Linuxのセキュリティ上の脅威

レイヤ1のセキュリティ上の脅威

OSIのレイヤ1の物理リンクを定義します。ある攻撃は、レイヤ1、などで発見することができます：ケーブル/ファイバー高電圧銅線上の無線妨害電磁界源銅ケーブルの近くに持ち込み、等の物理層のセキュリティのリンクが適用さ削減のかなりの数の型をしている範囲を超えているこの資料では、フィールドまたは伝送エンジニアによって行われる必要があります。しかし、ネットワーク管理者がどのように物理的なリンクが構築されて知ることが重要であり、最も重要なものだけでなく、ほとんど公開されるもののバックアップルートがする。

レイヤ2のセキュリティ上の脅威

OSI参照モデルのレイヤ2のデータリンク層を定義します。層は非常に弱いリンクをセキュリティの観点で、データをリンクすることができる最悪の事態は、サービスの中断、またはセキュリティ違反を引き起こすことによって上位層に影響を与えることができます。レイヤ2で我々は、ATM、フレームリレー、PPP、イーサネットを見つけることができますワイヤレスLAN（802.11a/b/g対応）等は、最も人気のあるレイヤ2プロトコル以来、イーサネットは、より詳細には、安全保障について話し合うことです。

のMAC攻撃

のMACイーサネットは802.11x、ワイヤレスネットワーク、BluetoothなどのFDDI、ファイバチャネル、およびトークンリングで使用されるアドレスは一意の識別子は、ネットワーク機器に接続されています。 MACアドレスは48ビット長で、一意でなければならないとされ、通常16進数の形式で（"- 13 - F7キー- 18 - A1は、AC"より）00例を示します。最初の24のMACアドレスのビットの部分は、製造元のコードIEEEによって割り当てられ、2番目の24ビットは、このインターフェイスには、製造元によって割り当てられている。慣例では、MACアドレスファカルティフェロー- FFの- FFの- FFの- FFは、FFを指定します放送用に使用されます。セキュリティ上の問題はレイヤ2で発見さ CAMテーブルオーバーフローこれは、ネットワーク内のスイッチに影響を与えます。 CAMは、スイッチの物理的な部分であり、コンテンツのアドレス指定可能なメモリーの略で、とて、MACの各物理ポートに関連付けられたVLANパラメータを使用可能なアドレス情報を格納します。物理的には、CAMは、通常のメモリサイズが限られている。 1999年には、イアンビテクは、（最大155,000 /分）に、無効な送信元MACアドレスを持つスイッチの洪水ツールmacofと呼ばれ、それ以降のdsniffに統合され、作成された。このツールは、すぐにコンピュータでツールを実行するには、スイッチのCAMテーブルがいっぱいになる、また、隣接するスイッチに接続されます。この攻撃の結果、すべてのポートは、単純な古いハブ（）のような上からの着信トラフィックをフラッディングするため、男を可能にして、スイッチの異常な動作をされてでは、中東（MIM）は、攻撃を攻撃者がネットワークの盗聴を開始することができますトラフィックが、残念ながら、Linuxはこのタイプの攻撃に対して保護することはできません。唯一のポートセキュリティのオプションで行うことができますスイッチを管理すること。しかし、攻撃者は彼または彼女のVLAN内のパケットのにおいを嗅ぐことができますので、ここで、これらの攻撃から来ることが決定するために重要であると確信しているが重要なトラフィックはそのVLANを通過します。もう1つのセキュリティ上の問題は、この対象とされ MACアドレススプーフィングは、攻撃者が別のポート上の既知のMACアドレスのCAMテーブルのエントリを置き換えるために使用されます。これは、トラフィックのでは、攻撃者に接続されているポートに攻撃されたコンピュータのポートを宛先に送信するようにスイッチが発生します。この攻撃は、サービスの混乱の原因は、攻撃者のパケットを攻撃されたコンピュータ。MACアドレススプーフィング攻撃は、スイッチだけでブロックすることができます宛てのスニッフィングとミームの攻撃として使用することができる場合は、スイッチのための設備があります。

DHCPの攻撃

DHCP（動的ホスト構成プロトコル）は、RFC 2131（http://www.ietf.org/rfc/rfc2131.txt）で説明したプロトコルのデバイスがネットワーク内のIPアドレス、サブネットマスクのようなネットワーク構成の設定を取得するために使用です。ネットワークのDHCPサーバーソフトウェアを実行しているサーバーからデフォルトのルーター、およびDNSサーバーのIPアドレス。DHCPサーバーは、クライアント（ネットワーク内のデバイス）IPアドレスを割り当てるように構成され定義された範囲からのアドレス。

DHCPサーバーは、要求元のデバイスへのリースに基づいて、そのIPアドレスは""時間の限られた量のリースされるの意味は、IPアドレスを提供します。この時間の間には、DHCPサーバーは、他のクライアントにそのIPアドレスをリースされません。リース期間を前に、DHCPクライアントがDHCPサーバーからリース期間の延長を要求する必要があります有効期限が切れる。 DHCPリース時間が120秒から、管理者は何を選択する設定が可能です。

DHCPの飢餓の攻撃 消費のIPアドレス空間は、DHCPサーバーによって割り当てられて構成されます。これは簡単に攻撃者がDHCPリクエスト数多くの偽装されたMACアドレスを使用してブロードキャストすることによって達成することができます。 DHCPサーバーは、IPアドレスのリースするアドレスを1つずつ攻撃するまでは、新しい、通常のクライアントが使用できるIPアドレスのうち実行されます。このDoS攻撃へのネットワークは、DHCPサーバーからIPアドレスを要求して、これらのクライアントをリード。この時点では、攻撃をセットアップすることができます 不正なDHCPサーバ 偽の詳細を顧客に提供し、例えば、デフォルトのルータとして、独自のIPアドレスを与えることです。これはすべてのトラフィックは、攻撃者のコンピュータを通過するため、実際には彼または彼女は、クライアントからのすべてのネットワークトラフィックを盗聴するために容易になります。

のクライアントは、受信した最初のDHCPOFFERを受け入れるDHCPサーバーもDHCPの飢餓攻撃を行うことなく、セットアップすることができます。両方とも、これらの攻撃を簡単にフェラチオを使用しては、インターネット上で見つけることができますシンプルなツールを実現することができます。残念ながら、スイッチのみ、これらの攻撃からユーザーを守ることができます。 DHCPの飢餓の攻撃は、XのMACよりも1つのポート上でのCAMの攻撃の防止（同法）のアドレスより許可していないポートセキュリティ機能を使用することによって防ぐことができます。ただし、不正なDHCPサーバーへの攻撃の詳細を防ぐためには難しいが、うまくいけばそれを実装する"認証DHCPメッセージ"についてはRFC 3118で記述さを持って未来になります。今のところはいくつかのスマート高価なスイッチには、"これ以外からのDHCPメッセージをフィルタ信頼されたホスト"関数は、DHCPスヌーピングをしている。

ARPの攻撃

ARPの略 のAddress Resolution Protocol、そしてそれは、プロトコルのMACアドレスにIPアドレスをマップするために使われます。同一のブロードキャストドメイン（ネットワークセグメント）内には、コンピュータの交換ARPメッセージをIP上にあるアドレスに基づいて、MACアドレス、互いのを見つけること。 ARPのTCPに不可欠である/ IP通信は、ほぼゼロにセキュリティ機能を備えた非常に単純なプロトコルです。 ARPスプーフィング アドレスは、サービス妨害やマン原因- - the - middle攻撃では。IPアドレスの追加/ MACのペアを手動でコンピュータのARPテーブル内のネットワークで偽装されたMACアドレスまたはIPアドレスにブロードキャストを送信して、ARP攻撃を行う簡単な方法ですいくつかのARPスプーフィング攻撃のシナリオを解決することができますが、それまでにこのタイプの攻撃に解決されてからだ。非常に人気のdsniffパッケージ（http://www.monkey.org/〜dugsong / dsniffの/ ）他のネットワークへの攻撃の間でARPスプーフィングのツールが含まれて/監査ツール。

STPおよびVLANベースの攻撃関連

仮想LAN（VLAN）を論理的に独立したネットワークを物理的に大規模なネットワークで接続されます。 VLANの背後にある考え方は、単一のネットワーク内に複数のブロードキャストドメインを作成し、互いに異なる種類のトラフィック分離することです。複数のVLANを1つのスイッチでは、存在することができますVLAN情報をスイッチ間のトランクを使用して行うことができます。トランクスイッチ間の相互接続、それらの間でデータがどのVLANのデータを識別するためのタグを使用して実行されますに属します。支配的なタギングプロトコルのIEEE 802.1Qのです。VLANを作成するレイヤ2トラフィックの種類の分離のためには、非常に適切なセキュリティ対策です。しかし、誤って設定スイッチの攻撃と呼ばれる特定の種類のを許可することができます VLANのホッピング。

VLANのホッピングは、攻撃者は、他のVLANに別のVLANを使用してデータのタグ付けが属しているホストにデータを送信しようとする攻撃である以上のIDは、1つのそれに属しています。として、802.1Qの実装は、Linuxや他のOS、および一部のベンダーは'（）スイッチは、トランキングとポートのデフォルトのモードを持ってシスコなどのご利用は、攻撃者は簡単ので、通信できるようにされているスイッチ自体の間のトランクリンクを作成することができますホストのすべてのVLANは、スイッチの設定にする。攻撃は、おそらく全員について作成している知っている別のタイプの ネットワークループ。

ネットワークにループが2つのポートが同じVLANにそれぞれ、または他のときに、2つのスイッチ間で2つ以上のパスですへのリンクが属して表示されます。悪意のあるユーザーが物理的に、その相互接続して行うには、簡単な方法は、ネットワークのループを作成することができますが、同じスイッチに、同じVLAN（同じブロードキャストドメイン）に属する2つのポートにケーブルを接続します。ときに、ループネットワーク内で表示され、放送は無限には、VLAN内では、ネットワーク内のすべてのスイッチは、VLANに属するすべてのポート洪水のため、下のネットワークもたらす旅行。STPの のSpanning Tree Protocol （IEEE 802.1D準拠）ネットワークのループを防ぐために設計されました。

STPは、ネットワークのループを形成することができますリンクを無効化することによって、ネットワークには、STPがなく、ネットワークのループを作成することで冗長リンクを展開の可能性を高めるに動作します。 STPの操作 脅威の種類ですが、攻撃者放送STPの構成やトポロジーの変更はBPDU（ブリッジプロトコルデータユニット）で、強制的にSTPの再計算をして、攻撃者は、ルートブリッジになる予想。ルートブリッジとして、攻撃者はEthernetフレームを他のVLANに属してにおいを嗅ぐことができます。 802.1D STPをため、DoS攻撃の結果を再約30から45秒で、ルートブリッジの場合は、古いルートブリッジに失敗した場合当選されます。

レイヤ3Securityの脅威

OSI参照モデルのネットワーク層では、我々がインターネットプロトコル（IP）を見つけるICMPは、インターネットプロトコルの一部である。レイヤ3の複数のDoS攻撃や個人情報の開示の攻撃に対して脆弱です。

パケットスニッフィング

我々は、スイッチドネットワークでどのように攻撃者が、彼らに属していないパケットを盗聴することができますパケットをこの資料の前半での盗聴について議論した。場合は、ネットワークスイッチではない（ハブが使用されます）パケット盗聴などになる方がずっと楽。パケットスニッフィングのdsniff、tcpdumpは、エーテル、上位層からのデータのため、等のようなツールを使用してのIPトラフィックをキャプチャすることを意味IPパケットにカプセル化され、すべてのこれらの層からの情報が（）decapsulating IPパケットを分析し明らかにすることができます。のPOP3、SMTP、SNMPのようなプロトコルを作成するなど、クリアテキストで、そのためにはIPパケットをキャプチャデコードなどの機密データを開示する可能性がありますパスワードを送信する。

dsniffのようなパケットスニッファ、それらのパケットをデコードし、クリアテキストでファイルでこの情報を格納非常に良いツールがある。マネージスイッチを抜本的にネットワークにパケットをスニッファの成功を減らすことができるレイヤ2セキュリティを確保しますまた、作成する暗号化されたVPNは、データ中の可能性を減少するIPSecまたは他の暗号化手段を使って、ほぼゼロに傍受。

記事は、フィリップクレア提出

免責事項：弊社のウェブサイトは、この資料の内容については責任を負いません。 Webarticles無料の情報リソースです。
重要： この記事は、"Linuxはセキュリティ上の脅威"自動ソフトウェアによって翻訳された。大変申し訳ございませんが発生した可能性があります任意のスペルミスを感じている。お客様のご理解いただき、ありがとうございます。