Introdução
Normalmente a preocupação de todo gestor de segurança de tecnologia da informação está focado em equipamentos como roteadores e firewalls. Devido a isso, o trabalho de proteção dos recursos de TI fica restrito apenas na Camada 3 e nas suas peculiaridades. Portanto, equipamentos e peculiaridades da Camada 2 são totalmente negligenciados.
Essa tendência de extremo cuidado com firewalls e roteadores deve-se ao fato de que são esses os equipamentos que separam a intranet corporativa das outras redes externas (ou Internet). Como a tendência é imaginar que a absoluta maioria das ameaças provem da Internet, a intranet e seus principais equipamentos (Switches) são totalmente esquecidos no planejamento da segurança de TI.
Descuidar a possibilidade da intranet tornar-se um alvo de ataques digitais é um grande erro que precisa ser corrigido no momento de estabelecer o Plano de Segurança da TI.
A Grande Esquecida pela Segurança: A Intranet
A intranet é uma fonte de vulnerabilidades na segurança da TI pelos seguintes motivos:
- Equipamentos de Camada 2 (switches) não são configurados pensando na segurança.
- Equipamentos de Camada 3 (roteadores e switches) não possuem regras (ou são muito abertas) para estações e pacotes de dados originados na intranet.
- Quase nunca se pensa que uma ataque ou ameaça digital possa ser originada internamente.
Principais Ataques de Camada 2
Sem esgotar todos os tipos de ataques que podem acontecer na Camada 2 existem dois deles muito utilizados:
- CAM Table Overflow
- Man-in-the-Middle Attack
1) CAM TABLE OVERFLOW
Este tipo de ataque acontece quando um cracker, utilizando uma estação conectada em um switch de uma intranet, começa a gerar uma série de quadros com endereços MAC falsificados ou aleatórios. O objetivo é esgotar a capacidade de armazenamento da tabela CAM (Content Addressable Memory), a qual armazena os endereços MAC (para realizar o mapeamento entre endereço MAC e porta do switch). Desse modo, com a tabela CAM completamente cheia, o switch passa a comportar-se como um hub, replicando todos os quadros por todas as portas. Assim, e utilizando um programa de captura de quadros/pacotes (como Wireshark) o cracker poderá obter uma cópia de todo o tráfego que está atravessando o switch atacado, realizando assim captura de informações ou até senhas através de protocolos que não são criptografados.
Para mitigar essa vulnerabilidade é importante verificar as seguintes considerações:
- Verificar qual o comportamento do switch quando a tabela CAM está completamente cheia.
- Configurar as portas do switch para apenas suportar um único endereço MAC por porta.
2) MAN-IN-THE-MIDDLE ATTACK
Este tipo de ataque é realizado da seguinte maneira: um cracker, utlizando uma estação conectada em um switch de uma intranet, descobre o endereço MAC do default gateway local (executando um ping, por exemplo). Com esse endereço, realiza um Gratuitous ARP anunciando que o endereço MAC do default gateway local possui o endereço IP da estação comprometida. Caso essa técnica tenha efeito, ocorrerão dois problemas: as estações vão enviar os pacotes para o IP da estação comprometida e o switch irá mapear o endereço MAC original do default gateway local para a porta onde a estação comprometida está conectada.Dessa forma, todos os pacotes destinados para o default gateway local serão enviados para a estação comprometida, a qual pode, após copiar ou analizar os pacotes, rotear para o default gateway local verdadeiro para não interromper a comunicação e assim passar desapercebido.
Para mitigar essa vulnerabilidade é importante verificar se o switch possui filtros para a o Gratuitous ARP, assim como mapear estaticamente em qual porta do switch o default gateway local está conectado.
