Securitatea de bază a switch-ului nu oprește atacurile malițioase. Securitatea este un proces stratificat care nu este niciodată complet în esență. Cu cât echipa de profesioniști in rețelistică din cadrul unei organizații sunt mai atenți la posibilele atacuri de securitate și pericolele pe care le reprezintă, cu atât mai bine. Unele tipuri de atacuri de securitate sunt descrise aici, dar detaliile despre modul în care lucrează altele dintre ele depășește sfera acestui curs. Mai multe informații se regăsesc în cursurile CCNA WAN Protcols și CCNA Security.
Flooding de Adrese MAC
Tabelul adreselor MAC dintr-un switch conține adresele MAC asociate fiecărui port fizic și VLAN-urilor asociate fiecărui port. Când un switch de Layer 2 primește un frame, switch-ul caută în tabelul de adrese MAC, adresa MAC destinație. Toate modelele de switch-uri de la Catalyst folosesc un tabel de adrese MAC pentru switching de Layer 2. Pe măsură ce frame-urile ajung la porturile switchu-ului, adresele MAC sursă sunt înregistrate în tabelul de adrese MAC. Dacă există o înregistrare pentru adresa MAC, switch-ul trimite mai departe frame-ul către portul corect. Dacă adresa MAC nu există în tabelul de adrese MAC, switch-ul trimite frame-ul către fiecare port al său mai puțin cel de la care a fost primit frame-ul.
Comportamentul de flooding de adrese MAC al unui switch pentru adrese necunoscute poate fi folosit pentru a ataca respectivul switch. Acest tip de atac se numește atac de supraîncărcare a tabelului de adrese MAC. Atacurile de supraîncărcare a tabelului de adrese MAC sunt numite uneori atacuri de flooding MAC și atacuri de supraîncărcare a tabelului CAM. În figură se arată cum funcționează acest tip de atac.
În figura 1, gazda A trimite trafic către gazda B. Switch-ul primește frame-urile și caută adresa MAC destinație în tabelul de adrese MAC. Dacă switch-ul nu poate găsi adresa MAC destinație în tabelul de adrese MAC, atunc switch-ul copiază frame-ul și îț trimite (transmite) către fiecare port al switch-ului mai puțin portul unde a fost primit.
În Figura 2, gazda B primește frame-ul și trimite un răspuns către gazda A. Apoi switch-ul învață că adresa MAC a gazdei B este localizată pe portul 2 și înregistrează această informație în tabelul de adrese MAC.
Gazda C primește, de asemenea, frame-ul de la gazda A la gazda C, însă, deoarece adresa MAC destinație a acelui frame este gazda B, hostul C renunță la acel frame.
După cum se arată în Figura 3, orice frame trimis de gazda A (sau orice altă gazdă) către gazda B este trimis mai departe la portul 2 al switch-ului și nu este transmis la fiecare port.
Tabelele de adrese MAC au o dimensiune limitată. Atacurile de flooding de adrese MAC folosesc această limitare pentru a copleși switch-ul cu adrese sursă MAC false, până când tabelul de adrese MAC al switch-ului este plin.
După cum se arată în Figura 4, un atacator de la gazda C poate trimite frame-uri către switch cu adrese MAC sursă și destinație false,generate în mod aleator. Switch-ul actualizează tabelul de adrese MAC cu informațiile conținute de frame-urile false. Când tabelul de adrese MAC este plin de adrese MAC false, switch-ul intră în modul denumit deschidere-eșuată (fail-open). În acest mod, switch-ul transmite toate frame-urile către toate dispozitivele din rețea. Prin urmare, atacatorul poate să vadă toate frame-urile.
Unele instrumente de atac al rețelei pot genera până la 155,000 de înregistrări MAC pe un switch, pe minut. În funcție de switch, dimensiunea maximă a tabelului de adrese MAC variază.
După cum se arată în Figura 5, cât timp tabelul de adrese MAC al switch-ului rămâne plin, switch-ul transmite toate frame-urile primite către fiecare port. În acest exemplu, sunt trimise frame-uri de la gazda A la gazda B care sunt totodată transmise prin portul 3 de pe switch și văzute de atacatorul de la gazda C.
O modalitate de a diminua atacurile de depășire a dimensiunii tabelelor de adrese MAC este de a configura securitate pe port.