Кібербезпека
Клименко М.В.
Черкаський державний технологічний університет,
Україна
Безпека в локальних комп’ютерних
мережах за допомогою комплексного застосування засобів
захисту
Port security - функція комутатора, яка дозволяє вказувати
МАС-адресу хостів, яким дозволено передавати дані через порт. Після
налаштування порт недійшле пакети, якщо
МАС-адреса відправника не вказана як дозволена. Крім того, можна вказати не
конкретні МАС-адреси, дозволені на порту комутатора, а обмежити кількість
МАС-адрес, яким дозволено передавати трафік через порт. Функція
використовується для застереження несанкціонованої зміни МАС-адреси
мережевого пристрою або підключення до мережі, а також атак, спрямованих
на переповнення таблиці комутації [1].
IP Source Guard (Dynamic IP Lockdown) - функція
комутатора, яка обмежує ІР-трафік на інтерфейсах 2-го рівня, фільтруючи його на
основі прив’язок DHCP Snooping і статичних
відповідностей. Функція застосовується для боротьби з IP-Spoofing [2].
Кожний вхідний пакет цією функцією може перевірятися на
відповідність ІР-адреси джерелу адреси з бази DHCP Snooping (ІР-адреса закріплюється за портом комутатора), а
також на відповідність МАС-адреси джерела адресату, отриманому з бази DHCP Snooping.
DHCP Snooping - функція комутатора, призначена для захисту від атак з
використанням протоколу DHCP. Наприклад, атаки з підміною DHCP-серверу в
мережі, або атаки DHCP Starvation, яка змушує DHCP-сервер видати всі існуючі на сервері адреси
зловмиснику. DHCP Snooping реагує тільки на повідомлення DHCP і не може вплинути напряму на трафік користувачів чи
інші протоколи. Деякі функції комутаторів, що не мають відношення до DHCP, можуть виконувати перевірки на основі таблиці
прив’язок DHCP Snooping (DHCP Snooping binding database). В їх числі Dynamic ARP Protection (Inspection) - перевірка ARP- пакетів,
направлена на боротьбу з ARP-spoofing, а також IP Source Guard.
DHCP Snooping дозволяє: захищати клієнтів в мережі від
отримання адреси від неавторизованого DHCP-серверу; регулювати які повідомлення протоколу
DHCP відкидати, а які перенаправляти і на які порти.
Для коректної роботи DHCP Snooping необхідно вказати, які порти комутатора будуть
довіреними (trusted), які - ні (untrusted, ненадійні).
Ненадійні - це порти, до яких підключені клієнти. DHCP-відповіді,
що надходять з цих портів, відкидаються комутатором. Для ненадійних портів
виконується ряд перевірок повідомлень і створюється база даних прив’язки DHCP (DHCP Snooping binding database).
Надійні (trusted) - порти
комутатора, до яких підключений інший комутатор чи DHCP - сервер. DHCP - пакети,
отримані через довірені порти, не відкидаються [3].
Dynamic ARP Inspection (Protection) - функція
комутатора, призначена для захисту від атак з використанням протоколу ARP. Наприклад, атаки ARP-Spoofing, яка дозволяє перехоплювати трафік між вузлами, які
розміщені в межах одного широкомовного домену. Ця функція реагує тільки на
повідомлення протоколу ARP і не може вплинути напряму на трафік користувачів чи
на інші протоколи.
Dynamic ARP Inspection дозволяє захистити клієнтів мережі від атак з
використанням протоколу ARP і регулювати,
які повідомлення протоколу ARP відкидати,
які перенаправляти.
Для правильної роботи Dynamic ARP Inspection необхідно
визначити довірені (trusted) і недовірені (untrusted) порти комутатора.
Недовірені - це порти, до яких підключені клієнти. Для ненадійних портів виконується
ряд перевірок повідомлень ARP.
Довірені - порти комутатора, до яких підключений інший комутатор. Повідомлення
протоколу ARP, отримані з
довірених портів, не відкидаються [4].
Access Control List (списки доступу, ACL) - це набір текстових виразів, які дозволяють або
забороняють певні операції, які виконують мережеві пристрої. Списки доступу є
основним механізмом фільтрації пакетів, зазвичай дозволяють чи забороняють
ІР-пакети, але можуть і заглядати всередину ІР-пакету, продивлятися тип
ІР-пакету, TCP і UDP порти. ACL існують для різних протоколів.
У сучасних мережах користувачам надаються послуги
телебачення IPTV. Для надання multicast-потоку користувачу використовується функція MVR - Multicast Vlan Registration. MVR дозволяє ефективно поширювати multicast-потоки IPTV через мережі
Ethernet рівня 2 та заощаджувати обсяг використання каналів зв’язку, який потребує multicast-трафік [5].
Правила конфігурування MVR напряму залежать від моделі комутатора. Найпоширеніша
проблема, що може виникати під час використання цього функціоналу, полягає в
тому, що в якомусь випадку multicast-потік може піти не до користувача, а від користувача.
Цю уразливість можуть використовувати зловмисники. Крім того, зворотній потік
може виникнути через некоректне налаштування програмного забезпечення зі
сторони користувача мережі. Щоб уникнути цієї проблеми, необхідно розділити
порти комутатора на довірені та недовірені. На довірених портах (тобто тих, до
яких підключені інші комутатори чи сервер multicast-потоку)
прописати команду "mvr
type source". На таких
портах напрям проходження multicast-трафіку не контролюється. На недовірених портах
(тобто портах, до яких підключені користувачі) необхідно прописати команду «mvr type receiver». В цьому випадку порт буде тільки приймати multicast-трафік. Щоб
заборонити користувачу виступати у якості джерела потоку, необхідно обов’язково
прописати команду «ip igmp query-drop». Решта параметрів є індивідуальними, що значно розширює
гнучкість застосування. Формати запису команд і їх підтримка залежить від
комутатору, що використовується в мережі.
Spanning Tree Protocol (STP) - мережевий
протокол (або сімейство мережевих протоколів), призначений для автоматичного
видалення циклів (петель комутації) з топології мережі на канальному рівні у Ethernet-мережах [6].
Не зважаючи на те, що протокол було розроблено саме для управління мережею,
створення додаткових надлишкових з’єднань з метою резервування і підвищення
надійності, його доцільно також застосовувати і для захисту. Під час роботи
комутатори з підтримкою STP обмінюються
спеціальними BPDU-повідомленнями. Деякі абонентські пристрої (найчастіше
це Wi-Fi роутери) через некоректне налаштування, або проблему
самого пристрою, починають відсилати в мережу BPDU-пакети з
повідомленням, що цей пристрій є кореневим пристроєм (root-комутатором). Комутатор, який отримує таке
повідомлення, може, згідно його налаштувань, перебудувати свою топологію і
почати направляти всі пакети не в магістральний порт, а в абонентський. У цьому
випадку можлива втрата керування цілими гілками мережі, а діагностика і
виявлення проблеми займає дуже багато часу і вимагає величезних зусиль. Щоб
уникнути зазначеної проблеми, необхідно блокувати абонентський порт у разі
отримання з нього BPDU-пакетів.
Висновки. У галузі створено достатню кількість дієвих технологій для захисту
локальних мереж. Вимоги безпеки вимагають постійного удосконалення цих
технологій. У конкурентній боротьбі Інтернет-провайдери використовують як
загальновідомі, так і власні стратегії захисту, унеможливлюючи вихід з ладу
мережі чи окремих її ділянок. Для забезпечення безвідмовності та стабільності у
роботі продовжується пошук нових технологій та варіантів розширення можливостей
існуючих систем захисту. Комплексне застосування засобів захисту Port security, IP Source Guard, DHCP Snooping, Dynamic ARP Inspection, Access Control List, Spanning Tree Protocol, з прикладними засобами дозволяє створити максимально
захищену мережу від зламу, хакерських атак та збоїв у роботі обладнання.
Специфічне використання технології STP дозволяє заблокувати зайвий неконтрольований службовий трафік в мережі, тим
самим адміністратор мережі має можливість повністю уникнути непередбачуваних
наслідків та важко діагностувати проблеми під час використання цієї технології.
Література
1.
Port security [Електронний ресурс] // - Режим доступу: http://xgu.ru/wiki/Port_security (09.02.2015 р.).
2.
Wallace K. CCNP Routing
and Switching TSHOOT 300-135 Official Cert Guide / Kevin Wallace, Raymond Lacoste - Published
by Cisco Press, 2014. - 1024 p.
3.
Олифер В. Г. Компьютерные сети.
Принципы, технологии, протоколы / В. Г. Олифер,
Н. А. Олифер. - 4-е изд. - Санкт-Петербург : Питер, 2010. - 944 с.
4.
Dynamic ARP Protection [Електронний ресурс] // - Режим доступу:
http://xgu.ru/wiki/Dynamic_ARP_Protection (09.02.2015 р.).
5.
Абаева Б. К. Вопросы проектирования сетей IPTV / Б. К. Абаева // T-Comm - Телекоммуникации
и Транспорт. - 2010. - №7-2010. - С. 104-106.
6.
Хилл Б. Полный справочник по Cisco / Брайан Хилл. - Москва :
Издательский дом "Вильямс", 2004. - 1079 с.