Bezpieczeństwo warstwy drugiej

Z tym mechanizmem ściśle związana jest inspekcja pakietów ARP, nazywana najczęściej DAI (Dynamic ARP Inspection). Jest to pierwsza linia ochrony przed ARP spoofingiem, oparta na porównywaniu parametrów komunikacji ARP (ruch przychodzący) z wpisami zgromadzonymi w bazie tworzonej w procesie DHCP snoopingu. Jeżeli powiązanie adresu MAC z IP nie zostało zarejestrowane w bazie DHCP snoopingu, pakiet jest odrzucany. To nie koniec analizy opartej na MAC adresach. Możliwe jest dodatkowe ograniczanie ilości danych (adresów MAC) napływających na jeden port przełącznika. W ten prosty sposób zmniejszamy ryzyko MAC floodingu.

Jest jeszcze wiekowy już mechanizm znany z przełączników Cisco, pozwalający na przypisanie adresu MAC do konkretnego portu, czyli Port Security. Nie można też zapominać o standardzie 802.1ae, który także wzmacnia ochronę w warstwie drugiej, sprawdzając, czy ramki nie zostały sfałszowane. Określa się go potocznie jako MACSec. Jego zadaniem jest ochrona integralności i poufności transmisji między uczestnikami połączenia (w warstwie 2.). Nie jest to zabezpieczenie typu end-to-end między stroną inicjującą połączenie a ostatecznym odbiorcą. Każdy pośredniczący punkt deszyfruje ruch i przekazując go dalej, ponownie szyfruje - tzw. technika hop-by-hop. Niestety standard ten wymaga, aby urządzenia sieciowe (przełączniki, karty sieciowe) zapewniały jego wsparcie. Konieczne mogą być: najpierw wymiana części sprzętu sieciowego, a potem właściwa konfiguracja nowego. Na szczęście, na rynku dostępne są już urządzenia, które obsługują 802.1ae. Pojawiają się wątpliwości co do spadku wydajności sieci w związku z dodaniem szyfrowania. Według ekspertów zastosowanie 802.1ae spowoduje zwiększenie opóźnienia o 1 ms, co wydaje się wartością zupełnie akceptowalną.

Warto również wspomnieć, że 802.1ae daje pewne możliwości producentom. W nagłówku tego protokołu przewidziano pewien obszar, gdzie mogą być umieszczane dodatkowe informacje. 802.1ae wykorzystuje klucze szyfrowania. Pojawia się więc problem obsługi zarówno kluczy, jak i sprawnego zarządzania nimi. Dlatego prowadzone są prace nad unowocześnieniem wspomnianego 802.1x. Nowa wersja nazywa się roboczo 802.1x-REV. Zatwierdzenie standardu powinno nastąpić w ciągu najbliższych miesięcy. Włączono do niego rozwiązania opracowywane wcześniej pod nazwą 802.1af. W 802.1x-REV przyjęto koncepcję wbudowania w protokół mechanizmu zarządzania kluczami. Nie będzie więc konieczności instalowania kluczy na każdym urządzeniu. Cały proces odbywałby się w sposób zbliżony do tego, jaki przyjęto w 802.11i (WPA). 802.1x-REV adresuje także problem wielu urządzeń uwierzytelniających się na jednym porcie przełącznika. Typowym przykładem takiej sytuacji są telefon IP i laptop wpięte do wspólnego portu.

Bezpieczeństwo warstwy drugiej

Protokół 802.1ae

Inne zagrożenia pojawiają się podczas komunikacji między przełącznikami. W dużej mierze jest za nią odpowiedzialny protokół STP (Spanning Tree Protocol) oraz towarzyszący mu BPDU (Bridge Protocol Data Unit). Przez ostatnich kilka lat podczas wielu konferencji (m.in. "DefCon") demonstrowano słabości zarówno STP, jak i BPDU. Jak uważają specjaliści, pomijanie ochrony tych protokołów jest jednym z częstszych grzechów administratorów. Na szczęście współczesne przełączniki mają odpowiednie zabezpieczenia. Dwa najczęściej stosowane to BPDU Guard i BPDU Filtering.

W związku z rosnącą popularnością koncepcji PoE pojawiają się również ataki (głównie DoS), które mają na celu wywołanie zakłóceń w dostawach energii lub wręcz uszkodzenie urządzeń odbiorczych. Jeżeli nasze przełączniki obsługują PoE, powinniśmy móc określić przydział mocy dla każdego z portów, do których będą podłączane urządzenia wymagające zasilania ze skrętki. Nie ochroni to przed wszystkimi atakami, ale część na pewno ograniczy. Ochrona przełączników odnosi się również do mechanizmów dostępowych do samego urządzenia. Większość przełączników potrafi uwierzytelnić użytkowników próbujących dostać się do interfejsu zarządzania z wykorzystaniem mechanizmów RADIUS-a czy TACACS-a. Przydaje się również możliwość prowadzenia ewidencji zmian w konfiguracji.


TOP 200