Bezpieczeństwo warstwy drugiej

W zakresie ochrony sieci LAN w ostatnim czasie bardzo dużo czasu poświęca się zabezpieczaniu urządzeń i stacji podłączanych do sieci. Jednak nie można zapominać o wyposażaniu w funkcje bezpieczeństwa innych składników infrastruktury sieciowej. Dotyczy to głównie przełączników.

Do niedawna uważano, że nie należy szczególnie martwić się o bezpieczeństwo w warstwie drugiej - trudno przecież przeprowadzić zdalny atak na tym poziomie. Ale odkąd głośno o zagrożeniach związanych z nieuczciwymi pracownikami czy przypadkowymi osobami podłączającymi komputery do naszych gniazdek, również tutaj wprowadza się modyfikacje. Stąd konieczność integracji rozmaitych mechanizmów bezpieczeństwa także w przełącznikach czy innych punktach styku z siecią. Warstwa druga wymaga dodatkowej ochrony, ponieważ zarówno firewalle, jak i IPS-y mają ograniczone możliwości kontroli na tak niskim poziomie.

W urządzeniach sieciowych coraz częściej będziemy znajdować różne elementy zabezpieczające. Niektórzy producenci za punkt wyjścia dla zapewnienia bezpieczeństwa sieciowego uznają sieciowe systemy operacyjne, inni natomiast stawiają na dołączanie kolejnych mechanizmów do swoich firmware’ów. Bez względu jednak na to, z jaką koncepcją mamy do czynienia, od korporacyjnych przełączników możemy oczekiwać pewnych, przydatnych z punktu widzenia bezpieczeństwa funkcjonalności.

Bezpieczeństwo LAN to nie tylko NAC...

Od miesięcy jesteśmy indoktrynowani przez orędowników rozwiązań NAC, jako technologii oferującej najwyższy poziom bezpieczeństwa sieciowego. Jak już pisaliśmy w numerze "NetWorld 6/2009", nadal brakuje jednolitego standardu czy wzorca, do którego z jednej strony mogliby odwoływać się producenci tego typu rozwiązań, a z drugiej - klienci. Z punktu widzenia urządzeń sieciowych NAC wykorzystuje część mechanizmów (o których dalej) - a przede wszystkim protokół 802.1x. Nikogo nie dziwi jego obecność w większości nowszych przełączników. Na tym jednak świat się nie kończy. Dostępnych jest wiele dodatkowych mechanizmów ochronnych.

DHCP Snooping

DHCP Snooping

Z pewnością przyda się DHCP snooping. W dużym uproszczeniu polega on na filtrowaniu urządzeń na podstawie adresów MAC i pilnowaniu, aby nie korzystały z innych adresów IP niż te przydzielane przez zaufany serwer DHCP. Mechanizm ten, by sprawdził się w działaniu, wymaga podzielenia portów na przełączniku na niezaufane i zaufane. Te pierwsze to wszystkie, do których będą podłączani klienci, np. drukarki, telefony IP i komputery. Z kolei porty zaufane będą prowadziły do serwerów DHCP. Przeglądając konfigurację przełącznika, warto więc sprawdzić, czy w "ferworze walki" niepotrzebnie nie skonfigurowaliśmy niektórych interfejsów jako zaufanych.


TOP 200