Cеть предприятия, подключение к Интернет, сетевая безопасность

Темы семинара Ethernet, Ethernet Switch, ARP Безопасность Ethernet VLAN (802.1Q) dot1x (802.1x) Internet Protocol, IP машрутизация NAT Firewall (фильтрация пакетов) Прокси сервер

Сеть предприятия Internet

Ethernet Для 100Base-TX рабочие пары 1-2 и 3-6 FF:FF:FF:FF:FF:FF - Broadcast MAC address

HUB (повторитель) 00:00:00::BB:BB:BB 00:00:00:BB:BB:BB 00:00:00:AA:AA:AA 00:00:00:CC:CC:CC

Switch (коммутатор) Ethernet 00:00:00:BB:BB:BB dst 00:00:00:BB:BB:BB src 00:00:00:AA:AA:AA 00:00:00:AA:AA:AA 00:00:00:CC:CC:CC MACPort 00:00:00:BB:BB:BB2 00:00:00:AA:AA:AA :00:00:11:11: :00:00:EE:EE:EE L2 forward table 4 Максимальное кол-во: 8000 Время устаревания: 300 секунд Broadcast Flood Unknown Unicast Flood

Атаки и защита на уровне коммутатора Ethernet Loop MAC Spoofing MAC Flooding Нелегитимное подключение к порту

Ethernet Loop Проблема: Бесконечный Flood Решение: Spanning Tree (STP) Loopback Detect Bridge Protocol Data Unit

Spanning Tree (STP) STP - Spanning Tree (802.1D) RSTP - Rapid Spanning Tree (802.1w) PVST+/VSTP - Per VLAN Spanning Tree Rapid-PVST MSTP - Multiple Spanning Tree (802.1s) STP - 30 сек, RSTP/MSTP - 5 сек Другие протоколы REP - Cisco Resilient Ethernet Protocol EAPS - Ethernet Automatic Protection Switching

MAC Spoofing 00:00:00:BB:BB:BB dst 00:00:00:BB:BB:BB src 00:00:00:CC:CC:CC 00:00:00:AA:AA:AA 00:00:00:CC:CC:CC MACPort 00:00:00:BB:BB:BB2 00:00:00:AA:AA:AA1 00:00:00:CC:CC:CC1 L2 forward table dst 00:00:00:BB:BB:BB src 00:00:00:CC:CC:CC Защита: Static Forward Table Port Security

Привязывает несколько MAC адресов к порту. Может запомнить новый адрес навсегда, либо разрешить устаревание по timeout`у. При нарушении. Отправить сообщение, выключить порт, ничего не делать. Cisco(config-if)# switchport port-security maximum 3 D-Link# config port_security ports 1-2 admin_state enable max_learning_addr 3 lock_address_mode DeleteOnTimeout

MAC Flooding 00:00:00:BB:BB:BB dst 00:00:00:BB:BB:BB src 00:00:00:00:XX:XX 00:00:00:AA:AA:AA 00:00:00:CC:CC:CC MACPort 00:00:00:00:00:011 00:00:00:00:00:021 00:00:00:00:...: :00:00:00:FF:FF1 L2 forward table Защита: Static Forward Table Port Security Забиваем все 8000 записей Unknown Unicast Flood DoS

Virtual Local Area Network (VLAN) IEEE 802.1Q Сегментация на уровне Ethernet + Объединение пользователей в LAN по функциональной необходимости, а не по территории + Уязвимости Ethernet локализованы VLAN`ом - Для передачи трафика меду VLAN необходим маршрутизатор Один кабель

VLAN 802.1Q 802.1Q увеличивает размер карда на 4 байта. Диапазон VLAN (12 бит) Коммутатор с 802.1Q, принимая пакет, всегда вставляет VLAN тег cisco (config-if)# switchport access vlan 10 cisco (config-if)# switchport trunk allowed vlan 10,30,2,3 d-link$ config vlan vlanid 10 add untagged 1-2 d-link$ config vlan vlanid 10,30 add tagged 24-25

Dinamic Host Configuring Protocol (DHCP) DHCP серверов может быть несколько Нелигитимные DHCP сервера Защита: DHCP Snooping Ответ Запрос Ответ

DHCP Snooping DHCP ответы только с доверенных портов cisco(config)# dhcp-snooping cisco(config)# dhcp-snooping vlan 25 cisco(config-if)#ip dhcp snooping trust

Address Resolution Protocol (ARP) MAC 00:00:00:BB:BB:BB IP ping MAC ? MAC 00:00:00:AA:AA:AA IP MAC 00:00:00:CC:CC:CC IP Компьютер A формирует broadcast запрос WHO HAS Принимают все 3. Отвечает только компьютер B 4. Теперь комьютер A знает MAC для Ответ кешируется на 300 сек Можно посылать ответы без запроса!

ARP frame format Wireshark dump

ARP Spoofing (Poisoning) MAC 00:00:00:BB:BB:BB IP Ethernet MAC A -> MAC B ARP Reply (MAC A, IP ) MAC 00:00:00:AA:AA:AA IP MAC 00:00:00:CC:CC:CC IP Ethernet MAC A -> MAC C ARP Reply (MAC A, IP ) Ping Уйдёт на MAC A Ping Уйдёт на MAC A

ARP Spoofing (Poisoning) Обнаружение: arpwatch Защита: cтатический ARP фильтрация на управляемых коммутаторах IPv6 IPsec DHCP Snooping + ARP Inspection Port Security не защитит !

ARP Inspection Если порт ненадёжный: Коммутатор перехватывает все ARP-запросы и ARP-ответы на ненадёжных портах прежде чем перенаправлять их; Коммутатор проверяет соответствие MAC-адреса IP-адресу на ненадёжных портах. Включение cisco(config)# ip arp inspection vlan 1 Настройка доверенного порта: cisco(config)# interface gigabitethernet1/0/1 cisco(config-if)# ip arp inspection trust

802.1X (dot1x) Suplicant - устройство которое запрашивает доступ к сети у аутентификатора. На клиенте должно быть ПО реализующее 802.1X Audenticator - устройство контролирующее физический доступ к сети. Proxy между клиентом и сервером аутентификации. Authentication server - аутентификация клиента. Cообщает аутентификатору разрешен ли клиенту доступ к сети.

802.1X Indentity Store

802.1X Supplicant

802.1X PC Supplicant

802.1X (dot1x) Режимы: port-based, MAC-based VLAN клиента через RADIUS в 802.1X cisco(config)# radius-server host cisco(config)# radius-server key radiuskey cisco(config)# aaa new-model cisco(config)# aaa authentication dot1x default group radius cisco(config)# dot1x system-auth-control cisco(config)#interface FastEthernet0/1 cisco(config-if)# dot1x port-control auto

Internet Protocol (IP) IP адрес - 32 битное число ~]$ ping PING ( ) 56(84) bytes of data. 64 bytes from : icmp_seq=1 ttl=51 time=96.4 ms 64 bytes from : icmp_seq=2 ttl=51 time=95.9 ms Разделяются на "белые" глобально маршрутизируемые и "серые" глобально не маршрутизируемые.

IP routing Если IP значит IP Routing Table SubnetInterfacenext-hop /24eth /0eth Компьютеры SubnetInterfacenext-hop /24eth /24eth1- Маршрутизатор Маршрутизация по Destination IP Address!

IP Spoofing IP Spoofing - подмена Source IP Address в заголовке IP Подвержен протокол UDP. TCP за счёт двух сторонней направленности практически не поддвержен. Пример вредоносного кода в одном IP пакете: Вирус Helkern, UDP 376 байт. Microsoft SQL Server 2000, 2003 год Защита: - Фильтрация пакетов (Firewall) - DHCP Snooping + IP SourceGuard - Reverse Path Filtering

Reverse Path Filtering Есть ли маршрут на адрес IP Source, чтобы доставить пакет обратно? Cisco cisco(config-if)# ip verify unicast source reachable [allow- default] Linux echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter

Domain Name System (DNS) Зоны: - Прямая - Обратная ya.ru. IN A in-addr.arpa. IN PTR Обратная и прямая зона независимы!

Firewall Фильтрация по IP, TCP / UDP, протоколам уровня приложения,... StateFull Firewall Рекомендуемая политика всё запрещено, разрешено что нужно. Microsoft ISA, Linux netfilter, Cisco ASA, Cisco Router, FreeBSD ipfw, FreeBSD NetGraph

Network Address Translation (NAT) Aplication Inspection (FTP, SIP, H.323) Ограничение входящих соединений NAT не Firewall ! Переполнение таблицы трансляций torrent+uTP = ~1000 трансляций Internet Серые IP адреса Один белый IP

Microsoft ISA, Squid, Cisco cache engine Возможности: - Прозрачное проксирование - Логирование - Аудентификация - Content Inspection Прокси сервер

Спасибо xgu.ru wikipedia.org Cisco Certification Guide Cisco Live Presentation Прошу вопросы