Qual è la superficie di attacco su un interruttore L2?

Naviga le tue risposte
3

Sto cercando di capire cosa rende un interruttore "top brand" migliore di un "brand sconosciuto economico" con le stesse caratteristiche.

Spesso vedo la sicurezza gettata nel mix, ma in realtà non riesco a capire come sia rilevante, quindi sto cercando di capire se lo è.

Per come la vedo io, la maggior parte (tutti?) gli switch L2 ottengono solo alcuni dati che devono passare a dispositivi specifici, niente L3, nessuna ricerca, solo Alice has MAC X and is on port Y, I need to pass Z from port W to Y.

Ora, oltre agli overflow CAM e agli exploit dell'interfaccia web (sto lasciando andare la VLAN hopping e altri exploit simili perché non intaccheranno lo switch stesso) Cosa potrebbe andare storto? Sembra che il kernel di Linux usato nella maggior parte degli switch sia antico, ma a quanto pare, non viene esposto a nulla in quanto viene eseguito solo l'interfaccia utente web / shell (l'ASIC fa tutto?).

Mi manca qualcosa qui?

    
posta Dgm 01.06.2018 - 22:50
fonte

2 risposte

2

Superficie di attacco:

  • Gestione
  • Isolamento del traffico (VLAN)
  • Monitoraggio del traffico / Sniffing
  • Traffico effettivo / servizi extra

Gestione

Guarda le interfacce di gestione. Un esempio di commutazione economica è un router domestico. Sì, fa più che passare, ma i bug sono nelle interfacce di gestione. Simile anche ai dispositivi "top" di livello Cisco. La maggior parte dei CVE sono in giro con credenziali, problemi con la gestione o problemi con l'implementazione di protocolli complessi.

Isolamento del traffico

Molti switch L2 configureranno le VLAN che dovrebbero essere reti isolate e spesso dipendiamo da questo isolamento per motivi di sicurezza. Se stai utilizzando uno switch L2 in questa modalità, un compromesso della gestione o del tagging VLAN che ti consente di saltare le VLAN è la tua più grande preoccupazione.

Se non stai segmentando il traffico tramite VLAN, direi che la sicurezza dello switch non ha alcuna importanza.

Monitoraggio del traffico / sniffing

Passa al livello successivo. È possibile impostare una porta di span e monitorare tutto il traffico da tutte le altre porte. Presumo personalmente che tutto il traffico che lascia il mio dispositivo verrà monitorato. Quindi mi concentro sulla crittografia del transito. E nel mondo WiFi di oggi, è piuttosto tipico che i dispositivi possano annusare il tuo traffico. Forse non è una strong minaccia.

Traffico effettivo e servizi extra

Cosa rimane, passaggio effettivo del traffico. Questi sono i bug che la NSA usava per hackerare i firewall dalla rete pubblica. Trovano bug nel traffico che non viene semplicemente passato da una porta all'altra. Spanning tree, logica VLAN e simili. Questa è la roba in cui si trova la superficie di attacco rimanente. Esempio:

  1. Cisco CDP DOS
  2. vulnerabilità nel protocollo SNMP (Simple Network Management Protocol) in esecuzione su alcuni modelli di switch Cisco Catalyst
risposta data 01.06.2018 - 23:43
fonte
1

In realtà, il buco più grande sono vari servizi, abilitati per impostazione predefinita e che devono essere deliberatamente disattivati o protetti prima della distribuzione. Come * STP , che non dovrebbe mai essere abilitato sulle porte del cliente (è necessario abilitare le protezioni BPDU), vari protocolli di rilevamento della topologia (Cisco Discovery Protocol, LLDP), protocolli di gestione mal configurati (CFM, OAM) o - se chiedi di rilevare lo switch stesso, SNMP , che di solito è abilitato con public e private ro / rw communities (v2) e non ha trusted ports impostato per impostazione predefinita ( il che significa che tutte le porte sono attendibili, nessuna restrizione).

    
risposta data 02.06.2018 - 11:23
fonte

Leggi altre domande sui tag

L'impronta digitale certificato di Google non corrisponde alle impronte digitali nelle configurazioni "net-internals" di Chrome Perché lo stesso criterio di origine è basato sul nome host e non sull'IP?