Kolejny atak związany z podsieciami VLAN polega na nawiązywaniu połączeń z komputerami należącymi do podsieci VLAN, choć inicjujący połączenie nie jest do niej przypisany. Atak ten wykorzystuje fakt, że przełącznik jest przygotowany na 'wycięcie' tylko jednej flagi VLAN - druga nie zostanie usunięta i ramka dotrze do celu. Co będzie, jeżeli atakujący wpisze do ramki podsieć serwerową - nietrudno się domyślić. Taki atak pozwala na przesyłanie pakietów tylko 'do' chronionej podsieci, w wielu wypadkach to jednak wystarczy.

Jednym ze sposobów obrony przed atakami polegającymi na 'przeskakiwaniu' VLAN-ów jest wprowadzenie dodatkowej weryfikacji uprawnień poprzez wymuszenie komunikacji za pośrednictwem routera, na którym definiuje się odpowiednie listy dostępowe. W ten sposób w ramach podsieci VLAN w warstwie Ethernet powstają prywatne podsieci IP. Komplikuje to nieco architekturę, jednak zasadniczo podnosi bezpieczeństwo. "Prywatne VLAN-y to rozwiązanie szczególnie sprawdzające się w sieciach metropolitarnych i osiedlowych" - sugeruje Marek Moskal.

Więcej na temat ataków związanych z podsieciami VLAN można przeczytać pod adresem:http://www.sans.org/resources/idfaq/vlan.php .

Uwaga na pętle

W warstwie drugiej działają jeszcze protokoły z rodziny Spanning Tree (STP) - one również mogą być obiektem ataku. Rola protokołów STP polega na zapobieganiu 'sztormom' zapętlonego ruchu broadcast w sieciach LAN. Sprawa dotyczy sieci, które na potrzeby podniesienia niezawodności budowane są w topologii pętli. Gdy usługa STP na przełączniku root (z zasady jest to przełącznik o najniższym priorytecie) wykrywa zapętlenie, blokuje komunikację i rozsyła do pozostałych przełączników komunikaty BPDU zawierające informacje o zmianie w topologii. Root STP widzi całą sieć i zarządza jej topologią w warstwie drugiej.

Komunikat BPDU może jednak wysłać nie tylko uprawniony przełącznik, ale także włamywacz, który uzyskał fizyczny dostęp do sieci i 'widzi' przynajmniej dwa przełączniki. Przyznając samemu sobie najniższy priorytet staje się root'em STP i zaczyna widzieć ruch, którego widzieć nie powinien. W skrajnym przypadku możliwe jest, że intruz podłączony do sieci w warstwie dostępowej zobaczy ruch w szkielecie sieci LAN, co umożliwi mu np. wykonanie ataku MAC flood na przełączniki szkieletowe.

Standardowy protokół STP potrzebuje do usunięcia zapętlenia kilkudziesięciu sekund, zaś Rapid Spanning Tree - kilkunastu. Im dłużej trwa rezolucja, tym większe ryzyko, że w jej trakcie w sieci pojawi się nieuprawniony komputer udający przełącznik STP-root. W celu maksymalnego skrócenia rezolucji topologii Cisco zaleca stosowanie dostępnych na przełącznikach Catalyst usług PortFast i UplinkFast, które skracają czas rezolucji topologii do kilku sekund.

W radiowej domenie

Na Cisco Forum prezentowane były nowości z dziedziny sieci bezprzewodowych. Omawiana była nowa architektura Cisco SWAN (Structured Wireless Access Network), w ramach której Cisco zamierza w ciągu najbliższych kilku kwartałów dostarczyć pełną infrastrukturę do budowy sieci dostępowych dowolnej skali.

Niektóre produkty SWAN będą dostępne już na przełomie kwietnia i maja br. Dotyczy to w szczególności oprogramowania Wireless Domain Services (WDS), będącego mini-serwerem AAA z własnymi usługami uwierzytelniania RADIUS i 802.1x. WDS będzie także odpowiedzialne m.in. za wykrywanie obcych punktów dostępowych i klientów (rogue AP, rogue client). Usługi WDS będzie można uruchomić na koncentratorach 802.11 Cisco Aironet 1100 i 1200 wyposażonych w system IOS. Pojedynczy punkt dostępowy z WDS będzie mógł obsłużyć ok. 30 klientów przy założeniu, że jednocześnie normalnie obsługuje ruch (maksymalnie 50).

Skalowanie WDS w powyższej konfiguracji wymaga uruchamiania ich na kolejnych punktach dostępowych, co w przypadku większych sieci jest raczej niezbyt pożądane. Dlatego też w następnych kwartałach Cisco zamierza zaoferować oprogramowanie WDS i Location Manager na dedykowanej platformie Wireless LAN Solution Engine (WLSE). Urządzenia z serii 1105 mają obsługiwać do 500 użytkowników, zaś wydajniejsze 1130 - do 2,5 tys. klientów jednocześnie. W międzyczasie na rynek powinna trafić także realizująca funkcjonalność WLSE karta rozszerzeń do przełączników Catalyst.

Sieć świadoma kontekstu

Oprócz WDS Cisco zaoferuje także oprogramowanie Location Manager. Dzięki wbudowanej obsłudze opracowanego przez Cisco protokołu WLCCP (Wireless LAN Context Control Protocol) stacje bazowe 802.11 będą mogły komunikować się między sobą i optymalizować warstwę radiową: siłę sygnału, wykorzystanie kanałów itd.

"Rekonfiguracja sieci przy pomocy WLCCP nie będzie się odbywać natychmiast, ponieważ doprowadziłoby to do rozchwiania sieci i spadku jakości transmisji. Stacje będą się wzajemnie odpytywać co 6 minut i dopiero po trzeciej nieudanej próbie nawiązania komunikacji z urządzeniem zostanie ono uznane za uszkodzone, a jego obszar zostanie pokryty silniejszym sygnałem ze stacji sąsiadujących" - tłumaczył Maciej Szeptycki.

Po przełączeniu w tryb serwisowy punkty dostępowe z oprogramowaniem Location Manager będą mogły komunikować się z administratorem, który przemieszczając się z laptopem po biurze będzie mógł 'mapować' miejsca, w których potrzebny jest zasięg, co powinno znakomicie uprościć budowę wydajnych sieci WLAN. 'Wędrujący' administrator będzie mógł także określać dopuszczalną moc sygnału w danym miejscu, co powinno pozwolić na ograniczenie emisji sygnału poza budynek.