Virtualização e a insegurança dos Hubs

Em plena era dos switches e vlans, os hubs estão de volta trazendo o velho conhecido problema do sniffing passivo em redes não comutadas.

kingm0b_
kingm0b_
Jul 23, 2017 · 2 min read

Durante muitos anos, os hubs foram bastante bem-vindos por oferecem uma solução compacta, barata e centralizadora em redes de topologia de barramento. Apesar do layout físico parecer uma topologia em estrela, redes com hubs continuavam sendo barramentos, compartilhando o canal de comunicação de dados com todos os outros hosts colocando-os em um mesmo domínio de colisão.

Hub antigo com interface para cabos coaxiais.

A performance da rede era degradada dependendo da quantidade de hosts online, e a segurança poderia ser facilmente abalada pois passivamente um atacante poderia capturar pacotes de máquinas alheias apenas colocando sua interface de rede em modo promíscuo.

A solução para estes problemas surgiu com o uso dos switches. Nos switches, cada porta de rede é tratada como se fosse um hub invidual, e cada um destes “mini-hubs” são interligados por uma bridge. A bridge, por sua vez, repassa o frames ethernet para os destinatários corretos baseado em uma tabela de associações MAC/PORTA construída dinamicamente.

Em razão desta particularidade dos switches, o domínio de colisão foi quebrado, inviabilizando o sniffing de pacotes alheios passivamente... Será?

Hoje, é muito comum as empresas adquirirem apenas uma máquina servidora e virtualizarem toda a sua infraestrutura dedicando máquinas virtuais para cada serviço necessário.

Acontece que, virtualmente a problemática do domínio de colisão ressurge com o compartilhamento da interface de rede/portgroup entre máquinas virtuais.

Um exemplo prático: cinco máquinas virtualizadas pelo VirtualBox utilizando a mesma interface de rede. Se uma delas colocar a placa em modo promíscuo conseguirá capturar o tráfego de todas as outras quatro!

O mesmo problema ocorre quando máquinas sobre o VMware ESXi compartilham do mesmo portgroup. Na prática, o port group do VMware funciona como um “hub virtual”, uma espécie de vHub em analogia ao seu conceito de vSwitch.

Se todos os seus servidores estiverem “pendurados” em um mesmo portgroup, caso um deles for comprometido, o atacante poderá sniffar o tráfego de todas as outras máquinas virtuais!

A boa prática seria dedicar um portgroup para cada host.

#Ficaadica

kingm0b_

Written by

kingm0b_

Algumas anotações pessoais (que podem ser úteis para alguém).

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade