Файл: Практикум по теме Технологии обеспечения безопасности локальных сетей.rtf

Коммутаторы уровня 2 анализируют входящие кадры, принимают решение об их дальнейшей передаче и передают их пунктам назначения на основе МАС-адресов канального уровня модели OSI. Основное преимущество коммутаторов уровня 2 - прозрачность для протоколов верхнего уровня. Так как коммутатор функционирует на втором уровне, ему нет необходимости анализировать информацию верхних уровней модели OSI.

Коммутаторы уровня 3 осуществляют коммутацию и фильтрацию на основе адресов канального (уровень 2) и сетевого (уровень 3) уровней модели OSI. Такие коммутаторы динамически решают, коммутировать (уровень 2) или маршрутизировать (уровень 3) входящий трафик [5]. Коммутаторы 3-го уровня выполняют коммутацию в пределах рабочей группы и маршрутизацию между различными подсетями или виртуальными локальными сетями (VLAN).

.1.2. Обзор коммутаторов D-Link

В настоящее время одним из всемирно известных разработчиков и производителей сетевого и телекоммуникационного оборудования является компания D-Link. Она предлагает широкий набор решений для домашних пользователей, корпоративного сегмента, провайдеров интернет-услуг [25]. Также компания предоставляет решения для учебных заведений. В частности, образовательным учреждением «Нижнетагильский горно-металлургический колледж» было закуплено соответствующее оборудование для выполнения лабораторных работ - типовой комплект лабораторного стенда «Глобальные компьютерные сети». Комплект состоит из трёх маршрутизаторов Cisco 1921, одного коммутатора третьего уровня D-Link DES-3810-28, двух управляемых коммутаторов второго уровня D-Link DES-3200-10, четырёх неуправляемых коммутаторов D-Link DES-1005А, 48-портовой фиксированной коммутационной панели категории 5е, которая позволяет формировать необходимую топологию сети. Лабораторный стенд представлен на рисунке (см. рисунок 2).


Рисунок 2 - Внешний вид лабораторного стенда «Глобальные компьютерные сети»
Рассмотрим подробнее коммутаторы лабораторного стенда, которые будут использоваться при выполнении лабораторных работ.

Коммутатор третьего уровня D-Link DES-3810-28 представлен на рисунке (см. рисунок 3).



Рисунок 3 - Коммутатор третьего уровня D-Link DES-3810-28

---

Коммутаторы третьего уровня серии DES-3810 (Desktop Ethernet Switch), входящие в семейство D-Link xStack, обеспечивают высокую производительность, широкие функциональные возможности, в том числе и уровня 3. Коммутаторы оснащены 24 и 48 портами. Коммутатор DES-3810-28 оснащен 24 портами 10/100 Мбит/с Fast Ethernet и 4 комбо-портами 1000 Base-T/SFP Gigabit Ethernet. Порты Fast Ethernet обеспечивают подключение к другим коммутаторам локальной сети. Комбо-порты обеспечивают гибкое подключение к магистрали сети и центральным коммутаторам.

Коммутаторы серии DES-3810 поддерживают две различные версии программного обеспечения - стандартную версию (SI) и расширенную версию (EI). Стандартная версия поддерживает усовершенствованные функции для построения сетей масштаба кампуса или предприятия, включая расширенные настройки Quality of Service (QoS), ограничение трафика, туннелирование 802.1Q (Q-in-Q), маршрутизацию/ многоадресную рассылку IPv4, Ethernet OAM и различные функции безопасности. Расширенная версия программного обеспечения поддерживает маршрутизацию IPv6, протокол BGP (Border Gateway Protocol) и протокол MPLS (Multi Protocol Label Switching), применяемые в сетях нового поколения с поддержкой IPv6 или для приложений VPN/triple play в сетях Metro Ethernet. Помимо этого, расширенная версия также поддерживает Switch Resource Management (SRM). Эта функция предоставляет пользователям возможность оптимизировать распределение ресурсов коммутатора для решения различных сетевых задач.

Данные коммутаторы серии DES-3810 предназначены для сетей предприятий/кампуса, а также для пользователей, которым требуется высокий уровень сетевой безопасности и максимальная надежность. Коммутатор DES-3810-28 поддерживает подключение внешнего резервного источника питания, обеспечивая таким образом непрерывную работоспособность. Коммутатор также поддерживает функции 802.1D Spanning Tree (STP), 802.1w Rapid Spanning Tree (RSTP) и 802.1s Multiple Spanning Tree (MSTP), Loopback Detection (LBD) и контроль широковещательного шторма, которые увеличивают отказоустойчивость сети. Функция G.8032 Ethernet Ring Protection Switching (ERPS) обеспечивает время переключения менее 50 мс. Для обеспечения распределения нагрузки и резервного копирования данных при использовании нескольких коммутаторов/приложения сервера, серия DES-3810 поддерживает функцию dynamic 802.3ad Link Aggregation Port Trunking.

Коммутатор второго уровня D-Link DES 3200-10 изображен на рисунке (см. рисунок 4).


Рисунок 4 - Коммутатор второго уровня D-Link DES 3200-10

---

Коммутаторы DES-3200 входят в линейку управляемых коммутаторов D-Link 2 уровня серии xStack, предназначенную для сетей Metro Ethernet (ETTX и FTTX) и корпоративных сетей. Коммутаторы оснащены 8/16/24/48 портами 10/100 Мбит/с Fast Ethernet, а также 2/4 комбо-портами Gigabit Ethernet/SFP у аппаратной ревизии А1 или 1 портом 100/1000 SFP + 1 комбо-портом Gigabit Ethernet/SFP / 2 порта 100/1000 SFP + 2 комбо-порта Gigabit Ethernet/SFP у аппаратных ревизий В1 и С1. Коммутаторы DES-3200-10/18 выполнены в корпусе шириной 9 дюймов и оснащены пассивной системой охлаждения, подходящей как для настольного использования, так и для установки в телекоммуникационных и распределительных шкафах.

Коммутаторы серии DES-3200 поддерживают управление доступом 802.1x на основе порта/хоста, гостевой VLAN, а также аутентификацию RADIUS/TACACS/XTACACS/TACACS для управления доступом к самому коммутатору. Функция IP-MAC-Port Binding обеспечивает привязку IP- и МАС-адреса пользователя к определенному номера порта на коммутаторе, запрещая тем самым пользователю самостоятельно менять сетевые настройки. Более того, благодаря функции DHCP Snooping коммутатор автоматически определяет пары IP/MAC-адресов выданных сервером, отслеживая DHCP-пакеты и сохраняя их в «белом» списке IMPB. Эти функции играют важную роль в поддержке безопасности сети. Встроенная функция D-Link Safeguard Engine обеспечивает идентификацию и приоритизацию пакетов, предназначенных для обработки непосредственно процессором коммутатора, с целью предотвращения злонамеренных атак и нейтрализации воздействия паразитного трафика на CPU коммутатора. Помимо этого, DES-3200 поддерживает cписки управления доступом (ACL). Данный функционал предоставляет администраторам возможность ограничить доступ к сетевым сервисам и не оказывает влияния на производительность коммутатора [1].

---

.2. Классификация угроз сетевой безопасности

Сетевая безопасность - это набор требований, предъявляемых к инфраструктуре компьютерной сети предприятия и политикам работы в ней, при выполнении которых обеспечивается защита сетевых ресурсов от несанкционированного доступа.

Под сетевой безопасностью правильно понимать защиту информационной инфраструктуры организации от вторжений злоумышленников извне при помощи аутентификации, авторизации, сетевых экранов, IDS/IPS, VPN и т. д., а также защиту от случайных ошибок персонала или намеренных действий инсайдеров изнутри самой организации (защиту от утечек - DLP) [27].

Проблемы, возникающие с безопасностью передачи информации при работе в компьютерных сетях, представлены ниже (см. рисунок 5).


Рисунок 5 - Проблемы, возникающие с безопасностью передачи информации при работе в компьютерных сетях
Исследования практики функционирования систем обработки данных и вычислительных систем показали, что существует достаточно много возможных направлений утечки информации и путей несанкционированного доступа в системах и сетях, а именно:

‒ чтение остаточной информации в памяти системы после выполнения санкционированных запросов;

‒ копирование носителей информации, файлов информации с преодолением мер защиты;

‒ использование недостатков операционной системы;

‒ незаконное подключение к аппаратному обеспечению и линиям связи;

‒ маскировка под запрос системы;

‒ злоумышленный вывод из строя механизмов защиты;

‒ маскировка под зарегистрированного пользователя;

‒ внедрение и использование компьютерных вирусов;

‒ использование программных ловушек.

Обеспечение безопасности информации в компьютерных сетях достигается комплексом организационных, организационно-технических, технических и программных мер [9].

Цели защиты информации в компьютерных сетях:

) обеспечение целостности (физической и логической) информации;

) предупреждение несанкционированной модификации, несанкционированного получения и размножения информации.

Задачи защиты информации в компьютерных сетях определяются теми угрозами, которые потенциально возможны в процессе их функционирования.

---

Для сетей передачи данных реальную опасность представляют следующие угрозы:

- прослушивание каналов, т. е. запись и последующий анализ всего проходящего потока сообщений. Прослушивание в большинстве случаев не замечается легальными участниками информационного обмена;

- умышленное уничтожение или искажение (фальсификация) проходящих по сети сообщений, а также включение в поток ложных сообщений. Ложные сообщения могут быть восприняты получателем как подлинные;

- присвоение злоумышленником своему узлу или ретранслятору чужого идентификатора, что дает возможность получать или отправлять сообщения от чужого имени;

- преднамеренный разрыв линии связи, что приводит к полному прекращению доставки всех (или только выбранных злоумышленником) сообщений;

- внедрение сетевых вирусов, т. е. передача по сети тела вируса с его последующей активизацией пользователем.

В соответствии с этим, специфические задачи защиты в сетях передачи данных состоят в следующем:

- аутентификация одноуровневых объектов, заключающаяся в подтверждении подлинности одного или нескольких взаимодействующих объектов при обмене информацией между ними;

- контроль доступа, т. е. защита от несанкционированного использования ресурсов сети;

- маскировка данных, циркулирующих в сети;

- контроль и восстановление целостности всех находящихся в сети данных;

- арбитражное обеспечение, т. е. защита от возможных отказов от фактов отправки, приема или содержания отправленных или принятых данных [28].

.3.Возможности коммутаторов D-Link по обеспечению сетевой безопасности

Коммутаторы серии DES-3810 поддерживают такие новейшие функции безопасности (см. рисунок 6), как многоуровневые списки управления доступом (ACL), Storm Control и IP-MAC-Port Binding с DHCP Snooping. Функция IP-MAC-Port Binding обеспечивает привязку IP-адреса источника к соответствующему МАС-адресу для определенного номера порта, способствуя увеличению безопасности доступа. Благодаря функции DHCP Snooping, коммутатор автоматически определяет пары IP/MAC-адресов, отслеживая DHCP-пакеты и сохраняя их в «белом» списке IMPB. Кроме того, функция D-Link Safeguard Engine обеспечивает идентификацию и приоритизацию пакетов, предназначенных для обработки CPU, для предотвращения сетевых атак и защиты управляющего интерфейса коммутатора [8].

---