RSS
 

Защита сетей штатными средствами

08 Сен

protect-netДля защиты периметра сети существуем много аппаратно-программных средств, таких как межсетевые экраны и разного рода фаэрволы. Но, как известно, подавляющее большинство утечки информации или поломок в работе сети вызвано не из-за внешних воздействий, а из-за дырок внутри самой сети. Какие дырки могут быть, если сеть нормально настроена и функционирует? Разнообразные, скажу я вам. Сеть будет нормально работать до тех пор, пока не будут задействованы нестандартные способы воздействия на нее. Например, включение маленького коммутатора в сетевую розетку, которое может вызвать падение сети, если не настроен или неправильно настроен stp; включение dhcp-сервера, который будет раздавать свои адреса или исчерпает пул правильных адресов, что приведет к невозможности подключения клиентов и т.д. Перечислять все возможные способы вмешаться в нормальную работу сети можно долго. Здесь мы с вами рассмотрим некоторые очень простые, но, тем не менее, очень действенные способы защиты от подобных воздействий на сеть. Отмечу, что все они реализованы почти на всех умных коммутаторах, что позволяет настроить безопасность сети штатными средствами, не тратясь на дорогое дополнительное оборудование или софт. Пример буду наводить для IOS (Cisco)

Storm control (broadcast supression)

Технология разрешает установить предельную нагрузку бродкаста на порт коммутатора. Если в сети появился злоумышленник или где-то сломалась сетевая карта и начинает атаковать сеть, то это всегда можно ограничить. Пример.

Switch.1028-2(config)#int fastEthernet 0/46
Switch.1028-2(config-if)#storm-control broadcast level 70
Switch.1028-2(config-if)#storm-control action trap

Устанавливаем уровень бродкаста 70% (можно установить абсолютное значение в битах за секунду или пакетах за секунду) и указываем отсылать трапы. Или такой вариант.

Switch.1028-2(config)#int fastEthernet 0/46
Switch.1028-2(config-if)#storm-control broadcast level 90
Switch.1028-2(config-if)#storm-control action shutdown

Устанавливаем максимальный уровень бродкаста 90% и закрываем порт при пересечении данного значения.

Кроме того, можно установить максимальный уровень не только бродкаста, но и мультикаста, и юникаста. Впрочем, это делается редко – если коммутатор настроен на трансляцию потокового видео и его ресурсов недостаточно для передачи основных данных.

Access control list (acl)

Данная технология разрешает на коммутаторах третьего уровня разграничить доступ к подсетям или из подсетей, а также настроить на коммутаторах второго уровня доступ на менеджмент по ssh или telnet. Пример для настройки менеджмента из админской сети.

Switch.1028-2(config)#access-list 10 permit 10.100.0.0 0.0.255.255
Switch.1028-2(config)#line vty 0 4
Switch.1028-2(config-line)#access-class 10 in

Из терминала vty указываем, что на вход данного терминала можно подключаться только из сети 10.100.0.0/16. Таким образом, не из админской сети к вашему коммутатору вход будет невозможным. Это обезопасит вас от попыток несанкционированного доступа к оборудованию других пользователей сети.

Будьте осторожны со списками контроля доступа. На своей практике я видел, как не до конца продуманные алгоритмы заставляли перезагружать удаленное оборудование или вообще сбрасывать в дефолт конфиг.

Port security

Технология разрешает контролировать подключение сторонних устройств к сети с помощью mac адресов. Можно вручную указать mac адрес машины, которая имеет право подключаться к порту коммутатора. Делается это так.

Switch.1028-2(config)#int fastEthernet 0/46
Switch.1028-2(config-if)#switchport port-security mac-address H.H.H

Где H.H.H – 48-битное значение mac адреса.

Такой вариант очень неудобный по причине того, что сеть абсолютно перестает быть мобильной. И если она большая, то администрировать все изменения очень трудозатратно. Более того, подделка mac адреса сейчас не составляет вообще проблем. Поэтому, есть второй вариант использования этой технологии.

Switch.1028-2(config-if)#switchport port-security maximum 1
Switch.1028-2(config-if)#switchport port-security violation restrict
Switch.1028-2(config-if)#switchport port-security aging time 1
Switch.1028-2(config-if)#switchport port-security aging type inactivity

Здесь мы устанавливаем максимальное значение количества mac адресов, которое может быть подключено к порту за определенное время. Если у нас обычная рабочая станция, то нам не нужно указывать значение больше 1. Так мы и делаем.

Дальше говорим, что при нарушении правила нужно не закрывать порт, а отсекать все действия с этого mac адреса.

Потом указываем собственно то время, на протяжении которого информация об источнике устаревает и можно подключить другое устройство не нарушив правило. У нас это значение равно 1 минуте.

Ну, и последняя команда указывает в каком случае устаревает информация об источнике. В нашем случае, если он был неактивен. Если мы хотим, чтобы каждую минуту информация об источнике обновлялась независимо от его активности, то нужно использовать значение absolute. Например,

Switch.1028-2(config-if)#switchport port-security aging type absolute

BPDU guard

Технология защитит вас от создания логических колец в вашей сети. Для ее активации необходимо включить протокол stp на коммутаторе. При определении рута в сети, как известно, отсылаются служебные пакеты bpdu. Если рут уже определен, то что помешает перестроить топологию сети включив в нее еще одно устройство с самым маленьким приоритетом? Если так сделать, то сеть начнет перестраиваться и рутом может оказаться совсем слабенькая железка, которая просто не вытянет работу сети и сеть рухнет. Предотвратить это можно, если указать на портах коммутаторов доступа bpduguard.  Итак.

Switch.1028-2(config)#int fastEthernet 0/46
Switch.1028-2(config-if)#spanning-tree bpduguard enable

После попытки подключения к порту устройства, которое отсылает bpdu, этот порт заблокируется, таким образом, оставив топологию сети неизменной.

Но, если вы уверены, что к порту не будут подключаться подобные устройства, то ему можно приказать сразу форвардить пакеты без изучения топологии. При этом само устройство вас предупредит о возможных последствиях таких действий. Делается такой командой.

Switch.1028-2(config)#int fastEthernet 0/46
Switch.1028-2(config-if)#spanning-tree portfast

Защита магистральных соединений

В коммутаторах Cisco существуют бреши в безопасности, связанные с базами даных VLAN. Поскольку по-умолчанию в коммутаторах стоит автосогласование магистрального соединения, то при желании нарушитель может подключиться к порту коммутатора и попытаться сделать согласование магистрального соединения (trunk). Это может наделать много проблем. Одна из них та, что злоумышленнык может в ключить серверный режим VTP на своем коммутаторе и обновлять базы данных VLAN во всей сети. Другая проблема та, что через магистральное соединение есть доступ ко всем VLAN сети, что дает возможность читать абсолютно всю сеть. Какие есть способы предотвращения таких ситуаций?

1. Закрывать административно неиспользуемые порты

Switch.1028-2(config)#int fastEthernet 0/46
Switch.1028-2(config-if)#shutdown

2. Выключение автосогласования магистрального (транкового) соединения на портах

Switch.1028-2(config)#int fastEthernet 0/46
Switch.1028-2(config-if)#switchport nonegotiate

или ручная (статическая) настройка портов в режим доступа

Switch.1028-2(config-if)#switchport mode access

3. Назначение порта в неиспользуемую сеть.

Switch.1028-2(config)#int fastEthernet 0/46
Switch.1028-2(config-if)#switchport access vlan 4094

4. Включение прозрачного режима vtp на коммутаторе

Switch.1028-2(config)#vtp mode transparent

5. Настройка vtp пароля

Switch.1028-2(config)#vtp password PASSWORD

6. Настройка технологии отсечения трафика по технологии vtp

Switch.1028-2(config)#vtp pruning

Понятное дело, можно группировать и комбинировать все вышеприведенные способы защиты. Это уже специфика каждой отдельной сети. На более мощных сетевых устройствах можно реализовать функции предотвращения IP-спуфинга, ARP-спуфинга и DHCP-спуфинга. Что это и как с ним бороться, мы рассмотрим в следующих статьях.

Удачи!

 

Комментарии facebook

Комментарии vkontakte

Нет комментариев

Опубликовано в Сети

 

Теги:

Оставить комментарий