Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



25.02.2020

Koszty w górę

Zmiany w licencjach VMware
24.02.2020

VPN na nowo

WireGuard w Linuksie
24.02.2020

Wydajność pod kontrolą

Citrix Analytics for Performance
24.02.2020

Zaawansowany backup

Veeam Availability Suite v10
20.02.2020

Serwery Enterprise

OVHCloud stawia na Ryzeny
20.02.2020

Monitory dla biznesu

Newline IP
20.02.2020

Przemysłowe SSD

Dyski Transcend M.2 NVMe
23.01.2020

Google Project Zero

Inicjatywa Google Project Zero
23.01.2020

Ochrona tylko w chmurze

Kaspersky Security Cloud Free

Przełącznik, który chroni sieć

Data publikacji: 21-04-2015 Autor: Piotr Wojciechowski

Inwestycja w najbardziej zaawansowane i wydajne firewalle lub IPS-y nie zda się na nic, jeżeli zapomnimy o zabezpieczeniu brzegu sieci w miejscu, w którym podłączamy stacje robocze oraz urządzenia przenośne. Przełącznik jest pierwszym punktem chroniącym przed zagrożeniami i atakami pochodzącymi z wnętrza naszej sieci.

Zabezpieczanie brzegu sieci zaczyna się w miejscu, w którym możliwe jest przyłączenie wrogiego urządzenia. W tradycyjnych sieciach kablowych takim urządzeniem jest przełącznik. Jeżeli niepowołana osoba uzyska do niego dostęp, może do dowolnego aktywnego portu podpiąć własny komputer, który wyposażony w odpowiednie oprogramowanie może skutecznie unieruchomić dany segment sieci lub przechwycić potencjalnie wrażliwe dane. Do tego celu atakujący może łatwo wykorzystać niedoskonałości protokołów, które od lat są standardem w sieciach Ethernet i IP. W przypadku nowoczesnych sieci, w których wiele urządzeń podłączanych jest bezprzewodowo, odpowiednie zabezpieczenie przełącznika, gdzie wpinany jest punkt dostępowy, staje się jeszcze bardziej kluczowe. Fale radiowe nie znają granic, a atakujący może znajdować się zarówno wewnątrz budynku, jak i w samochodzie przed naszym biurem. Przyjrzyjmy się podstawowym mechanizmom ochrony, które producenci implementują w zarządzalnych przełącznikach sieciowych.

> BEZPIECZEŃSTWO ZACZYNA SIĘ OD PORTU

Każda karta sieciowa, niezależnie czy przewodowa, czy bezprzewodowa, ma swój własny adres MAC zaszyty w konfiguracji sprzętowej (warto pamiętać, że są programy oszukujące, pozwalające podmienić adres MAC). Jeżeli mamy w komputerze więcej niż jedno gniazdo Ethernet lub dokupiliśmy wieloportową kartę sieciową, to każdy z portów ma swój własny unikalny adres MAC. Jest on wykorzystywany do przesyłania ramek danych, będących podstawą działania sieci Ethernet. To w ramkach Ethernet umieszczane są pakiety IP dostarczane do urządzenia końcowego. Funkcjonalność Port Security monitoruje urządzenia podłączone do portu przełącznika, ograniczając liczbę adresów MAC połączonych z danym interfejsem. Zapobiega to między innymi próbom podłączenia nieautoryzowanych przełączników lub punktów dostępowych do sieci – nasz przełącznik w takim wypadku musi mieć wiedzę o wszystkich urządzeniach, do których wysyła ramki przez wskazany port, a co za tym idzie, znać ich adresy MAC. Jest to także element zabezpieczenia pamięci przełącznika przed atakami mającymi za zadanie wysycić tablicę zwaną Switching Table, zawierającą powiązania między adresem MAC a powiązanym z nim portem. W każdym switchu wspomniana tablica ma określony rozmiar, a atakujący może próbować zasypać urządzenie sfałszowanymi wpisami i spowodować jej wysycenie. Sprawi to, że przełącznik zacznie usuwać z tablicy najstarsze wpisy. Ponieważ brak rekordu spowoduje rozgłoszenie ramki na wszystkich portach przełącznika, atakujący w prosty sposób może podsłuchać ruch i zdobyć dostęp do informacji dla niego nieprzeznaczonych. Atakujący może także podszyć się pod autoryzowany host w naszej sieci, podmieniając swój adres MAC, i przekierować ruch na swoje urządzenie. Dodatkowym zabezpieczeniem sieci może być wyspecyfikowanie adresów MAC, z którymi komunikacja przez dany port jest dozwolona. Jedynie ściśle określone urządzenia uzyskają dostęp do naszej sieci. Informacja o innych adresach wykrytych na danym porcie nie zostanie umieszczona w pamięci przełącznika, a więc możliwość przesyłania ramek zostanie zablokowana.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"