Network-security-data-link-layer
ネットワークセキュリティ-データリンク層
インターネットの急速な成長により、ネットワークセキュリティに対する大きな懸念が高まっていることがわかりました。 ネットワークのアプリケーション、トランスポート、またはネットワーク層でセキュリティを提供するために、いくつかの方法が開発されました。
多くの組織は、アプリケーション層からIP層まで、より高いOSI層にセキュリティ対策を組み込んでいます。 ただし、一般的に放置されている領域の1つは、データリンクレイヤーの強化です。 これにより、ネットワークがさまざまな攻撃や侵害にさらされる可能性があります。
この章では、Data Link Layerのセキュリティ問題とそれらに対処する方法について説明します。 私たちの議論はイーサネットネットワークに焦点を合わせます。
データリンク層のセキュリティ上の懸念
イーサネットネットワークのデータリンク層は、いくつかの攻撃を受けやすい傾向があります。 最も一般的な攻撃は-
ARPスプーフィング
アドレス解決プロトコル(ARP)は、IPアドレスをローカルイーサネットで認識可能な物理マシンアドレスにマップするために使用されるプロトコルです。 ホストマシンは、IPアドレスの物理的なメディアアクセス制御(MAC)アドレスを見つける必要がある場合、ARP要求をブロードキャストします。 IPアドレスを所有する他のホストは、その物理アドレスとともにARP応答メッセージを送信します。
ネットワーク上の各ホストマシンは、「ARPキャッシュ」と呼ばれるテーブルを保持しています。 このテーブルには、ネットワーク上の他のホストのIPアドレスと関連MACアドレスが保持されます。
ARPはステートレスプロトコルであるため、ホストがARP要求を送信していない場合でも、ホストが別のホストからARP応答を受信するたびに、そのARPエントリを受け入れ、ARPキャッシュを更新します。 ARPポイズニングまたはARPスプーフィングと呼ばれる偽造エントリを使用して、ターゲットホストのARPキャッシュを変更するプロセス。
ARPスプーフィングにより、攻撃者は正当なホストになりすまして、ネットワーク上のデータフレームを傍受し、それらを変更または停止することができます。 多くの場合、この攻撃は、中間者攻撃、セッションハイジャック、サービス拒否などの他の攻撃を開始するために使用されます。
MACフラッディング
イーサネットのすべてのスイッチには、MACアドレス、スイッチポート番号、およびその他の情報を格納するContent-Addressable Memory(CAM)テーブルがあります。 テーブルのサイズは固定されています。 MACフラッディング攻撃では、攻撃者は、CAMテーブルがいっぱいになるまで、偽造ARPパケットを使用してMACアドレスでスイッチをフラッディングします。
CAMがフラッディングされると、スイッチはハブのようなモードになり、CAMエントリのないトラフィックのブロードキャストを開始します。 同じネットワーク上にいる攻撃者は、特定のホストのみを宛先としたすべてのフレームを受信するようになりました。
ポートスティーリング
イーサネットスイッチには、MACアドレスを学習してポートにバインドする機能があります。 スイッチは、MAC送信元アドレスを持つポートからトラフィックを受信すると、ポート番号とそのMACアドレスをバインドします。
ポートを盗む攻撃は、スイッチのこの機能を悪用します。 攻撃者は、ターゲットホストのMACアドレスをソースアドレスとして偽造されたARPフレームでスイッチをフラッディングします。 スイッチは、ターゲットホストが実際に攻撃者が接続しているポート上にあると信じるようにだまされます。
これで、ターゲットホストを対象としたすべてのデータフレームが、ターゲットホストではなく攻撃者のスイッチポートに送信されます。 したがって、攻撃者は、実際にはターゲットホストのみに宛てられたすべてのフレームを受信します。
DHCP攻撃
動的ホスト構成プロトコル(DHCP)はデータリンクプロトコルではありませんが、DHCP攻撃のソリューションはレイヤー2攻撃を阻止するのにも役立ちます。
DHCPは、特定の期間、コンピューターにIPアドレスを動的に割り当てるために使用されます。 ネットワークでサービス拒否を引き起こすか、DHCPサーバーになりすますことにより、DHCPサーバーを攻撃することができます。 DHCP枯渇攻撃では、攻撃者は利用可能なすべてのDHCPアドレスを要求します。 これにより、ネットワーク上の正当なホストへのサービス拒否が発生します。
DHCPスプーフィング攻撃では、攻撃者は不正なDHCPサーバーを展開して、クライアントにアドレスを提供できます。 ここで、攻撃者はホストマシンにDHCP応答を備えた堅牢なデフォルトゲートウェイを提供できます。 ホストからのデータフレームは、現在、攻撃者がすべてのパッケージをインターセプトし、実際のゲートウェイに応答するか、ドロップすることができるルージュゲートウェイに導かれます。
その他の攻撃
上記の一般的な攻撃に加えて、レイヤー2ベースのブロードキャスト、サービス拒否(DoS)、MACクローニングなどの他の攻撃があります。
ブロードキャスト攻撃では、攻撃者はスプーフィングされたARP応答をネットワーク上のホストに送信します。 これらのARP応答は、デフォルトゲートウェイのMACアドレスをブロードキャストアドレスに設定します。 これにより、すべてのアウトバウンドトラフィックがブロードキャストされ、同じイーサネット上にいる攻撃者によるスニッフィングが可能になります。 このタイプの攻撃は、ネットワーク容量にも影響します。
レイヤー2ベースのDoS攻撃では、攻撃者はネットワーク内のホストのARPキャッシュを存在しないMACアドレスで更新します。 ネットワーク内の各ネットワークインターフェイスカードのMACアドレスは、グローバルに一意であると想定されています。 ただし、MACクローニングを有効にすることで簡単に変更できます。 攻撃者は、DoS攻撃によってターゲットホストを無効にし、ターゲットホストのIPアドレスとMACアドレスを使用します。
攻撃者は攻撃を実行して、ネットワーク上を移動する情報のセキュリティを危険にさらすために、より高いレベルの攻撃を開始します。 彼はすべてのフレームを傍受でき、フレームデータを読み取ることができます。 攻撃者は中間者として行動し、データを変更したり、DoSにつながるフレームを単にドロップしたりできます。 彼は、ターゲットホストと他のマシンとの間の進行中のセッションをハイジャックし、間違った情報をすべて伝えることができます。
イーサネットLANの保護
前のセクションで、Data Link Layerで広く知られているいくつかの攻撃について説明しました。 これらのタイプの攻撃を軽減するために、いくつかの方法が開発されました。 重要な方法のいくつかは-
ポートセキュリティ
これは、インテリジェントイーサネットスイッチで使用可能なレイヤー2セキュリティ機能です。 これには、スイッチの物理ポートを特定のMACアドレスに関連付けることが含まれます。 ホストを利用可能なスイッチポートの1つに接続するだけで、誰でも安全でないネットワークにアクセスできます。 ただし、ポートセキュリティはレイヤ2アクセスを保護できます。
デフォルトでは、ポートセキュリティは入力MACアドレスカウントを1に制限します。 ただし、複数の許可されたホストが構成を介してそのポートから接続できるようにすることは可能です。 インターフェイスごとに許可されるMACアドレスは、静的に構成できます。 便利な代替方法は、ポートの最大制限に達するまでスイッチポートがMACアドレスを動的に学習する「スティッキー」MACアドレス学習を有効にすることです。
セキュリティを確保するために、ポート上の指定されたMACアドレスの変更またはポート上の過剰なアドレスへの反応は、さまざまな方法で制御できます。 ポートは、指定された制限を超えるMACアドレスをシャットダウンまたはブロックするように構成できます。 推奨されるベストプラクティスは、ポートをシャットダウンすることです。 ポートセキュリティは、MACフラッディングおよびクローン攻撃を防ぎます。
DHCPスヌーピング
DHCPスプーフィングは、攻撃者がネットワーク上のホストからのDHCP要求をリッスンし、承認されたDHCP応答がホストに届く前に偽のDHCP応答で応答する攻撃であることがわかりました。
DHCPスヌーピングは、このような攻撃を防ぐことができます。 DHCPスヌーピングはスイッチ機能です。 スイッチは、どのスイッチポートがDHCP要求に応答できるかを決定するように構成できます。 スイッチポートは、信頼できるポートまたは信頼できないポートとして識別されます。
承認されたDHCPサーバーに接続するポートのみが「信頼済み」として構成され、すべてのタイプのDHCPメッセージの送信が許可されます。 スイッチ上の他のすべてのポートは信頼されておらず、DHCP要求のみを送信できます。 DHCP応答が信頼できないポートで見られる場合、ポートはシャットダウンされます。
ARPスプーフィングの防止
ポートセキュリティの方法により、MACフラッディングおよびクローン攻撃を防ぐことができます。 ただし、ARPスプーフィングは防止されません。 ポートセキュリティはフレームヘッダーのMAC送信元アドレスを検証しますが、ARPフレームにはデータペイロードに追加のMAC送信元フィールドが含まれており、ホストはこのフィールドを使用してARPキャッシュに入力します。 ARPスプーフィングを防止するいくつかの方法を以下にリストします。
- *静的ARP *-推奨されるアクションの1つは、ホストARPテーブルで静的ARPエントリを使用することです。 静的ARPエントリは、ARPキャッシュ内の永続的なエントリです。 ただし、この方法は実用的ではありません。 また、静的IPをレイヤー2ネットワーク内のすべてのホストに使用する必要があるため、一部の動的ホスト構成プロトコル(DHCP)の使用を許可しません。
- 侵入検知システム-防御方法は、大量のARPトラフィックを検出するように構成された侵入検知システム(IDS)を利用することです。 ただし、IDSは誤検知を報告する傾向があります。
- ダイナミックARPインスペクション-ARPスプーフィングを防ぐこの方法は、DHCPスヌーピングに似ています。 信頼できるポートと信頼できないポートを使用します。 ARP応答は、信頼できるポートでのみスイッチインターフェイスに許可されます。 信頼できないポートのスイッチにARP応答が届くと、ARP応答パケットの内容がDHCPバインディングテーブルと比較され、その正確性が検証されます。 ARP応答が無効な場合、ARP応答はドロップされ、ポートは無効になります。
スパニングツリープロトコルの保護
スパニングツリープロトコル(STP)は、レイヤー2リンク管理プロトコルです。 STPの主な目的は、ネットワークに冗長パスがある場合にデータフローループが発生しないようにすることです。 通常、冗長パスは、ネットワークに信頼性を提供するために構築されます。 しかし、それらは致命的なループを形成し、ネットワークでDoS攻撃を引き起こす可能性があります。
スパニングツリープロトコル
目的のパスの冗長性を提供し、ループ状態を回避するために、STPはネットワーク内のすべてのスイッチにまたがるツリーを定義します。 STPは、特定の冗長データリンクを強制的にブロック状態にし、他のリンクを転送状態に保ちます。
フォワーディングステートのリンクが故障した場合、STPはネットワークを再構成し、適切なスタンバイパスをアクティブにしてデータパスを再定義します。 STPは、ネットワークに配置されたブリッジとスイッチで実行されます。 すべてのスイッチは、ルートスイッチの選択およびその後のネットワークの構成に関する情報を交換します。 ブリッジプロトコルデータユニット(BPDU)は、この情報を伝達します。 BPDUの交換により、ネットワーク内のすべてのスイッチがルートブリッジ/スイッチを選択し、これがネットワーク内のフォーカルポイントになり、ブロックおよび転送されたリンクを制御します。
STPへの攻撃
- ルートブリッジを引き継ぐ。 これは、レイヤー2で最も破壊的なタイプの攻撃の1つです。 デフォルトでは、LANスイッチは額面価格で隣接スイッチから送信されたBPDUを取得します。 ちなみに、STPは信頼性が高く、ステートレスであり、音声認証メカニズムを提供しません。
- ルート攻撃モードになると、攻撃スイッチは現在のルートブリッジと同じ優先順位で2秒ごとにBPDUを送信しますが、MACアドレスがわずかに低いため、ルートブリッジ選択プロセスでの勝利を保証します。 攻撃者のスイッチは、BPDUフラッディングを引き起こしている他のスイッチを適切に確認しないか、スイッチを一度にルートであると主張してすぐに撤回することにより、BPDUを過剰処理することにより、DoS攻撃を開始できます。
- 構成BPDUのフラッドを使用したDoS。 攻撃しているスイッチはルートとして引き継ぐことを試みません。 代わりに、1秒間に多数のBPDUが生成され、スイッチでのCPU使用率が非常に高くなります。
STPへの攻撃の防止
幸いなことに、ルートテイクオーバー攻撃への対策はシンプルで簡単です。 ルートテイクオーバー攻撃を阻止するには、2つの機能が役立ちます。
- ルートガード-ルートガードは、ルートブリッジをネゴシエートできるスイッチポートを制限します。 「ルートガード対応」ポートが、現在のルートブリッジが送信しているものよりも優れたBPDUを受信した場合、そのポートはルート不整合状態に移行し、そのポートを介してデータトラフィックは転送されません。 ルートガードは、ルートブリッジとして引き継ぐことを期待されていないスイッチに接続するポートに対して最適に展開されます。
- BPDU-Guard -BPDUガードは、アクセスポートでのBPDUの受信によって引き起こされる可能性のある問題からネットワークを保護するために使用されます。 これらは、それらを受信してはならないポートです。 BPDUガードは、攻撃者による不正なスイッチの挿入を防ぐために、ユーザー向けのポートに最適に展開されます。
仮想LANの保護
ローカルネットワークでは、レイヤー2攻撃を受けやすいホストの数を制限するセキュリティ対策として、仮想ローカルエリアネットワーク(VLAN)が構成されている場合があります。 VLANは、ブロードキャスト(ARP、DHCP)トラフィックが通過できないネットワーク境界を作成します。
仮想ローカルエリアネットワーク
VLAN機能をサポートするスイッチを使用するネットワークは、単一の物理LANインフラストラクチャ上で複数のVLANを定義するように構成できます。
VLANの一般的な形式は、ポートベースのVLANです。 このVLAN構造では、スイッチ管理ソフトウェアを使用して、スイッチポートがVLANにグループ化されます。 したがって、単一の物理スイッチが複数の仮想スイッチとして機能できます。
VLANを使用すると、トラフィックが分離されます。 大規模なブロードキャストレイヤー2ネットワークをより小さな論理レイヤー2ネットワークに分割し、ARP/DHCPスプーフィングなどの攻撃の範囲を減らします。 1つのVLANのデータフレームは、同じVLANに属するポート内のみで移動できます。 2つのVLAN間のフレーム転送は、ルーティングを介して行われます。
VLANは通常、上の図に示すように複数のスイッチにまたがっています。 トランクポート間のリンクは、複数の物理スイッチで定義されたすべてのVLANのフレームを伝送します。 したがって、スイッチ間で転送されるVLANフレームは、単純なIEEE 802.1イーサネット形式のフレームにすることはできません。 これらのフレームは同じ物理リンク上を移動するため、VLAN ID情報を伝送する必要があります。 IEEE 802.1Qプロトコルは、トランクポート間で転送されるプレーンイーサネットフレームに追加のヘッダーフィールドを追加/削除します。
2つのIPアドレスフィールドに続くフィールドが0x8100(> 1500)の場合、フレームは802.1Qフレームとして識別されます。 2バイトのTag Protocol Identifier(TPI)の値は81-00です。 TCIフィールドは、3ビットの優先度情報、1ビットのドロップ適格インジケータ(DEI)、および12ビットのVLAN IDで構成されています。 この3ビットの優先度フィールドとDEIフィールドは、VLANには関係ありません。 優先ビットは、サービス品質の提供に使用されます。
フレームがどのVLANにも属していない場合、フレームが関連付けられていると見なされるデフォルトのVLAN IDがあります。
VLANへの攻撃と防止策
VLANホッピング攻撃では、あるVLANの攻撃者が、通常はアクセスできない他のVLANのトラフィックにアクセスできます。 1つのVLANから別のVLANへの通信時にレイヤー3デバイス(ルーター)をバイパスし、VLAN作成の目的を無効にします。
VLANホッピングは2つの方法で実行できます。なりすましと二重タグ付けを切り替えます。
スイッチのなりすまし
攻撃者が接続しているスイッチポートが「トランキング」モードまたは「オートネゴシエーション」モードのいずれかである場合に発生する可能性があります。 攻撃者はスイッチとして動作し、ターゲットリモートVLANのVLANタグを含む802.1Qカプセル化ヘッダーを発信フレームに追加します。 受信スイッチは、これらのフレームを別の802.1Qスイッチから送信されたものとして解釈し、フレームをターゲットVLANに転送します。
スイッチスプーフィング攻撃に対する2つの予防策は、エッジポートを静的アクセスモードに設定し、すべてのポートでオートネゴシエーションを無効にすることです。
ダブルタギング
この攻撃では、スイッチのネイティブVLANポートに接続された攻撃者がフレームヘッダーに2つのVLANタグを付加します。 最初のタグはネイティブVLANのもので、2番目はターゲットVLAN用です。 最初のスイッチは攻撃者のフレームを受信すると、ネイティブVLANのフレームがタグなしでトランクポートに転送されるため、最初のタグを削除します。
- 2番目のタグは最初のスイッチによって削除されなかったため、受信スイッチは残りのタグをVLAN宛先として識別し、そのVLANのターゲットホストにフレームを転送します。 ダブルタグ攻撃は、ネイティブVLANの概念を利用します。 VLAN 1はアクセスポートのデフォルトVLANおよびトランクのデフォルトネイティブVLANであるため、簡単なターゲットです。
- 最初の防止策は、攻撃者のポートがスイッチのネイティブVLANのポートと一致する必要があるため、デフォルトVLAN 1からすべてのアクセスポートを削除することです。 2番目の防止策は、すべてのスイッチトランク上のネイティブVLANを未使用のVLAN、たとえばVLAN id 999に割り当てることです。 そして最後に、すべてのスイッチは、トランクポートでネイティブVLANフレームの明示的なタグ付けを実行するように構成されます。
ワイヤレスLANの保護
ワイヤレスローカルエリアネットワークは、オフィスビルや学校のキャンパスなど、限られた地理的領域内のワイヤレスノードのネットワークです。 ノードは無線通信が可能です。
無線LAN
ワイヤレスLANは通常、既存の有線LANの拡張として実装され、ネットワークアクセスにデバイスモビリティを提供します。 最も広く実装されているワイヤレスLANテクノロジーは、IEEE 802.11標準とその修正に基づいています。
ワイヤレスLANの2つの主要なコンポーネントは-
- アクセスポイント(AP)-これらはワイヤレスネットワークのベースステーションです。 無線周波数を送受信して、無線クライアントと通信します。
- ワイヤレスクライアント-これらは、ワイヤレスネットワークインターフェイスカード(WNIC)を備えたコンピューティングデバイスです。 ラップトップ、IP電話、PDAは、ワイヤレスクライアントの典型的な例です。
多くの組織が無線LANを実装しています。 これらのネットワークは驚異的に成長しています。 したがって、無線LANの脅威を理解し、ネットワークセキュリティを確保するための一般的な予防策を学ぶことが重要です。
ワイヤレスLANの攻撃
ワイヤレスLANで実行される典型的な攻撃は次のとおりです-
- 盗聴-攻撃者は、認証資格情報を含むデータのワイヤレスネットワークを受動的に監視します。
- マスカレード-攻撃者は承認されたユーザーになりすまし、ワイヤレスネットワークでアクセスおよび権限を取得します。
- トラフィック分析-攻撃者は、無線ネットワーク経由の送信を監視して、通信パターンと参加者を特定します。
- サービス拒否-攻撃者は、無線LANまたはネットワークデバイスの通常の使用または管理を防止または制限します。
- メッセージの変更/リプレイ-攻撃者は、ワイヤレスネットワーク経由で送信された正当なメッセージを削除、追加、変更、または並べ替えることにより、変更または返信します。
ワイヤレスLANのセキュリティ対策
セキュリティ対策は、攻撃を打ち負かし、ネットワークへのリスクを管理する手段を提供します。 これらは、ネットワーク管理、運用、および技術的手段です。 以下では、無線LANを介して送信されるデータの機密性、可用性、および整合性を確保するために採用された技術的対策について説明します。
ワイヤレスLANでは、すべてのAPは、暗号化とクライアント認証を通じてセキュリティを提供するように構成する必要があります。 セキュリティを提供するために無線LANで使用されるスキームのタイプは次のとおりです-
Wired Equivalent Privacy(WEP)
これは、ワイヤレスネットワークを保護するために802.11標準に組み込まれた暗号化アルゴリズムです。 WEP暗号化は、40ビット/104ビットキーと24ビット初期化ベクトルを備えたRC4(Rivest Cipher 4)ストリーム暗号を使用します。 エンドポイント認証も提供できます。
ただし、WEP暗号化には多くの欠陥が発見されているため、これは最も弱い暗号化セキュリティメカニズムです。 WEPには認証プロトコルもありません。 したがって、WEPを使用することは強くお勧めしません。
802.11iプロトコル
このプロトコルでは、多数の強力な形式の暗号化が可能です。 弱いWEPスキームを置き換えるために開発されました。 キー配布メカニズムを提供します。 ステーションごとに1つのキーをサポートし、すべてに同じキーを使用するわけではありません。 アクセスポイントとは別の認証サーバーを使用します。
IEEE802.11iでは、CBC-MACプロトコル(CCMP)を備えたカウンターモードというプロトコルの使用が義務付けられています。 CCMPは、転送されるデータの機密性と整合性、および送信者の信頼性を提供します。 これは、Advanced Encryption Standard(AES)ブロック暗号に基づいています。
IEEE802.11iプロトコルには4つの動作フェーズがあります。
- STAとAPは通信し、サポートされているアルゴリズムなどの相互セキュリティ機能を発見します。
- STAとASは相互に認証し、一緒にマスターキー(MK)を生成します。 APは「パススルー」として機能します。
- STAは、ペアワイズマスターキー(PMK)を導出します。 ASは同じPMKを取得し、APに送信します。
- STA、APはPMKを使用して、メッセージの暗号化とデータの整合性に使用される一時キー(TK)を導出します。
その他の規格
- Wi-Fi Protected Access (WPA)-このプロトコルは、IEEE 802.11i標準の大部分を実装しています。 IEEE 802.11iより前に存在し、暗号化にRC4アルゴリズムを使用します。 2つの動作モードがあります。 「エンタープライズ」モードでは、WPAは認証プロトコル802.1xを使用して認証サーバーと通信するため、プリマスターキー(PMK)はクライアントステーションに固有です。 「パーソナル」モードでは、802.1xは使用されません。PMKは、スモールオフィスホームオフィス(SOHO)ワイヤレスLAN環境で使用される事前共有キーに置き換えられます。 + WPAには、WEP標準で使用されていた巡回冗長検査(CRC)に代わるサウンドメッセージ整合性検査も含まれています。
- WPA2 -WPA2はWPAを置き換えました。 WPA2は、IEEE 802.11iスキームのすべての必須要素を実装しています。 特に、強力なセキュリティを備えたAESベースの暗号化モードであるCCMPの必須サポートが含まれています。 したがって、攻撃に関する限り、WPA2/IEEE802.11iは、WEPの弱点、中間者攻撃、偽造パケット偽造、およびリプレイ攻撃を防ぐための適切なソリューションを提供します。 ただし、DoS攻撃は適切に対処されておらず、基本的にそのような攻撃は周波数帯域を妨害するような物理層を標的とするため、そのような攻撃を阻止する強固なプロトコルはありません。
概要
この章では、IPを実行するスイッチドイーサネットネットワークを想定した攻撃と軽減の手法について検討しました。 ネットワークがレイヤー2プロトコルとしてイーサネットを使用していない場合、これらの攻撃の一部は適用できない可能性がありますが、そのようなネットワークはさまざまな種類の攻撃に対して脆弱である可能性があります。
セキュリティは、最も弱いリンクと同じくらい強力です。 ネットワーキングに関しては、レイヤー2は非常に弱いリンクになる可能性があります。 この章で説明するレイヤー2のセキュリティ対策は、多くの種類の攻撃からネットワークを保護するのに役立ちます。
