Eine Eigenschaft des Designs des Betriebes getrennter Daten- und Voice-VLANs (für Voice-over-IP-Anwendungen) auf Switches von Cisco Inc. ermöglicht Angreifern trivial unauthentifizierten Zugriff auf Voice-VLANs. Gegenmaßnahmen sind nicht verfügbar.

Betroffene Systeme

• Cisco Netzwerk-Komponenten unter IOS oder CatOS, die IEEE 802.1x port security in Verbindung mit Telefonie-Diensten auf "Voice-Enabled Interfaces" unterstützen.

Einfallstor
Speziell formuliertes CDP-Paket an eine betroffene Komponente

Angriffsvoraussetzung
Anschluß eines Gerätes mit IEEE 802.1q Unterstützung an einen "voice-enabled" Port eines Switches, der per IEEE 802.1x abgesichert ist.

Auswirkung
unauthentifizierter Zugriff auf ein mit IEEE 802.1x port security geschütztes VLAN für Telefonie-Dienste

Typ der Verwundbarkeit
unsichere Voreinstellung (insecure defaults)
Hierbei ist zu beachten, daß dieses voreingestellte Verhalten offenbar nicht abgeschaltet werden kann.

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
IEEE 802.1x ist ein Rahmenwerk zur Port-basierten Zugriffskontrolle auf aktiven Netzwerkkomponenten. Es ermöglicht u.a., Systeme, die an einen Port der Komponente angeschlossen werden, mittels verschiedener Verfahren zu authentifizieren und nach erfolgreicher Authentifizierung Zugriff zu einem bestimmten VLAN zu gewähren. Ein solches VLAN kann z.B. ein logisches Telefonienetz für Voice-over-IP bilden.

Diverse Switches der Firma Cisco Inc. stellen die Möglichkeit bereit, VLANs für Voice-over-IP-Netze vom sonstigen Datenverkehr auf einem "voice-enabled switch port" zu trennen. Cisco IP-Telefone besitzen einen Swichport, an dem Rechnersysteme angeschlossen werden können, so daß pro Arbeitsplatz nur ein Netzwerkanschluß zur Verfügung gestellt werden muß. Auf dem dahinterliegenden Netzwerk-Switch wird der Datenverkehr der so kaskadiert angeschlossenen Geräte verschiedenen VLANs zugeordnet.

Um bei Anschluß eines Gerätes an einen "voice-enabled" Port des Switches dynamisch entscheiden zu können, ob es dem Zugriff auf das Voice-VLAN erhalten soll , kann eine Port-basierte Authentifizierung nach IEEE 802.1x durchgeführt werden. Authentifiziert sich das angeschlossene Gerät korrekt, wird ihm Zugriff auf das Voice-VLAN gewährt.

Beschreibung
Die derzeit in Verkauf befindlichen Voice-over-IP-Telefone von Cisco, verfügen nicht über Software, die eine Authentifizierung nach IEEE 802.1x ermöglicht.

Um sicherzustellen, daß diese Telefone auch an Switches mit voice-enabled Ports, die mittels IEEE 802.1x abgesichert sind, betrieben werden können und Zugriff zu einem Voice-VLAN zu erhalten, akzeptieren die entsprechenden Switches alternativ zu einer IEEE 802.1x-basierten Authentifizierung ein speziell formuliertes CDP-Paket des Telefons (CDP - Cisco Discovery Protocol). Nach Erhalt dieses Paketes, wird über den Port, an dem das Telefon angeschlossen ist, Zugriff auf das Voice-VLAN gewährt.

Dieser Umstand kann von einem Angreifer trivial dazu ausgenutzt werden, ohne Authentifizierung Zugang zum Voice-VLAN zu erhalten. Dabei ist es ausreichend, von einem Gerät, das IEEE 802.1q-Unterstützung implementiert und an einen entsprechenden Port des Switches angeschlossen ist, ein entsprechendes CDP-Paket an den Switch zu schicken, woraufhin dieser dem Gerät über den Port Zugriff auf das Voice-VLAN gewährt.

Gegenmaßnahmen

• Nach Angaben von Cisco Inc. handelt es sich hierbei um eine intendierte Eigenschaft der betroffenen Systeme. Gegenmaßnahmen werden nach derzeitigem Stand nicht bereitgestellt.

Workaround
Es ist zu empfehlen, andere Sicherheitsmaßnahmen zu ergreifen, die den beschriebenen unauthentifizierten Zugriff auf Voice-VLANs erschweren. Cisco Inc. hat hierzu ein Whitepaper herausgegeben. Dies kann jedoch nicht als Lösung des Problems angesehen werden.

Vulnerability ID

• bislang nicht vergeben

Weitere Information zu diesem Thema

• Cisco Security Notice: Cisco 802.1x Voice-Enabled Interfaces Allow Anonymous Voice VLAN Access
• IEEE 802.1q Standard: Virtual Bridged Local Area Networks (VLAN)
• IEEE 802.1x Standard: Port Based Network Access Control

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/