Файл: Практикум по теме Технологии обеспечения безопасности локальных сетей.rtf

Port Security - функция коммутатора, позволяющая указать MAC-адреса хостов, которым разрешено передавать данные через порт. После этого порт не передает пакеты, если MAC-адрес отправителя не указан как разрешенный. Кроме того, можно указывать не конкретные MAC-адреса, разрешенные на порту коммутатора, а ограничить количество MAC-адресов, которым разрешено передавать трафик через порт. Используется для предотвращения:

- несанкционированной смены MAC-адреса сетевого устройства или подключения к сети;

- атак, направленных на переполнение таблицы коммутации.

Рассмотрим настройку функции Port Security. Параметры данной команды, подлежащие настройке, представлены в таблице (см. таблицу 1).
Таблица 1 Параметры функции Port Security

Параметр	Действие
learn-mode	режим запоминания MAC-адресов; по умолчанию все порты находятся в режиме continuous
action	none ‒ не выполнять никаких действий send-alarm ‒ отправить сообщение о нарушении (SNMP, log) send-disable ‒ отправить сообщение о нарушении и выключить порт
address-limit	максимальное количество MAC-адресов, которое будет разрешено на порту; применяется к режимам static, configured и limited-continuous: - для static и configured значения от 1 до 8; - для limited-continuous ‒ от 1 до 32; по умолчанию для всех режимов разрешен 1 MAC-адрес
mac-address	статическое задание разрешенных MAC-адресов для режимов static и configured
clear-intrusion-flag	очистить intrusion flag для указанных портов; после этого можно включать порт, который выключился из-за нарушения Port Security

Eavesdrop Prevention ‒ функция, запрещающая передавать unicast-пакеты, которые передаются на неизвестные для коммутатора MAC-адреса, на порты, на которых она включена. Это не позволяет неавторизованным пользователям прослушивать трафик, который передается на MAC-адреса, удалённые из таблицы коммутации по таймауту (aged-out).

Eavesdrop Prevention не влияет на multicast и broadcast трафик. Коммутатор передает этот трафик через соответствующие порты, независимо от того, настроена ли на них функция Port Security.

Настройка Port Security автоматически включает на этом интерфейсе Eavesdrop Prevention.

Отмена настройки Port Security выполняется командой:

(config)# no port-security

Включение порта после того, как он был выключен Port Security, то есть после его блокировки:
switch(config)# port-security 10 clear-intrusion-flag(config)# interface 10 enable

Настройка Eavesdrop Prevention

(config)# port-security
eavesdrop-prevention

Рассмотрим настройку функии Port Security с аутентификацией 802.1X. Для этого необходимо настроить Port Security в режиме запоминания port-access:

switch(config)# port-security 10 learn-mode port-access
Затем требуется установить при настройке аутентификации 802.1X режим контроля auto:
switch(config)# aaa port-access authenticator 10 control auto

ort Security и режим контроля аутентификации 802.1X подразумевают следующее:

‒ если аутентификация 802.1X настроена в режиме контроля auto (режим по умолчанию), то коммутатор запоминает MAC-адрес хоста, с которого подключился аутентифицированный пользователь как безопасный;

‒ если аутентификация 802.1X настроена в режиме контроля authorized, то коммутатор запоминает MAC-адрес первого появившегося хоста как безопасный [10].

коммутатор безопасность сеть компьютерный

1.3.2 Функция Access Control List (ACL)

ACL (Access Control List) -списки контроля доступа ‒ обеспечивают ограничение прохождения трафика через коммутатор. Фактически технология ACL реализует на коммутаторах 3-го уровня полноценный фильтр пакетов. Приём пакетов или отказ в приёме основывается на определённых признаках, которые содержит пакет:

- IP- и MAC-адреса источника и приёмника;

- номер VLAN;

- номер порта TCP или UDP;

- тип ICMP-сообщения.

Списки контроля доступа являются средством фильтрации потоков данных без потери производительности, так как проверка содержимого пакетов данных выполняется на аппаратном уровне. Фильтруя потоки данных, администратор может ограничить типы приложений, разрешенных для использования в сети, контролировать доступ пользователей к сети и определять устройства, к которым они будут подключаться. Также ACL могут использоваться для определения политики качества обслуживания (QoS) путем классификации трафика и переопределения его приоритета.представляют собой последовательность условий проверки параметров пакетов данных. Когда сообщения поступают на входной порт, коммутатор проверяет параметры пакетов данных на совпадения с критериями фильтрации, определенными в ACL, и выполняет над пакетами данных одно из действий: Permit (Разрешить) или Deny (Запретить). Критерии фильтрации могут быть определены на основе следующей информации, содержащейся в пакете (см. рисунок 7):

- порт коммутатора;

- MAC/IP адрес;

- тип Ethernet/ тип протокола;

- VLAN;

- 802.1p/DSCP;

- порт TCP/UDP(тип приложения);

- первые 80 байт пакета, включая поле данных.

Рисунок 7 - Условия проверки ACL
Обычно ACL разрешает или запрещает IP-пакеты, но, помимо всего прочего, он может заглядывать внутрь IP-пакета, просматривать тип пакета, TCP и UDP порты. В основном применение списков доступа рассматривают с точки зрения пакетной фильтрации, то есть пакетная фильтрация необходима в тех ситуациях, когда оборудование располагается на границе сети Интернет и частной сети и требуется отфильтровать ненужный трафик.

В этом случае ACL размещаются на входящем направлении и тем самым блокируют избыточные виды трафика.

Функционал ACL состоит в классификации трафика, сначала его нужно проверить, а затем что-то с ним сделать в зависимости от того, куда ACL применяется. Примеры применения списков контроля доступа:

- на интерфейсе: пакетная фильтрация;

- на линии Telnet: ограничение доступа к маршрутизатору;

- VPN: какой трафик нужно шифровать;

- QoS: какой трафик обрабатывать приоритетнее;

- NAT: какие адреса транслировать.

Виды списков контроля доступа

Динамические списки контроля доступа (Dynamic ACL)

Позволяют сделать следующее: например, имеется маршрутизатор, который подключен к какому-то серверу, и требуется закрыть доступ к нему из внешнего мира, но в тоже время есть несколько человек, которые могут подключаться к серверу.

Настраивается динамический список доступа, прикрепляется на входящем направлении, а затем пользователи, которым нужно подключиться, подключатся через Telnet к данному устройству. В результате динамический ACL открывает проход к серверу, и уже человек может зайти через HTTP на сервер. По умолчанию через 10 минут этот проход закрывается, и пользователь вынужден ещё раз выполнить Telnet, чтобы подключиться к устройству.

Рефлексивные списки контроля доступа (Reflexive ACL)

Здесь ситуация немного отличается: когда узел в локальной сети отправляет TCP запрос в Интернет, должен быть открытый проход, чтобы пришел TCP ответ для установки соединения. Если прохода не будет ‒ станет невозможным установить соединение, и этим проходом могут воспользоваться злоумышленники, например, проникнуть в сеть. Рефлексивные ACL работают таким образом, что блокируется полностью доступ (deny any) но формируется ещё один специальный ACL, который может читать параметры пользовательских сессий, сгененированных из локальной сети, и для них открывать проход в deny any. В результате получается, что никто из

сети Интернет не сможет установить соединение, а на сессии, сгенерированные из локальной сети, будут приходить ответы.

Ограничение по времени (Time-based ACL)

Обычный ACL, но с ограничением по времени, позволяет ввести специальное расписание, которое активирует ту или иную запись списка доступа. Можно поступить следующим образом: создать список доступа, в котором запрещается HTTP-соединение в течение рабочего дня, и привязать его к интерфейсу маршрутизатора. В этом случае сотрудники предприятия не смогут получать HTTP-доступ в рабочее время [12].

.3.3 Функция IP-MAC-Port Binding

Функция IP-MAC-Port Binding (IMPB), реализованная в коммутаторах D-link, позволяет контролировать доступ компьютеров в сеть на основе их

IP- и MAC-адресов, а также порта подключения. Администратор может создать записи («белый список»), связывающие IP- и MAC-адреса компьютеров с портами подключения коммутатора. На основе этих записей в случае совпадения всех составляющих клиентские компьютеры будут получать доступ к сети. В этом случае, если при подключении клиента связка IP-MAC-порт будет отличаться от параметров заранее сконфигурированной записи, коммутатор заблокирует MAC-адрес соответствующего узла с занесением его в «черный список» (см. рисунок 8).

Рисунок 8 - Активизированная функция IP-MAC-Port Binding
Функция IP-MAC-Port Binding специально разработана для управления подключением узлов в сетях ETTH (Ethernet-To-The-Home) и офисных сетях. Помимо этого функция IMPB позволяет бороться с атаками типа ARP Spoofing, во время которых злоумышленники перехватывают трафик или обрывают соединение, манипулируя пакетами ARP.

Функция IP-MAC-Port Binding (IMPB) включает три режима работы: ARP mode (установлен по умолчанию), ACL mode и DHCP Snooping (см. таблицу 2).
Таблица 2. Режимы работы функции IMPB

Режим	Действие
ARP mode	Если в пришедшем ARP-пакете связка IP-MAC не совпадает с заданной администратором, то адрес узла будет занесен в таблицу с пометкой «Drop» (Отбрасывать). Если эта связка совпадает, то адрес будет занесен в таблицу коммутации как «Allow» (Разрешить).
ACL mode	Коммутатор на основе предустановленного администратором «белого списка» создает правила ACL. Любой пакет, связка IP-MAC, которого отсутствует в «белом списке» будет блокироваться ACL. Если режим ACL отключен, то правила записей IMPB будут удалены из таблицы ACL.
DHCP Snooping	Коммутатор автоматически создает «белый список» IMPB в таблице коммутации или аппаратной таблице ACL (при включенном режиме ACL mode). При этом для корректной работы сервер DHCP должен быть подключен к доверенному порту с выключенной функцией IMPB.
Strict mode	В этом режиме порт, прежде чем передавать пакеты будет, отправлять их на ЦПУ для проверки совпадения их пары IP-MAC с записями в белом списке. Таким образом, порт не будет передавать пакеты, пока не убедится в их достоверности. Порт проверяет все IP- и ARP-пакеты.
Loose mode	В этом режиме порт по умолчанию открыт, он будет заблокирован, как только через него пройдет первый недостоверный пакет. Порт проверяет только пакеты ARP и IPBroadcast.

На рисунке (см. рисунок 9) показан пример работы функции IP-MAC-Port Binding в режиме ARP. Злоумышленник инициировал атаку типа ARP Spoofing. Коммутатор обнаружил, что на порт 10 приходят пакеты ARP, связка для которых отсутствует в «белом списке» IMPB, и блокирует MAC-адрес узла.

Рисунок 9 - Работа функции IMPB в режиме ARP.

1.3.4. Функция Storm Control

Функция Storm Control ограничивает количество multicast, широковещательных и неизвестных unicast фреймов, которые принимает и перенаправляет устройство.

Для этого выставляются следующие параметры:

- порты, на которых включена функция;

- тип шторма (storm control type), который будет учитываться:

§ Broadcast Storm;

§ Broadcast, Multicast Storm;

§ Broadcast, Multicast, Unknown Unicast Storm;

- действие, которое будет выполняться при обнаружении шторма:

§ Drop отбрасывать пакеты, которые превышают пороговое значение;

§ Shutdown отключить порт, который получает пакеты, распознанные как шторм;

- временной интервал, в течение которого измеряется скорость трафика указанного типа шторма;

- пороговое значение, которое указывает максимальное значение скорости (в kbps), с которой передаются пакеты, распознанные как шторм.