Modulo 10: Concetti di

sicurezza LAN
Elementi essenziali di switching,
routing e wireless v7.0 (SRWE)
Obiettivi del modulo
Titolo del modulo: Concetti di sicurezza LAN

Obiettivo del modulo: Spiega come le vulnerabilità compromettono la sicurezza LAN

Titolo argomento Obiettivo argomento

Spiegare come utilizzare la sicurezza degli endpoint
Sicurezza degli endpoint
per mitigare gli attacchi
Spiegare in che modo AAA e 802.1x vengono
Controllo degli accessi
utilizzati per autenticare endpoint e dispositivi LAN
Minacce di sicurezza Layer 2 Identificare le vulnerabilità di Layer 2
Spiegare come un attacco della tabella degli indirizzi
Attacco alla tabella degli indirizzi MAC
MAC ha compromesso la sicurezza LAN.
Spiegare in che modo gli attacchi LAN
Attacchi LAN
compromettono la sicurezza LAN
© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 10
10.1 Sicurezza degli
endpoint

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 11
Sicurezza degli endpoint
Attacchi alla rete di oggi
I media di notizie coprono comunemente gli attacchi alle reti aziendali. Basta cercare su
internet "ultimi attacchi di rete" per trovare informazioni aggiornate sugli attacchi attuali.
Molto probabilmente, questi attacchi saranno uno o più dei seguenti:
• Distributed Denial of Service (DDoS) - Questo è un attacco coordinato da molti
dispositivi, chiamati zombie, con l'intenzione di degradare o arrestare l'accesso
pubblico al sito web e alle risorse di un'organizzazione.
• Violazione dei dati - Si tratta di un attacco in cui i server di dati o gli host di
un'organizzazione sono compromessi per rubare informazioni riservate.
• Malware - Si tratta di un attacco in cui gli host di un'organizzazione sono infettati da
software dannoso che causa una serie di problemi. Ad esempio, un ransomware
come WannaCry crittografa i dati di un host e blocca l'accesso ad esso finché non
viene pagato un riscatto.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 12
Sicurezza degli endpoint
Dispositivi di sicurezza di rete
Sono necessari diversi dispositivi di sicurezza di rete per proteggere il perimetro di rete
dall'accesso esterno. Questi dispositivi potrebbero includere quanto segue:
• Router abilitato alla rete privata virtuale (VPN) - Fornisce una connessione sicura agli
utenti remoti attraverso una rete pubblica e nella rete aziendale. I servizi VPN possono
essere integrati nel firewall.
• Next-Generation Firewall (NGFW) - Fornisce ispezione stateful dei pacchetti, visibilità
e controllo delle applicazioni, un sistema di prevenzione delle intrusioni di nuova
generazione (NGIPS), protezione avanzata dal malware (AMP) e filtro URL.
• Network Access Control (NAC) - Include i servizi di autenticazione, autorizzazione e
accounting (AAA). Nelle aziende più grandi, questi servizi potrebbero essere
incorporati in un'appliance in grado di gestire i criteri di accesso per un'ampia varietà di
utenti e tipi di dispositivi. Il Cisco Identity Services Engine (ISE) è un esempio di un
dispositivo NAC.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 13
Sicurezza degli endpoint
Protezione degli endpoint
• Gli endpoint sono host che generalmente
consistono in laptop, desktop, server e
telefoni IP, nonché dispositivi di proprietà
dei dipendenti. Gli endpoint sono
particolarmente sensibili agli attacchi
relativi a malware che hanno origine
tramite posta elettronica o navigazione
web.
• Gli endpoint utilizzano in genere
funzionalità di sicurezza tradizionali
basate su host, come
antivirus/antimalware, firewall basati su
host e sistemi di prevenzione delle
intrusioni basati su host (HIP).
• Gli endpoint oggi sono protetti meglio da
una combinazione di NAC, software
AMP, un Email Security Appliance (ESA) © 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento

e un Web Security Appliance (WSA). riservato Cisco 14

Sicurezza degli endpoint
Appliance Cisco Email Security
Il dispositivo Cisco ESA è progettato per monitorare Simple Mail Transfer Protocol
(SMTP). Cisco ESA è costantemente aggiornato da feed in tempo reale provenienti da
Cisco Talos, che rileva e mette in relazione minacce e soluzioni utilizzando un sistema di
monitoraggio di database a livello mondiale. Questi dati di intelligence sulle minacce
vengono estratti dall'ESA Cisco ogni tre-cinque minuti.

Queste sono alcune delle funzioni di Cisco ESA:

• Bloccare le minacce conosciute
• Rimediare al malware stealth che ha eluso il rilevamento iniziale
• Eliminare le e-mail con link errati
• Bloccare l'accesso ai nuovi siti infetti.
• Crittografare il contenuto nella posta elettronica in uscita per evitare la perdita di dati.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 15
Sicurezza degli endpoint
Appliance Cisco Web Security
• Cisco Web Security Appliance (WSA) è una tecnologia di mitigazione per le minacce
basate sul web. Aiuta le organizzazioni ad affrontare le sfide legate alla protezione e al
controllo del traffico web.
• Cisco WSA combina protezione avanzata dal malware, visibilità e controllo delle
applicazioni, controlli dei criteri di utilizzo accettabili e reportistica.
• Cisco WSA fornisce il controllo completo su come gli utenti accedono a internet.
Alcune funzionalità e applicazioni, come chat, messaggistica, video e audio, possono
essere consentite, limitate con limiti di tempo e larghezza di banda o bloccate, in base
ai requisiti dell'organizzazione.
• WSA può eseguire blacklist di URL, filtro URL, scansione malware, classificazione
URL, filtraggio URL, filtraggio applicazioni web e crittografia e decrittografia del traffico
web.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 16
10.2 Controllo degli accessi

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 17
Controllo degli accessi
Autenticazione con una password locale
Molti tipi di autenticazione possono essere eseguiti su dispositivi di rete e ogni metodo
offre diversi livelli di sicurezza.
Il metodo più semplice per l'autenticazione di accesso
remoto consiste nel configurare una combinazione di
login e password su console, linee vty e porte aux.
SSH è una forma più sicura di accesso remoto:
• Richiede un nome utente e una password.
• Il nome utente e la password possono essere autenticati
localmente.
Il metodo di database locale presenta alcune limitazioni:
• Gli account utente devono essere configurati localmente su
ciascun dispositivo che non è scalabile.
• Il metodo non fornisce alcun metodo di autenticazione
fallback.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 18
Controllo accessi
Componenti AAA
AAA è l'acronimo di Authentication, Authorization, and Accounting e fornisce il framework
principale per impostare il controllo degli accessi su un dispositivo di rete.à

AAA è un modo per controllare chi è autorizzato ad accedere a una rete (autenticare),
cosa possono fare mentre sono lì (autorizzare) e per controllare quali azioni hanno
eseguito durante l'accesso alla rete (contabilità).

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 19
Controllo degli accessi
Autenticazione
Locali e basati su server sono due metodi comuni per implementare l'autenticazione AAA.

Autenticazione locale AAA:

• Il metodo memorizza nomi utente e password localmente in un dispositivo di rete (ad esempio,
router Cisco).
• Gli utenti eseguono l'autenticazione sul database locale.
• L'AAA locale è ideale per reti di piccole dimensioni.

Autenticazione AAA basata su server:

• Con il metodo basato su server, il router accede a un server AAA centrale.
• Il server AAA contiene i nomi utente e la password per tutti gli utenti.
• Il router utilizza i protocolli RADIUS (Remote Authentication Dial-In User Service) o Terminal
Access Controller Access Control System (TACACS+) per comunicare con il server AAA.
• Quando sono presenti più router e switch, AAA basato su server è più appropriato.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 20
Controllo degli accessi
Autorizzazione
• L'autorizzazione AAA è automatica e non richiede agli utenti di eseguire ulteriori
passaggi dopo l'autenticazione.

• L'autorizzazione regola ciò che gli utenti possono e non possono fare sulla rete dopo
l'autenticazione.

• L'autorizzazione utilizza un insieme di attributi che descrive l'accesso dell'utente alla

rete. Questi attributi vengono utilizzati dal server AAA per determinare i privilegi e le
restrizioni per tale utente.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 21
Controllo accessi
Accounting
L'accounting AAA raccoglie e segnala i dati di utilizzo. Questi dati possono essere
utilizzati per scopi quali audit o fatturazione. I dati raccolti possono includere i tempi di
connessione di avvio e arresto, i comandi eseguiti, il numero di pacchetti e il numero di
byte.

Un uso primario di contabilità è quello di combinarlo con l'autenticazione AAA.

• Il server AAA mantiene un registro dettagliato di ciò che l'utente autenticato fa sul
dispositivo, come mostrato nella figura. Sono inclusi tutti i comandi EXEC e di
configurazione emessi dall'utente.
• Il registro contiene numerosi campi dati, tra cui il nome utente, la data e l'ora e il
comando effettivo immesso dall'utente. Queste informazioni sono utili durante la
risoluzione dei problemi dei dispositivi. Fornisce anche prove per quando gli individui
eseguono azioni dannose.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 22
Controllo accessi
802.1X
Lo standard IEEE 802.1X è un protocollo di autenticazione e controllo di accesso basato su porta. Questo
protocollo impedisce alle workstation non autorizzate di connettersi a una LAN tramite porte switch
accessibili al pubblico. Il server di autenticazione autentica ogni workstation connessa a una porta switch
prima di rendere disponibili tutti i servizi offerti dallo switch o dalla LAN.

Con l'autenticazione basata su porte 802.1X, i dispositivi della rete hanno ruoli specifici:
• Client (Supplicant) - Si tratta di un dispositivo con software client compatibile 802.1X, disponibile per dispositivi cablati o
wireless.
• Switch (Authenticator) - L'opzione funge da intermediario tra il client e il server di autenticazione. Richiede informazioni
di identificazione dal client, verifica tali informazioni con il server di autenticazione e inoltra una risposta al client. Un altro
dispositivo che potrebbe fungere da autenticatore è un punto di accesso wireless.
• Server di autenticazione - Il server convalida l'identità del client e notifica allo switch o al punto di accesso wireless che
il client è o non è autorizzato ad accedere alla LAN e ai servizi switch.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 23
10.3 Minacce di sicurezza
Layer 2

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 24
Minacce di sicurezza Layer 2
Vulerabilità Layer 2
Ricordiamo che il modello di riferimento OSI è diviso
in sette layer che funzionano indipendentemente
l'uno dall'altro. La figura mostra la funzione di ogni
layer e gli elementi principali che possono essere
sfruttati.

Gli amministratori di rete implementano regolarmente

soluzioni di sicurezza per proteggere gli elementi nel
Layer 3 fino al Layer 7. Usano VPN, firewall e
dispositivi IPS per proteggere questi elementi.
Tuttavia, se il Layer 2 è compromesso, saranno
interessati anche tutti i layer sopra di esso. Ad
esempio, se un threat actor con accesso alla rete
interna ha catturato i frame di Layer 2, tutta la
sicurezza implementata sui layer precedenti sarebbe
inutile. Il threat actor potrebbe causare molti danni
all'infrastruttura di rete LAN Layer 2. © 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 25
Vulnerabilità Layer 2
Categorie di attacchi switch
La sicurezza è forte solo quanto l'anello più debole del sistema, e il Layer 2 è considerato tale anello
debole. Questo perché le LAN erano tradizionalmente sotto il controllo amministrativo di una singola
organizzazione. Ci siamo fidati intrinsecamente di tutte le persone e i dispositivi connessi alla nostra LAN.
Oggi, con BYOD e attacchi più sofisticati, le nostre LAN sono diventate più vulnerabili alla penetrazione.

Categoria Esempi
Attacchi tabella MAC Include attacchi di flooding di indirizzi MAC.

Include attacchi VLAN hopping e doppio tagging VLAN. Include

Attacchi VLAN
anche attacchi tra dispositivi su una VLAN comune.

Attacchi DHCP Include attacchi DHCP starvation e spoofing.

Attacchi ARP Include attacchi di spoofing ARP e poisoning.
Attacchi spoofing degli
Include attacchi di spoofing indirizzo MAC e indirizzo IP.
indirizzi
Attacchi STP Include attacchi di manipolazione del protocollo Spanning Tree.
© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 26
Vulnerabilità Layer 2
Tecniche di mitigazione di attacchi switch
Soluzione Descrizione

Previene molti tipi di attacchi, inclusi gli attacchi di flooding di indirizzi MAC e
Sicurezza porta
attacchi DHCP starvation.

Snooping DHCP Previene attacchi DHCP stravation e gli attacchi spoofing DHCP.

Dynamic ARP Inspection (DAI) Previene lo spoofing ARP e attacchi poisoning ARP.

IPSG (IP Source Guard) Previene gli attacchi di spoofing di indirizzi MAC e IP.

Queste soluzioni Layer 2 non saranno efficaci se i protocolli di gestione non sono protetti. Si
raccomandano le seguenti strategie:
• Utilizzare sempre varianti sicure dei protocolli di gestione come SSH, Secure Copy Protocol
(SCP), Secure FTP (SFTP) e Secure Socket Layer/Transport Layer Security (SSL/TLS).
• Prendere in considerazione l'utilizzo di una rete di gestione fuori banda per gestire i
dispositivi.
• Utilizzare una VLAN di gestione dedicata in cui risiede solo traffico di gestione.
• Utilizzare gli ACL per filtrare gli accessi indesiderati.
© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 27
10.4 Attacco alla tabella degli
indirizzi MAC

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 28
Attacco alla tabella degli indirizzi MAC
Revisione funzionamento switch
Ricordiamo che per prendere decisioni di inoltro, uno switch LAN Layer 2 crea una tabella
basata sugli indirizzi MAC di origine nei frame ricevuti. Questa è chiamata tabella degli
indirizzi MAC. Le tabelle degli indirizzi MAC sono memorizzate in memoria e vengono
utilizzate per cambiare frame in modo più efficiente.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 29
Attacco alla tabella indirizzi MAC
Flooding della tabella di indirizzi MAC
Tutte le tabelle MAC hanno una dimensione fissa e, di conseguenza, uno switch può
esaurire le risorse in cui memorizzare gli indirizzi MAC. Gli attacchi di flooding di indirizzi
MAC sfruttano questa limitazione bombardando lo switch con indirizzi MAC di origine falsi
fino a quando la tabella degli indirizzi MAC switch è piena.
Quando ciò si verifica, lo switch considera il frame come un unicast sconosciuto e inizia a
inondare tutto il traffico in ingresso su tutte le porte sulla stessa VLAN senza fare
riferimento alla tabella MAC. Questa condizione consente ora a un threat actor di
acquisire tutti i frame inviati da un host all'altro sulla LAN locale o VLAN locale.
Nota: Il traffico è inondato solo all'interno della LAN o VLAN locale. Il threat actor può acquisire solo il
traffico all'interno della LAN locale o della VLAN a cui è collegato il threat actor.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 30
Attacco alla tabella indirizzi MAC
Mitigazione degli attacchi alla tabella degli indirizzi MAC
Ciò che rende strumenti come macof così pericolosi è che un utente malintenzionato può
creare un attacco di overflow tabella MAC molto rapidamente. Ad esempio, uno switch
Catalyst 6500 può memorizzare 132.000 indirizzi MAC nella sua tabella indirizzi MAC.
Uno strumento come macof può eseguire il flooding di uno switch con un massimo di
8.000 frame fasulli al secondo; creando un attacco di overflow della tabella degli indirizzi
MAC in pochi secondi.

Un altro motivo per cui questi strumenti di attacco sono pericolosi è perché non solo
influenzano lo switch locale, ma possono anche influenzare altri switch Layer 2 collegati.
Quando la tabella degli indirizzi MAC di uno switch è piena, inizia a inondare tutte le porte
incluse quelle collegate ad altri switch di Layer 2.

Per mitigare gli attacchi di overflow della tabella degli indirizzi MAC, gli amministratori di
rete devono implementare la protezione della porta. La sicurezza delle porte consentirà
solo di apprendere un numero specificato di indirizzi MAC di origine sulla porta. La
sicurezza della porta è ulteriormente discussa in un altro modulo.
© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 31
10.5 Attacchi LAN

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 32
Attacchi LAN
Video - Attacchi VLAN e DHCP
In questo video verranno illustrati i seguenti elementi:
• Attacchi Hopping VLAN
• Attacco double-tagging VLAN
• Attacco DHCP starvation
• Attacco di spoofing DHCP

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 33
Attacchi LAN
Attacchi Hopping VLAN
Un attacco hopping VLAN consente al traffico da
una VLAN di essere visto da un'altra VLAN senza
l'ausilio di un router. In un attacco di base hopping
VLAN, il threat actor configura un host in modo che
si comporti come uno switch per sfruttare la
funzione di porta automatica di trunking abilitata per
impostazione predefinita sulla maggior parte delle
porte switch.

Il threat actor configura l'host in modo da spoofare

la segnalazione 802.1Q e la segnalazione DTP
(Dynamic Trunking Protocol) proprietaria di CISCO
nel trunk con lo switch di connessione. In caso di
successo, lo switch stabilisce un collegamento
trunk con l'host, come mostrato in figura. Ora il
threat actor può accedere a tutte le VLAN sullo
switch. Il threat actor può inviare e ricevere traffico
su qualsiasi VLAN, saltando efficacemente tra le © 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 34

VLAN.
Attacchi LAN
Attacchi double-tagging VLAN
Un threat actor in situazioni specifiche potrebbe incorporare un tag 802.1Q nascosto all'interno del
frame che ha già un tag 802.1Q. Questo tag consente al frame di passare a una VLAN che il tag
802.1Q originale non ha specificato.
• Passo 1:Il threat actor invia un frame 802.1Q double-tagging allo switch. L'intestazione esterna
ha il tag VLAN del threat actor, che è lo stesso della VLAN nativa della porta trunk.
• Passo 2: Il frame arriva sul primo switch, che guarda il primo tag 802.1Q a 4 byte. Lo switch
vede che il frame è destinato alla VLAN nativa. Lo switch inoltra il pacchetto a tutte le porte
VLAN native dopo aver tolto il tag VLAN. Il frame non viene ritaggato perché fa parte della
VLAN nativa. A questo punto, il tag VLAN interno è ancora intatto e non è stato ispezionato dal
primo switch.
• Passo 3: Il frame arriva al secondo switch che non ha alcuna conoscenza che avrebbe dovuto
essere per la VLAN nativa. Il traffico VLAN nativo non viene taggato dallo switch di invio come
specificato nella specifica 802.1Q. Il secondo switch guarda solo il tag 802.1Q interno inserito
dal threat actor e vede che il frame è destinato alla VLAN di destinazione. Il secondo switch
invia il frame alla destinazione o lo inonda, a seconda che sia presente una voce della tabella
degli indirizzi MAC esistente per la destinazione.
© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 35
Attacchi LAN
Attacchi double-tagging VLAN (seguito)
Un attacco double-tagging VLAN è unidirezionale e funziona solo quando l'aggressore è
connesso a una porta che risiede nella stessa VLAN della VLAN nativa della porta trunk.
L'idea è che il double-tagging consente all'utente malintenzionato di inviare dati a host o
server su una VLAN che altrimenti sarebbero bloccati da qualche tipo di configurazione
del controllo di accesso. Presumibilmente sarà consentito anche il traffico di ritorno,
dando così all'utente malintenzionato la possibilità di comunicare con i dispositivi sulla
VLAN normalmente bloccata.

Attacco VLAN Mitigation - Gli attacchi hopping VLAN e double-tagging VLAN possono
essere evitati implementando le seguenti linee guida di sicurezza del trunk, come
discusso in un modulo precedente:
• Disabilitare il trunking su tutte le porte di accesso.
• Disabilitare il trunking automatico sui collegamenti trunk in modo che i trunk debbano
essere abilitati manualmente.
• Assicurarsi che la VLAN nativa venga utilizzata solo per i collegamenti trunk.
© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 36
Attacchi LAN
Messaggi DHCP
I server DHCP forniscono dinamicamente informazioni sulla configurazione IP, tra cui indirizzo
IP, subnet mask, gateway predefinito, server DNS e altro ancora ai client. Nella figura viene
visualizzata una revisione della sequenza dello scambio di messaggi DHCP tra client e
server.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 37
Attacchi LAN
Attacchi DHCP
Due tipi di attacchi DHCP sono DHCP starvation e lo spoofing DHCP. Entrambi gli
attacchi sono mitigati implementando lo snooping DHCP.
• DHCP Starvation Attack —L'obiettivo di questo attacco è quello di creare un DoS per
la connessione dei client. Gli attacchi DHCP starvation richiedono uno strumento di
attacco come Gobbler. Gobbler ha la capacità di esaminare l'intero ambito degli
indirizzi IP affittabili e cerca di prenderli in lease tutti. In particolare, crea messaggi di
rilevamento DHCP con indirizzi MAC fasulli.
• Attacco spoofing DHCP — Ciò si verifica quando un server DHCP non autorizzato
è connesso alla rete e fornisce parametri di configurazione IP falsi ai client legittimi.
Un server canaglia può fornire una varietà di informazioni fuorvianti, tra cui:
• Gateway predefinito errato - Il server rogue fornisce un gateway non valido o l'indirizzo IP del suo host per
creare un attacco man-in-the-middle. Questo potrebbe passare del tutto inosservato quando l'intruso intercetta il
flusso di dati attraverso la rete.
• Server DNS errato - Il server canaglia fornisce un indirizzo server DNS errato che punta l'utente a un sito web
dannoso.
• Indirizzo IP errato - Il server non valido fornisce un indirizzo IP non valido creando effettivamente un attacco
DoS sul client DHCP. © 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 38
Attacchi LAN
Video - Attacchi ARP, STP e CDP reconnaissance

In questo video verranno illustrati i seguenti elementi:

• Attacco di spoofing ARP
• Attacco ARP poisoning
• Attacco STP
• CDP Reconnaissance

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 39
LAN Attacchi
Attacchi ARP
• Gli host trasmettono richieste ARP per determinare l'indirizzo MAC di un host con un indirizzo
IP di destinazione. Tutti gli host sulla subnet ricevono ed elaborano la richiesta ARP. L'host con
l'indirizzo IP corrispondente nella richiesta ARP invia una risposta ARP.
• Un client può inviare un ARP Reply non richiesto chiamato "ARP gratuito". Altri host sulla
subnet memorizzano l'indirizzo MAC e l'indirizzo IP contenuti nell'ARP gratuito nelle loro tabelle
ARP.
• Un utente malintenzionato può inviare un messaggio ARP gratuito contenente un indirizzo MAC
falsificato a uno switch e l'opzione aggiornerà la tabella MAC di conseguenza. In un attacco
tipico, un threat actor può inviare risposte ARP non richieste ad altri host nella subnet con
l'indirizzo MAC dell'attore di minaccia e l'indirizzo IP del gateway predefinito, impostando in
modo efficace un attacco man-in-the-middle.
• Ci sono molti strumenti disponibili su internet per creare attacchi ARP man-in-the-middle.
• IPv6 utilizza ICMPv6 Neighbor Discovery Protocol per la risoluzione degli indirizzi di Layer 2.
IPv6 include strategie per mitigare lo spoofing Neighbor Advertisement, in modo simile al modo
in cui IPv6 impedisce una risposta ARP falsificato.
• Lo spoofing ARP e ARP poisoning sono mitigati implementando Dynamic ARP Inspection (DAI).
© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 40
Attacchi LAN
Attacchi spoofing degli indirizzi
• Lo spoofing degli indirizzi IP avviene quando un threat actor dirotta un indirizzo IP valido di un altro
dispositivo nella subnet o utilizza un indirizzo IP casuale. Lo spoofing degli indirizzi IP è difficile da
mitigare, soprattutto quando viene utilizzato all'interno di una subnet a cui appartiene l'IP.
• Gli attacchi di spoofing degli indirizzi MAC si verificano quando gli attori di minaccia alterano
l'indirizzo MAC del proprio host in modo da corrispondere a un altro indirizzo MAC noto di un host
di destinazione. L'opzione sovrascrive la voce corrente della tabella MAC e assegna l'indirizzo
MAC alla nuova porta. Inavvertitamente inoltra i frame destinati all'host di destinazione all'host
attaccante.
• Quando l'host di destinazione invia traffico, lo switch correggerà l'errore, riallineando l'indirizzo
MAC alla porta originale. Per impedire allo switch di restituire l'assegnazione della porta allo stato
corretto, il threat actor può creare un programma o uno script che invierà costantemente frame allo
switch in modo che lo switch mantenga le informazioni errate o falsificate.
• Non esiste un meccanismo di sicurezza nel Layer 2 che consente a uno switch di verificare l'origine
degli indirizzi MAC, che è ciò che lo rende così vulnerabile allo spoofing.
• Lo spoofing degli indirizzi IP e MAC può essere attenuato implementando IP Source Guard (IPSG).

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 41
Attacchi LAN
Attacco STP
• Gli aggressori della rete possono manipolare lo Spanning Tree Protocol (STP) per
condurre un attacco spoofing del root bridge e modificando la topologia di una rete. Gli
aggressori possono quindi catturare tutto il traffico per il dominio immediatamente
commutato.
• Per condurre un attacco di manipolazione STP, l'host attaccante trasmette STP bridge
protocol data Units (BPDU) contenenti modifiche alla configurazione e alla topologia
che costringono i ricalcoli dell'albero di trasmissione. I BPDU inviati dall'host attaccante
annunciano una priorità del bridge più bassa nel tentativo di essere eletti come root
bridge.
• Questo attacco STP è mitigato implementando BPDU Guard su tutte le porte di
accesso. BPDU Guard è discusso più in dettaglio più avanti nel corso.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 42
Attacchi LAN
CDP Reconnaissance
Il Cisco Discovery Protocol (CDP) è un protocollo di rilevamento dei collegamenti proprietario di Layer 2. È
abilitato su tutti i dispositivi Cisco per impostazione predefinita. Gli amministratori di rete utilizzano inoltre CDP
per configurare e risolvere i problemi dei dispositivi di rete. Le informazioni CDP vengono inviate porte abilitate
per CDP in trasmissioni periodiche, non crittografate e non autenticate. Le informazioni CDP includono
l'indirizzo IP del dispositivo, la versione del software IOS, la piattaforma, le funzionalità e la VLAN nativa. Il
dispositivo che riceve il messaggio CDP aggiorna il database CDP.

Per mitigare lo sfruttamento di CDP, limitare l'uso di CDP su dispositivi o porte. Ad esempio, disabilitare CDP
sulle porte perimetrali che si connettono a dispositivi non attendibili.
• Per disabilitare CDP a livello globale su un dispositivo, utilizzare il comando della modalità di
configurazione globale no cdp run. Per abilitare CDP a livello globale, utilizzare il comando di
configurazione globale cdp run.
• Per disabilitare CDP su una porta, utilizzare il comando di configurazione dell'interfaccia no cdp enable.
Per abilitare CDP su una porta, utilizzare il comando di configurazione dell'interfaccia cdp enable.
Nota: Anche Link Layer Discovery Protocol (LLDP) è vulnerabile agli attacchi reconnaissance. Configurare no lldp run per disabilitare LLDP
globalmente. Per disabilitare LLDP sull'interfaccia, configurare no lldp transmit e no lldp receive.

© 2016 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati. Documento
riservato Cisco 43