Пазители на Свещения Граал

Всички критични бизнес процеси пряко или опосредствено се оказват зависими от работата на глобалните мрежи. Пропорционално расте и опасността от повреда от вируси, червеи или хакери. Затова самата защитеност на мрежата става задължително условие за продуктивна работа, а системата за защита трябва да обхваща всички нива и да се разпростира върху комутационната архитектура.

През 80-те години на миналия век нови вируси, поразяващи сектора чрез зареждане през дискета, се появяваха периодично един път седмично. Те нанасяха ограничени вреди, тъй като заразени се оказваха само отделни изолирани компютри. С появата в средата на 90-те на Интернет и електронната поща броят на атаките нарасна многократно: почти ежедневно вестникарските заглавия плашеха с нови макровируси и успехи на хакери.

Минаха още 10 години и проблемът придоби характер на епидемия: червеи и троянци могат да поразят корпоративните и правителствените мрежи всяка минута. Спамът — тази лека маскирана разновидност на саботажа — може за известно време да парализира цели корпоративни мрежи. Мошеничеството и икономическият шпионаж се превърнаха в стремително растящ “бизнес”.

В бъдеще надеждите не са много: многообразието, броят и агресивността на атаките само ще растат. Атакувани ще бъдат не само регионално ограничени мрежи, но и глобалната комуникационна инфраструктура. Мрежите страдат от външни атаки, но изследванията показват, че опасността все по-често произхожда отвътре. С други думи, т.нар. “точкови” мерки като защитните стени по границите на мрежата вече не помагат.

Необходима е цялостна концепция за сигурност, която обхваща всички мрежови компоненти. Тя трябва да се простира до магистралата и да се разпространява върху комутаторите в ядрото на мрежата. Опорните комутатори представляват “любима” мишена за атаки, тъй като с помощта на отдалечен достъп до тях може да се промени конфигурацията, да се манипулира управляващата информация или да се предизвика препълване на таблицата за маршрутизация на данни.

Таблиците за пренасочване на данни, наречени също бази данни за преместването или за филтрите, позволяват на комутаторите и мостовете да се “учат”, какви МАС адреси на какъв порт трябва да се обработват.

Стена вместо адресен MAC поток

Мястото за съхранение на подобни таблици е ограничено. Затова в записите за филтрите има тайм-аут: комутаторът може да ги “забрави”. Това ограничение в обема памет се ползва от хакерите: с помощта на голям брой МАС адреси те предизвикват препълване на таблиците и провокират понижаване производителността на мрежата.

Надеждна защита срещу това явление е “защитата на портове” (Port Security): методът ограничава броя МАС адреси, които комутаторът може да “научи” за всеки порт. Ако броят неизвестни адреси се окаже по-голям, то той блокира съответния трафик и по този начин спира атаката.

Управление достъпа до порта МАС- или IP адресът, а също реалното местоположение на потребителя още не гарантират еднозначно идентифициране, тъй като потребителите се регистрират на различи устройства за достъп. Проверката за идентичност и предоставянето на права за достъп до специализирани мрежови ресурси се осъществява в съответствие с протокола 802.1х: той възпрепятства неавторизираните устройства и потребители да получат достъп от общодостъпни портове до локалната мрежа.

Процедурата за автентификация трябва да бъде проведена дотогава, докато бъдат предоставени първите мрежови услуги. Докато тя не е завършена, комутаторът предава само данни, необходими за проверка на легитимността. Базата за автентификацията в съответствие с 802.1х представлява открит протокол за автентификация (Extensible Authentication Protocol, EAP) — той регулира обмена на данни между тези, които изискват права за достъп, и автентификатора.

EAP поддържа различни методи за комуникация, сред които са RADIUS, Kerberos и кодиране с използване на публични ключове. Протоколът изисква от потребителя да въведе свой идентификатор и парола. Потребителските данни и информацията за връзката се пращат на комутатора, а той на свой ред праща запитване към сървъра за автентификация, в повечето случаи — сървъра RADIUS.

Решение за разрешение на достъпа до исканите ресурси се приема на базата на профили. Преимущество на ЕАР е, че потребителските профили с права за достъп могат да се управляват от всяко място в системата, която има поддръжка на централизирано управление.

Така сървърът RADIUS не трябва сам да изпълнява автентификацията, той може да я поръча на Novell eDirectory или Microsoft ADS. Резултатите от RADIUS автентификацията (с помощта на ЕАР) се пращат на комутатора, а той съобщава на крайното устройство за своето съгласие и превключва “светофара на порта на зелено”.

Често в качеството на трамплин за получаване на несанкциониран контрол над чужди мрежи хакерите ползват сървър с протокол за динамична конфигурация на хостове (Dynamic Host Configuration Protocol, DHCP). Този протокол е предназначен за динамично раздаване на IP адреси и конфигурационни параметри, затова новите устройства могат да се включат без продължителна настройка. Благодарение на DHCP администраторът не трябва да конфигурира ръчно работните станции в случай на изменение на топологията. Вместо това е достатъчно да измени съответния файл с параметри в DHCP сървъра.

При спуфинг хакерът прихваща потребителските запитвания към DHCP и връща неправилен адрес (или безсмислена информация за шлюза) от името на DHCP сървъра.

Снупинг срещу спуфинг

На ниво комутатори помощ може да окаже снупинг DHCP (вж. Фиг. 1 ), в съответствие с който обработката на DHCP информацията се делегира на избрани портове — доверени (Trusted Port). Само тези портове могат да пращат или потвърждават получените DHCP заявки. В качеството на доверени се препоръчва използването на портове с пряка връзка към DHCP сървъра или портове за връзка с висшестоящ комутатор.

Това затруднява злоумишлените потребители при предаването на DHCP потвърждения до атакуваните крайни устройства. Освен това, снупингът DHCP предвижда създаване в комутатора на таблицата за връзките: наред с IP- и МАС адресите на клиентите те могат, напр. да включват идентификатори за виртуални локални мрежи (Virtual Local Area Network, VLAN) или портове.

В комбинация с опцията DHCP 82 комутаторът добавя към DHCP пакетите и собствена информация, например физически адрес на порта, от който постъпва заявката. Това превръща снупингът в действен инструмент за блокиране на маскирани нежелани устройства в мрежата.

Динамична проверка ARP

Спуфингът може да бъде реализиран и с други средства: хакер прониква през “дупка” в системата за сигурност в протокола за разрешаване на адреси (Address Resolution Protocol, ARP). С помощта на протокола ARP крайното устройство узнава МАС адреса на устройството, с което трябва да установи връзка. За целта изпращачът праща АRP запитване с IP адреса на получателя, който в отговор изпраща своя МАС адрес.

Тази информация се помества в ARP таблицата. Сега мрежовите устройства могат да взаимодействат едно с друго директно. В случай на атака с нелегален посредник (Man-in-the-Middle) в обмена се намесва още едно крайно устройство и с помощта на фалшиви ARP отговори манипулира таблиците ARP на изпраща и получателя. Всеки последващ обмен на данни става през това междинно устройство.

По този начин той успява да следи трафика между подател и получател, за да прихваща пароли, електронна поща или банкови транзакции. Комутаторите се борят с такива действия с помощта на динамична ARP проверка (Dynamic ARP Inspection, DAI). Като в случая с DHCP снупинга, DAI прави разлика между портове, заслужаващи доверие, и портове, които не са “достойни” за него.

Ако ARP пакетът постъпва през ненадежден порт, по базата данни, съставена на основание информацията за DHCP снупинга, DAI проверява правилността на съответствието на МАС и IP адресите. IP адресът на Иван Иванов напр. е 172.20.24.45, МАС адресът — 00аа.0062.с609, а той е включен през ненадежден порт Ethernet 3/47. Снупингът DHCP регистрира тази информация. Ако Иван Иванов изпрати ARP заявка през порт номер 3/47, то комутаторът ще съпостави МАС адреса и съответстващият му IP адрес в пакета и в таблицата. Ако няма съответствие, пакетът се отхвърля и опитът за спуфинг се проваля.

Освен това с помощта на функцията за защита на изпращача IP Source Guard комутаторът може да контролира действително ли на единия порт е активно само едно устройство с IP адрес, зададен DHCP сървъра. Посредством автоматично създавани списъци за управление на достъпа до портовете (Port Access Control List, PALC) той допуска входящ и изходящ трафик само от този IP адрес, а необходимата за съставянето на PACL информация се събира чрез DHCP снупинг.

Това предотвратява проследяването на IP адреси и тяхното незаконно използване на други портове. Освен това опасност представлява поделяне на управляващата информация, например блокове от данни на “мостовия” протокол мостов (Bridge Protocol Data Unit, BPDU).

Обикновено всеки порт на комутатора приема всеки коректен BPDU. С тяхна помощ хакери могат да блокират трафик в мрежата, например, постоянно да заставят комутаторите да изчисляват топологията. Освен това трафикът може да се пренасочи по лъжлив маршрут с цел неговото подслушване. Всичко това се предотвратява с т.нар. Root Guard: тази функция определя какви портове никога не могат да бъдат “коренови” (root).

Централните процесори на комутаторите трябва да се справят с обработката на трафика при атака. Това предполага още едно ниво на защита: количеството на предаваните за обработка за единица време пакети трябва да бъде ограничено. Т.нар. ограничение на скоростта на функциониране на управлението предотвратява например блокиране на изчислителната мощност на процесора вследствие получаване на поделена управляваща информация, която с голяма вероятност не съответства на реалния трафик.

Администраторът трябва да деактивира трънкинга за всички нетрънкинг портове. Така VLAN трънкинг изпраща информация през кръга Gigabit Ethernet от комутатор до комутатор до точката на обединяване (агрегиране), където данните се филтрират с помощта на списъци за контрол на достъпа (Access Control List, ACL). Освен това много полезен може да бъде списъкът с неизползвани портове към виртуалната мрежа без връзка от трето ниво или — още по-добре— деактивирането им.

Частни виртуални мрежи

Виртуалните локални мрежи като средство за разделяне на трафика са недостатъчни. VLAN подобряват ситуацията, доколкото те позволяват диференциране на комуникациите в пределите на виртуалните мрежи. При това изолираните VLAN портове могат да общуват само с портове, приемащи всички пакети, а груповите портове, напротив, — само с други членове на същата група, а също с портове, приемащи всички пакети. Такова разделяне предотвратява разпространението на атаки към ресурси във виртуалната мрежа.

Фиг. 1. DHCP снупинг позволява разпознаване на атаки, базиращи се на DHCP, а също грешна конфигурация на отдалечение маршрутизатори.

Последни новини

• Двуобхватен маршрутизатор от новата серия amplifi обяви D-Link
• D-Link вдига HD оборотите с нов двулентов високопроизводителен рутер DIR-857
• Мултимедийните системи Aastra 400 обслужват комуникациите на СМБ
• Aastra обявява виртуализирана мултимедийна централа
• Vivacom обяви нови двойни пакети, подсилващи фиксираната телефония.

Активни теми във форума

• » Супер Боб
• » въпрос:Как да изградя мрежа
• » Закони за успех във високите доходи.
• » Сайт за гледане на онлайн телевизия
• » Ето едно саийче, за пари!