Uma camada de link de dados atua como um meio de comunicação entre dois hosts diretamente conectados. Na frente de envio, ele transforma o fluxo de dados em sinais pouco a pouco e transfere para o hardware. Pelo contrário, como receptor, recebe dados na forma de sinais elétricos e os transforma em um quadro identificável.
Mac pode ser classificado como uma subcamada da camada de link de dados que é responsável pelo endereçamento físico. O endereço MAC é um endereço exclusivo para um adaptador de rede alocado pelos fabricantes para transmitir dados para o host de destino. Se um dispositivo tiver vários adaptadores de rede i.e., Ethernet, Wi-Fi, Bluetooth, etc., haveria diferentes endereços MAC para cada padrão.
Neste artigo, você aprenderá como essa subcamada é manipulada para executar o ataque de inundação do MAC e como podemos impedir que o ataque aconteça.
Introdução
Mac (Media Access Control) inundações é um ataque cibernético no qual um inunda de inundações muda com endereços MAC falsos para comprometer sua segurança. Um switch não transmite pacotes de rede para toda a rede e mantém a integridade da rede, segregando dados e fazendo uso de VLANs (rede de área local virtual).
O motivo por trás do ataque de inundação do MAC é roubar dados do sistema de uma vítima que está sendo transferido para uma rede. Pode ser alcançado forçando o conteúdo de tabela de Mac do Switch, e o comportamento de unicast do Switch. Isso resulta na transferência de dados sensíveis para outras partes da rede e, eventualmente. Portanto, também é chamado de ataque de tabela de endereço MAC.
O invasor também pode usar um ataque de falsificação ARP como um ataque de sombra para se permitir continuar tendo acesso a dados privados depois que os interruptores de rede se recuperam do ataque de inundação de Mac precoce.
Ataque
Para saturar rapidamente a tabela, o atacante inunda o interruptor com um grande número de solicitações, cada um com um endereço MAC falso. Quando a tabela MAC atinge o limite de armazenamento alocado, começa a remover endereços antigos com os novos.
Depois de remover todos os endereços MAC legítimos, o Switch inicia a transmissão de todos os pacotes para cada porta Switch e assume o papel do hub de rede. Agora, quando dois usuários válidos tentam se comunicar, seus dados são encaminhados para todas as portas disponíveis, resultando em um ataque de inundação de tabela MAC.
Todos os usuários legítimos agora poderão fazer uma entrada até que isso seja concluído. Nessas situações, entidades maliciosas fazem de parte de uma rede e enviar pacotes de dados maliciosos para o computador do usuário.
Como resultado, o invasor poderá capturar todo o tráfego de engate e saída que passa pelo sistema do usuário e pode farejar os dados confidenciais que ele contém. O instantâneo a seguir da ferramenta Sniffing, Wireshark, exibe como a tabela de endereço MAC é inundada com endereços MAC falsos.
Prevenção de ataque
Devemos sempre tomar precauções para proteger nossos sistemas. Felizmente, temos ferramentas e funções para impedir que os intrusos entrem no sistema e respondam a ataques que colocam nosso sistema em risco. Parar o ataque de inundação do MAC pode ser feito com a segurança da porta.
Podemos conseguir isso ativando esse recurso em segurança portuária usando o comando Switchport Port-Security.
Especifique o número máximo de endereços permitidos na interface usando o comando “Switchport Port-Security máximo” como abaixo:
Switch Port-Security máximo 5
Definindo os endereços MAC de todos os dispositivos conhecidos:
Switch Port-Segurança Máximo 2
Indicando o que deve ser feito se algum dos termos acima for violado. Quando ocorre uma violação da segurança da porta do interruptor, os interruptores da Cisco podem ser configurados para responder de uma de três maneiras; Proteger, restringir, desligar.
O modo de proteção é o modo de violação de segurança com o menor segurança. Os pacotes que possuem endereços de origem não identificados são descartados, se o número de endereços MAC protegidos exceder o limite da porta. Pode ser evitado se o número de endereços máximos especificados que podem ser salvos na porta for aumentada ou o número de endereços MAC protegidos for reduzido. Nesse caso, nenhuma evidência pode ser encontrada de uma violação de dados.
Mas no modo restrito, é relatada uma violação de dados, quando ocorre uma violação de segurança portuária no modo de violação de segurança padrão, a interface é desativada por erros e o LED da porta é morto. O contador de violação é incrementado.
O comando do modo de desligamento pode ser usado para obter uma porta segura do estado com desativação de erros. Pode ser ativado pelo comando mencionado abaixo:
interruitar o desligamento da violação da segurança por porta
Além de nenhum desligamento, os comandos do modo de configuração da interface podem ser usados para o mesmo objetivo. Esses modos podem ser ativados pelo uso dos comandos abaixo:
Switch por porta de segurança Violação de segurança Proteção
Violação de segurança da porta de mudança restrição
Esses ataques também podem ser evitados autenticando os endereços MAC contra o servidor AAA conhecido como Autenticação, Autorização e Servidor de Contabilidade. E desativando as portas que não são usadas com muita frequência.
Conclusão
Os efeitos de um ataque de inundação de Mac podem diferir considerando como é implementado. Isso pode resultar no vazamento de informações pessoais e sensíveis do usuário que podem ser usadas para fins maliciosos, para que sua prevenção seja necessária. Um ataque de inundação de Mac pode ser evitado por muitos métodos, incluindo a autenticação de endereços MAC descobertos contra o servidor "AAA", etc.