Ako myslí hacker: ochrana pred ARP, MITM a replay útokmi v Cisco sieťach

Vitajte v útrobách sieťovej bezpečnosti! V tomto článku sa pozrieme na tri typy útokov, ktorými sa hacker často snaží zneužívať slabé miesta vo vašej infraštruktúre:

• ARP spoofing – ohrozí lokálnu sieť tak, že klienti posielajú dátový tok útočníkovi namiesto brány
• MITM útok (Man-In-The-Middle) – umožňuje meniť a sledovať komunikáciu medzi dvoma stranami
• Replay útoky – opätovné vysielanie zachytených paketov, ktoré môžu viesť k duplicitnej prevádzke

Prejdeme si teóriu, ukážky z Cisco IOS aj praktické tipy, ako tieto hrozby eliminovať pomocou dostupných technológií – filtrov, ACL, NAT – a dobre navrhnutej architektúry siete.

1. ARP spoofing – čo sa deje za scénou?

Útočník v LAN pošle falošné ARP odpovede: namiesto MAC adresy gateway pošle svoju vlastnú. Sieťové zariadenia následne smerujú svoje pakety cez jeho stroj. To mu umožní odchytiť, meniť alebo blokovať komunikáciu.

1.1 Ako identifikovať ARP útok?

• Na klientovi: príkaz arp -a ukáže nesprávne MAC adresy
• Na switchi: nestabilné ARP záznamy, opakované ARP requesty
• Na Cisco routeri: použitie funkcie show ip arp a výstrahy pre kolidujúce MAC adresy

1.2 Ochrana pred ARP spoofingom

1. Statické ARP na kritických zariadeniach: napr. brána:

   arp 10.0.0.1 00aa.bbcc.ddee ARPA

2. Dynamic ARP Inspection (DAI) na Cisco Switche:

   ip arp inspection vlan 10
   interface Gig0/1
    switchport access vlan 10
    ip arp inspection trust
         

3. Port security: via ACL na switchi:

   mac-address-table static 00aa.bbcc.ddee vlan 10
   interface Gig0/2
    switchport port-security
    switchport port-security mac-address sticky 00aa.bbcc.ddee
         

2. MITM (Man‑In‑The‑Middle) – ak hacker prehradí hlavné bytosti

MITM útok často kombinuje ARP spoofing s SSL-stripom alebo DNS hijackingom – útočník sa zosadí do komunikácie, upravuje obsah alebo odpočúva paketový tok.

2.1 Ako vyzerá MITM útok v praxi?

• Používateľ sa pripojí k AP s falošným certifikátom
• Komunikačný kanál je presmerovaný cez útočníka, ktorý vidí plaintext dáta
• Zároveň môže meniť response (napr. presmerovanie na falošnú stránku)

2.2 Príklady ochrany:

• UAE v Cisco ASA / IOS Firewall: url inspection, SSL decryption, anti‑spoofing
• ACL obmedzujúci komunikáciu medzi internými VLAN a DMZ – podsiete sú izolované
• SSL pinning / HSTS na úrovni aplikácií

2.3 Nastavenie ACL proti MITM

ip access-list extended BLOCK_INTERNET_DMZ
 permit ip 192.168.10.0 0.0.0.255 any
 deny   ip 192.168.20.0 0.0.0.255 any
 permit ip any any
!
interface Gig0/1
 ip access-group BLOCK_INTERNET_DMZ in
  

Týmto spôsobom zabránené, aby DMZ zariadenia komunikovali priamo do interné siete bez kontroly.

3. Replay útoky – opakovanie záznamu so škodlivými dôsledkami

Pri replay útokoch hacker odchytí dáta (napr. ARP requesty, HTTP session cookies) a neskôr ich opätovne vysiela, čím napríklad odomkne sessions alebo vyprázdni financie.

3.1 Ako sa brániť?

• Timestamping a sekvenčný mechanizmus pri TLS / IPsec
• Anti-replay protections v IPSec: konfigurácia ESP paketov s životným číslom (seq num)

crypto ipsec transform-set PFS esp-aes 256 esp-sha-hmac
crypto map VPN-MAP 10 ipsec-isakmp
 match address VPN_ACL
 set transform-set PFS
 set pfs group2
 set isakmp-profile VPN-PROFILE
  

• Limitovanie platnosti autentifikačných tokenov v systémoch a aplikáciách

4. Kombinovaná ochrana – ACL, NAT, Firewall

Samotné filtre nestačia. Nasledujúce kroky vám pomôžu zlepšiť obranu vašej infraštruktúry:

1. Vetvenie sietí – interné, DMZ, Wi‑Fi VLANy
2. ACL na smerovači/ASA na odfiltrovanie suspicious traffic
3. NAT filtering – napr. blokovanie direktívnych interných IP von

ip nat inside source list LAN_OUT interface Gig0/0 overload
access-list 101 deny ip 192.168.20.0 0.0.0.255 any log
access-list 101 permit ip any any
    

4. Ukladanie a analýza logov: zapnite Syslog, NetFlow, IDS/IPS systémy

5. Odporúčané kroky pre praktický bezpečnostný audit

• Analýza aktuálnej konfigurácie ARP tabuľky a switch portov
• Test ARP spoofingu v lab prostredí (napr. Kali Linux)
• Overenie ACL fungovania pomocou ping, traceroute a packet‑capture
• Simulácia replay útoku cez Wireshark a nástroj tcpreplay
• Výsledný report s odporúčaniami na zmeny konfigurácie

Záver

Útoky ako ARP spoofing, MITM či replay môžu mať vážne následky – od vystavenia citlivých dát až po úplný výpadok služby. S pomocou správne nastavených ARP filtrov, DAI, ACL, NAT a IPSec ochrany dokážete vytvoriť pevné základy bezpečnej infraštruktúry v Cisco sieťach. Klúčom je kombinácia teórie a praktického testovania – nasadenie v reálnom prostredí a simulovanie útokov vám prinesie nielen ochranu, ale aj istotu v správe siete.

Tip na záver: implementujte tieto opatrenia krok po kroku, dokumentujte výstupy a postupy – vytvoríte tak robustný proces bezpečnostného hardeningu pre vaše Cisco sieťové prostredie.

Ak vás táto problematika zaujala a chcete si všetky kroky vyskúšať prakticky, odporúčame kurz NP2 – Bezpečnosť v TCP/IP sieťach, tunelovanie IPSec a VPN.

Viac informacií preberáme na kurze:

Kurz NP2 - Bezpečnosť v TCP/IP sieťach, tunelovanie IPSec a VPN

Marián Knězek

 

Súvisiace články:

• Analýza TCP spojenia a detekcia downtime cez Wireshark
• L3VPN a VRF na Cisco: multi‑tenant siete bez tajomstiev
• Linux router od nuly: inštalácia, smerovanie (RIP, OSPF) a firewall v praxi
• Hardening Linuxu: správa sieťových kariet, firewall a dynamic routing
• Ako efektívne plánovať WLAN topológie: Access, Repeater a Bridge režimy Cisco AP
• Cisco Access Point: Krok‑za‑krokom konfigurácia WLAN siete pre začínajúcich adminov
• Dynamické filtre a reflexívne ACL: pokročilá bezpečnostná ochrana v TCP/IP sieťach