Cеть предприятия, подключение к Интернет, сетевая безопасность. - презентация

1 Cеть предприятия, подключение к Интернет, сетевая безопасность

2 Темы семинара Ethernet, Ethernet Switch, ARP Безопасность Ethernet VLAN (802.1Q) dot1x (802.1x) Internet Protocol, IP машрутизация NAT Firewall (фильтрация пакетов) Прокси сервер

3 Сеть предприятия Internet

4 Ethernet Для 100Base-TX рабочие пары 1-2 и 3-6 FF:FF:FF:FF:FF:FF - Broadcast MAC address

5 HUB (повторитель) 00:00:00::BB:BB:BB 00:00:00:BB:BB:BB 00:00:00:AA:AA:AA 00:00:00:CC:CC:CC

6 Switch (коммутатор) Ethernet 00:00:00:BB:BB:BB dst 00:00:00:BB:BB:BB src 00:00:00:AA:AA:AA 00:00:00:AA:AA:AA 00:00:00:CC:CC:CC MACPort 00:00:00:BB:BB:BB2 00:00:00:AA:AA:AA :00:00:11:11: :00:00:EE:EE:EE L2 forward table 4 Максимальное кол-во: 8000 Время устаревания: 300 секунд Broadcast Flood Unknown Unicast Flood

7 Атаки и защита на уровне коммутатора Ethernet Loop MAC Spoofing MAC Flooding Нелегитимное подключение к порту

8 Ethernet Loop Проблема: Бесконечный Flood Решение: Spanning Tree (STP) Loopback Detect Bridge Protocol Data Unit

9 Spanning Tree (STP) STP - Spanning Tree (802.1D) RSTP - Rapid Spanning Tree (802.1w) PVST+/VSTP - Per VLAN Spanning Tree Rapid-PVST MSTP - Multiple Spanning Tree (802.1s) STP - 30 сек, RSTP/MSTP - 5 сек Другие протоколы REP - Cisco Resilient Ethernet Protocol EAPS - Ethernet Automatic Protection Switching

10 MAC Spoofing 00:00:00:BB:BB:BB dst 00:00:00:BB:BB:BB src 00:00:00:CC:CC:CC 00:00:00:AA:AA:AA 00:00:00:CC:CC:CC MACPort 00:00:00:BB:BB:BB2 00:00:00:AA:AA:AA1 00:00:00:CC:CC:CC1 L2 forward table dst 00:00:00:BB:BB:BB src 00:00:00:CC:CC:CC Защита: Static Forward Table Port Security

11 Привязывает несколько MAC адресов к порту. Может запомнить новый адрес навсегда, либо разрешить устаревание по timeout`у. При нарушении. Отправить сообщение, выключить порт, ничего не делать. Cisco(config-if)# switchport port-security maximum 3 D-Link# config port_security ports 1-2 admin_state enable max_learning_addr 3 lock_address_mode DeleteOnTimeout

12 MAC Flooding 00:00:00:BB:BB:BB dst 00:00:00:BB:BB:BB src 00:00:00:00:XX:XX 00:00:00:AA:AA:AA 00:00:00:CC:CC:CC MACPort 00:00:00:00:00:011 00:00:00:00:00:021 00:00:00:00:...: :00:00:00:FF:FF1 L2 forward table Защита: Static Forward Table Port Security Забиваем все 8000 записей Unknown Unicast Flood DoS

13 Virtual Local Area Network (VLAN) IEEE 802.1Q Сегментация на уровне Ethernet + Объединение пользователей в LAN по функциональной необходимости, а не по территории + Уязвимости Ethernet локализованы VLAN`ом - Для передачи трафика меду VLAN необходим маршрутизатор Один кабель

14 VLAN 802.1Q 802.1Q увеличивает размер карда на 4 байта. Диапазон VLAN (12 бит) Коммутатор с 802.1Q, принимая пакет, всегда вставляет VLAN тег cisco (config-if)# switchport access vlan 10 cisco (config-if)# switchport trunk allowed vlan 10,30,2,3 d-link$ config vlan vlanid 10 add untagged 1-2 d-link$ config vlan vlanid 10,30 add tagged 24-25

15 Dinamic Host Configuring Protocol (DHCP) DHCP серверов может быть несколько Нелигитимные DHCP сервера Защита: DHCP Snooping Ответ Запрос Ответ

16 DHCP Snooping DHCP ответы только с доверенных портов cisco(config)# dhcp-snooping cisco(config)# dhcp-snooping vlan 25 cisco(config-if)#ip dhcp snooping trust

17 Address Resolution Protocol (ARP) MAC 00:00:00:BB:BB:BB IP ping MAC ? MAC 00:00:00:AA:AA:AA IP MAC 00:00:00:CC:CC:CC IP Компьютер A формирует broadcast запрос WHO HAS Принимают все 3. Отвечает только компьютер B 4. Теперь комьютер A знает MAC для Ответ кешируется на 300 сек Можно посылать ответы без запроса!

18 ARP frame format Wireshark dump

19 ARP Spoofing (Poisoning) MAC 00:00:00:BB:BB:BB IP Ethernet MAC A -> MAC B ARP Reply (MAC A, IP ) MAC 00:00:00:AA:AA:AA IP MAC 00:00:00:CC:CC:CC IP Ethernet MAC A -> MAC C ARP Reply (MAC A, IP ) Ping Уйдёт на MAC A Ping Уйдёт на MAC A

20 ARP Spoofing (Poisoning) Обнаружение: arpwatch Защита: cтатический ARP фильтрация на управляемых коммутаторах IPv6 IPsec DHCP Snooping + ARP Inspection Port Security не защитит !

21 ARP Inspection Если порт ненадёжный: Коммутатор перехватывает все ARP-запросы и ARP-ответы на ненадёжных портах прежде чем перенаправлять их; Коммутатор проверяет соответствие MAC-адреса IP-адресу на ненадёжных портах. Включение cisco(config)# ip arp inspection vlan 1 Настройка доверенного порта: cisco(config)# interface gigabitethernet1/0/1 cisco(config-if)# ip arp inspection trust

22 802.1X (dot1x) Suplicant - устройство которое запрашивает доступ к сети у аутентификатора. На клиенте должно быть ПО реализующее 802.1X Audenticator - устройство контролирующее физический доступ к сети. Proxy между клиентом и сервером аутентификации. Authentication server - аутентификация клиента. Cообщает аутентификатору разрешен ли клиенту доступ к сети.

23 802.1X Indentity Store

24 802.1X Supplicant

25 802.1X PC Supplicant

26 802.1X (dot1x) Режимы: port-based, MAC-based VLAN клиента через RADIUS в 802.1X cisco(config)# radius-server host cisco(config)# radius-server key radiuskey cisco(config)# aaa new-model cisco(config)# aaa authentication dot1x default group radius cisco(config)# dot1x system-auth-control cisco(config)#interface FastEthernet0/1 cisco(config-if)# dot1x port-control auto

27 Internet Protocol (IP) IP адрес - 32 битное число ~]$ ping PING ( ) 56(84) bytes of data. 64 bytes from : icmp_seq=1 ttl=51 time=96.4 ms 64 bytes from : icmp_seq=2 ttl=51 time=95.9 ms Разделяются на "белые" глобально маршрутизируемые и "серые" глобально не маршрутизируемые.

28 IP routing Если IP значит IP Routing Table SubnetInterfacenext-hop /24eth /0eth Компьютеры SubnetInterfacenext-hop /24eth /24eth1- Маршрутизатор Маршрутизация по Destination IP Address!

29 IP Spoofing IP Spoofing - подмена Source IP Address в заголовке IP Подвержен протокол UDP. TCP за счёт двух сторонней направленности практически не поддвержен. Пример вредоносного кода в одном IP пакете: Вирус Helkern, UDP 376 байт. Microsoft SQL Server 2000, 2003 год Защита: - Фильтрация пакетов (Firewall) - DHCP Snooping + IP SourceGuard - Reverse Path Filtering

30 Reverse Path Filtering Есть ли маршрут на адрес IP Source, чтобы доставить пакет обратно? Cisco cisco(config-if)# ip verify unicast source reachable [allow- default] Linux echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter

31 Domain Name System (DNS) Зоны: - Прямая - Обратная ya.ru. IN A in-addr.arpa. IN PTR Обратная и прямая зона независимы!

32 Firewall Фильтрация по IP, TCP / UDP, протоколам уровня приложения,... StateFull Firewall Рекомендуемая политика всё запрещено, разрешено что нужно. Microsoft ISA, Linux netfilter, Cisco ASA, Cisco Router, FreeBSD ipfw, FreeBSD NetGraph

33 Network Address Translation (NAT) Aplication Inspection (FTP, SIP, H.323) Ограничение входящих соединений NAT не Firewall ! Переполнение таблицы трансляций torrent+uTP = ~1000 трансляций Internet Серые IP адреса Один белый IP

34 Microsoft ISA, Squid, Cisco cache engine Возможности: - Прозрачное проксирование - Логирование - Аудентификация - Content Inspection Прокси сервер

35 Спасибо xgu.ru wikipedia.org Cisco Certification Guide Cisco Live Presentation Прошу вопросы