Title (deu): "Pre-Admission" NAC Bypass im LAN

Author: Thaler, B. (Bernhard)

Description (deu): St. Pölten, FH-Stg. Information Security, Master Thesis, 2014

Description (deu): Diese Arbeit beschäftigt sich mit der Implementierung eines automatisierten Werkzeug zur Umgehung von Schutzmechanismen vor Fremdgeräten im LAN. Um dabei möglichst unbemerkt zu bleiben, wird ein freigegebenes Gerät imitiert. Angelehnt an bestehenden Konzepten und „Proof-of-Concept“ Ansätzen wird eine kombinierte Lösung aus Hardware und Software vorgeschlagen, welche Network Access Control Mechanismen wie Port-Security, 802.1X oder andere vergleichbare Lösungen (zb.: Cisco NAC, Microsoft NAP) umgehen kann. Diese kann auch in Netzwerken ohne derartige Schutzmechanismen zur Mitnutzung der physischen Netzwerkverbindung eines vorhandenen Geräts und dessen „Imitierung“ verwendet werden. Insbesondere die Weiterentwicklung über vorhandene Lösungen und deren Funktionsumfang wird betrachtet.
Das entwickelte Werkzeug „bypassNAC“ führt automatisiert alle notwendigen Schritte aus, die aufbauend auf einer physischen „Man-in-the-Middle“ / „Piggy-Backing“ Verbindung zwischen einem erlaubten Gerät und dem Netzwerk notwendig sind, um einem oder mehreren nicht-erlaubten Geräten Zugriff auf das Netzwerk zu verschaffen. Es nutzt dazu das Ethernet Bridging Modul moderner Linux-Kernel und bedient sich des Netfilter Framework zur Implementierung notwendiger Firewall-Regeln zur situationsbezogenen Behandlung von Ethernet-Traffic. IP- und Ethernet-Adressen, Charakteristika im IPv4, IPv6 und TCP-Traffic werden so überschrieben, dass anhand einfacher passiver Analyse des Netzwerkverkehrs nicht erkannt werden kann, dass andere Geräte die Verbindung eines erlaubten Geräts mitnutzen. Dazu bedient es sich grundlegender Techniken wie NAT und „Packet Mangling“. Das Tool übertrifft bestehende „Proof-of-Concept“ Implementierungen durch zusätzliche Mechanismen wie die Möglichkeit der Kommunikation mit dem imitierten Gerät, die automatische Sammlung notwendiger Informationen über das Netzwerk, die korrekte Behandlung von ARP-Anfragen für Ressourcen im lokalen Subnetz, die Möglichkeit zur Verwendung von IPv6 zusätzlich zu IPv4 und die Imitierung von Traffic-Charakteristika des erlaubten Geräts.
Das entwickelte Tool wird unter Laborbedingungen gegen unterschiedliche Schutzmechanismen wie Port-Security, 802.1X und Microsoft NAP und 802.1X mit „MACSec“ getestet und evaluiert, inwieweit der vorgestellt Umgehungsversuch auch auf Hardware unterschiedlicher Hersteller (Cisco, HP und Dell Switches) realisierbar ist. Netzwerke mit 802.1X kombiniert mit „MACSec“ und NAP mit dem „Enforcement-Mode“ IPsec sind gegen den vorgestellten Umgehungsversuch resistent.
Herausforderungen und Grenzen bei der Implementierung eines solchen Werkzeugs werden aufgezeigt und Möglichkeiten Optimierungspotential sowie Möglichkeiten zur Erkennung solcher Angriffe dargestellt.

Description (eng): This thesis deals with the analysis of requirements for an an automated tool to perform intrusions on LAN environments implementing state-of-the-art technologies to secure network access such as „Port Security“, 802.1X or NAC / NAP and its development. Based on existing research and concepts a solution is proposed to combine hardware and software to circumvent network access control mechanisms for untrusted devices and to imitate a legitimate device and its network traffic.
An advanced tool „bypassNAC“ is implemented which allows for automation of these bypass attacks on LAN environments secured or not secured with NAC technologies on basis of a physical „Man-in-the-Middle“ / „Piggy-Backing“ attack to allow for rogue devices to gain access to the network. The tool runs on Linux and automates the required steps to configure an ethernet bridge and the Netfilter Framework for firewalling. It implements firewall rules to maks ethernet addresses, IPv4 and IPv6 addresses and charasteristics of IPv4, IPv6 and TCP traffic to match the original, imitated device. The tool extends and superseeds functionalities of comparable proof-of-concept software. It is able to communicate to imitated host system, performs custom handling of ARP and NDP requests for resources in local subnet and automates extraction of needed network configuration information from network traffic. It adds support for IPv6 and imitation of traffic characteristics of the original, spoofed device to further improve „stealthiness“ of he attack.
The tool is tested against labor setups of Port-Security, 802.1X, Microsoft NAP and 802.1X with „MACsec“ to check its capabilities. Different Switch Hardware (Cisco, HP, Dell) is tested to further test effectiveness of the tool. Based on testing only networks secured with 802.1X and „MACsec“ and Microsoft NAP with IPsec enforcement mode are secure against the proposed bypass method.
Limitations and challenges for the proposed tool are discussed as well as room for further improvement and development outlined.

Object languages: German

Date: 2014

Rights: © All rights reserved

Classification: Lokales Netz; Sicherheitsprotokoll

Permanent Identifier