cеть предприятия, подключение к Интернет, сетевая...
DESCRIPTION
Cеть предприятия, подключение к Интернет, сетевая безопасность. Темы семинара. Ethernet, Ethernet Switch, ARP Безопасность Ethernet VLAN (802.1Q) dot1x (802.1x) Internet Protocol, IP машрутизация NAT Firewall (фильтрация пакетов) Прокси сервер. Сеть предприятия. Internet. Ethernet. - PowerPoint PPT PresentationTRANSCRIPT
Cеть предприятия, подключение к Интернет,
сетевая безопасность
Темы семинара
• Ethernet, Ethernet Switch, ARP• Безопасность Ethernet• VLAN (802.1Q)• dot1x (802.1x)• Internet Protocol, IP машрутизация• NAT• Firewall (фильтрация пакетов)• Прокси сервер
Сеть предприятия
Internet
Ethernet
Для 100Base-TXрабочие пары1-2 и 3-6
FF:FF:FF:FF:FF:FF - Broadcast MAC address
HUB (повторитель)
00:00:00::BB:BB:BB
00:00:00:BB:BB:BB
00:00:00:AA:AA:AA
00:00:00:CC:CC:CC
Switch (коммутатор) Ethernet
00:00:00:BB:BB:BB
dst 00:00:00:BB:BB:BBsrc 00:00:00:AA:AA:AA
00:00:00:AA:AA:AA
00:00:00:CC:CC:CC
MAC Port
00:00:00:BB:BB:BB 2
00:00:00:AA:AA:AA 1
... ...
00:00:00:11:11:11 4
00:00:00:EE:EE:EE 41
2 3
L2 forward table
4
Максимальное кол-во: 8000Время устаревания: 300 секунд
Broadcast FloodUnknown Unicast Flood
Атаки и защита на уровне коммутатора
• Ethernet Loop
• MAC Spoofing
• MAC Flooding
• Нелегитимное подключение к порту
Ethernet Loop
Проблема: Бесконечный Flood
Решение:• Spanning Tree (STP)• Loopback Detect
Bridge Protocol Data Unit
Spanning Tree (STP)
• STP - Spanning Tree (802.1D)
• RSTP - Rapid Spanning Tree (802.1w)
• PVST+/VSTP - Per VLAN Spanning Tree
• Rapid-PVST
• MSTP - Multiple Spanning Tree (802.1s)• STP - 30 сек, RSTP/MSTP - 5 сек
• Другие протоколы
• REP - Cisco Resilient Ethernet Protocol
• EAPS - Ethernet Automatic Protection Switching
MAC Spoofing
00:00:00:BB:BB:BB
dst 00:00:00:BB:BB:BBsrc 00:00:00:CC:CC:CC
00:00:00:AA:AA:AA
00:00:00:CC:CC:CC
1
2 3
MAC Port
00:00:00:BB:BB:BB 2
00:00:00:AA:AA:AA 1
00:00:00:CC:CC:CC 1
L2 forward table
dst 00:00:00:BB:BB:BBsrc 00:00:00:CC:CC:CC
Защита:• Static Forward Table• Port Security
Port Security
• Привязывает несколько MAC адресов к порту.
• Может запомнить новый адрес навсегда, либо разрешить устаревание по timeout`у.
• При нарушении. Отправить сообщение, выключить порт, ничего не делать.
• Cisco(config-if)# switchport port-security maximum 3
• D-Link# config port_security ports 1-2 admin_state enable max_learning_addr 3 lock_address_mode DeleteOnTimeout
MAC Flooding
00:00:00:BB:BB:BB
dst 00:00:00:BB:BB:BBsrc 00:00:00:00:XX:XX
00:00:00:AA:AA:AA
00:00:00:CC:CC:CC
1
2 3
MAC Port
00:00:00:00:00:01 1
00:00:00:00:00:02 1
00:00:00:00:...:... 1
00:00:00:00:FF:FF 1
L2 forward table
Защита:• Static Forward Table• Port Security
Забиваем все 8000 записей
UnknownUnicastFlood
DoS
Virtual Local Area Network (VLAN)
IEEE 802.1Q
Сегментация на уровне Ethernet
+ Объединение пользователей в LAN по функциональной необходимости, а не по территории
+ Уязвимости Ethernet локализованы VLAN`ом
- Для передачи трафика меду VLAN необходим маршрутизатор
Один кабель
VLAN 802.1Q
802.1Q увеличивает размер карда на 4 байта. Диапазон VLAN 1-4094 (12 бит)Коммутатор с 802.1Q, принимая пакет, всегда вставляет VLAN тег
cisco (config-if)# switchport access vlan 10cisco (config-if)# switchport trunk allowed vlan 10,30,2,3
d-link$ config vlan vlanid 10 add untagged 1-2d-link$ config vlan vlanid 10,30 add tagged 24-25
Dinamic Host Configuring Protocol (DHCP)
DHCP серверов может быть несколько
• Нелигитимные DHCP сервера
• Защита:
• DHCP Snooping
Отв
ет
Запр
ос Запрос
Ответ
DHCP Snooping
• DHCP ответы только с доверенных портов
• cisco(config)# dhcp-snooping
• cisco(config)# dhcp-snooping vlan 25
• cisco(config-if)#ip dhcp snooping trust
Address Resolution Protocol (ARP)
MAC 00:00:00:BB:BB:BBIP 192.168.0.11
ping 192.168.0.11MAC ?
MAC 00:00:00:AA:AA:AAIP 192.168.0.10
MAC 00:00:00:CC:CC:CCIP 192.168.0.12
1. Компьютер A формирует broadcast запрос WHO HAS 192.168.0.11
2. Принимают все3. Отвечает только компьютер B4. Теперь комьютер A знает MAC для
192.168.0.11 5. Ответ кешируется на 300 сек
Можно посылать ответы без запроса!
ARP frame format
Wireshark dump
ARP Spoofing (Poisoning)
MAC 00:00:00:BB:BB:BBIP 192.168.0.11
Ethernet MAC A -> MAC BARP Reply (MAC A, IP 192.168.0.12)
MAC 00:00:00:AA:AA:AAIP 192.168.0.10
MAC 00:00:00:CC:CC:CCIP 192.168.0.12
Ethernet MAC A -> MAC CARP Reply (MAC A, IP 192.168.0.11)
Ping 192.168.0.12Уйдёт на MAC A
Ping 192.168.0.11Уйдёт на MAC A
ARP Spoofing (Poisoning)
Обнаружение:• arpwatch
Защита:• cтатический ARP• фильтрация на
управляемых коммутаторах
• IPv6• IPsec• DHCP Snooping
+ ARP Inspection
Port Security не защитит !
ARP Inspection
• Если порт ненадёжный:• Коммутатор перехватывает все ARP-запросы и ARP-ответы на
ненадёжных портах прежде чем перенаправлять их;• Коммутатор проверяет соответствие MAC-адреса IP-адресу на
ненадёжных портах.
• Включение• cisco(config)# ip arp inspection vlan 1• Настройка доверенного порта:• cisco(config)# interface gigabitethernet1/0/1
cisco(config-if)# ip arp inspection trust
802.1X (dot1x)
Suplicant - устройство которое запрашивает доступ к сети у аутентификатора. На клиенте должно быть ПО реализующее 802.1XAudenticator - устройство контролирующее физический доступ к сети. Proxy между клиентом и сервером аутентификации.Authentication server - аутентификация клиента. Cообщает аутентификатору разрешен ли клиенту доступ к сети.
802.1X Indentity Store
802.1X Supplicant
802.1X PC Supplicant
802.1X (dot1x)
• Режимы: port-based, MAC-based
• VLAN клиента через RADIUS в 802.1X• cisco(config)# radius-server host 192.168.1.3
cisco(config)# radius-server key radiuskey
cisco(config)# aaa new-model
cisco(config)# aaa authentication dot1x default group radius
cisco(config)# dot1x system-auth-control
cisco(config)#interface FastEthernet0/1cisco(config-if)# dot1x port-control auto
Internet Protocol (IP)
•IP адрес - 32 битное число•[raul@linux ~]$ ping 134744072•PING 134744072 (8.8.8.8) 56(84) bytes of data.•64 bytes from 8.8.8.8: icmp_seq=1 ttl=51 time=96.4 ms•64 bytes from 8.8.8.8: icmp_seq=2 ttl=51 time=95.9 ms
•Разделяются на "белые" глобально маршрутизируемые и "серые" глобально не маршрутизируемые.
IP routing
192.168.0.11
192.168.0.10
172.16.0.2
172.16.0.1
192.168.0.1
Если IP значит IP Routing Table
Subnet Interface next-hop
192.168.0.0/24 eth0 -
0.0.0.0/0 eth0 192.168.0.1
Компьютеры
Subnet Interface next-hop
192.168.0.0/24 eth0 -
172.16.0.0/24 eth1 -
Маршрутизатор
Маршрутизация по Destination IP Address!
IP Spoofing
• IP Spoofing - подмена Source IP Address в заголовке IP
• Подвержен протокол UDP.
• TCP за счёт двух сторонней направленности практически не поддвержен.
• Пример вредоносного кода в одном IP пакете:
• Вирус Helkern, UDP 376 байт. Microsoft SQL Server 2000, 2003 год
• Защита:• - Фильтрация пакетов (Firewall)
• - DHCP Snooping + IP SourceGuard
• - Reverse Path Filtering
Reverse Path Filtering
Есть ли маршрут на адрес IP Source, чтобы доставить пакет обратно?
Ciscocisco(config-if)# ip verify unicast source reachable <rx|any> [allow-default]
Linuxecho 0 > /proc/sys/net/ipv4/conf/all/rp_filter
Domain Name System (DNS)
Зоны:- Прямая- Обратная
ya.ru. IN A 93.158.134.203203.134.158.93.in-addr.arpa. IN PTR www.yandex.ru.
Обратная и прямая зона независимы!
Firewall
Фильтрация по IP, TCP / UDP, протоколам уровня приложения, ...
StateFull Firewall
Рекомендуемая политика всё запрещено, разрешено что нужно.
Microsoft ISA, Linux netfilter, Cisco ASA, Cisco Router, FreeBSD ipfw, FreeBSD NetGraph
Network Address Translation (NAT)
Aplication Inspection (FTP, SIP, H.323)Ограничение входящих соединений
NAT не Firewall !
Переполнение таблицы трансляций20-30 torrent+uTP = ~1000 трансляций
Internet
Серые IP адреса
Один белый IP
Microsoft ISA, Squid, Cisco cache engine
Возможности:- Прозрачное проксирование- Логирование- Аудентификация- Content Inspection
Прокси сервер
Спасибо
xgu.ruwikipedia.orgCisco Certification GuideCisco Live Presentation
Прошу вопросы