САМ таблица, имеющая ограничение по размеру, содержит информацию о соответствии MAC адресов портам коммутатора. Пересылка атакующим большого количества пакетов с несуществующими адресами источника может привести к переполнению таблицы, при этом коммутатор начнёт пересылать входящие фреймы на все порты в пределах VLAN, аналогично концентратору (hub). Это позволяет перехватывать для изучения сетевой трафик. Противостоять такой атаке можно включением функции port security на портах, при этом коммутатор запоминает для каждого порта сконфигурированное количество MAC адресов, блокирует пакет или порт при поступлении фрейма с неправильным MAC адресом.
Изменение VLAN (VLAN hopping).
Атака - имитация коммутатора (Switch Spoofing). Порты коммутатора по умолчанию сконфигурированы для автоматического согласования транкового режима, при получении фреймов Dynamic Trunk Protocol (DTP) порт может перейти в режим trunk. При этом атакующий, подключенный к trunk порту, может получить доступ ко всем VLAN.
Двойное включение метки (Double Tagging).
Двойная инкапсуляция 802.lq данных атакующим при наличии транковых связей между коммутаторами может привести к попаданию пакетов из одного VLAN в другой. Противостоять данным атакам можно выключением протокола DTP на портах доступа коммутатора и переводе их в режим доступа (switchport mode access), а также не использовать идентификаторы VLAN доступа в качестве «native VLAN» на транковых портах коммутатора. Дополнительный уровень безопасности обеспечивает отключение неиспользуемых интерфейсов и перевод их в неиспользуемый VLAN.
Манипуляция с STP протоколом (Spanning-Tree Protocol manipulation).
Протокол STP предназначен для исключения петель в Ethernet сети 2 уровня. Атакующий может посылать на коммутатор фреймы BPDU имитируя изменения конфигурации дерева STP, чем может вызвать пересчет алгоритма Spanning Tree и изменение активной топологии сети. Для защиты сети от изменений предназначены функции «root guard» и «BPDU guard». Так же возможно отключение протокола STP на коммутаторе или отдельном VLAN, при этом необходимо обеспечить отсутствие петель в сети.
Подмена MAC адреса (Media Access Control (MAC) Address spoofing).
Использование MAC адреса другого хоста и соответственно перезапись САМ таблицы коммутатора, а также предоставление неправильной информации в ARP запросах и GARP фреймах может позволить атакующему перехватывать непредназначенные ему фреймы. Для защиты от подобных атак используются:
- функция port security на интерфейсах коммутатора;
- прослушивание DHCP пакетов (DHCP snooping) вместе с инспектированием ARP фреймов (Dynamic ARP Inspection - DAI). Прослушивание DHCP пакетов позволяет строить таблицы соответствия MAC и IP адресов.
«Переполнение» DHCP.
«Переполнение» DHCP возникает, когда злоумышленник арендует большое количество динамически выделяемых IP адресов, тем самым, истощая запасы IP адресов DHCP сервера. Защита от подобных атак состоит в использовании технологии прослушивания DHCP пакетов (DHCP snooping) на коммутаторе.
При использовании единственного коммутатора для всех зон периметра защиты (Рисунок 4.1.3) возможно использование злоумышленником следующих уязвимостей:
- Переполнение САМ таблицы коммутатора;
- Подмена MAC адреса;
- Изменение VLAN.
Для защиты коммутатора от этих атак необходимо использовать функцию port security на интерфейсах против атак на переполнение таблицы САМ и подмены MAC адресов, порты коммутатора принудительно переключить в режим доступа (access mode), подключение в сети ЛВС производить через порт в режиме доступа. Так же целесообразно отключить процесс STP на VLAN внешней зоны или коммутаторе в целом и протокол СОР на интерфейсах VLAN внешней зоны. Интерфейс управления коммутатором должен находиться в защищенной внутренней зоне. Доступ к нему должен быть ограничен определенными IP адресами. Пример базовой конфигурации коммутатора приведен в Приложении А.
4.2 ОрганизациязащищеннойсредывзаимодействиятерриториальноразделенныхподразделенийЯНФЭОАО «Уралсвязьинформ»черезсетьИнтернет
Технология/архитектура IKE/IPsec является базовой для построения частных виртуальных сетей сетевого уровня как для протокола IP версии 4 (IPv4), так и версии 6 (IPv6). Средства VPN сетевого уровня являются «прозрачными» для любых приложений, что обеспечивает широкое применение данной технологии. IKE/IPsec технология обеспечивает:
- Аутентификацию, шифрование и целостность данных на уровне передаваемых IP пакетов.
- Защиту от повторной передачи пакетов или сообщений (replay attack);
- Создание, автоматическое обновление и защищенное распространение криптографических ключей;
- Использование стойких криптографических алгоритмов шифрации и хеширования, включая DES, 3DES, AES (шифрование), MD5, SHA-1 (хеширование).
- Аутентификацию объектов сетевого взаимодействия на базе цифровых сертификатов.
МЭ Cisco PIX помимо контроля доступа позволяют использовать сервисы виртуальных частных сетей (VPN - - virtual private network) с использованием технологии IKE/IPSec.
Организация защищенной среды взаимодействия ТУЭС строится по схеме site-to-site. Каждый узел нижнего уровня соединяются с узлами верхнего уровня через VPN-туннели. Для аутентификации узлов используются предопределенные ключи (preshared key); для протокола IKE используются алгоритмы DES, MD5, DH group 1; для шифрации, аутентификации IPSec пакетов алгоритмы DES и MD5. Предполагается переход к более криптостойким алгоритмам 3DES, DH group 2.
Разграничение доступа между узлами предполагается выполнять с изменением списка доступа шифрования (crypto ACL). Целесообразным является разрешать трафик репликации между серверами, трафик управления с рабочих мест администраторов безопасности, служебный сетевой трафик (SNMP trap, syslog, netflow и другие).
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.