Безопасность сетей на коммутаторах

Для получения неправомочного доступа к коммутируемой локальной сети и передаваемой по ней информации злоумышленники используют уязвимость в защите сети. Успешная борьба с хакерами возможна, когда известны их методы проникновения в сеть.

Один из методов получения неправомочного доступа к передаваемым по сети данным использует широковещательные рассылки протокола CDP, который обнаруживает прямо подключенные устройства Cisco и облегчает создание сети. Протокол CDP по умолчанию настроен на всех портах устройств Cisco (коммутаторах и маршрутизаторах). Рассылки протокола CDP реализуются на 2-ом уровне модели OSI и производятся только внутри локальной сети. Подключившись к локальной сети, хакер может получить информацию об адресах устройств, версии IOS и другую информацию, необходимую для организации атак. Поэтому, несмотря на удобства, предоставляемые протоколом CDP, его рекомендуется отключать (no cdp run - в режиме глобальной конфигурации), если в нем нет острой необходимости.

Для неправомочного получения передаваемой по локальной сети информации хакеры часто организуют атаки на DHCP-серверы. При этом используются атаки истощения ресурсов DHCP-сервера, т.е. доступных для пользователей ІР-адресов, и атаки подмены легального DHCP-сервера ложным. Для истощения ресурсов хакер организует рассылку множества ложных запросов на DHCP-сервер, который выдает адреса виртуальным ложным пользователям, а легальным - адресов не достается. Таким образом, организуется отказ в обслуживании легальных пользователей.

Подмена легального DHCP-сервера ложным (DHCP-спуфинг) обычно реализуется после атаки истощения. Ложный DHCP-сервер начинает раздавать клиентам ложные адреса, в том числе ложный адрес службы доменных имен DNS. Тем самым злоумышленник получает доступ к передаваемой по сети информации.

Для борьбы с атаками на DHCP-серверы проводят отслеживание DHCP-сообщений. Данная функция классифицирует порты коммутатора на надежные (доверенные) и ненадежные. Надежные порты могут получать все виды сообщений (см. раздел 10.3 Часть 1): запросы (DHCP Discover, DHCP Request); предложения (DHCP Offer); подтверждения (DHCP Pack); ненадежные могут только получать запросы и не могут отправлять сообщения сервера DHCP. На рис. 16.5 приведен пример сети, в которой порты F0/1 коммутаторов Sw-A и Sw-B являются надежными, остальные -ненадежные. Следует подчеркнуть, что надежные порты F0/1 коммутаторов лежат на пути к серверу DHCP.

Узел 2 Хакер

Рис. 16.5. Надежные и ненадежные порты коммутатора

Если устройство хакера, подключенное к ненадежному порту и имитирующее ложный DHCP-сервер, отправит пакет с предложением (DHCP Offer), то порт выключается. Для ненадежных портов формируют таблицу привязок устройств, которая задает МАС-адрес и ІР-адрес клиента, номер VLAN, идентификатор порта, что разрешает подключаться к коммутатору только авторизованным пользователям, т.е. фильтровать трафик.

Надежные порты формируются специальным образом. Например, для создания надежного порта F0/1 на коммутаторе Sw-A (рис. 16.5) необходимо запустить функцию отслеживания DHCP:

Sw-A(config)#ip dhcp snooping

Затем указать виртуальные локальные сети, например vlan 10, vlan 20, vlan ЗО

Sw-A(config)#ір dhcp snooping vlan 10,20,30

Затем задать надежные порты, например:

Sw-A(config)#int f0/l

Sw-A(config-if)#ip dhcp snooping trust

Распространенным методом неправомочного доступа к передаваемой по сети информации является атака лавинного переполнения таблицы коммутации. Когда таблица МАС-адресов не заполнена, коммутатор, получив кадр, передает его из всех своих портов, за исключением того, на который кадр был получен (см. раздел 5.5 часть 1). Этим свойством пользуются хакеры, которые «наводняют» сеть сообщениями с ложными адресами источника, адресная таблица коммутации переполняется, и коммутатор начинает работать в режиме концентратора. При этом подключившийся к коммутатору злоумышленник получает возможность анализировать всю информацию, передаваемую по локальной сети. Конфигурирование функции безопасности порта снижает возможность атаки переполнения таблицы коммутации.

Комплекс указанных мер, наряду с функцией безопасности порта, позволяют снизить уязвимость сети.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >