Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



23.06.2020

PLNOG Online

PLNOG Online
23.06.2020

Nowe zagrożenie

Ramsay
23.06.2020

Chmurowe kopie

Veeam Backup dla Microsoft Azure
19.06.2020

Nowości w kontenerach

Red Hat OpenShift 4.4
19.06.2020

Analityka bezpieczeństwa

FortiAI
19.06.2020

UPS dla obliczeń edge

Schneider APC Smart-UPS
16.06.2020

Przemysłowe SD

Nowe karty Transcend
16.06.2020

Storage dla SMB

QNAP TS-451DeU
16.06.2020

Pamięć masowa

Dell EMC PowerStore

Przełącznik, który chroni sieć

Data publikacji: 21-04-2015 Autor: Piotr Wojciechowski

Inwestycja w najbardziej zaawansowane i wydajne firewalle lub IPS-y nie zda się na nic, jeżeli zapomnimy o zabezpieczeniu brzegu sieci w miejscu, w którym podłączamy stacje robocze oraz urządzenia przenośne. Przełącznik jest pierwszym punktem chroniącym przed zagrożeniami i atakami pochodzącymi z wnętrza naszej sieci.

Zabezpieczanie brzegu sieci zaczyna się w miejscu, w którym możliwe jest przyłączenie wrogiego urządzenia. W tradycyjnych sieciach kablowych takim urządzeniem jest przełącznik. Jeżeli niepowołana osoba uzyska do niego dostęp, może do dowolnego aktywnego portu podpiąć własny komputer, który wyposażony w odpowiednie oprogramowanie może skutecznie unieruchomić dany segment sieci lub przechwycić potencjalnie wrażliwe dane. Do tego celu atakujący może łatwo wykorzystać niedoskonałości protokołów, które od lat są standardem w sieciach Ethernet i IP. W przypadku nowoczesnych sieci, w których wiele urządzeń podłączanych jest bezprzewodowo, odpowiednie zabezpieczenie przełącznika, gdzie wpinany jest punkt dostępowy, staje się jeszcze bardziej kluczowe. Fale radiowe nie znają granic, a atakujący może znajdować się zarówno wewnątrz budynku, jak i w samochodzie przed naszym biurem. Przyjrzyjmy się podstawowym mechanizmom ochrony, które producenci implementują w zarządzalnych przełącznikach sieciowych.

> BEZPIECZEŃSTWO ZACZYNA SIĘ OD PORTU

Każda karta sieciowa, niezależnie czy przewodowa, czy bezprzewodowa, ma swój własny adres MAC zaszyty w konfiguracji sprzętowej (warto pamiętać, że są programy oszukujące, pozwalające podmienić adres MAC). Jeżeli mamy w komputerze więcej niż jedno gniazdo Ethernet lub dokupiliśmy wieloportową kartę sieciową, to każdy z portów ma swój własny unikalny adres MAC. Jest on wykorzystywany do przesyłania ramek danych, będących podstawą działania sieci Ethernet. To w ramkach Ethernet umieszczane są pakiety IP dostarczane do urządzenia końcowego. Funkcjonalność Port Security monitoruje urządzenia podłączone do portu przełącznika, ograniczając liczbę adresów MAC połączonych z danym interfejsem. Zapobiega to między innymi próbom podłączenia nieautoryzowanych przełączników lub punktów dostępowych do sieci – nasz przełącznik w takim wypadku musi mieć wiedzę o wszystkich urządzeniach, do których wysyła ramki przez wskazany port, a co za tym idzie, znać ich adresy MAC. Jest to także element zabezpieczenia pamięci przełącznika przed atakami mającymi za zadanie wysycić tablicę zwaną Switching Table, zawierającą powiązania między adresem MAC a powiązanym z nim portem. W każdym switchu wspomniana tablica ma określony rozmiar, a atakujący może próbować zasypać urządzenie sfałszowanymi wpisami i spowodować jej wysycenie. Sprawi to, że przełącznik zacznie usuwać z tablicy najstarsze wpisy. Ponieważ brak rekordu spowoduje rozgłoszenie ramki na wszystkich portach przełącznika, atakujący w prosty sposób może podsłuchać ruch i zdobyć dostęp do informacji dla niego nieprzeznaczonych. Atakujący może także podszyć się pod autoryzowany host w naszej sieci, podmieniając swój adres MAC, i przekierować ruch na swoje urządzenie. Dodatkowym zabezpieczeniem sieci może być wyspecyfikowanie adresów MAC, z którymi komunikacja przez dany port jest dozwolona. Jedynie ściśle określone urządzenia uzyskają dostęp do naszej sieci. Informacja o innych adresach wykrytych na danym porcie nie zostanie umieszczona w pamięci przełącznika, a więc możliwość przesyłania ramek zostanie zablokowana.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"