30519

Технологии обеспечения безопасности корпоративной сети с использованием оборудования 2-го уровня модели OSI

Доклад

Математика и математический анализ

VLN Virtul Loclre Network – это одна из функций Fst Ethernet. VLN позволяет изменять конфигурацию сети объединять пользователей в отдельные рабочие группы определять доступные сегменты для отдельно взятого порта. VLN дает возможность значительно оптимизировать работу локальной сети за счет разгрузки отдельных ее сегментов от лишнего трафика. С помощью VLN можно еще контролировать и эффективно подавлять широковещательные штормы которые в больших сетях иногда останавливают работу целых сегментов.

Русский

2013-08-24

228.33 KB

4 чел.

53. Технологии обеспечения безопасности корпоративной сети с использованием оборудования 2-го уровня модели OSI.

Доска: 

Выступление: 

Оборудование второго уровня
Канальный уровень обеспечивает функциональный и процедурный способы передачи данных между двумя точками.

Существует пять основных функций, за которые отвечает канальный уровень. 
Управление логической связью 
Осуществление сетевого доступа и обнаружение конфликтов 
Кадрирование данных 
Адресация 
Обнаружение ошибок


На этом уровне работают коммутаторы, мосты.

VLAN (Virtual Local-Area Network) – это одна из функций Fast Ethernet. VLAN позволяет изменять конфигурацию сети, объединять пользователей в отдельные рабочие группы, определять доступные сегменты для отдельно взятого порта. VLAN дает возможность значительно оптимизировать работу локальной сети за счет разгрузки отдельных ее сегментов от "лишнего" трафика. С помощью VLAN можно еще контролировать и эффективно подавлять широковещательные штормы, которые в больших сетях иногда останавливают работу целых сегментов. Несомненным плюсом VLAN является еще и то, что эта функция способна объединять нескольких портов (до 4) в один единый канал (называется транк), скорость работы которого увеличивается пропорционально количеству объединенных портов. С помощью технологии VLAN обычно создаются рабочие группы. Пользователи одной рабочей группы не могут получить доступ к данным другой группы, потому что каждая VLAN – это закрытая и логически определенная группа. VLAN имеет большое значение с точки зрения безопасности, в частности как средство борьбы с ARP-spoofing'ом.

VLAN'ы могут быть настроены на коммутаторах, маршрутизаторах, других сетевых устройствах и на хостах.

Как правило, одному VLAN соответствует одна подсеть. Устройства, находящиеся в разных VLAN, будут находиться в разных подсетях. Но в то же время VLAN не привязан к местоположению устройств и поэтому устройства, находящиеся на расстоянии друг от друга, все равно могут быть в одном VLAN независимо от местоположения

Каждый VLAN — это отдельный широковещательный домен. Например, коммутатор — это устройство 2 уровня модели OSI. Все порты на коммутаторе, где нет VLANов, находятся в одном широковещательном домене. Создание VLAN на коммутаторе означает разбиение коммутатора на несколько широковещательных доменов. Если один и тот же VLAN есть на разных коммутаторах, то порты разных коммутаторов будут образовывать один широковещательный домен.

Когда сеть разбита на VLAN, упрощается задача применения политик и правил безопасности. С VLAN политики можно применять к целым подсетям, а не к отдельному устройству. Кроме того, переход из одного VLAN в другой предполагает прохождение через устройство 3 уровня, на котором, как правило, применяются политики разрешающие или запрещающие доступ из VLAN в VLAN.

Port security — функция коммутатора, позволяющая указать MAC-адреса хостов, которым разрешено передавать данные через порт. После этого порт не передает пакеты, если MAC-адрес отправителя не указан как разрешенный. Кроме того, можно указывать не конкретные MAC-адреса, разрешенные на порту коммутатора, а ограничить количество MAC-адресов, которым разрешено передавать трафик через порт.

Используется для предотвращения:

  1.  несанкционированной смены MAC-адреса сетевого устройства или подключения к сети,
  2.  атак направленных на переполнение таблицы коммутации.

Port security на коммутаторах Cisco

Безопасные MAC-адреса

Коммутатор поддерживает такие типы безопасных MAC-адресов:

  1.  Статические MAC-адреса:
  2.  задаются статически командой switchport port-security mac-address mac-address в режиме настройки интерфейса,
  3.  хранятся в таблице адресов,
  4.  добавляются в текущую конфигурацию коммутатора;
  5.  Динамические MAC-адреса:
  6.  динамически выучиваются,
  7.  хранятся только в таблице адресов,
  8.  удаляются при перезагрузке коммутатора;
  9.  Sticky MAC-адреса:
  10.  могут быть статически настроены или динамически выучены,
  11.  хранятся в таблице адресов,
  12.  добавляются в текущую конфигурацию коммутатора. Если эти адреса сохранены в конфигурационном файле, после перезагрузки коммутатора, их не надо заново перенастраивать.

Режимы реагирования на нарушения безопасности

Нарушением безопасности для port security считаются ситуации:

  1.  максимальное количество безопасных MAC-адресов было добавлено в таблицу адресов и хост, чей MAC-адрес не записан в таблице адресов пытается получить доступ через интерфейс,
  2.  адрес, выученный или настроенный как безопасный на одном интерфейсе, появился на другом безопасном интерфейсе в том же VLAN'е.

На интерфейсе могут быть настроены такие режимы реагирования на нарушения безопасности:

  1.  protect — когда количество безопасных MAC-адресов достигает максимального ограничения настроенного на порту, пакеты с неизвестным MAC-адресом отправителя отбрасываются до тех пор, пока не будет удалено достаточное количество безопасных MAC-адресов, чтобы их количество было меньше максимального значения, или увеличено максимальное количество разрешенных адресов. Оповещения о нарушении безопасности нет.
  2.  restrict — когда количество безопасных MAC-адресов достигает максимального ограничения настроенного на порту, пакеты с неизвестным MAC-адресом отправителя отбрасываются до тех пор, пока не будет удалено достаточное количество безопасных MAC-адресов, чтобы их количество было меньше максимального значения, или увеличено максимальное количество разрешенных адресов. В этом режиме при нарушении безопасности отправляется оповещение — отправляется SNMP trap, сообщение syslog и увеличивается счетчик нарушений (violation counter).

shutdown — нарушение безопасности приводит к тому, что интерфейс переводится в состояние error-disabled и выключается немедленно, и выключается LED порта. Отправляется SNMP trap, сообщение syslog и увеличивается счетчик нарушений (violation counter). Когда порт в состоянии error-disabled, вывести из этого состояния его можно введя команду errdisable recovery cause psecure-violation или вручную включить интерфейс введя в режиме настройки интерфейса shutdown и no shutdown. Это режим по умолчанию.

Дополнительная часть.

Уровень 2 - Канальный уровень (data link layer) определяет электрические, процедурные и функциональные спецификации для активизации, поддержки и отключения физических каналов между конечными системами. Спецификациями физического уровня определяются уровни напряжений, синхронизация изменений напряжения, физическая скорость передачи данных, максимальная скорость передачи, физические соединения и другие аналогичные параметры.

Для того чтобы передавать фреймы, коммутатор использует таблицу коммутации. Изначально, после включения коммутатора таблица пуста. Заполняет её коммутатор автоматически, при получении фреймов от хостов. Когда коммутатор получает фрейм от хоста, он сначала передает его в соответствии со своими правилами (описаны ниже), а затем запоминает MAC-адрес отправителя во фрейме и ставит его в соответствие порту на котором он был получен.

Широковещательный шторм - лавина широковещательных пакетов. Размножение некорректно сформированных широковещательных сообщений в каждом узле приводит к экспоненциальному росту их числа и парализует работу сети. Обычно такие пакеты используются сетевыми сервисами для оповещения станций о своем присутствии. Считается нормальным, если широковещательные пакеты составляют около 10% от общего числа пакетов в сети.

VLAN Trunking Protocol (VTP) — проприетарный протокол компании Cisco Systems, предназначенный для создания, удаления и переименования VLANов на сетевых устройствах. Передавать информацию о том, какой порт находится в каком VLANе, он не может.

ARP-spoofing (ARP-poisoning) — техника сетевой атаки, применяемая преимущественно в Ethernet, но возможная и в других, использующих протокол ARP, сетях, основанная на использовании недостатков протокола ARP и позволяющая перехватывать трафик между узлами, которые расположены в пределах одного широковещательного домена. Относится к числу spoofing-атак.

Рассматривая свойства второго уровня модели OSI и его классическое определение, увидим, что данному уровню принадлежит основная доля коммутирующих свойств. 

Определение. 
Канальный уровень (формально называемый информационно-канальным уровнем) обеспечивает надежный транзит данных через физический канал. Канальный уровень решает вопросы физической адресации (в противоположность сетевой или логической адресации), топологии сети, линейной дисциплины (каким образом конечной системе использовать сетевой канал), уведомления о неисправностях, упорядоченной доставки блоков данных и управления потоком информации.

На самом деле, определяемая канальным уровнем модели OSI функциональность служит платформой для некоторых из сегодняшних наиболее эффективных технологий. Большое значение функциональности второго уровня подчеркивает тот факт, что производители оборудования продолжают вкладывать значительные средства в разработку устройств с такими функциями.

С технологической точки зрения, коммутатор локальных сетей представляет собой устройство, основное назначение которого - максимальное ускорение передачи данных за счет параллельно существующих потоков между узлами сети. В этом - его главное отличие от других традиционных устройств локальных сетей – концентраторов (Hub), предоставляющих всем потокам данных сети всего один канал передачи данных.

Коммутатор позволяет передавать параллельно несколько потоков данных c максимально возможной для каждого потока скоростью. Эта скорость ограничена физической спецификацией протокола, которую также часто называют "скоростью провода". Это возможно благодаря наличию в коммутаторе большого числа центров обработки и продвижения кадров и шин передачи данных.

Коммутаторы локальных сетей в своем основном варианте, ставшем классическим уже с начала 90-х годов, работают на втором уровне модели OSI, применяя свою высокопроизводительную параллельную архитектуру для продвижения кадров канальных протоколов. Другими словами, ими выполняются алгоритмы работы моста, описанные в стандартах 
IEEE 802.1D и 802.1H. Также они имеют и много других дополнительных функций, часть которых вошла в новую редакцию стандарта 802.1D-1998, а часть остается пока не стандартизованной.

Коммутаторы ЛВС отличаются большим разнообразием возможностей и, следовательно, цен - стоимость 1порта колеблется в диапазоне от 50 до 1000 долларов. Одной из причин столь больших различий является то, что они предназначены для решения различных классов задач. Коммутаторы высокого класса должны обеспечивать высокую производительность и плотность портов, а также поддерживать широкий спектр функций управления. Простые и дешевые коммутаторы имеют обычно небольшое число портов и не способны поддерживать функции управления. Одним из основных различий является используемая в коммутаторе архитектура. Поскольку большинство современных коммутаторов работают на основе патентованных контроллеров ASIC, устройство этих микросхем и их интеграция с остальными модулями коммутатора (включая буферы ввода-вывода) играет важнейшую роль. Контроллеры ASIC для коммутаторов ЛВС делятся на 2 класса - большие ASIC, способные обслуживать множество коммутируемых портов (один контроллер на устройство) и небольшие ASIC, обслуживающие по несколько портов и объединяемые в матрицы коммутации.

Существует 3 варианта архитектуры коммутаторов:

  1.  переключение (cross-bar) с буферизацией на входе, 
  2.  самомаршрутизация (self-route) с разделяемой памятью 
  3.  высокоскоростная шина.

На рисунке 3 показана блок-схема коммутатора с архитектурой, используемой для поочередного соединения пар портов. В любой момент такой коммутатор может обеспечить организацию только одного соединения (пара портов). При невысоком уровне трафика не требуется хранение данных в памяти перед отправкой в порт назначения - такой вариант называется коммутацией на лету cut-through. Однако, коммутаторы cross-bar требуют буферизации на входе от каждого порта, поскольку в случае использования единственно возможного соединения коммутатор блокируется (рисунок 4). Несмотря на малую стоимость и высокую скорость продвижения на рынок, коммутаторы класса cross-bar слишком примитивны для эффективной трансляции между низкоскоростными интерфейсами Ethernet или token ring и высокоскоростными портами ATM и FDDI.



Коммутаторы с разделяемой памятью имеют общий входной буфер для всех портов, используемый как внутренняя магистраль устройства (backplane). Буферизагия данных перед их рассылкой (store-and-forward - сохранить и переслать) приводит к возникновению задержки. Однако, коммутаторы с разделяемой памятью, как показано на рисунке 5 не требуют организации специальной внутренней магистрали для передачи данных между портами, что обеспечивает им более низкую цену по сравнению с коммутаторами на базе высокоскоростной внутренней шины.


На рисунке 6 показана блок-схема коммутатора с высокоскоростной шиной, связывающей контроллерыASIC. После того, как данные преобразуются в приемлемый для передачи по шине формат, они помещаются на шину и далее передаются в порт назначения. Поскольку шина может обеспечивать одновременную (паралельную) передачу потока данных от всех портов, такие коммутаторы часто называют "неблокируемыми" (non-blocking) - они не создают пробок на пути передачи данных.

Применение аналогичной параллельной архитектуры для продвижения пакетов сетевых протоколов привело к появлению коммутаторов третьего уровня модели OSI.


 

А также другие работы, которые могут Вас заинтересовать

19922. Основные фонды предприятия, продолжение 30.29 KB
  Лекция №5 Тема: Основные фонды предприятия продолжение Т.к. в течении года состав ОФ постоянно меняется то постоянно меняется и их совокупная стоимость. Для учета движения ОФ рассчитывается их среднегодовая стоимость. формула 1 стоимость основных фондов на
19923. Хозяйственные фонды предприятия 23.1 KB
  Лекция №6 Тема: Хозяйственные фонды предприятия. Величина производственной мощности предприятия формируется под воздействием многих факторов таких как: Состав основных фондов Их количество по видам и структура Техникоэкономические показатели использо
19924. Оборотные средства (ОС) предприятия 24.04 KB
  Лекция №6 Тема: оборотные средства ОС предприятия. Понятия состав и структура ОС Нормирование расходования материальных ресурсов и оборотных средств Показатели и пути эффективного использования оборотных средств Оборотные Средства предприятия нах
19925. Оборотные средства. Структура норм и расходов 26.56 KB
  Лекция №8 Тема: Оборотные средства. Точность расчета норматива зависит от правильного определения норм запаса материальных ресурсов. Техника экономического обоснования норм расходования Материальных Ресурсов связанна с анализом их структуры. Структура норм и рас
19926. Персонал предприятия (ПП) 22.01 KB
  Лекция №9 Тема: персонал предприятия ПП. Вопросы: Состав и структура ПП Планирование и подбор кадров Производительность труда Заработная плата тарифная система формы и системы оплаты труда. Формирования фонда зарплаты фонды оплаты труда ФОТ. ...
19927. Персонал предприятия. Движения рабочей силы 27.82 KB
  Лекция №10 Тема: Персонал предприятия. Для учета и отчетности пользуются абсолютными и средними показателями численности. К абсолютным относятся: Списочная численность работников. Это количество всех работающих принятых на постоянную сезонную или временную раб
19928. Персонал предприятия. Уровни производительности труда 24.86 KB
  Лекция №11 Тема: персонал. При изучении уровней производительности труда используют: Среднечасовая выработка рабочего . 1 Среднедневная выработка рабочего 2 . 3 Факторы нарушения производительности труда – самостоятельно. Заработная плата тари...
19929. Формирование фонда оплаты труда 20.9 KB
  Лекция №11 Тема: Формирование фонда оплаты труда. Фонд ОЗП основной заработной платы включает вознаграждения за выполненную работу в соответствии с установленными нормами труда должностной оклад. Фонд дополнительной ЗП – включает доплаты надбавки гарантийные и к...
19930. СОЦІОЛОГІЯ – НАУКА ПРО СУСПІЛЬСТВО 104.5 KB
  ЛЕКЦІЯ 1 СОЦІОЛОГІЯ – НАУКА ПРО СУСПІЛЬСТВО П Л А Н Виникнення та становлення соціології як самостійної науки. Предмет об’єкт функції та структура соціології. Соціологічні закони та категорії. Метод соціології. Взаємозв'язок соціології з іншими науками...