CAM está llena, pero en algunos casos esto es así porque la alternativa más común es dejar de pasar paquetes, efectivamente el ataque cambia. una violación del control de tráfico a una denegación de servicio.
Como parte de una defensa en capas, se puede mitigar con bastante éxito.
Cisco tiene un excelente artículo que describe los detalles del ataque CAM & técnicas de mitigación:
enlace
"La intención del ataque de desbordamiento de la dirección MAC es que el atacante pueda sobrepasar la tabla de Memoria Direccionable por Contenido (CAM) de Cisco Catalyst 6509E. Esto forzará que los paquetes para todos los flujos nuevos se desborden por todos los puertos, permitiendo al atacante monitorear (oler) los paquetes entrantes ".
La mayoría de los switches administrados pueden operar en un modo no promiscuo y con un MAC específico vinculado a un puerto específico en el switch. Una vez configurado de esta manera, la CAM no podrá ser atacada y el interruptor nunca se degradará a un concentrador.