Zagrożenie bezpieczenstwa sieci w warstwie 2

Podsumowanie

Łatwość, z jaką jest możliwe naruszenie bezpieczeństwa sieci w warstwie 2, powszechna dostępność narzędzi wykorzystujących omówione techniki i wreszcie nieświadomość wagi problemu wśród administratorów sieci i nadzorców bezpieczeństwa powodują, że związane z tym ryzyko gwałtownie wzrasta. Chociaż czołowi producenci sprzętu sieciowego odpowiadają na zagrożenie poprzez wprowadzanie nowych funkcji i zabezpieczeń, to należy pamiętać o nieograniczonej inwencji włamywaczy oraz dziedzicznej słabości wielu powszechnie używanych protokołów sieciowych.

Cisco Certified Internetwork Expert #9341

e-mail: mailto:[email protected]

Piotr Szołkowski, 3Com Poland:

Większość administratorów buduje bardzo rozbudowane systemy zabezpieczające sieć lokalną przed atakami od strony Internetu, zakładając, iż wewnątrz sieć lokalna jest bezpieczna, gdyż pracują w niej lojalni pracownicy firmy. Nic bardziej błędnego - największa liczba ataków na sieci firm jest dokonywana właśnie z wnętrza sieci lokalnej. Zabezpieczenia systemów na warstwach wyższych to tylko jeden z elementów polityki zabezpieczenia firmy.

Istnieje wiele możliwych ataków na sieć z wykorzystaniem mechanizmów warstwy 2. Jedne mają na celu wstrzymanie ruchu lub przeciążenie sieci, inne - przechwycenie informacji przesyłanej przez innych użytkowników sieci.

Do pierwszej grupy możemy zaliczyć ataki polegające na generowaniu dużej liczby pakietów rozgłoszeniowych, które muszą być następnie przesyłane przez przełączniki, lub próby zapełnienia tabeli adresów MAC w przełącznikach. Tego typu ataki są stosunkowo łatwe do odparcia. Większość przełączników ma funkcje ograniczania liczby pakietów rozgłoszeniowych przekazywanych z danego portu do sieci (Broadcast Storm Control). Próba zapełnienia tabeli adresów MAC może być uniemożliwiona przez funkcję Disconnect Unknown Devices oraz ograniczenie liczby adresów MAC na poszczególnych portach. Funkcja ta pozwala na zapamiętanie na porcie adresów MAC dołączonych stacji. Pojawiające się nieautoryzowane stacje (adresy MAC) mogą zostać odfiltrowane przez przełącznik.

Wykonanie ataku w warstwie drugiej wymaga w pierwszej kolejności dostępu do sieci LAN. Jeszcze do niedawna każda stacja dołączana do przełącznika mogła pracować w sieci. Nowy standard IEEE 802.1x jest funkcją wprowadzającą konieczność logowania się przy dostępie do sieci, tak jak w przypadku jej zasobów. Funkcja wymaga autoryzacji użytkowników z wykorzystaniem nazwy użytkownika i hasła przed dostępem do sieci LAN.

Możliwe jest przeprowadzanie ataków mających na celu podsłuchanie informacji przesyłanych przez innych użytkowników. Do tego celu najczęściej są wykorzystywane protokoły warstwy drugiej typu ARP, DHCP czy Spanning Tree Protocol.

Niestety, liczba możliwych ataków w warstwie drugiej jest bardzo duża i powstają coraz nowsze. Nie przed wszystkimi jesteśmy w stanie się obronić. Tego typu ataki nie są jednak tak bardzo popularne, jak bezpośrednie próby ataków na komputery. 3Com w związku z tym proponuje dodatkowe zabezpieczenia poprzez zastosowanie zapór pracujących w sieci LAN. Rozwiązanie Embedded Firewall pozwala na uruchomienie na każdym komputerze w sieci zapory funkcjonującej bezpośrednio na karcie sieciowej zainstalowanej w komputerze. Głównym zadaniem systemu Embedded Firewall jest ochrona komputera w sieci LAN przed atakami na system operacyjny, który może mieć wiele luk w zabezpieczeniach. Rozwiązanie opiera się na specjalnych kartach sieciowych, które (oprócz standardowych układów) mają osobny procesor obsługujący oprogramowanie zapory. Pozwala to na całkowite uniezależnienie oprogramowania zapory od systemu operacyjnego, czego nie mogą zapewnić coraz bardziej popularne programowe systemy zapór instalowane bezpośrednio na chronionym systemie operacyjnym. 3Com cały czas prowadzi prace nad wprowadzaniem nowych systemów zabezpieczania sieci LAN przed możliwymi atakami. Nowe rozwiązania pojawią się w połowie 2004 r. w nowych seriach przełączników.

Tomasz Odzioba, Allied Telesyn:

Najprostszy i najczęściej stosowany przez użytkowników sposób zabezpieczania dostępu do przełącznika, polegający na ograniczaniu lub przyznawaniu dostępu na podstawie źródłowych adresów MAC, jest zaimplementowany we wszystkich zarządzalnych przełącznikach Allied Telesyn. Nazywa się on Port Security. Umożliwia zarówno ograniczenie liczby adresów MAC przypisanych dynamicznie portowi, jak i tworzenie stałych list dostępowych.

W przełącznikach Allied Telesyn serii AT-8700, Rapier i wyższej klasy, które są oparte na firmowym systemie operacyjnym AlliedWare, po wykryciu pakietu o nieautoryzowanym adresie źródłowym MAC istnieje nawet możliwość dynamicznej rekonfiguracji urządzenia czy też wysłania wiadomości e-mail powiadamiającej administratora. W przełącznikach tych obsługiwany jest również protokół 802.1x, a baza autoryzacyjna może być dostępna przy użyciu bezpiecznych protokołów RADIUS, Tacacs i Tacacs+.

Przełączniki Allied Telesyn serii AT-8700, AT-9800, Rapier oraz SwitchBlade wyposażono w funkcję Protected VLAN, która uniemożliwia wymianę pakietów pomiędzy członkami należącymi do tej samej sieci VLAN. Ruch taki może być natomiast przełączany w warstwie 3 do innych sieci wirtualnych, co ogranicza możliwość ataków typu ARP spoofing.

Sprzętowe filtry, konfigurowalne na poszczególnych portach powyższych przełączników, pozwalają na filtrowanie również na podstawie informacji VLAN-ID protokołu 802.1q (lub jej braku), co w połączeniu z filtrowaniem MAC uniemożliwia podszycie się pod VLAN na porcie obsługującym znaczniki VLAN.


TOP 200