CC BY
0УДК 004.056.53 Ермолин Ф.С., Монтрель Д.М., Саблин А.Р.
Ермолин Ф.С.
3 курс, специальность 10.05.03. «Информационная безопасность автоматизированных систем» Российский государственный университет нефти и газа им. И.М. Губкина (г. Москва, Россия
Монтрель Д.М.
3 курс, специальность 10.05.03. «Информационная безопасность автоматизированных систем» Российский государственный университет нефти и газа им. И.М. Губкина (г. Москва, Россия)
Саблин А.Р.
3 курс, специальность 10.05.03. «Информационная безопасность автоматизированных систем» Российский государственный университет нефти и газа им. И.М. Губкина (г. Москва, Россия)
АТАКА CAM-TABLE OVERFLOW. МЕТОДЫ ЗАЩИТЫ
Аннотация: в работе рассматривается принцип работы атаки CAM-Table overflow. Подробно рассмотрены методы обеспечения защиты коммутаторов от этой атаки и приведены примеры настройки коммутаторов на защиту от данной атаки. Настройка производилась на коммутаторах Cisco, Microtik и Eltex.
Ключевые слова: CAM таблица, MAC адрес, защита коммутатора.
В стремительно развивающемся информационном пространстве и при увеличивающемся количестве информации в нём коммутаторы обеспечивают передачу данных между устройствами, соединяя их в единую сеть. При возрастании числа устройств в сети возникает угроза переполнения таблиц MAC-адресов у коммутаторов, что приведёт к утечке информации, в таких ситуациях злоумышленники могут получить важную информацию из сети. В ходе работы будут рассмотрены методы предотвращения переполнения таблиц MAC-адресов на трёх разных коммутаторах от компаний: Cisco, Eltex и Microtik.
Рассмотрим определения, которые будут использоваться в дальнейшей
работе:
1. CAM-table (Content Addressable Memory table) - это таблица, используемая в сетевых устройствах, таких как коммутаторы, для хранения информации о MAC-адресах устройств, подключенных к сети.
2. Media Access Control address (MAC-адрес) - это строка символов, которая идентифицирует устройство в сети. Он связан с ключевым компонентом вашего компьютера, называемым сетевой картой.
3. CAM-Table overflow attack - это кибератака, при которой на коммутатор отправляется поток подделанных MAC-адресов.
4. VLAN (Virtual Local Area Network) - это технология, которая позволяет создавать виртуальные локальные сети внутри одной физической сети. VLAN используется для разделения сетевого трафика и улучшения управления сетью. В данном случае, использование VLAN уменьшает область атаки, так как злоумышленник, получивший доступ к одному VLAN, не сможет видеть трафик в других VLAN [8].
5. Violation restrict - это режим в функции port security, который позволяет блокировать трафик от узла (компьютера), MAC-адрес которого не разрешён для обслуживания на этом порту. При этом сам порт блокироваться не будет [5].
Далее рассмотрим принцип работы коммутатора:
Когда кадр попадает в сеть, коммутатор проверяет его и запоминает MAC-адрес источника, записывая адрес в таблицу коммутации. В будущем, когда будут поступать кадры, предназначенные для устройств, для которых у коммутатора уже есть адрес, коммутатор может перехватить их, перенаправить на заднюю панель коммутатора и поместить прямо в порт. Все остальные порты не смогут увидеть эти кадры.
Атаки с переполнением CAM-таблицы работают по принципу, согласно которому коммутаторы могут запоминать только определенное количество MAC-адресов (зачастую, от 3000 до 6000). По умолчанию поведение коммутатора при нормальной работе сети следующее: к коммутатору за большое количество времени подключается много устройств с разными MAC-адресами. Прошлые адреса становятся неактуальными. Следовательно, коммутатор вытесняет старые адреса из CAM-таблицы новыми адресами. Когда происходит атака с переполнением таблицы CAM, настоящие рабочие адреса вытесняются поддельными адресами злоумышленника.
В процессе записи всех новых MAC-адресов, поступающих от злоумышленника, коммутатор в первую очередь заполняет всю доступную память, предназначенную для таблицы адресов. Когда память оказывается исчерпанной, он удаляет адреса устройств, для которых требуется передача данных, что приводит к утрате информации о том, куда необходимо отправлять данные. При продолжении атаки коммутатор начинает рассылать информацию на все порты, происходит широковещательная рассылка всех пакетов на каждый порт коммутатора, в ходе чего злоумышленник, находящийся в той же VLAN, получает доступ ко всем данным, проходящими через сеть [7].
В процессе кибератаки CAM-Table на коммутатор отправляется поток подделанных MAC-адресов, когда поток данных становится слишком большим, это может вызвать ситуацию, при которой коммутатор достигает предела памяти, выделенной для хранения MAC-адресов. В таких случаях, когда лимит превышен, коммутатор начинает удалять действительные MAC-адреса, уже
находящиеся в его таблице. Это делается с целью освободить пространство для новых данных, которые могут быть поддельными или неавторизованными. Таким образом, в попытке справиться с переполнением памяти, коммутатор рискует потерять информацию о легитимных устройствах в сети, что может привести к проблемам с идентификацией и маршрутизацией данных. В результате это создает потенциальные уязвимости в сети, позволяя злоумышленникам внедрять ложные данные и нарушать нормальное функционирование сетевой инфраструктуры.
Для администрирования безопасностью была часто используется утилита Port Security [1]. Эта утилита изначально встроена в коммутаторы и позволяет настроить их на реагирование на несанкционированный доступ или иную подозрительную активность.
Можно выделить четыре метода предотвращения переполнения CAM-table, далее рассмотрим их подробно:
1. Установка статических адресов.
Динамические MAC-адреса хранятся в течение определенного времени. Когда устройство отправляет кадр, коммутатор записывает источник MAC-адреса и порт, через который пришел кадр, в свою таблицу MAC-адресов. Эти записи имеют определенное время жизни (тайм-аут), после истечения которого они могут быть удалены, если не будет наблюдаться активность от данного устройства. Это позволяет коммутатору адаптироваться к изменениям в сети.
Статические MAC-адреса - это адреса, которые вручную настроены на порту, из режима конфигурации порта.
Статические адреса задаются администратором и сохраняются в CAM-table и в конфигурации коммутатора, т.е. их нельзя вытеснить поддельными адресами.
Sticky MAC-адреса представляют собой комбинированный подход. Когда коммутатор распознает динамический адрес, он может «зафиксировать» его как статический, добавляя в таблицу MAC-адресов. Это позволяет автоматически сохранять адреса часто подключаемых устройств без необходимости ручного
ввода. Sticky-адреса могут иметь тайм-аут, но могут также сохраняться после перезагрузки коммутатора, если это предусмотрено настройками. Таким образом Sticky адреса обеспечивают защиту от CAM-Table overflow для сетей, где требуется использование динамических адресов. Для сетей, где нет нужды в использовании динамических адресов - лучше ставить статические [6].
Рисунок 1. Статические адреса на коммутаторе CISCO [3].
Рисунок 2. Статические адреса на коммутаторе Eltex [5].
Рисунок 3. Установка статического мак-адреса на коммутаторе Microtik.
Для установки sticky-адреса на порте нужно прописать следующие команды:
enable, conf t,
int (название интерфейса. К примеру, ge 0/1),
switchport mode acess,
switchport port-security sticky,
enable,
conf t,
mac address-table static (мак адрес по маске XX:XX:XX:XX:XX:XX) vlan (номер vlan, в котором находится интерфейс) interface (название интерфейса. К примеру, gi 0/1).
2. Предел на количество MAC-адресов.
Установка лимита на количество MAC-адресов на каждом порте может предотвратить переполнение таблицы MAC-адресов. Тогда после преодоления выставленного значения коммутатор будет блокировать новые записи, тем самым предотвращая переполнение таблицы MAC-адресов.
Пример установки лимита на максимальное количество MAC-адресов. Заметьте, что эта технология применяется при динамических адресах или при sticky-адресах, так как только при таких типах адресов возможна их замена, для чего и требуется лимит.
Рисунок 4. Установка лимита на коммутаторе CISCO [3].
consoletfcorif igure terminal cô0So7eCc0nfig)#intibPtac6 gi 0/1 cotisQle(êpnfig-iO#switdip<>rt port-security enable consoleCconfig-ifJtfswrïtctipoPt port security mode max addresses console(confie ifi^switciiport po^t-seci rity mac-Huit 10
Рисунок 5. Установка лимита на коммутаторе Eltex [5].
На коммутаторах Microtik не предусмотрено такой функции. 3. Добавление VLAN.
SwitchCconfl'oint fa 0/1 Swi tciiCconf ig-i f )£swi t Swi tch(config-if)#switdiport mod SwitchCconfig-if)£switcbport mode acc Switch(config-if)£switcliport mode access Switch(confjg-jf)#switchport access vlan 15
Рисунок 6. Пример добавления портаво VLAN на коммутаторе CISCO [3].
console#configure terminal
console(config)#mac-address-tab1e static unicast AC:AC:AC:AC:AC:AC vlan 15 interface gi 0/1 console(confi g)#exit_
Рисунок 7. Пример добавления порта во VLAN на коммутаторе Eltex [5].
Рисунок 8. Пример добавления порта во VLAN на коммутаторе Microtik.
4. Violation. Существует три режима [5]:
a. Violation restrict. В режиме violation restrict коммутатор будет блокировать новые MAC-адреса, которые не были заранее зарегистрированы, но при этом будет продолжать функционировать и передавать трафик для уже зарегистрированных адресов.
b. Violation shutdown. В режиме violation shutdown коммутатор полностью отключает порт, если обнаруживает попытку подключения несанкционированного MAC-адреса.
c. Violation protect. В режиме violation protect коммутатор будет игнорировать новые MAC-адреса, которые превышают лимит, но не будет отключать порт и не будет отправлять уведомления.
По итогу все порты должны иметь следующую настройку:
Рисунок 9. Настройка портов на коммутаторе Cisco [3].
Рисунок 10. Настройка портов на коммутаторе БИех [5].
default-name-etherlO ] Mtc-addre$s«AC:F2 :C5:4£: 40: F7 1nterface=etherl0 -=vlanl5 vlan-id 15
Рисунок 11. Настройка портов на коммутаторе Мюгойк.
Таким образом, коммутаторы, настроенные приведёнными методами, будут защищены от возможных атак, направленных на переполнение САМ4аЬ1е, и будут продолжать выполнение своих функций. Каждый из методов имеет свои особенности и может быть применен в различных случаях. Подводя итог, можно сказать, что:
1. При использовании метода со статическими адресами, которые настраиваются администратором вручную, может быть потрачено некоторое количество времени. Данный способ будет эффективным, если вам нужно зафиксировать небольшое количество MAC-адресов.
2. При использовании метода с ограничением максимального количества MAC-адресов стоит учитывать, что он работает только с динамическими или БЙску-адресами, следовательно, метод эффективен только тогда, когда предстоит работать с определёнными типами адресов.
3. При использовании метода с добавлением VLAN вы расширяете существующую сеть виртуально, открывая другие уязвимости. Данный способ эффективен, когда мы хотим разделить (сегментировать) сеть.
4. Режим Voilation полностью защищает сеть с помощью трех режимов, однако эти режимы порождают проблемы с мониторингом, диагностикой и т.п. Если вам нужен полный доступ к безопасности сети, этот способ будет наиболее эффективен.
СПИСОК ЛИТЕРАТУРЫ:
1. Port security / [Электронный ресурс] // Документация NAG: [сайт]. — URL: https://nag.wiki/display/DOC/10.+Port+security (дата обращения: 20.01.2025);
2. Ross Heintzkill CAM Table Overflow Attack Explained / Ross Heintzkill [Электронный ресурс] // CBT Nuggets: [сайт]. — URL: https://w.cbtnuggets.com/blog/technology/networking/cam-table-overflow-attack-explained (дата обращения: 20.01.2025);
3. What is a MAC Address: How to Find and Identify / [Электронный ресурс] // WhatIsMy IP Address: [сайт]. — URL: https://whatismyipaddress.com/mac-address (дата обращения: 20.01.2025);
4. Настройка port security MES14xx, MES24xx, MES3400-xx, MES37хх / [Электронный ресурс] // Eltex Documentation: [сайт]. — URL: https://docs.eltex-co.ru/pages/viewpage.action?pageId=150011977 (дата обращения: 20.01.2025);
5. Настройка Port Security на коммутаторах SNR / [Электронный ресурс] // Документация NAG: [сайт]. — URL: https://nag.wiki/pages/viewpage.action?pageId=25107728 (дата обращения: 20.01.2025);
6. Сложно о простом. Как работает интернет. Часть 1. Что такое коммутатор, маршрутизатор и примеры работы простых сетей / [Электронный ресурс] // Хабр : [сайт]. — URL: https://habr.com/ru/companies/timeweb/articles/871308/ (дата обращения: 20.01.2025);
7. Технология VLAN / [Электронный ресурс] // moxa: [сайт]. — URL: https://moxa.ru/tehnologii/ethernet_network/tech-vlan/ (дата обращения: 20.01.2025);
8. Уймин, А. Г. Компьютерные сети. L2-технологии: Практикум / А. Г. Уймин. - Москва: Ай Пи Ар Медиа, 2024. - 191 с. - ISBN 978-5-4497-2539-4. -EDN AXDYGY
Ermoolin F.S., MontrelD.M., Sablin A.R.
Ermoolin F.S.
Russian State University of Oil and Gas named after I.M. Gubkin
(Moscow, Russia
Montrell D.M.
Russian State University of Oil and Gas named after I.M. Gubkin
(Moscow, Russia)
Sablin A.R.
Russian State University of Oil and Gas named after I.M. Gubkin
(Moscow, Russia)
CAM-TABLE OVERFLOW ATTACK. PROTECTION METHODS
Abstract: the paper examines the principle of operation of the CAM-Table overflow attack. Methods for ensuring protection of switches from this attack are considered in detail and examples of configuring switches to protect against this attack are given. The configuration was performed on Cisco, Microtik and Eltex switches.
Keywords: CAM table, MAC address, switch protection.
