30519

Технологии обеспечения безопасности корпоративной сети с использованием оборудования 2-го уровня модели OSI

Доклад

Математика и математический анализ

VLN Virtul Loclre Network это одна из функций Fst Ethernet. VLN позволяет изменять конфигурацию сети объединять пользователей в отдельные рабочие группы определять доступные сегменты для отдельно взятого порта. VLN дает возможность значительно оптимизировать работу локальной сети за счет разгрузки отдельных ее сегментов от лишнего трафика. С помощью VLN можно еще контролировать и эффективно подавлять широковещательные штормы которые в больших сетях иногда останавливают работу целых сегментов.

Русский

2013-08-24

228.33 KB

6 чел.

53. Технологии обеспечения безопасности корпоративной сети с использованием оборудования 2-го уровня модели OSI.

Доска: 

Выступление: 

Оборудование второго уровня
Канальный уровень обеспечивает функциональный и процедурный способы передачи данных между двумя точками.

Существует пять основных функций, за которые отвечает канальный уровень. 
Управление логической связью 
Осуществление сетевого доступа и обнаружение конфликтов 
Кадрирование данных 
Адресация 
Обнаружение ошибок


На этом уровне работают коммутаторы, мосты.

VLAN (Virtual Local-Area Network) – это одна из функций Fast Ethernet. VLAN позволяет изменять конфигурацию сети, объединять пользователей в отдельные рабочие группы, определять доступные сегменты для отдельно взятого порта. VLAN дает возможность значительно оптимизировать работу локальной сети за счет разгрузки отдельных ее сегментов от "лишнего" трафика. С помощью VLAN можно еще контролировать и эффективно подавлять широковещательные штормы, которые в больших сетях иногда останавливают работу целых сегментов. Несомненным плюсом VLAN является еще и то, что эта функция способна объединять нескольких портов (до 4) в один единый канал (называется транк), скорость работы которого увеличивается пропорционально количеству объединенных портов. С помощью технологии VLAN обычно создаются рабочие группы. Пользователи одной рабочей группы не могут получить доступ к данным другой группы, потому что каждая VLAN – это закрытая и логически определенная группа. VLAN имеет большое значение с точки зрения безопасности, в частности как средство борьбы с ARP-spoofing'ом.

VLAN'ы могут быть настроены на коммутаторах, маршрутизаторах, других сетевых устройствах и на хостах.

Как правило, одному VLAN соответствует одна подсеть. Устройства, находящиеся в разных VLAN, будут находиться в разных подсетях. Но в то же время VLAN не привязан к местоположению устройств и поэтому устройства, находящиеся на расстоянии друг от друга, все равно могут быть в одном VLAN независимо от местоположения

Каждый VLAN — это отдельный широковещательный домен. Например, коммутатор — это устройство 2 уровня модели OSI. Все порты на коммутаторе, где нет VLANов, находятся в одном широковещательном домене. Создание VLAN на коммутаторе означает разбиение коммутатора на несколько широковещательных доменов. Если один и тот же VLAN есть на разных коммутаторах, то порты разных коммутаторов будут образовывать один широковещательный домен.

Когда сеть разбита на VLAN, упрощается задача применения политик и правил безопасности. С VLAN политики можно применять к целым подсетям, а не к отдельному устройству. Кроме того, переход из одного VLAN в другой предполагает прохождение через устройство 3 уровня, на котором, как правило, применяются политики разрешающие или запрещающие доступ из VLAN в VLAN.

Port security — функция коммутатора, позволяющая указать MAC-адреса хостов, которым разрешено передавать данные через порт. После этого порт не передает пакеты, если MAC-адрес отправителя не указан как разрешенный. Кроме того, можно указывать не конкретные MAC-адреса, разрешенные на порту коммутатора, а ограничить количество MAC-адресов, которым разрешено передавать трафик через порт.

Используется для предотвращения:

  1.  несанкционированной смены MAC-адреса сетевого устройства или подключения к сети,
  2.  атак направленных на переполнение таблицы коммутации.

Port security на коммутаторах Cisco

Безопасные MAC-адреса

Коммутатор поддерживает такие типы безопасных MAC-адресов:

  1.  Статические MAC-адреса:
  2.  задаются статически командой switchport port-security mac-address mac-address в режиме настройки интерфейса,
  3.  хранятся в таблице адресов,
  4.  добавляются в текущую конфигурацию коммутатора;
  5.  Динамические MAC-адреса:
  6.  динамически выучиваются,
  7.  хранятся только в таблице адресов,
  8.  удаляются при перезагрузке коммутатора;
  9.  Sticky MAC-адреса:
  10.  могут быть статически настроены или динамически выучены,
  11.  хранятся в таблице адресов,
  12.  добавляются в текущую конфигурацию коммутатора. Если эти адреса сохранены в конфигурационном файле, после перезагрузки коммутатора, их не надо заново перенастраивать.

Режимы реагирования на нарушения безопасности

Нарушением безопасности для port security считаются ситуации:

  1.  максимальное количество безопасных MAC-адресов было добавлено в таблицу адресов и хост, чей MAC-адрес не записан в таблице адресов пытается получить доступ через интерфейс,
  2.  адрес, выученный или настроенный как безопасный на одном интерфейсе, появился на другом безопасном интерфейсе в том же VLAN'е.

На интерфейсе могут быть настроены такие режимы реагирования на нарушения безопасности:

  1.  protect — когда количество безопасных MAC-адресов достигает максимального ограничения настроенного на порту, пакеты с неизвестным MAC-адресом отправителя отбрасываются до тех пор, пока не будет удалено достаточное количество безопасных MAC-адресов, чтобы их количество было меньше максимального значения, или увеличено максимальное количество разрешенных адресов. Оповещения о нарушении безопасности нет.
  2.  restrict — когда количество безопасных MAC-адресов достигает максимального ограничения настроенного на порту, пакеты с неизвестным MAC-адресом отправителя отбрасываются до тех пор, пока не будет удалено достаточное количество безопасных MAC-адресов, чтобы их количество было меньше максимального значения, или увеличено максимальное количество разрешенных адресов. В этом режиме при нарушении безопасности отправляется оповещение — отправляется SNMP trap, сообщение syslog и увеличивается счетчик нарушений (violation counter).

shutdown — нарушение безопасности приводит к тому, что интерфейс переводится в состояние error-disabled и выключается немедленно, и выключается LED порта. Отправляется SNMP trap, сообщение syslog и увеличивается счетчик нарушений (violation counter). Когда порт в состоянии error-disabled, вывести из этого состояния его можно введя команду errdisable recovery cause psecure-violation или вручную включить интерфейс введя в режиме настройки интерфейса shutdown и no shutdown. Это режим по умолчанию.

Дополнительная часть.

Уровень 2 - Канальный уровень (data link layer) определяет электрические, процедурные и функциональные спецификации для активизации, поддержки и отключения физических каналов между конечными системами. Спецификациями физического уровня определяются уровни напряжений, синхронизация изменений напряжения, физическая скорость передачи данных, максимальная скорость передачи, физические соединения и другие аналогичные параметры.

Для того чтобы передавать фреймы, коммутатор использует таблицу коммутации. Изначально, после включения коммутатора таблица пуста. Заполняет её коммутатор автоматически, при получении фреймов от хостов. Когда коммутатор получает фрейм от хоста, он сначала передает его в соответствии со своими правилами (описаны ниже), а затем запоминает MAC-адрес отправителя во фрейме и ставит его в соответствие порту на котором он был получен.

Широковещательный шторм - лавина широковещательных пакетов. Размножение некорректно сформированных широковещательных сообщений в каждом узле приводит к экспоненциальному росту их числа и парализует работу сети. Обычно такие пакеты используются сетевыми сервисами для оповещения станций о своем присутствии. Считается нормальным, если широковещательные пакеты составляют около 10% от общего числа пакетов в сети.

VLAN Trunking Protocol (VTP) — проприетарный протокол компании Cisco Systems, предназначенный для создания, удаления и переименования VLANов на сетевых устройствах. Передавать информацию о том, какой порт находится в каком VLANе, он не может.

ARP-spoofing (ARP-poisoning) — техника сетевой атаки, применяемая преимущественно в Ethernet, но возможная и в других, использующих протокол ARP, сетях, основанная на использовании недостатков протокола ARP и позволяющая перехватывать трафик между узлами, которые расположены в пределах одного широковещательного домена. Относится к числу spoofing-атак.

Рассматривая свойства второго уровня модели OSI и его классическое определение, увидим, что данному уровню принадлежит основная доля коммутирующих свойств. 

Определение. 
Канальный уровень (формально называемый информационно-канальным уровнем) обеспечивает надежный транзит данных через физический канал. Канальный уровень решает вопросы физической адресации (в противоположность сетевой или логической адресации), топологии сети, линейной дисциплины (каким образом конечной системе использовать сетевой канал), уведомления о неисправностях, упорядоченной доставки блоков данных и управления потоком информации.

На самом деле, определяемая канальным уровнем модели OSI функциональность служит платформой для некоторых из сегодняшних наиболее эффективных технологий. Большое значение функциональности второго уровня подчеркивает тот факт, что производители оборудования продолжают вкладывать значительные средства в разработку устройств с такими функциями.

С технологической точки зрения, коммутатор локальных сетей представляет собой устройство, основное назначение которого - максимальное ускорение передачи данных за счет параллельно существующих потоков между узлами сети. В этом - его главное отличие от других традиционных устройств локальных сетей – концентраторов (Hub), предоставляющих всем потокам данных сети всего один канал передачи данных.

Коммутатор позволяет передавать параллельно несколько потоков данных c максимально возможной для каждого потока скоростью. Эта скорость ограничена физической спецификацией протокола, которую также часто называют "скоростью провода". Это возможно благодаря наличию в коммутаторе большого числа центров обработки и продвижения кадров и шин передачи данных.

Коммутаторы локальных сетей в своем основном варианте, ставшем классическим уже с начала 90-х годов, работают на втором уровне модели OSI, применяя свою высокопроизводительную параллельную архитектуру для продвижения кадров канальных протоколов. Другими словами, ими выполняются алгоритмы работы моста, описанные в стандартах 
IEEE 802.1D и 802.1H. Также они имеют и много других дополнительных функций, часть которых вошла в новую редакцию стандарта 802.1D-1998, а часть остается пока не стандартизованной.

Коммутаторы ЛВС отличаются большим разнообразием возможностей и, следовательно, цен - стоимость 1порта колеблется в диапазоне от 50 до 1000 долларов. Одной из причин столь больших различий является то, что они предназначены для решения различных классов задач. Коммутаторы высокого класса должны обеспечивать высокую производительность и плотность портов, а также поддерживать широкий спектр функций управления. Простые и дешевые коммутаторы имеют обычно небольшое число портов и не способны поддерживать функции управления. Одним из основных различий является используемая в коммутаторе архитектура. Поскольку большинство современных коммутаторов работают на основе патентованных контроллеров ASIC, устройство этих микросхем и их интеграция с остальными модулями коммутатора (включая буферы ввода-вывода) играет важнейшую роль. Контроллеры ASIC для коммутаторов ЛВС делятся на 2 класса - большие ASIC, способные обслуживать множество коммутируемых портов (один контроллер на устройство) и небольшие ASIC, обслуживающие по несколько портов и объединяемые в матрицы коммутации.

Существует 3 варианта архитектуры коммутаторов:

  1.  переключение (cross-bar) с буферизацией на входе, 
  2.  самомаршрутизация (self-route) с разделяемой памятью 
  3.  высокоскоростная шина.

На рисунке 3 показана блок-схема коммутатора с архитектурой, используемой для поочередного соединения пар портов. В любой момент такой коммутатор может обеспечить организацию только одного соединения (пара портов). При невысоком уровне трафика не требуется хранение данных в памяти перед отправкой в порт назначения - такой вариант называется коммутацией на лету cut-through. Однако, коммутаторы cross-bar требуют буферизации на входе от каждого порта, поскольку в случае использования единственно возможного соединения коммутатор блокируется (рисунок 4). Несмотря на малую стоимость и высокую скорость продвижения на рынок, коммутаторы класса cross-bar слишком примитивны для эффективной трансляции между низкоскоростными интерфейсами Ethernet или token ring и высокоскоростными портами ATM и FDDI.



Коммутаторы с разделяемой памятью имеют общий входной буфер для всех портов, используемый как внутренняя магистраль устройства (backplane). Буферизагия данных перед их рассылкой (store-and-forward - сохранить и переслать) приводит к возникновению задержки. Однако, коммутаторы с разделяемой памятью, как показано на рисунке 5 не требуют организации специальной внутренней магистрали для передачи данных между портами, что обеспечивает им более низкую цену по сравнению с коммутаторами на базе высокоскоростной внутренней шины.


На рисунке 6 показана блок-схема коммутатора с высокоскоростной шиной, связывающей контроллерыASIC. После того, как данные преобразуются в приемлемый для передачи по шине формат, они помещаются на шину и далее передаются в порт назначения. Поскольку шина может обеспечивать одновременную (паралельную) передачу потока данных от всех портов, такие коммутаторы часто называют "неблокируемыми" (non-blocking) - они не создают пробок на пути передачи данных.

Применение аналогичной параллельной архитектуры для продвижения пакетов сетевых протоколов привело к появлению коммутаторов третьего уровня модели OSI.


 

А также другие работы, которые могут Вас заинтересовать

78457. Легочные васкулиты (ЛВ): основные причины и клинико-морфологические характеристики. Системные и изолированные проявления ЛВ 106 KB
  Системные и изолированные проявления ЛВ на примере системных заболеваний соединительной ткани синдрома Гудпасчера и гранулематозного васкулита Вегенера. Классификация васкулитов на основании калибра пораженных сосудов: Крупные сосуды: Гигантоклеточный аретриит; Артериит Такаясу; Тропическй аортит; Саркоидоз; Средние сосуды: Узелковый полиартериит ассоциированный с вирусом гепатита B; Семейная средиземноморская лихорадка; Кожный узелковый полиартериит; Болезнь Кавасаки; Средние и мелкие сосуды: Гранулематоз Вегенера; Синдром...
78458. Синдром объемного образования в легких (ООЛ). Ситуации, подозрительные на наличие ООЛ. Принципы дифференциального диагноза при выявлении ООЛ 108 KB
  Практическое значение и тактика ведения при выявлении синдрома средней доли синдрома ателектаза доли или сегмента легкого. Синдром средней доли среднедолевой синдром затемнение и уменьшение в объеме средней доли правого легкого в результате разнообразного ее поражения при бронхоэктазах деструкции ателектазах опухолях циррозе пневмонии.: Частое поражение средней доли связано с тем что он самый узкий и длинный из всех долевых бронхов окружен лимфоузлами являющимися регионарными не только для средней но и частично для нижней и...
78459. Синдром трахеобронхиальной дискинезии (ТБД). Классификация дискинезии и дисплазии бронхов. Бронхоэктатическая болезнь 105.5 KB
  Классификация дискинезии и дисплазии бронхов. Синдром трахеобронхиальной дискинезии ТБД патологическая подвижность мембранозной части трахеи и или главных бронхов ведущая к экспираторному пролапсу трахеи и крупных бронхов. Развитие трахеобронхиальной дискинезии обусловлено слабостью эластического каркаса трахеи и крупных бронхов приобретенного инфекции воспаление или врожденного характера что ведет к пролабированию их стенок при выдохе и кашле. Характеристика: приступы экспираторной одышки; возникновение удушья чаще в положении...
78460. Синдром легочной гипертензии (ЛГ). Пульмональные и кардиоваскулярные причины ЛГ. Принципы дифференциального диагноза острой и хронической ЛГ 83.5 KB
  Легочная гипертензия ЛГ это состояние являющееся возможным следствием целого ряда заболеваний или имеющее идиопатическую природу которое характеризуется постепенным повышением легочного сосудистого сопротивления и давления в легочной артерии что приводит к развитию правожелудочковой недостаточности и гибели пациентов. Диагноз ЛГ определяется при среднем давлении в легочной артерии более 25 мм. Патогенез: Вазоконстрикция Редукция легочного сосудистого русла Снижение эластичности легочных сосудов Облитерация легочных сосудов...
78461. Кровохарканье и легочные кровотечения. Дифференциальный диагноз. Тактика ведения больных с кровохарканьем и легочным кровотечением 84.5 KB
  Кровохарканье появление в мокроте крови в виде прожилок или равномерной примеси яркокрасного цвета. Отхаркивание большого количества крови и наличие примеси крови в каждом плевке мокроты свидетельствуют о легочном кровотечении. Кровохарканье и легочное кровотечение могут быть обусловлены: аррозией сосудов опухоли каверны бронхоэктазы; разрывом сосудистой стенки артериовенозные аневризмы телеангиэктазии легочная форма болезни ОслераРандю; излиянием крови в альвеолы из бронхиальных артерий инфаркт легкого; диапедезным...
78462. Синдром легочно-сердечной недостаточности (ЛСН, «легочное сердце»). Тромбоэмболия легочных артерий (ТЭЛА) 85.5 KB
  Классификация: Острое лёгочное сердце клинический симптомокомплекс возникающий прежде всего вследствие развития тромбоэмболии лёгочной артерии а также при ряде заболеваний сердечнососудистой и дыхательной систем. Основные причины: массивная тромбоэмболия в системе лёгочной артерии; клапанный пневмоторакс; тяжёлый затяжной приступ бронхиальной астмы; распространённая острая пневмония.; 3Васкулярные болезни первичная лёгочная гипертензия тромбоэмболия в системе лёгочной артерии васкулиты аллергический облитерирующий...
78463. Синдром дыхательной недостаточности. Основные причины ДН, клинические и функциональные критерии. Классификации различных видов ДН 128.5 KB
  Дыхательная недостаточность ДН тяжелое нарушение обмена дыхательных газов или состояние характеризующееся ограничением способности легких обеспечивать нормальный газовый состав артериальной крови. Факторы снижающие вентиляторное обеспечение: Нарушение механики дыхания обструкция ВП: Бронхиальная астма ХОБЛ; Деформация грудной клетки: Кифосколиоз травмы грудной клетки; Уменьшение объема легких: Пневмония интерстициальные поражения легких большой плевральный выпот; Нарушение функции диафрагмальных нервов: Синдром...
78464. Рестриктивный тип дыхательной недостаточности. Клинические и функциональные признаки, характерные для ДН рестриктивного типа 70 KB
  Рестриктивный тип ДН – вариант вентиляционной (гиперкапнической) ДН, характеризующийся снижением способности легких, грудной клетки или плевры к расправлению во время вдоха.
78465. Обструктивный тип дыхательной недостаточности. Клинические и функциональные признаки, характерные для ДН обструктивного типа 85 KB
  Встречается при: Хронический бронхит; Бронхиальная астма; Эмфизема; ХОБЛ; Синдром бронхиальной обструкции; Стенозы трахеи и крупных бронхов; Бронхоэктатическая болезнь; Причины сужения просвета бронхов: бронхоспазм; аллергический отёк; воспалительный отёк; инфильтрация слизистой оболочки бронхов; закупорка бронхов мокротой; склероз бронхиальных стенок; деструкция каркаса бронхиальных стенок; Патогенез: Сужение просвета бронхов является причиной роста сопротивления потоку воздуха в бронхах что в свою очередь приводит к снижению...