Przełączniki sieciowe na przestrzeni ostatnich lat niezwykle ewoluowały. Nowe urządzenia to nie tylko większa wydajność, obsługa szybkich standardów transmisji danych, czy migracja funkcjonalności z urządzeń sieciowych wyższych warstw, to także znaczna poprawa bezpieczeństwa pracy użytkowników. Największym wyzwaniem producentów jest dostarczenie przełącznikom nowej architektury, która zasadniczo zmieni zestaw funkcji urządzenia.

Projektanci coraz częściej stosują architekturę opartą na elastycznej - w przeciwieństwie do statycznej - konfiguracji sprzętowej. Te duże zmiany to próba integracji bezpieczeństwa, kontroli i innych funkcjonalności, które nieustannie zmieniają technologie LAN.

Nowoczesny przełącznik powinien aktywnie identyfikować profil użytkownika oraz stosować politykę zgodną z jego tożsamością, zadaniami czy wykorzystywanymi aplikacjami. W jaki sposób zrealizować to polecenie?

Odpowiedź jest jedna, określana jednak różnymi nazwami - NAC (Network Access Control), Cisco Network Admission Control, NAP (Microsoft Network Access Protection), UAC (Juniper Unified Access Control) itp. Nieważne jak nazwany został mechanizm, zawsze będzie to metoda zatrzymująca nieproszonych użytkowników na poziomie portu przełącznika sieci lokalnej.

Bardzo dużo producentów rozwiązań Ethernet oferuje produkty związane z technologią NAC - nawet na mocno budżetowym rynku rozwiązań. Integracja zaawansowanych produktów sieciowych pozwala przełącznikom LAN komunikować się z zewnętrznym sprzętem bezpieczeństwa w celu filtrowania niebezpiecznych lub niezabezpieczonych użytkowników. Teoretycznie każda niepożądana aktywność sieciowa może zostać zlikwidowana już na poziomie portu urządzenia. Zaawansowane funkcjonalności nie są jednak dostępne w każdym przełączniku. Natomiast prawie każdy dostawca urządzeń LAN oferuje proste mechanizmy sieciowej ochrony, takie jak 802.1x, listy kontroli dostępu czy filtrowanie adresów MAC.

Co możemy zrobić bez korzystania z NAC?

NAC powiązuje elementy przełączników z pewnymi funkcjami zapory ogniowej. Punkt widzenia projektantów przełączników różni się od punktu widzenia inżynierów tworzących zapory ogniowe. Ci pierwsi myślą o maksymalnej wydajności i dostępności, natomiast twórcy firewalli skupiają się na perfekcji zabezpieczeń. Ten konflikt filozofii projektowania czyni produkty NAC, oparte na przełącznikach, wdrożeniami dość skomplikowanymi. Skutkuje to z kolei powolnym rozwojem i małą adopcją produktów. Dlatego warto poszukać odpowiedzi na pytanie - co możemy zrobić z przełącznikami, które już posiadamy, nie wykorzystując mechanizmów NAC?

Przełączniki pracujące w warstwie 2 modelu OSI stworzono do kontroli przepływu danych pomiędzy interfejsami. W warstwie łącza danych jedynym mechanizmem pozwalającym na komunikację jest MAC (Media Access Control) - 48-bitowy adres w postaci HEX. Przełączniki sieciowe narażone są na wiele możliwych ataków, m.in. przepełnienie tablicy MAC, podszywanie się pod ten adres, ataki na DHCP i VLAN, czy manipulację protokołem STP (Spanning Tree Protocol). Wymienione zagrożenia pochodzą od użytkowników po stronie portów przełącznika, więc naturalną funkcją ochronną jest możliwie maksymalne zabezpieczenie przed nieuprawnionym dostępem do sieci.

Przełączniki przetrzymują adresy MAC urządzeń przyłączonych do ich portów w specjalnej tablicy. Każda tablica ma ograniczenia, zależnie od sprzętu czy dostępnej pamięci. W wielu przełącznikach zapełnienie całej dostępnej tablicy MAC nie stanowi problemu. Wystarczy wprowadzać nowe adresy MAC, zanim wygasną uprzednio stworzone wpisy. Tablica ta wypełni się i nowe wpisy nie będą akceptowane. W ten sposób atakujący wysyłając wiele ramek z różnymi MAC adresami źródłowymi, może utrudnić lub uniemożliwić pracę legalnemu użytkownikowi. Powszechnie dostępne są narzędzia umożliwiające losową generację źródłowych i docelowych MAC adresów.

Obecnie przełączniki są dość dobrze przygotowane na tego typu atak. Dobrym zabezpieczeniem jest taka konfiguracja, która przetrzymuje adres MAC w wewnętrznej tablicy urządzenia wyłącznie przez pewien ograniczony okres. Metodę ochronną stanowi także konfiguracja umożliwiająca przyłączenie się do portu tylko jednemu adresowi. Praktycznie każdy zarządzany przełącznik pozwoli na konfigurację takiego zabezpieczenia.

Innym popularnym źródłem ataków jest podszywanie się pod adres MAC. Atakujący wykorzystując odpowiednie oprogramowanie, szuka adresu urządzenia legalnie pracującego w sieci. Następnie podmienia MAC własnego urządzenia na zdobyty. W ten sposób może odczytywać informacje przeznaczone dla innego komputera. Dość pracochłonnym, ale skutecznym rozwiązaniem dla takiego ataku, będzie przypisanie określonych adresów MAC do każdego portu. Inna metoda to wykorzystanie sieci VLAN. Dzięki niej możemy odseparować komunikację pomiędzy systemami w tej samej sieci IP. W tym przypadku stosujemy prywatny VLAN, który ograniczy komunikację wyłącznie do portów znajdujących się w tej samej sieci prywatnej.

Dobrą metodą zabezpieczenia nieautoryzowanego dostępu jest mechanizm dopuszczający jedynie autoryzowane serwery DHCP do funkcjonowania w sieci. Tworzy on tablicę zawierającą MAC adres, adres IP, czas dzierżawy, numer VLAN oraz informacje o interfejsie, odnoszące się do lokalnych portów przełącznika. Poprzez konfigurację zaufanych źródeł DHCP, urządzenie potrafi niezwłocznie odrzucać nielegalne ramki. Dodatkowe zabezpieczenie to badanie poprawności i zgodności pary adresów MAC/IP w wewnętrznej bazie danych (przykładowo, przy wpisach w konfiguracji serwera DHCP).

Wstęp do NAC - tak można określić powszechnie dostępny w nawet prostych funkcjonalnie urządzeniach protokół 802.11x. Umożliwia on uwierzytelnienie dostępu użytkownika na poziomie portu przełącznika. Skomplikowane mechanizmy NAC stworzono na podstawie tej prostej funkcjonalności. Oferują jednak znacznie więcej.

Cztery poziomy ochrony

Od wczesnych dni istnienia współdzielonych sieci, manualne metody kwarantanny użytkowników były implementowane przy użyciu list kontroli dostępu. W zależności od warstwy sieciowej, w której pracowało urządzenie, stosowano parametry polityki zawierające źródłowy i docelowy adres IP, porty TCP oraz UDP, typ protokołu IP, MAC adres. Postęp wymusił jednak zmiany.

W jaki więc sposób przełącznik LAN może chronić całą sieć? To zależy od stopnia wymaganej i niezbędnej ochrony oraz sprzętu, który będzie konieczny do realizacji danego poziomu bezpieczeństwa sieci LAN. Jakiego poziomu bezpieczeństwa można spodziewać się po NAC? Istnieją cztery poziomy ochrony.

Pierwszy to bardzo proste uwierzytelnianie oparte na hasłach. Metoda jest podobna do techniki ochrony sieci bezprzewodowych przez klucz WEP. Większość przełączników dedykowanych dla przedsiębiorstw obsługuje protokół 802.1x, który zintegrowany z serwerem uwierzytelnienia RADIUS, może realizować prostą ochronę NAC.

Drugi poziom polega na włączaniu użytkowników w różne wirtualne sieci LAN (VLAN). Przedsiębiorstwo może zostać podzielone na kilka sieci VLAN, każda przeznaczona dla określonego działu lub użytkowników o ustalonych uprawnieniach dostępu. Na podstawie informacji przekazywanych w fazie uwierzytelniania 802.1x użytkownik może zostać niedopuszczony lub włączony w odpowiedni segment sieci. Domyślnie wszystkie porty przełącznika w sieci chronionej NAC mogą zostać ustawione na kwarantannę VLAN z ograniczonym dostępem. Gdy system NAC otrzyma informację o maszynie spełniającej wymagania NAC, poinstruuje urządzenie do zmiany ustawienia portu na mniej restrykcyjny VLAN. Dotyczy to bardziej inteligentnych serwerów lub aplikacji obsługujących NAC, a także przełączników LAN umożliwiających zdalne przypisanie portu przełącznika w odpowiedni konfiguracyjnie VLAN. Większość urządzeń na rynku obsługuje sieci VLAN oraz standard RFC3580, który przekazuje przełącznikowi informacje o przyporządkowaniu użytkownika do odpowiedniego VLAN-u. Rozwiązanie musi być wspierane przez zewnętrzne oprogramowanie, ponieważ przełączniki nie stanowią kompleksowego rozwiązania NAC.