Размещено на http://www.allbest.ru/

Министерство общего и профессионального образования Свердловской области

государственное автономное образовательное учреждение

среднего профессионального образования Свердловской области

«Нижнетагильский горно-металлургический колледж

имени Е.А. и М.Е. Черепановых»

ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА

Специальность 230101 Вычислительные машины, комплексы, системы и сети

Тема Обеспечение безопасности компьютерной сети, построенной на коммутаторах D-Link

Руководитель Бурлуцкий .В.И.

Рецензент Виноградов Д.В.

ФИО, должность Подпись

Выполнил(а):Обыскалов Е.А. .

Студент (ка) группы 053.

Специальность 230101 Вычислительные

машины, комплексы, системы и сети

2013-2014 учебный год

Содержание

Введение

Глава 1. Теоретические аспекты обеспечения безопасности компьютерных сетей на базе коммутаторов D-Link

1.1. Назначение и функции коммутаторов D-Link

1.1.1 Общая классификация коммутаторов

1.1.2 Обзор коммутаторов D-Link

1.2. Классификация угроз сетевой безопасности

1.3 Возможности коммутаторов D-Link по обеспечению сетевой безопасности

1.3.1 Функция Port Security

1.3.2 Функция Access Control List (ACL)

1.3.3 Функция IP-MAC-Port Binding

1.3.4 Функция Storm Control

Глава 2. Лабораторный практикум по теме «Технологии обеспечения безопасности локальных сетей»

2.1 Лабораторная работа 1 «Базовые механизмы безопасности коммутаторов»

2.2 Лабораторная работа 2 « Функция Port Security»

2.3 Лабораторная работа 3 «Функция IP-MAC-Port Binding»

2.4 Лабораторная работа 4 «Безопасность на основе сегментации трафика»

2.5 Лабораторная работа 5 «Списки контроля доступа (Access Control List, ACL)»

Глава 3. Меры безопасности при работе с коммутаторами

Список литературы

Введение

В начале XXI века стало очевидным, что роль компьютерных сетей возросла от простой передачи информации до предоставления множества услуг, в числе которых сегодня - передача речи, видео, электронной почты, файлов, фотографий, документов, IP-TV, IP-телефония и др.

Безусловно, это сопровождается усложнением сетевого оборудования. Чем больше компьютерная сеть и чем больше услуг она предоставляет, тем сложнее ей управлять. В настоящее время при администрировании компьютерных сетей учитывается целый ряд вопросов, среди которых важное место занимает проблема обеспечения сетевой безопасности.

На данный момент определены три базовых принципа информационной безопасности, которая должна обеспечивать:

- конфиденциальность информации, т. е. ее свойство быть известной только допущенным (авторизованным) субъектам сети;

? целостность данных (ресурса) сети, т. е. свойство данных быть в семантическом смысле неизменными при функционировании сети, что достигается защитой данных от сбоев и несанкционированного доступа к ним;

? доступность информации в любое время для всех авторизованных пользователей.

Если же какой-то из компьютеров сети уже заражен, требуется защитить остальные компьютеры. Кроме того, нужно предотвратить несанкционированный доступ в сеть как из «внешнего» мира, так и «изнутри» из одного сегмента сети в другой [18].

Поскольку проблема обеспечения безопасности компьютерных сетей является актуальной в современном мире, образовательным учреждениям необходимо выпускать высококвалифицированных компетентных специалистов, занимающихся сетевым администрированием. Для этого необходимо обучать студентов на современном оборудовании. Однако нередко возникает проблема частичного или полного отсутствия методического материала по работе с новым оборудованием, необходимого для качественного обучения студентов, в частности, для формирования профессиональных компетенций будущих специалистов.

В 2013 году Нижнетагильским горно-металлургическим колледжем был приобретен типовой комплект лабораторного стенда «Глобальные компьютерные сети» для проведения практических учебных занятий, содержащий оборудование фирмы D-Link, имеющее множество встроенных функций по обеспечению безопасности локальной сети.

В связи с этим целью дипломной работы является создание методических указаний для выполнения лабораторных работ по теме «Технологии обеспечения безопасности локальных сетей» в курсе «Компьютерные и телекоммуникационные сети» студентами укрупнённой группы специальностей 230000 Информатика и вычислительная техника.

Для достижения поставленной цели необходимо выполнить следующие задачи:

- рассмотреть теоретические аспекты обеспечения безопасности компьютерных сетей на базе коммутаторов D-Link;

- провести классификацию угроз сетевой безопасности;

- разработать инструкции к лабораторным работам для студентов НТГМК;

- изучить меры предосторожности при работе с коммутационным оборудованием.

В первой главе рассмотрены понятия коммутации второго и третьего уровня, назначение и функции коммутаторов, приведена классификация коммутаторов по возможности управления и в соответствии с уровнями модели ISO/OSI. Описаны характеристики коммутаторов D-Link DES-3810-28 и DES-3200-10. Проведена классификация угроз сетевой безопасности, а также рассмотрены встроенные функции обеспечения безопасности коммутаторов D-Link.

Вторая глава описывает ход и выполнение лабораторно-практических работ для студентов специальностей 230000 Информатика и вычислительная техника по теме «Технологии обеспечения безопасности локальных сетей ».

Третья глава рассказывает о мерах предосторожности при работе с коммутационным оборудованием.

Глава 1. Теоретические аспекты обеспечения безопасности компьютерных сетей на базе коммутаторов D-Link

1.1. Назначение и функции коммутаторов D-Link

1.1.1 Общая классификация коммутаторов

Компьютерная сеть это группа компьютеров, соединенных друг с другом каналом связи. Канал обеспечивает обмен данными внутри сети, то есть обмен данными между компьютерами данной группы. Сеть может состоять из двух-трех компьютеров, а может объединять несколько тысяч ПК. Физически обмен данными между компьютерами может осуществляться по специальному кабелю, волоконно-оптическому кабелю или через витую пару [26].

Объединять компьютеры в сеть и обеспечивать их взаимодействие помогают сетевые аппаратные и аппаратно-программные средства. Эти средства можно разделить на следующие группы по их основному функциональному назначению:

- пассивное сетевое оборудование соединительные разъёмы, кабели, коммутационные шнуры, коммутационные панели, телекоммуникационные розетки и т.д.;

- активное сетевое оборудование преобразователи/адаптеры, модемы, повторители, мосты, коммутаторы, маршрутизаторы и т.д.

В настоящее время развитие компьютерных сетей происходит по следующим направлениям:

? увеличение скорости;

? внедрение сегментирования на основе коммутации;

? объединение сетей при помощи маршрутизации.

Коммутация второго уровня

Рассматривая свойства второго уровня эталонной модели ISO/OSI и его классическое определение, можно увидеть, что данному уровню принадлежит основная доля коммутирующих свойств.

Канальный уровень обеспечивает надежный транзит данных через физический канал. В частности, он решает вопросы физической адресации (в противоположность сетевой или логической адресации), топологии сети, линейной дисциплины (каким образом конечной системе использовать сетевой канал), уведомления о неисправностях, упорядоченной доставки блоков данных и управления потоком информации.

На самом деле, определяемая канальным уровнем модели OSI функциональность служит платформой для некоторых из сегодняшних наиболее эффективных технологий. Большое значение функциональности второго уровня подчеркивает тот факт, что производители оборудования продолжают вкладывать значительные средства в разработку устройств с такими функциями, то есть коммутаторов [21].

Коммутация третьего уровня

Коммутация на третьем уровне ? это аппаратная маршрутизация. Традиционные маршрутизаторы реализуют свои функции с помощью программно-управляемых процессоров, что будем называть программной маршрутизацией. Традиционные маршрутизаторы обычно продвигают пакеты со скоростью около 500000 пакетов в секунду. Коммутаторы третьего уровня сегодня работают со скоростью до 50 миллионов пакетов в секунду. Возможно и дальнейшее ее повышение, так как каждый интерфейсный модуль, как и в коммутаторе второго уровня, оснащен собственным процессором продвижения пакетов на основе ASIC. Так что наращивание количества модулей ведет к наращиванию производительности маршрутизации. Использование высокоскоростной технологии больших заказных интегральных схем (ASIC) является главной характеристикой, отличающей коммутаторы третьего уровня от традиционных маршрутизаторов [22].

Коммутатор - это устройство, функционирующее на втором/третьем уровне эталонной модели ISO/OSI и предназначенное для объединения сегментов сети, работающих на основе одного протокола канального/сетевого уровня. Коммутатор направляет трафик только через один порт, необходимый для достижения места назначения.

На рисунке (см. рисунок 1) представлена классификация коммутаторов по возможностям управления и в соответствии с эталонной моделью ISO/OSI.

Размещено на http://www.allbest.ru/

Рисунок 1 Классификация коммутаторов

Рассмотрим подробнее назначение и возможности каждого из видов коммутаторов.

Неуправляемый коммутатор ? это устройство, предназначенное для соединения нескольких узлов компьютерной сети в пределах одного или нескольких сегментов сети. Он передаёт данные только непосредственно получателю, исключение составляет широковещательный трафик всем узлам сети. Никаких других функций неуправляемый коммутатор выполнять не может.

Управляемые коммутаторы представляют собой более сложные устройства, позволяющие выполнять набор функции второго и третьего уровней модели ISO/OSI. Управление ими может осуществляться посредством Web-интерфейса, командной строки через консольный порт или удаленно по протоколу SSH, а также с помощью протокола SNMP [1].

Настраиваемые коммутаторы предоставляют пользователям возможность настраивать определенные параметры с помощью простых утилит управления, Web-интерфейса, упрощенного интерфейса командной строки и протокола SNMP.

Коммутаторы уровня 2 анализируют входящие кадры, принимают решение об их дальнейшей передаче и передают их пунктам назначения на основе МАС-адресов канального уровня модели OSI. Основное преимущество коммутаторов уровня 2 - прозрачность для протоколов верхнего уровня. Так как коммутатор функционирует на втором уровне, ему нет необходимости анализировать информацию верхних уровней модели OSI.

Коммутаторы уровня 3 осуществляют коммутацию и фильтрацию на основе адресов канального (уровень 2) и сетевого (уровень 3) уровней модели OSI. Такие коммутаторы динамически решают, коммутировать (уровень 2) или маршрутизировать (уровень 3) входящий трафик [5]. Коммутаторы 3-го уровня выполняют коммутацию в пределах рабочей группы и маршрутизацию между различными подсетями или виртуальными локальными сетями (VLAN).

1.1.2. Обзор коммутаторов D-Link

В настоящее время одним из всемирно известных разработчиков и производителей сетевого и телекоммуникационного оборудования является компания D-Link. Она предлагает широкий набор решений для домашних пользователей, корпоративного сегмента, провайдеров интернет-услуг [25]. Также компания предоставляет решения для учебных заведений. В частности, образовательным учреждением «Нижнетагильский горно-металлургический колледж» было закуплено соответствующее оборудование для выполнения лабораторных работ - типовой комплект лабораторного стенда «Глобальные компьютерные сети». Комплект состоит из трёх маршрутизаторов Cisco 1921, одного коммутатора третьего уровня D-Link DES-3810-28, двух управляемых коммутаторов второго уровня D-Link DES-3200-10, четырёх неуправляемых коммутаторов D-Link DES-1005А, 48-портовой фиксированной коммутационной панели категории 5е, которая позволяет формировать необходимую топологию сети. Лабораторный стенд представлен на рисунке (см. рисунок 2).

Рисунок 2 Внешний вид лабораторного стенда «Глобальные компьютерные сети»

Рассмотрим подробнее коммутаторы лабораторного стенда, которые будут использоваться при выполнении лабораторных работ.

Коммутатор третьего уровня D-Link DES-3810-28 представлен на рисунке (см. рисунок 3).



Рисунок 3 Коммутатор третьего уровня D-Link DES-3810-28

Коммутаторы третьего уровня серии DES-3810 (Desktop Ethernet Switch), входящие в семейство D-Link xStack, обеспечивают высокую производительность, широкие функциональные возможности, в том числе и уровня 3. Коммутаторы оснащены 24 и 48 портами. Коммутатор DES-3810-28 оснащен 24 портами 10/100 Мбит/с Fast Ethernet и 4 комбо-портами 1000 Base-T/SFP Gigabit Ethernet. Порты Fast Ethernet обеспечивают подключение к другим коммутаторам локальной сети. Комбо-порты обеспечивают гибкое подключение к магистрали сети и центральным коммутаторам.

Коммутаторы серии DES-3810 поддерживают две различные версии программного обеспечения - стандартную версию (SI) и расширенную версию (EI). Стандартная версия поддерживает усовершенствованные функции для построения сетей масштаба кампуса или предприятия, включая расширенные настройки Quality of Service (QoS), ограничение трафика, туннелирование 802.1Q (Q-in-Q), маршрутизацию/ многоадресную рассылку IPv4, Ethernet OAM и различные функции безопасности. Расширенная версия программного обеспечения поддерживает маршрутизацию IPv6, протокол BGP (Border Gateway Protocol) и протокол MPLS (Multi Protocol Label Switching), применяемые в сетях нового поколения с поддержкой IPv6 или для приложений VPN/triple play в сетях Metro Ethernet. Помимо этого, расширенная версия также поддерживает Switch Resource Management (SRM). Эта функция предоставляет пользователям возможность оптимизировать распределение ресурсов коммутатора для решения различных сетевых задач.

Данные коммутаторы серии DES-3810 предназначены для сетей предприятий/кампуса, а также для пользователей, которым требуется высокий уровень сетевой безопасности и максимальная надежность. Коммутатор DES-3810-28 поддерживает подключение внешнего резервного источника питания, обеспечивая таким образом непрерывную работоспособность. Коммутатор также поддерживает функции 802.1D Spanning Tree (STP), 802.1w Rapid Spanning Tree (RSTP) и 802.1s Multiple Spanning Tree (MSTP), Loopback Detection (LBD) и контроль широковещательного шторма, которые увеличивают отказоустойчивость сети. Функция G.8032 Ethernet Ring Protection Switching (ERPS) обеспечивает время переключения менее 50 мс. Для обеспечения распределения нагрузки и резервного копирования данных при использовании нескольких коммутаторов/приложения сервера, серия DES-3810 поддерживает функцию dynamic 802.3ad Link Aggregation Port Trunking.

Коммутатор второго уровня D-Link DES 3200-10 изображен на рисунке (см. рисунок 4).

Рисунок 4 Коммутатор второго уровня D-Link DES 3200-10

Коммутаторы DES-3200 входят в линейку управляемых коммутаторов D-Link 2 уровня серии xStack, предназначенную для сетей Metro Ethernet (ETTX и FTTX) и корпоративных сетей. Коммутаторы оснащены 8/16/24/48 портами 10/100 Мбит/с Fast Ethernet, а также 2/4 комбо-портами Gigabit Ethernet/SFP у аппаратной ревизии А1 или 1 портом 100/1000 SFP + 1 комбо-портом Gigabit Ethernet/SFP / 2 порта 100/1000 SFP + 2 комбо-порта Gigabit Ethernet/SFP у аппаратных ревизий В1 и С1. Коммутаторы DES-3200-10/18 выполнены в корпусе шириной 9 дюймов и оснащены пассивной системой охлаждения, подходящей как для настольного использования, так и для установки в телекоммуникационных и распределительных шкафах.

Коммутаторы серии DES-3200 поддерживают управление доступом 802.1x на основе порта/хоста, гостевой VLAN, а также аутентификацию RADIUS/TACACS/XTACACS/TACACS для управления доступом к самому коммутатору. Функция IP-MAC-Port Binding обеспечивает привязку IP- и МАС-адреса пользователя к определенному номера порта на коммутаторе, запрещая тем самым пользователю самостоятельно менять сетевые настройки. Более того, благодаря функции DHCP Snooping коммутатор автоматически определяет пары IP/MAC-адресов выданных сервером, отслеживая DHCP-пакеты и сохраняя их в «белом» списке IMPB. Эти функции играют важную роль в поддержке безопасности сети. Встроенная функция D-Link Safeguard Engine обеспечивает идентификацию и приоритизацию пакетов, предназначенных для обработки непосредственно процессором коммутатора, с целью предотвращения злонамеренных атак и нейтрализации воздействия паразитного трафика на CPU коммутатора. Помимо этого, DES-3200 поддерживает cписки управления доступом (ACL). Данный функционал предоставляет администраторам возможность ограничить доступ к сетевым сервисам и не оказывает влияния на производительность коммутатора [1].

1.2. Классификация угроз сетевой безопасности

Сетевая безопасность это набор требований, предъявляемых к инфраструктуре компьютерной сети предприятия и политикам работы в ней, при выполнении которых обеспечивается защита сетевых ресурсов от несанкционированного доступа.

Под сетевой безопасностью правильно понимать защиту информационной инфраструктуры организации от вторжений злоумышленников извне при помощи аутентификации, авторизации, сетевых экранов, IDS/IPS, VPN и т. д., а также защиту от случайных ошибок персонала или намеренных действий инсайдеров изнутри самой организации (защиту от утечек - DLP) [27].

Проблемы, возникающие с безопасностью передачи информации при работе в компьютерных сетях, представлены ниже (см. рисунок 5).

Размещено на http://www.allbest.ru/

Рисунок 5 Проблемы, возникающие с безопасностью передачи информации при работе в компьютерных сетях

Исследования практики функционирования систем обработки данных и вычислительных систем показали, что существует достаточно много возможных направлений утечки информации и путей несанкционированного доступа в системах и сетях, а именно:

? чтение остаточной информации в памяти системы после выполнения санкционированных запросов;

? копирование носителей информации, файлов информации с преодолением мер защиты;

? использование недостатков операционной системы;

? незаконное подключение к аппаратному обеспечению и линиям связи;

? маскировка под запрос системы;

? злоумышленный вывод из строя механизмов защиты;

? маскировка под зарегистрированного пользователя;

? внедрение и использование компьютерных вирусов;

? использование программных ловушек.

Обеспечение безопасности информации в компьютерных сетях достигается комплексом организационных, организационно-технических, технических и программных мер [9].

Цели защиты информации в компьютерных сетях:

1) обеспечение целостности (физической и логической) информации;

2) предупреждение несанкционированной модификации, несанкционированного получения и размножения информации.

Задачи защиты информации в компьютерных сетях определяются теми угрозами, которые потенциально возможны в процессе их функционирования.

Для сетей передачи данных реальную опасность представляют следующие угрозы:

- прослушивание каналов, т. е. запись и последующий анализ всего проходящего потока сообщений. Прослушивание в большинстве случаев не замечается легальными участниками информационного обмена;

- умышленное уничтожение или искажение (фальсификация) проходящих по сети сообщений, а также включение в поток ложных сообщений. Ложные сообщения могут быть восприняты получателем как подлинные;

- присвоение злоумышленником своему узлу или ретранслятору чужого идентификатора, что дает возможность получать или отправлять сообщения от чужого имени;

- преднамеренный разрыв линии связи, что приводит к полному прекращению доставки всех (или только выбранных злоумышленником) сообщений;

- внедрение сетевых вирусов, т. е. передача по сети тела вируса с его последующей активизацией пользователем.

В соответствии с этим, специфические задачи защиты в сетях передачи данных состоят в следующем:

- аутентификация одноуровневых объектов, заключающаяся в подтверждении подлинности одного или нескольких взаимодействующих объектов при обмене информацией между ними;

- контроль доступа, т. е. защита от несанкционированного использования ресурсов сети;

- маскировка данных, циркулирующих в сети;

- контроль и восстановление целостности всех находящихся в сети данных;

- арбитражное обеспечение, т. е. защита от возможных отказов от фактов отправки, приема или содержания отправленных или принятых данных [28].

1.3.Возможности коммутаторов D-Link по обеспечению сетевой безопасности

Коммутаторы серии DES-3810 поддерживают такие новейшие функции безопасности (см. рисунок 6), как многоуровневые списки управления доступом (ACL), Storm Control и IP-MAC-Port Binding с DHCP Snooping. Функция IP-MAC-Port Binding обеспечивает привязку IP-адреса источника к соответствующему МАС-адресу для определенного номера порта, способствуя увеличению безопасности доступа. Благодаря функции DHCP Snooping, коммутатор автоматически определяет пары IP/MAC-адресов, отслеживая DHCP-пакеты и сохраняя их в «белом» списке IMPB. Кроме того, функция D-Link Safeguard Engine обеспечивает идентификацию и приоритизацию пакетов, предназначенных для обработки CPU, для предотвращения сетевых атак и защиты управляющего интерфейса коммутатора [8].

Размещено на http://www.allbest.ru/

Рисунок 6 Функции безопасности, поддерживаемые коммутаторами D-Link

1.3.1 Функция Port Security

Port Security функция коммутатора, позволяющая указать MAC-адреса хостов, которым разрешено передавать данные через порт. После этого порт не передает пакеты, если MAC-адрес отправителя не указан как разрешенный. Кроме того, можно указывать не конкретные MAC-адреса, разрешенные на порту коммутатора, а ограничить количество MAC-адресов, которым разрешено передавать трафик через порт. Используется для предотвращения:

- несанкционированной смены MAC-адреса сетевого устройства или подключения к сети;

- атак, направленных на переполнение таблицы коммутации.

Рассмотрим настройку функции Port Security. Параметры данной команды, подлежащие настройке, представлены в таблице (см. таблицу 1).

Таблица 1 Параметры функции Port Security

Параметр	Действие
learn-mode	режим запоминания MAC-адресов; по умолчанию все порты находятся в режиме continuous
action	none ? не выполнять никаких действий send-alarm ? отправить сообщение о нарушении (SNMP, log) send-disable ? отправить сообщение о нарушении и выключить порт
address-limit	максимальное количество MAC-адресов, которое будет разрешено на порту; применяется к режимам static, configured и limited-continuous: - для static и configured значения от 1 до 8; - для limited-continuous ? от 1 до 32; по умолчанию для всех режимов разрешен 1 MAC-адрес
mac-address	статическое задание разрешенных MAC-адресов для режимов static и configured
clear-intrusion-flag	очистить intrusion flag для указанных портов; после этого можно включать порт, который выключился из-за нарушения Port Security

Eavesdrop Prevention ? функция, запрещающая передавать unicast-пакеты, которые передаются на неизвестные для коммутатора MAC-адреса, на порты, на которых она включена. Это не позволяет неавторизованным пользователям прослушивать трафик, который передается на MAC-адреса, удалённые из таблицы коммутации по таймауту (aged-out).

Eavesdrop Prevention не влияет на multicast и broadcast трафик. Коммутатор передает этот трафик через соответствующие порты, независимо от того, настроена ли на них функция Port Security.

Настройка Port Security автоматически включает на этом интерфейсе Eavesdrop Prevention.

Отмена настройки Port Security выполняется командой:

switch(config)# no port-security <port>

Включение порта после того, как он был выключен Port Security, то есть после его блокировки:

switch(config)# port-security 10 clear-intrusion-flag

switch(config)# interface 10 enable

Настройка Eavesdrop Prevention

switch(config)# port-security <port-list> eavesdrop-prevention

Рассмотрим настройку функии Port Security с аутентификацией 802.1X. Для этого необходимо настроить Port Security в режиме запоминания port-access:

switch(config)# port-security 10 learn-mode port-access

Затем требуется установить при настройке аутентификации 802.1X режим контроля auto:

switch(config)# aaa port-access authenticator 10 control auto

Port Security и режим контроля аутентификации 802.1X подразумевают следующее:

? если аутентификация 802.1X настроена в режиме контроля auto (режим по умолчанию), то коммутатор запоминает MAC-адрес хоста, с которого подключился аутентифицированный пользователь как безопасный;

? если аутентификация 802.1X настроена в режиме контроля authorized, то коммутатор запоминает MAC-адрес первого появившегося хоста как безопасный [10].

коммутатор безопасность сеть компьютерный

1.3.2 Функция Access Control List (ACL)

ACL (Access Control List) --списки контроля доступа ? обеспечивают ограничение прохождения трафика через коммутатор. Фактически технология ACL реализует на коммутаторах 3-го уровня полноценный фильтр пакетов. Приём пакетов или отказ в приёме основывается на определённых признаках, которые содержит пакет:

- IP- и MAC-адреса источника и приёмника;

- номер VLAN;

- номер порта TCP или UDP;

- тип ICMP-сообщения.

Списки контроля доступа являются средством фильтрации потоков данных без потери производительности, так как проверка содержимого пакетов данных выполняется на аппаратном уровне. Фильтруя потоки данных, администратор может ограничить типы приложений, разрешенных для использования в сети, контролировать доступ пользователей к сети и определять устройства, к которым они будут подключаться. Также ACL могут использоваться для определения политики качества обслуживания (QoS) путем классификации трафика и переопределения его приоритета.

ACL представляют собой последовательность условий проверки параметров пакетов данных. Когда сообщения поступают на входной порт, коммутатор проверяет параметры пакетов данных на совпадения с критериями фильтрации, определенными в ACL, и выполняет над пакетами данных одно из действий: Permit (Разрешить) или Deny (Запретить). Критерии фильтрации могут быть определены на основе следующей информации, содержащейся в пакете (см. рисунок 7):

- порт коммутатора;

- MAC/IP адрес;

- тип Ethernet/ тип протокола;

- VLAN;

- 802.1p/DSCP;

- порт TCP/UDP(тип приложения);

- первые 80 байт пакета, включая поле данных.

Рисунок 7 Условия проверки ACL

Обычно ACL разрешает или запрещает IP-пакеты, но, помимо всего прочего, он может заглядывать внутрь IP-пакета, просматривать тип пакета, TCP и UDP порты. В основном применение списков доступа рассматривают с точки зрения пакетной фильтрации, то есть пакетная фильтрация необходима в тех ситуациях, когда оборудование располагается на границе сети Интернет и частной сети и требуется отфильтровать ненужный трафик.

В этом случае ACL размещаются на входящем направлении и тем самым блокируют избыточные виды трафика.

Функционал ACL состоит в классификации трафика, сначала его нужно проверить, а затем что-то с ним сделать в зависимости от того, куда ACL применяется. Примеры применения списков контроля доступа:

- на интерфейсе: пакетная фильтрация;

- на линии Telnet: ограничение доступа к маршрутизатору;

- VPN: какой трафик нужно шифровать;

- QoS: какой трафик обрабатывать приоритетнее;

- NAT: какие адреса транслировать.

Виды списков контроля доступа

Динамические списки контроля доступа (Dynamic ACL)

Позволяют сделать следующее: например, имеется маршрутизатор, который подключен к какому-то серверу, и требуется закрыть доступ к нему из внешнего мира, но в тоже время есть несколько человек, которые могут подключаться к серверу.

Настраивается динамический список доступа, прикрепляется на входящем направлении, а затем пользователи, которым нужно подключиться, подключатся через Telnet к данному устройству. В результате динамический ACL открывает проход к серверу, и уже человек может зайти через HTTP на сервер. По умолчанию через 10 минут этот проход закрывается, и пользователь вынужден ещё раз выполнить Telnet, чтобы подключиться к устройству.

Рефлексивные списки контроля доступа (Reflexive ACL)

Здесь ситуация немного отличается: когда узел в локальной сети отправляет TCP запрос в Интернет, должен быть открытый проход, чтобы пришел TCP ответ для установки соединения. Если прохода не будет ? станет невозможным установить соединение, и этим проходом могут воспользоваться злоумышленники, например, проникнуть в сеть. Рефлексивные ACL работают таким образом, что блокируется полностью доступ (deny any) но формируется ещё один специальный ACL, который может читать параметры пользовательских сессий, сгененированных из локальной сети, и для них открывать проход в deny any. В результате получается, что никто из сети Интернет не сможет установить соединение, а на сессии, сгенерированные из локальной сети, будут приходить ответы.

Ограничение по времени (Time-based ACL)

Обычный ACL, но с ограничением по времени, позволяет ввести специальное расписание, которое активирует ту или иную запись списка доступа. Можно поступить следующим образом: создать список доступа, в котором запрещается HTTP-соединение в течение рабочего дня, и привязать его к интерфейсу маршрутизатора. В этом случае сотрудники предприятия не смогут получать HTTP-доступ в рабочее время [12].

1.3.3 Функция IP-MAC-Port Binding

Функция IP-MAC-Port Binding (IMPB), реализованная в коммутаторах D-link, позволяет контролировать доступ компьютеров в сеть на основе их

IP- и MAC-адресов, а также порта подключения. Администратор может создать записи («белый список»), связывающие IP- и MAC-адреса компьютеров с портами подключения коммутатора. На основе этих записей в случае совпадения всех составляющих клиентские компьютеры будут получать доступ к сети. В этом случае, если при подключении клиента связка IP-MAC-порт будет отличаться от параметров заранее сконфигурированной записи, коммутатор заблокирует MAC-адрес соответствующего узла с занесением его в «черный список» (см. рисунок 8).



Рисунок 8 Активизированная функция IP-MAC-Port Binding

Функция IP-MAC-Port Binding специально разработана для управления подключением узлов в сетях ETTH (Ethernet-To-The-Home) и офисных сетях. Помимо этого функция IMPB позволяет бороться с атаками типа ARP Spoofing, во время которых злоумышленники перехватывают трафик или обрывают соединение, манипулируя пакетами ARP.

Функция IP-MAC-Port Binding (IMPB) включает три режима работы: ARP mode (установлен по умолчанию), ACL mode и DHCP Snooping (см. таблицу 2).

Таблица 2. Режимы работы функции IMPB

Режим	Действие
ARP mode	Если в пришедшем ARP-пакете связка IP-MAC не совпадает с заданной администратором, то адрес узла будет занесен в таблицу с пометкой «Drop» (Отбрасывать). Если эта связка совпадает, то адрес будет занесен в таблицу коммутации как «Allow» (Разрешить).
ACL mode	Коммутатор на основе предустановленного администратором «белого списка» создает правила ACL. Любой пакет, связка IP-MAC, которого отсутствует в «белом списке» будет блокироваться ACL. Если режим ACL отключен, то правила записей IMPB будут удалены из таблицы ACL.
DHCP Snooping	Коммутатор автоматически создает «белый список» IMPB в таблице коммутации или аппаратной таблице ACL (при включенном режиме ACL mode). При этом для корректной работы сервер DHCP должен быть подключен к доверенному порту с выключенной функцией IMPB.
Strict mode	В этом режиме порт, прежде чем передавать пакеты будет, отправлять их на ЦПУ для проверки совпадения их пары IP-MAC с записями в белом списке. Таким образом, порт не будет передавать пакеты, пока не убедится в их достоверности. Порт проверяет все IP- и ARP-пакеты.
Loose mode	В этом режиме порт по умолчанию открыт, он будет заблокирован, как только через него пройдет первый недостоверный пакет. Порт проверяет только пакеты ARP и IPBroadcast.

На рисунке (см. рисунок 9) показан пример работы функции IP-MAC-Port Binding в режиме ARP. Злоумышленник инициировал атаку типа ARP Spoofing. Коммутатор обнаружил, что на порт 10 приходят пакеты ARP, связка для которых отсутствует в «белом списке» IMPB, и блокирует MAC-адрес узла.

Рисунок 9 Работа функции IMPB в режиме ARP.

1.3.4. Функция Storm Control

Функция Storm Control ограничивает количество multicast, широковещательных и неизвестных unicast фреймов, которые принимает и перенаправляет устройство.

Для этого выставляются следующие параметры:

- порты, на которых включена функция;

- тип шторма (storm control type), который будет учитываться:

§ Broadcast Storm;

§ Broadcast, Multicast Storm;

§ Broadcast, Multicast, Unknown Unicast Storm;

- действие, которое будет выполняться при обнаружении шторма:

§ Drop отбрасывать пакеты, которые превышают пороговое значение;

§ Shutdown отключить порт, который получает пакеты, распознанные как шторм;

- временной интервал, в течение которого измеряется скорость трафика указанного типа шторма;

- пороговое значение, которое указывает максимальное значение скорости (в kbps), с которой передаются пакеты, распознанные как шторм.

Глава 2. Лабораторный практикум по теме «Технологии обеспечения безопасности локальных сетей»

2.1. Лабораторная работа 1 «Базовые механизмы безопасности коммутаторов »

Рисунок 11 Расположение компьютеров в сети

В современных сетях, особенно в сетях провайдеров услуг, необходимо осуществлять не только защиту периметра сети и ограничения передачи трафика, но и контроль над консолями управления активным оборудованием, минимизировать доступ к средствам управления, учетным административным записям коммутатора. В данной лабораторной работе рассматривается ограничение управлением коммутатора при помощи функции Trusted Hosts.

Цель работы: изучить функцию Trusted Hosts и ее настройку на коммутаторах D-Link.

Оборудование: коммутатор D-Link DES 3810-28, рабочая станция, консольный кабель, кабель Ethernet.

Перед выполнением задания необходимо сбросить настройки коммутатора к заводским настройкам по умолчанию командой:

reset config

Настройте IP-адрес интерфейса управления коммутатора:

config ipif System ipaddress 10.90.90.91/24

Создайте доверенную рабочую станцию, с которой разрешено управление коммутатором:

create trusted_host 10.90.90.101

Посмотрите список доверенных узлов сети:

show trusted_host

Проверьте возможность управления коммутатором со станций ПК 2 и ПК 3:

telnet 10.90.90.91

Что вы наблюдаете?

Повторите упражнение после установки подсети управления.

Удалите доверенную станцию управления:

delete trusted_host ipaddr 10.90.90.101

Создайте сеть, из которой разрешено управление коммутатором:

create trusted_host network 10.90.90.91/24

Проверьте возможность управления коммутатором со станций ПК 2 и ПК 3:

telnet 10.90.90.91

Что вы наблюдаете?

Удалите сеть, из которой разрешено управление коммутатором:

delete trusted_host network 10.90.90.91/24

2.2. Лабораторная работа 2 «Функция Port Security»

Функция Port Security позволяет настроить любой порт коммутатора так, чтобы через него доступ к сети мог осуществляться только определенными устройствами. Устройства, которым разрешено подключаться к порту, определяются по MAC-адресам. MAC-адреса могут быть настроены динамически или вручную администратором. Помимо этого, функция Port Security позволяет ограничивать количество изучаемых портом MAC-адресов, тем самым ограничивая количество подключаемых к нему узлов.

Существуют три режима работы функции Port Security:

- Permanent (Постоянный) - занесенные в таблицу MAC-адреса никогда не устаревают, даже если истекло время, установленное таймером Aging Time, или коммутатор был перезагружен;

- Delete on Timeout (удалить по истечению времени) -занесенные в таблицу MAC-адреса устареют по истечению времени, уставленного таймером Aging Time, и будут удалены. Если состояние связи на подключаемом порту изменяется, то MAC-адреса также удаляются из таблицы коммутации;

- Delete on Reset (удалить при сбросе) - занесенные в таблицу MAC-адреса будут удалены после перезагрузки коммутатора (этот вариант используется по умолчанию).

Цель работы: научиться управлять подключением узлов к портам коммутатора и изучить настройку функции Port Security на коммутаторах

D-Link.

Оборудование: коммутатор D-Link DES 3200-10, рабочая станция, кабель Ethernet, консольный кабель.

Рисунок 11 Настройка Port Security

Управление количеством подключаемых к портам коммутатора узлов путем ограничения максимального количества изучаемых MAC-адресов

Сначала необходимо вернуть настройки коммутатора к заводским настройкам по умолчанию командой:

reset config

Установите максимальное количество изучаемых каждым портом MAC-адресов равным 1 и включите функцию на всех портах:

config port_security ports all admin_state enable max_learning addr 1

Подключить ПК 1 и ПК 2 к портам 2 и 8 коммутатора соответственно.

show fdb port 2

show fdb port 8

Проверьте, соответствуют ли зарегистрированные адреса адресам рабочих станции.

Проверьте информацию о настройках Port Security на портах коммутатора:

show port_security ports 1-8

Включите в запись журнал работы коммутатора MAC-адресов, подключающихся к порту станции, и отправку сообщений SNTP Trap:

enable port_security trap_log

Выполните тестирование доступности узлов командой ping от ПК 1 к ПК 2 и наоборот.

Подключите ПК 1 к порту 8, а ПК 2 к порту 1.

Повторите тестирование соединения между рабочими станциями командой ping.

Проверьте информацию в журнале работы коммутатора:

show log

Какой вы сделаете вывод?

Сохраните конфигурацию и перезагрузите коммутатор:

save

reboot

Выполните тестирование соединения между рабочими станциями командой ping.

Какой вы сделаете вывод? Сохраняется ли информация о привязке MAC-port?

Настройте на порту 2 функцию Port Security в режиме Permanent и максимальное количество изучаемых адресов равным 1:

config port_security ports 2 admin_state enable max learning_addr 1 lock_address_mode permanent

Сохраните конфигурацию и перезагрузите коммутатор:

save

reboot

Очистите информацию о привязке MAC-порта порту 2:

clear port_security_entry port 2

Отключите Port Security на порту 2 и приведите настройки коммутатора в исходное (по умолчанию) состояние:

clear port_security ports 2 admin_state disable max_learning_addr 1ock_address mode deleteonreset

Просмотрите время таймера блокирования (оно соответствует времени жизни MAC-адреса в таблице коммутации):

show fdb aging_time

Изменить время действия таймера можно с помощью настройки времени жизни MAC-адреса в таблице коммутации (оно указано в секундах):

config fdb aging_time 20

Измените режим работы функции Port Security на Delete on Timeout:

config port_security ports 2 admin_state enable max_learning_addr 1 lock_address mode deleteontimeout

Проверьте MAC-адреса, которые стали известны порту 2:

show fdb port 2

Проверьте информацию о настройках Port Security коммутатора:

show port_security ports 1-8

Выполните тестирование соединения между ПК 1 и ПК 2 командой ping.

Какой вы сделаете вывод? Сохраняется ли информация о привязке MAC-port?

Отключите функцию Port Security на портах:

config port_security ports 1-8 admin_state disable

Отключите функцию записи в log-файл и отправки SNMP Trap:

disable port_security trap_log

Примечание: после выполнения обучения можно отключить функцию динамического изучения MAC-адресов, и тогда в таблице коммутации сохранятся изученные адреса. Таким образом текущая конфигурация сети будет сохранена, и дальнейшее подключение новых устройств без ведома администратора будет невозможно. Новые устройства можно добавить путем создания статической записи в таблице коммутации.

Настройка защиты от подключения к портам, основанной на статической таблице MAC-адресов

Отключите рабочие станции от коммутатора.

Верните настройки коммутатора к заводским:

reset system

Активизируйте функцию Port Security на всех портах и запретите изучение MAC-адресов, установив параметр max_learning_addr равным нулю (команда вводится в одну строку):

config port_security admin_state ports 1-8 enable max_learning_addr 0

Проверьте состояние портов:

show ports

Проверьте соединения между ПК 1 и ПК 2 командой ping.

Проверьте состояние таблицы коммутации:

show fdb

Имеются ли там записи?

В таблице коммутации вручную создайте статические записи MAC-адресов для рабочих станций, подключенных к портам 2 и 8:

create fdb default 00-00-00-ba-00-01 port 2

create fdb default 00-00-00-ba-00-02 port 8

Проверьте созданные статические записи в таблице коммутации:

show fdb

Проверьте информацию о настройках Port Security на портах коммутатора:

show port_security ports 1-8

Проверьте соединения между ПК 1 и ПК 2 командой ping.

Подключите ПК 1 к порту 8, а ПК 2 к порту 2.

Повторите тестирование командой ping.

Какой вы сделаете вывод?

Удалите ранее созданную статическую запись из таблицы MAC на порту 2:

delete fdb default 00-50-ba-00-00-01

2.3. Лабораторная работа 3 «Функция IP-MAC-Port Binding»

Функция IP-MAC-Port Binding реализована в коммутаторах D-Link и позволяет контролировать доступ компьютеров в сеть на основе их IP- и MAC-адресов, а также порта подключения. Администратор может создавать записи, связывающие IP- и MAC-адреса компьютеров с портами коммутатора. На основе этих записей, в случае совпадения всех составляющих, клиенты будут получать доступ к сети со своих компьютеров. В том случае, если связка IP-MAC-порт будет отличаться от заранее сконфигурированной записи, то коммутатор заблокирует MAC-адрес соответствующего узла.

Функция IP-MAC-Port Binding включает три режима работы: ACL mode, ARP mode (используется по умолчанию) и DHCP snooping mode.

При работе в режиме ARP коммутатор анализирует ARP пакеты и сопоставляет параметры IP-MAC ARP-пакета, с предустановленной администратором связкой IP-MAC. Если хотя бы один параметр не совпадает, то MAC-адрес узла будет занесен в таблицу коммутации с пометкой Drop (отбрасывать). Если все параметры совпадают, то MAC-адрес узла будет занесен в таблицу коммутации с пометкой Allow (разрешить).

При функционировании в ACL mode, коммутатор, на основе предустановленного «белого списка» IMPB создает правила ACL. Любой пакет, связка IP-MAC которого отсутствует в «белом списке», будет блокироваться ACL.

Режим DHCP Snooping используется коммутатором для динамического создания записей IP-MAC на основе анализов DHCP-пакетов и привязки их к портам с включенной функцией IMPB (администратору не требуется создавать записи вручную). Таким образом, коммутатор автоматически создает «белый список» IMPB в таблице коммутации или аппаратной таблице ACL (при включенном режиме ACL). При этом для обеспечения корректной работы сервер DHCP должен быть подключен к доверенному порту с выключенной функцией IMPB. Администратор может ограничить количество создаваемых в процессе автоизучения записей IP-MAC на порт и, следовательно, ограничить для каждого порта с активированной функцией IMPB количество узлов, которые могут получить IP-адрес с DHCP сервера. При работе в режиме DHCP Snooping коммутатор не будет создавать записи IP-MAC для узлов с IP-адресом, установленным вручную.

При включении функции IMPB на порту администратор должен указать режим его работы:

- Loose mode - порт по умолчанию заблокирован;

- Strict mode - порт по умолчанию открыт.

Цель работы: научиться управлять подключением узлов к портам коммутатора и изучить настройку функции IP-MAC-Port Binding на коммутаторах D-Link.

Оборудование: коммутатор D-Link 3200-10, рабочая станция, консольный кабель, кабель Ethernet.

Настройка функции IMPB в режиме ARP.

Рисунок 12 Функция IMPB в режиме ARP

Верните настройки коммутатора к заводским (по умолчанию) командой:

reset config

Замените указанные в командах MAC-адреса на реальные MAC-адреса компьютеров, подключенных к коммутатору.

Создайте запись IP-MAC-Port Binding, связывающую IP- и MAC-адрес ПК 1 с портом 2 (по умолчанию режим работы функции ARP):

create address_binding ip_mac ipaddress 10.90.90.101 mac_address 00-50-ba-00-00-01 port 2

Создайте запись IP-MAC-Port Bindnig, связывающую IP- и MAC-адрес ПК 2 с портом 8:

create address_binding ip_mac ipaddress 10.90.90.102 mac_address 00-50-ba-00-00-02 port 8

Активизируйте функцию на портах 2 и 8 (по умолчанию режим работы портов Strict):

config address_binding ip_mac ports 2, 8 state enable

Проверьте созданные записи IP-MAC-Port Binding:

show address_binding ip_mac all

Проверьте порты, для которых настроена функция, и их режим работы:

show address_binding ports

Подключите рабочие станции ПК 1 и ПК 2 к коммутатору как показано на рисунке (см. рисунок 12).

Проверьте доступность соединения между рабочим станциями командой:

ping <ipaddress>

Включите запись в log-файл и отправку сообщений SNTP Trap в случае несоответствия ARP-пакета связки IP-MAC:

enable address_binding trap_log

Подключите ПК 1 к порту 8, а ПК 2 к порту 2.

Повторите тестирование соединения между рабочими станциями командой ping.

Проверьте заблокированные рабочие станции

show address_binding blocked all

Проверьте наличие заблокированных станций в log-файле.

show log

Какой вы сделаете вывод?

Удалите адрес из списка заблокированных адресов:

delete address_binding blocked vlan_name System mac_address 00-50-ba-00_00-01

Удалите IP-MAC-Port Binding:

delete address_binding ip_mac ipaddress 192.168.1.12 mac_address 00-50-ba-00-00-01

Отключите функцию IP-MAC-Port-Binding на портах 2 и 8:

config address_binding ip_mac ports 2, 8 state disable

Настройка функции IP-MAC-Port Binding в режиме ACL

Создайте запись IP-MAC-PortBinding , связывающую IP- и MAC-адрес станции ПК 1 с портом 2:

create address_binding ip_mac ipaddress 10.90.90.101 mac_address 00-50-ba-00-00-01 ports 2

Создайте запись IP-MAC-Port Bindnig, связывающую IP- и MAC-адрес станции ПК 2 с портом 8:

create address_binding ip_mac ipaddress 10.90.90.102 mac_address 00-50-ba-00-00-02 ports 8

Активируйте функцию на портах 2 и 8 (по умолчанию режим работы портов Strict), включите режим allow_zeroip, благодаря которому коммутатор не будет блокировать узлы, отправляющие ARP-пакеты с IP-адресом источника 0.0.0.0, и установите режим работы функции IMPB в режиме ACL (команда вводится в одну строку):

config address_binding ip_mac ports 2, 8 state enable allow_zeroip enable mode acl

Проверьте созданные записи IP-MAC-PortBinding:

show address_binding ip_mac

Проверьте порты, на которых настроена функция и режим их работы:

show address_binding ports

Проверьте созданные профили доступа ACL:

show access_profile

Подключите рабочие станции к коммутатору, как показано на рисунке (см. рисунок 12).

Повторите доступность соединения между станциями командой ping.

ping <ip address>

Подключите ПК 1 к порту 8, а ПК 2 к порту 2.

Повторите тестирование соединения между станциями командой ping.

Проверьте заблокированные рабочие станции:

show address_binding blocked all

Какой вы сделаете вывод?

Удалите адрес из списка заблокированных адресов:

delete address_binding blocked vlan_name System mac_address 00-50-ba-00-00-01

Удалите все заблокированные адреса:

delete address_binding blocked all

Удалите все записи IP-MAC-Port Binding:

delete address_binding ip_mac ipaddress 10.90.90.102 mac_address

00-50-ba-00-00-02

delete address_binding ip_mac ipaddress 10.90.90.101 mac_address

00-50-ba-00-00-01

Отключите функцию IP-MAC-Port Binding на портах 2 и 8:

config address_binding ip_mac ports 2, 8 state disable

Какой можно сделать вывод о функции IP-MAC-Port Binding в режиме ACL?

2.4. Лабораторная работа 4 «Безопасность на основе сегментации трафика»

Функция Traffic Segmentation (сегментация трафика) служит для разграничения доменов на канальном уровне. Она позволяет настраивать порты или группы портов коммутатора таким образом, чтобы они были полностью изолированы друг от друга, но имели доступ к разделяемым портам, которые используются, например, для подключения серверов или магистрали сети. Функция сегментация трафика может использоваться с целью сокращения трафика внутри сетейVLAN802.1q, позволяя разбивать их на меньшие группы. При этом правила VLAN имеют более высокий приоритет при передаче трафика, правила Traffic Segmentation применяются после них.

Используя функцию Traffic Segmentation, настройте порты коммутатора 9 - 16 коммутатора 1, находящиеся во VLAN v3, таким образом, чтобы рабочие станции, подключенные к ним, не могли обмениваться данными между собой, но при этом могли передавать их через магистральный канал.

Цель работы: изучить функцию сегментации трафика и ее настройку на коммутаторах D-Link.