Na atualidade, integrar segurança nos sistemas se tornou fundamental, sempre com o objetivo de proteger a confidencialidade, integridade e disponibilidade da informação transmitida.
Muitas vezes ouvimos falar de defesa em profundidade ou segurança em camadas, referindo-se aos diferentes níveis de proteção que rodeiam os arquivos críticos do core de uma organização.
Neste artigo vamos focar na camada de nível de enlace de dados e alguns dos protocolos de segurança que podem ser implementados nela.
Camada de nível de enlace
Brevemente, queremos recordar que a camada de nível de enlace, conhecida como 2 no modelo OSI (Open Systems Interconnection), é a encarregada de conectar a camada física com as camadas superiores a ela. A este nível a informação viaja em datagramas ou tramas.
MODELO OSI
Nível de aplicação Serviços de rede a aplicativos
Nível de apresentação representação dos dados.
Nível de sessão Conexão entre dispositivos da rede.
Nível de transporte Conexão extremo -a – extremo e fiabilidade de dados.
Nível de rede Determinação da rota e do IP (Endereços lógico).
Nível de enlace de dados Endereçamento físico (MAC e LLC).
Nível físico Sinal e transmissão binária.
Esta camada realiza várias funções, dependendo do protocolo que for utilizado podem ser implementadas todas ou algumas delas, como ser:
(Acesso livre, não requer assinatura)
O controle de acesso ao meio físico mediante o qual a informação é transmitida e compartilhada com os dispositivos conectados a este.
A detecção de erros e sua eventual correção, por exemplo perante interferências ou atenuação do sinal.
Entrega de dados ao dispositivo correspondente conforme seu endereço físico, conhecido como endereço MAC, por suas siglas em inglês Media Access Control.
O controle de fluxo entre dois dispositivos para evitar perda de informação e saturação de dados.
Quais os riscos de segurança que existem na camada 2?
A camada de enlace de dados também é suscetível a ataques.
Além dos ataques de certas vulnerabilidades próprias de sistemas que não estão devidamente configurados e/ou atualizados, mencionaremos a seguir alguns sistemas associados a redes LAN:
Spoofing. É a técnica de disfarce de identidade por parte de um atacante que parece uma entidade de confiança, neste caso, por outro dispositivo da rede através da falsificação de seu endereço MAC.
DoS – Denial of Service. Esta técnica tenta impedir ou limitar o acesso a um dispositivo de rede, mediante a saturação de algum de seus recursos, por exemplo, realizando uma inundação de tráfego não desejado.
Sniffing. O atacante escuta somente o tráfego transmitido, mas não realiza nenhuma ação.
DHCP Spoofing. O atacante finge ser o servidor DHCP [1]para enviar ao cliente dados de rede falsos.
ARP[2] poisoning ou envenenamento da tabela ARP. O objetivo do atacante é alterar a informação da tabela ARP, onde se guarda temporalmente o endereço IP associado ao endereço MAC de um dispositivo, substituindo dita informação por sua própria MAC e conseguindo redirecionar o tráfego para si mesmo.
Observamos que alguns dos ataques mencionados anteriormente, podem acontecer também em outras camadas de rede.
O controle de acesso ao meio físico mediante o qual a informação é transmitida e compartilhada com os dispositivos conectados a este.
A detecção de erros e sua eventual correção, por exemplo perante interferências ou atenuação do sinal.
Entrega de dados ao dispositivo correspondente conforme seu endereço físico, conhecido como endereço MAC, por suas siglas em inglês Media Access Control.
O controle de fluxo entre dois dispositivos para evitar perda de informação e saturação de dados.
Quais os riscos de segurança que existem na camada 2?
A camada de enlace de dados também é suscetível a ataques.
Além dos ataques de certas vulnerabilidades próprias de sistemas que não estão devidamente configurados e/ou atualizados, mencionaremos a seguir alguns sistemas associados a redes LAN:
Spoofing. É a técnica de disfarce de identidade por parte de um atacante que parece uma entidade de confiança, neste caso, por outro dispositivo da rede através da falsificação de seu endereço MAC.
DoS – Denial of Service. Esta técnica tenta impedir ou limitar o acesso a um dispositivo de rede, mediante a saturação de algum de seus recursos, por exemplo, realizando uma inundação de tráfego não desejado.
Sniffing. O atacante escuta somente o tráfego transmitido, mas não realiza nenhuma ação.
DHCP Spoofing. O atacante finge ser o servidor DHCP [1]para enviar ao cliente dados de rede falsos.
ARP[2] poisoning ou envenenamento da tabela ARP. O objetivo do atacante é alterar a informação da tabela ARP, onde se guarda temporalmente o endereço IP associado ao endereço MAC de um dispositivo, substituindo dita informação por sua própria MAC e conseguindo redirecionar o tráfego para si mesmo.
Observamos que alguns dos ataques mencionados anteriormente, podem acontecer também em outras camadas de rede.
Estes supõem um risco para a confidencialidade, disponibilidade e integridade da informação transmitida.
Como integramos segurança na camada 2?
A IEEE desenvolveu a família de protocolos 802 para redes LAN e WAN. Estes protocolos foram desenhados para permitir a interoperabilidade entre si e entre os dispositivos e as redes que o suportam. Podem ser implementados em uma rede Ethernet que permita este tipo de tramas.
O interesse principal em implementar estas tecnologias nos dispositivos de rede é proteger a confidencialidade, integridade e disponibilidade da informação transmitida.
A seguir mencionaremos alguns protocolos de segurança da camada 2:
Spanning Tree Protocol (STP) – 802.1D e Shortest Path Bridging (SPB) – 802.1aq.
Evita bucles, habilitando apenas uma trilha entre dispositivos (Bridge priority).
Evita ataques de inundação de BW de pacotes específicos da camada 2, como por exemplo: solicitações broadcast ou tramas BPDU (Bridge Protocol Data Unit) fraudulentas.
Port Security – extensão do Protocolo 802.1x
Restringe o acesso a um porto apenas para dispositivos autorizados, uma vez que o porto só é habilitado quando a autenticação contra o servidor de autenticação for bem sucedida.
MACsec – Media Access Control Security – 802.1AE
Confidencialidade – a informação se transmite cifrada, prevenindo a interceptação (sniffing).
Autenticação – garante que a fonte é quem diz ser.
Verifica a integridade dos dados transmitidos.
DHCP Snooping
O DHCP Snooping opera na camada 2, filtrando tráfego DHCP não autorizado, isso evita ataques de DHCP Snooping, onde um atacante finge ser um servidor DHCP da rede. Além disso, evita que dispositivos não autorizados obtenham endereços IP de forma fraudulenta.
Por último, mencionaremos o protocolo 802.1q, que é o que devem cumprir os dispositivos que suportam VLANs[3]. Este, se bem não foi pensado em termos de segurança, graças às suas funcionalidades colabora nesse sentido.
Uma VLAN permite definir segmentos de redes lógicos e separar diferentes tipos de tráfego. Isso colabora com a segurança da rede, já que ao segmentá-la reduz a superfície de ataques, evita que o tráfego de redes seja interceptado por dispositivos não autorizados e minimiza os possíveis ataques laterais entre VLANs.
Medidas básicas de segurança
Para finalizar listamos algumas medidas básicas de segurança a serem consideradas:
Fechar todos os portos que não são utilizados.
Assegurar que o acesso ao dispositivo seja através de um protocolo seguro, como SSH e nunca via Telnet.
Alterar as senhas por defeito de todos os dispositivos de rede.
Monitorar os dispositivos e centralizar alertas para permitir que realize a correlação de eventos.
Configurar os logs de forma que possam permitir a traçabilidade de eventos.
Contar com aval externo da configuração do dispositivo.
Analisar e implementar os protocolos de segurança mencionados anteriormente.
Aliás, recomendamos também avaliar se é necessário e oportuno:
Configurar MAC de forma estática para garantir o acesso à rede de um dispositivo, embora isso possa resultar difícil de manter.
Configurar o serviço DHCP para alocar de forma estática endereços IP a cada um dos endereços MAC da rede, uma vez que facilita a traçabilidade de ações.
