Безпека в локальних комп’ютерних мережах на рівні доступу

Проблема забезпечення надійного захисту комп’ютерних мереж шляхом розширення можливостей застосування у практичній діяльності відомих способів захисту. Приклади використання діючих технологій безпеки у локальних мережах на комутаторах різних виробників.

Рубрика Программирование, компьютеры и кибернетика
Вид статья
Язык украинский
Дата добавления 02.12.2017
Размер файла 25,9 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru//

Размещено на http://www.allbest.ru//

Безпека в локальних комп'ютерних мережах на рівні доступу

Зубець А. М., магістрант

У статті розглядається проблема забезпечення надійного захисту комп'ютерних мереж шляхом розширення можливостей застосування у практичній діяльності відомих способів захисту. Наведено приклади стандартного і нетипового застосування захисних технологій, а також альтернативні варіанти з використанням інших технологій з метою підвищення ефективності роботи мережі. Запропоновані технології розглядаються для застосування на обладнанні Cisco та йому подібному, а також на обладнанні компанії D-Link.

Ключові слова: локальна мережа, безпека мережі, технологія захисту, рівень доступу, Port security, Spanning Tree Protocol, комутатор доступу, маршрутизатор

Зубец А. М. Безопасность в локальных компьютерных сетях на уровне доступа. В статье рассматривается проблема обеспечения надежной защиты компьютерных сетей путем расширения возможностей применения в практической деятельности известных способов защиты. Приведены примеры стандартного и нетипичного применения защитных технологий, а также альтернативные варианты с использованием других технологий для повышения эффективности работы сети. Предложенные технологии рассматриваются для применения на оборудовании Cisco и ему подобному, а также на оборудовании компании D-Link.

Ключевые слова: локальная сеть, безопасность сети, технология защиты, уровень доступф, Port security, Spanning Tree Protocol, коммутатор доступа, маршрутизатор

Вступ

Локальні комп'ютерні мережі масово експлуатуються більше трьох десятиліть. У порівнянні з сучасними, тодішні мережі були доволі малими і специфічними, налічували невелику кількість робочих станцій. Нинішні локальні комп'ютерні мережі з виходом до всесвітньої мережі Інтернет налічують десятки і навіть сотні тисяч робочих станцій. Проблема захисту таких мереж завжди була актуальною, а зараз набула особливого значення у зв'язку з необхідністю забезпечення стабільності та надійності їх роботи.

Кожний Інтернет-провайдер прагне надавати користувачам якісний доступ до всіх ресурсів мережі. Але при цьому він має бути захищеним від спроб зламу та різноманітних мережних атак. Всі мережі, що мають вихід до всесвітньої мережі Інтернет, складаються з комутаторів і, принаймні, одного маршрутизатора. Комутатори діляться на дві категорії: комутатори рівня доступу (Access Switch) та комутатори агрегації (магістральні комутатори). Особливої уваги потребує проблема захисту мереж на рівні комутаторів доступу.

Постановка задачі

В ході дослідження практичного застосування технологій захисту мереж, теоретичних пропозицій щодо впровадження нових дієвих способів підвищення безпеки [1] з'ясувалося, що зазвичай пропонують використовувати базові, широковідомі прийоми. До того ж, комплексним і нестандартним засобам особливої уваги не приділяється. Аналіз літературних джерел та останніх наукових розробок виявив відсутність інноваційних підходів до захисту мереж на рівні доступу [2]. Саме тому актуальним є застосування додаткових засобів для підвищення надійності та ефективності роботи існуючих мереж.

У статті запропоновано розглянути найпоширеніші і доволі специфічні способи захисту локальних комп'ютерних мереж на рівні доступу, які реально успішно використовують на практиці. Проте, можливості цих способів застосовуються у практичній діяльності не у повному обсязі. Пропонується вирішити питання розширеного захисту мережі та підвищення ефективності роботи із застосуванням сучасних технологій за умови використання вже існуючого обладнання.

Окремо слід зазначити, що у літературі, коли мова йде про безпеку в мережі, зазвичай говорять про протоколи аутентифікації користувачів, різноманітні тунелі, засоби шифрування, передавання файлів з цифровими підписами для перевірки валідності, засоби проти перехоплення трафіку тощо. Проте у науковій літературі майже відсутній опис наступних засобів захисту: Port security, IP Source Guard, DHCP Snooping, Dynamic ARP Inspection, Access Control List, Spanning Tree Protocol, Private VLAN, незважаючи на те, що вони за практичним застосуванням мають першочергове значення. Саме ці засоби лежать в основі комплексного підходу до всієї системи безпеки.

У деяких літературних виданнях розглядаються запропоновані у даній статті технології, але лише нарізно і однобічно. Саме тому запропоновано розглянути комплексний підхід до питання безпеки в локальних комп'ютерних мережах на рівні доступу. Також зазначимо, що запропоновані методи не виключають використання існуючих прикладних засобів безпеки, а лише доповнюють їх.

Аналіз можливостей діючих технологій, що застосовуються для забезпечення безпеки у локальних комп'ютерних мережах на рівні доступу

Port security - функція комутатора, яка дозволяє вказувати МАС-адресу хостів, яким дозволено передавати дані через порт. Після налаштування порт не передасть пакети, якщо МАС-адреса відправника не вказана як дозволена. Крім того, можна вказати не конкретні МАС-адреси, дозволені на порту комутатора, а обмежити кількість МАС-адрес, яким дозволено передавати трафік через порт. Функція використовується для застереження несанкціонованої зміна МАС-адреси мережевого пристрою або підключення до мережі, а також атак, спрямованих на переповнення таблиці комутації [3].

IP Source Guard (Dynamic IP Lockdown) - функція комутатора, яка обмежує ІР-трафік на інтерфейсах 2-го рівня, фільтруючи його на основі прив'язок DHCP Snooping і статичних відповідностей. Функція застосовується для боротьби з IP-Spoofїng'ом [4].

Кожний вхідний пакет цією функцією може перевірятися на відповідність ІР-адреси джерелу адреси з бази DHCP Snooping (ІР-адреса закріплюється за портом комутатора), а також на відповідність МАС-адреси джерела адресату, отриманому з бази DHCP Snooping.

DHCP Snooping - функція комутатора, призначена для захисту від атак з використанням протоколу DHCP. Наприклад, атаки з підміною DHCP-серверу в мережі, або атаки DHCP Starvation, яка змушує DHCP-сервер видати всі існуючі на сервері адреси зловмиснику. DHCP Snooping реагує тільки на повідомлення DHCP і не може вплинути напряму на трафік користувачів чи інші протоколи. Деякі функції комутаторів, що не мають відношення до DHCP, можуть виконувати перевірки на основі таблиці прив'язок DHCP Snooping (DHCP Snooping binding database). В їх числі Dynamic ARP Protection (Inspection) - перевірка ARP- пакетів, направлена на боротьбу з ARP-spoofing, а також IP Source Guard.

DHCP Snooping дозволяє: захищати клієнтів в мережі від отримання адреси від неавторизованого DHCP-серверу; регулювати які повідомлення протоколу DHCP відкидати, а які перенаправляти і на які порти.

Для коректної роботи DHCP Snooping необхідно вказати які порти комутатора будуть довіреними (trusted), які - ні (untrusted, ненадійні).

Ненадійні - це порти, до яких підключені клієнти. DHCP-відповіді, що надходять з цих портів, відкидаються комутатором. Для ненадійних портів виконується ряд перевірок повідомлень і створюється база даних прив'язки DHCP (DHCP Snooping binding database).

Надійні (trusted) - порти комутатора, до яких підключений інший комутатор чи DHCP- сервер. DHCP-пакети, отримані через довірені порти, не відкидаються [5].

Dynamic ARP Inspection (Protection) - функція комутатора, призначена для захисту від атак з використанням протоколу ARP. Наприклад, атаки ARP-Spoofing, яка дозволяє перехоплювати трафік між вузлами, які розміщені в межах одного широкомовного домену. Ця функція реагує тільки на повідомлення протоколу ARP і не може вплинути напряму на трафік користувачів чи на інші протоколи.

Dynamic ARP Inspection дозволяє захистити клієнтів мережі від атак з використанням протоколу ARP і регулювати, які повідомлення протоколу ARP відкидати, які перенаправляти.

Для правильної роботи Dynamic ARP Inspection необхідно визначити довірені (trusted) і недовірен (untrusted) порти комутатора. Недовірені - це порти, до яких підключені клієнти. Для ненадійних портів виконується ряд перевірок повідомлень ARP. Довірені - порти комутатора, до яких підключений інший комутатор.

Повідомлення протоколу ARP, отримані з довірених портів, не відкидаються [6].

Access Control List (списки доступу, ACL) - це набір текстових виразів, які дозволяють або забороняють певні операції, які виконують мережеві пристрої. Списки доступу є основним механізмом фільтрації пакетів, зазвичай дозволяють чи забороняють ІР-пакети, але можуть і заглядати всередину ІР-пакету, продивлятися тип ІР-пакету, TCP і UDP порти. ACL існують для різних протоколів.

У сучасних мережах користувачам надаються послуги телебачення IPTV. Для надання multicast-потоку користувачу використовується функція MVR - Multicast Vlan Registration. MVR дозволяє ефективно поширювати multicast-потоки IPTV через мережі Ethernet рівня 2 та заощаджувати обсяг використання каналів зв'язку, який потребує multicast-трафік [7]. Правила конфігурування MVR напряму залежать від моделі комутатора. Найпоширеніша проблема, що може виникати під час використання цього функціоналу, полягає в тому, що в якомусь випадку multicast-потік може піти не до користувача, а від користувача. Цю уразливість можуть використовувати зловмисники. Крім того, зворотній потік може виникнути через некоректне налаштування програмного забезпечення зі сторони користувача мережі. Щоб уникнути цієї проблеми, необхідно розділити порти комутатора на довірені та недовірені. На довірених портах (тобто тих, до яких підключені інші комутатори чи сервер multicast-потоку) прописати команду "mvr type source". На таких портах напрям проходження multicast-трафіку не контролюється. На недовірених портах (тобто портах, до яких підключені користувачі) необхідно прописати команду "mvr type receiver". В цьому випадку порт буде тільки приймати multicast-трафік. Щоб заборонити користувачу виступати у якості джерела потоку, необхідно обов'язково прописати команду "ip igmp query-drop". Решта параметрів є індивідуальними, що значно розширює гнучкість застосування. Формати запису команд і їх підтримка залежить від комутатору, що використовується в мережі.

Spanning Tree Protocol (STP) - мережевий протокол (або сімейство мережевих протоколів), призначений для автоматичного видалення циклів (петель комутації) з топології мережі на канальному рівні у Ethernet-мережах [8]. Не зважаючи на те, що протокол було розроблено саме для управління мережею, створення додаткових надлишкових з'єднань з метою резервування і підвищення надійності, його доцільно також застосовувати і для захисту. Під час роботи комутатори з підтримкою STP обмінюються спеціальними BPDU- повідомленнями. Деякі абонентські пристрої (найчастіше це Wi-Fi роутери) через некоректне налаштування, або проблему самого пристрою, починають відсилати в мережу BPDU-пакети з повідомленням, що цей пристрій є кореневим пристроєм (root-комутатором). Комутатор, який отримує таке повідомлення, може, згідно його налаштувань, перебудувати свою топологію і почати направляти всі пакети не в магістральний порт, а в абонентський. У цьому випадку можлива втрата керування цілими гілками мережі, а діагностика і виявлення проблеми займає дуже багато часу і вимагає величезних зусиль. Щоб уникнути зазначеної проблеми, необхідно блокувати абонентський порт у разі отримання з нього BPDU-пакетів.

Приклади застосування діючих технологій безпеки у локальних комп'ютерних мережах на комутаторах різних виробників. Наведемо приклади використання наведених вище функцій, які застосовуються у практичній діяльності Інтернет-провайдерів. Розглянемо типові конфігурації на обладнанні Cisco та йому подібні, а також на обладнанні виробництва компанії D-Link. Комутатори D-Link мають свій власний синтаксис команд і свою логіку роботи, що відрізняється він Cisco-подібних пристроїв.

Port Security. На комутаторах від компанії Cisco, а також на інших, що використовують Cisco-подібний інтерфейс, функція Port Security застосовується таким або подібним чином: вмикаємо Port Security на інтерфейсі комутатора, прописуємо додаткові параметри.

Приклади конфігурації: Вмикаємо Port Security на інтерфейсі:

switch(config-if)# switchport port-security

Максимальна кількість безпечних МАС-адрес на інтерфейсі або у VLAN:

switch(config-if)# switchport port-security maximum <value> [vlan <vlan-list>] локальний комп'ютерний мережа захист доступ

Наприклад, на інтерфейсі дозволити 2 MAC-адреси, а інші налаштування за умовчанням:

switch(config)# interface Fastethernet0/3 switch(config-if)# switchport mode access switch(config-if)# switchport port-security switch(config-if)# switchport port-security maximum 2

Налаштування безпечних МАС-адрес. Тобто пропускати пакети лише з тих МАС-адрес, які є у списку дозволених. Саме ця функція застосовується найчастіше.

switch(config-if)# switchport port-security mac-address sticky switch(config-if)# switchport port-security mac-address sticky [mac-address | vlan <vlan-id | <access | voice>>]

Налаштування режиму реагування на порушення безпеки (за призначенням shutdown):

switch(config-if)# switchport port-security violation <protect | restrict | shutdown>

(shutdown - порт вимикається і його потрібно піднімати вручну; restrict - відкидає пакети з незареєстрованого МАС'у і пише про це в консоль; protect - просто відкидає пакети).

На комутаторах D-Link Port Security застосовується наступним чином:

config port security ports <portlist> admin state enable/disable max learning addr <max lock no 0-64> lock address mode Permanent/DeleteOnTimeout/DeleteOnReset

(adminstate enable/disable - ввімкнення/вимкнення функції; maxlearningaddr

<max_lock_no 0-64> - кількість дозволених МАС-адрес з порту, від 0 до 64;

lock address mode Permanent/DeleteOnTimeout/DeleteOnReset - реагування на порушення безпеки: Permanent - постійна МАС-адреса (пропускаються пакети тільки з дозволеної МАС-адреси), всі інші завжди відкидаються; DeleteOnTimeout - заблоковані адреси будуть видалятися після вичерпання часу очікування (час задається)/ DeleteOnReset - заблоковані адреси будуть зберігатися до того часу, поки комутатор не буде перезавантажено.

IP Source Guard. На Cisco-подібних пристроях вмикається командою "ip verify source" на потрібному інтерфейсі. У такому вигляді перевіряється лише прив'язка IP-адреси, щоб додати прив'язку МАС, використовуємо "ip verify source port-security". Для роботи IP Source Guard потрібен увімкнений DHCP Snooping, а для контролю MAC повинен бути увімкнений ще й Port Security.

Оскільки функції IP Source Guard і DHCP Snooping тісно пов'язані між собою, то наведемо спільний приклад налаштування з коментарями, Табл. 1 [9].

На комутаторах D-Link застосована своя логіка роботи IP Source Guard, що кардинально відрізняється від Cisco-подібних пристроїв. Ця функція називається Address Binding і є несумісною з Port Security, їх одночасне застосування неможливе. Саме тому необхідно у кожному випадку знаходити індивідуальне рішення і зважувати, яка з цих функцій важливіша. Така логіка роботи створює значні труднощі під час побудови мереж, адже не дає можливості виконати їх максимальний захист. Налаштовується Address Binding таким чином:

config address binding ip mac ports <port> state enable/disable strict

allow zeroip enable/disable forward dhcppkt enable/disable

(allowzeroip enable/disable - пропускати чи не пропускати пакети з "нульовою" ІР-адресою.

Мережевий пристрій, увімкнений у мережу, робить запит до DHCP-серверу для отримання ІР-адреси. На той момент він ще не має власної адреси і відсилає пакети з "нульовою" адресою. У разі використання в мережі динамічних налаштувань цю функцію необхідно вмикати, інакше можливе виникнення проблеми, коли пакети (такі як DHCP- запити) будуть відкидатися і пристрій не зможе отримати налаштування; forwarddhcppkt enable/disable - дозволити/заборонити проходження DHCP-пакетів).

Налаштування IP Source Guard і DHCP Snooping

Табл. 1

Команда

Опис

Switch(config)# ip dhcp snooping

Вмикає глобально DHCP Snooping

Switch(config)# ip dhcp snooping vlan

number [number]

Вмикає DHCP Snooping на заданих УКА^ах

Switch(config)# interface interface-

name

Вибрати інтерфейс для налаштування

Switch(config-if)# no ip dhcp snooping trust

Відмітити інтерфейс як недовірений

Switch(config-if)# ip verify source vlan dhcp-snooping [port-security]

Вмикає прив'язки IP Source Guard на порту. Параметри:

vlan дозволяє зробити прив'язку до специфічного УЬА№у на інтерфейсі. DHCP Snooping дозволяє застосувати параметри на всі vlan^ на інтерфейсі, де ввімкнений DHCP Snooping.

Port security вмикає фільтр за МАС- адресами. Ця функція залежить від моделі комутатора, опціонально.

Switch(config)# ip source binding mac- address vlan vlan-id ip-address interface interface-name

Налаштування статичної прив'язки ІР до порту. Опціонально.

Switch(config)# ip dhcp-server ip- address

Вказує адресу авторизованого DHCP- серверу, доступного через довірений порт. Опціонально.

Switch(config)# ip dhcp snooping binding <mac-address> vlan <vid> <ip- address> interface <interface-id> expiry <seconds>

Додати статичний запис у базу даних прив'язки DHCP. Опціонально.

Налаштування прив'язки на портах по зв'язкам адрес МАС + ІР:

config address binding dhcp snoop max entry ports <port> limit <limit>

limit - кількість можливих прив'язок, може бути від 0 до 10, або необмежено - no limit.

Певна логіка в цій команді відсутня, тому цю прив'язку можна відключити командою:

disable address binding dhcp snoop

Створення статичного запису:

create address binding ip mac ipaddr XXX.XXX.XXX.XXX mac address XX-XX- XX-XX-XX-XX ports <port> _ _

На цьому налаштування IP Source Guard (Address Binding) на комутаторі D-Link можна вважати завершеним.

Функція DHCP Snooping на комутаторах D-Link як така взагалі відсутня. Виробник пропонує реалізувати подібний функціонал за допомогою списків доступу (access list), але це працює не на всіх комутаторах і в деяких випадках викликає ще більші ускладнення. З метою позбавлення даних обмежень рекомендують використовувати на комутаторах DHCP Relay.

Додаткова реалізація функціоналу DHCP Snooping на комутаторах D-Link.

Наведемо приклад як можна додатково реалізувати функціонал DHCP Snooping через список доступу на комутаторах D-Link. Створимо правило, яке дозволяє передавати DHCP-відповіді (порт 67 UDP) тільки з Uplink-порту комутатора, яким він включений до серверу DHCP чи до магістралі провайдера і далі до серверу DHCP. Будемо вважати, що це порт 24. З усіх інших портів комутатора DHCP відповіді блокуються. Налаштовуємо ACL, який дозволяє передавати відповіді DHCP з порту 24 і забороняє для всіх інших портів:

create access profile ip udp src port mask 0xFFFF profile id 1 config access profile profile id 1 add access id 1 ip udp src port 67 port 24 permit

config access profile profile id 1 add access id 2 ip udp src port 67 port 1 deny

config access profile profile id 1 add access id 3 ip udp src port 67 port 2 deny

config access profile profile id 1 add access id 4 ip udp src port 67 port 3 deny

І так продовжують для всіх інших портів [10]. Але це рішення не є універсальним, тому що застарілі моделі комутаторів (наприклад, D-Link DES-3026) взагалі не підтримують списки доступу і практично реалізувати зазначений спосіб неможливо. Тому єдиним реальним універсальним способом боротьби з підміною DHCP-сервера є застосування функції DHCP Relay.

Застосування розширеного функціоналу для підвищеного захисту локальних комп'ютерних мереж

Dynamic ARP Protection. На комутаторах Cisco вмикається у певному VLAN:

Switch(config)# ip arp inspection vlan <vlan>

Довірений порт налаштовується наступним чином:

Switch(config)# interface gigabitethernet <interface>

Switch(config-if)# ip arp inspection trust

Розширені параметри Dynamic ARP Protection залежать від моделі комутатору. Наприклад, можна сконфігурувати знищення ARP пакетів у випадку, коли ІР-адреса у пакеті не коректна, або МАС-адреса у тілі ARP-пакету не відповідає адресі, що визначена у заголовку Ethernet. Щоб увімкнути цю перевірку необхідно виконати наступну команду у режимі глобальної конфігурації:

ip arp inspection validate {[src-mac] [dst-mac] [ip]}

(src-mac - перевіряти МАС-адресу джерела у заголовку Ethernet у протиріч МАС-адресі відправника у тілі ARP-пакету; dst-mac - перевіряти МАС-адресу призначення у заголовку Ethernet у протиріч МАС-адресі призначення у тілі ARP-пакету; ip - перевіряти тіло ARP- пакету на некоректні і неочікувані ІР-адреси, такі як 0.0.0.0, 255.255.255.255, або всі multicast-адреси [11]).

Зазвичай використовують таку конструкцію:

ip arp inspection validate dst-mac ip src-mac

На комутаторах D-Link, які підтримують Dynamic ARP Protection, його можна налаштувати наступним чином:

config arp spoofing prevention [add gateway ip <ipaddr> gateway mac <macaddr> ports [<portlist> | all] | delete gateway ip <ipaddr>]

(gatewayip - визначає адресу шлюза за замовчуванням; gatewaymac - визначає МАС- адресу шлюза за замовчуванням; delete gateway ip <ipaddr> - видалити запис).

Можна також налаштувати додаткові параметри (залежить від моделі та версії програмного забезпечення комутатора). Наприклад:

config arp aging time 20

config gratuitous arp send ipif status up enable config gratuitous arp send dup ip detected enable config gratuitous arp learning enable

Ця конфігурація задає час життя ARP-запису у комутаторі у 20 хвилин, вмикає регулярну розсилку ARP-запитів коли системний інтерфейс IPIF увімкнено. Це потрібно для автоматичної регулярної розсилки ІР-адреси інтерфейсу іншим вузлам мережі. За замовчуванням розсилка виконується одноразово. Команда "gratuitous_arp send dup_ip_detected enable" вмикає повторну розсилку ARP-запитів у випадку виявлення дублікатів ІР-адрес. Система відсилає ARP-запит для відновлення коректного запису. Команда "gratuitous_arp learning" відповідає за увімкнення/вимкнення оновлення таблиці ARP при отриманні ARP-запитів від інших пристроїв.

Використання альтернативної технології Traffic Segmentation на комутаторах D- Link з метою додаткового захисту. Оскільки комутатори D-Link мають ряд суттєвих недоліків, а саме: відсутність функціоналу DHCP Snooping, відсутність підтримки деякими моделями списків доступу, неможливість одночасного застосування функцій Port Security та IP Source Guard тощо, існує альтернативний варіант забезпечення безпеки, який значно підвищує надійність роботи мережі. Технологія називається Private VLAN (Traffic Segmentation) і полягає у тому, що порт абонента, окрім виділення у певний VLAN, додатково ізолюється у своєрідний тунель і може обмінюватися пакетами лише з Uplink- портом комутатору. Всі пакети проходять тільки на маршрутизатор (ядро мережі), де можна дуже гнучко налаштовувати фільтри і обмеження, цим самим підвищити безпеку. Обмін пакетами між користувачами у межах комутатору неможливий, весь обмін відбувається за участю ядра мережі [12]. Обов'язковою умовою є увімкнення на ядрі функції Local Proxy ARP, інакше користувачі стануть повністю ізольовані, унеможливиться обмін пакетами між ними. Застосування Traffic Segmentation так само виключає застосування функції DHCP Relay, оскільки несанкціоновані DHCP-відповіді не потраплять до інших користувачів, а будуть знищуватися фільтром на ядрі. Налаштовується функція на комутаторі наступним чином. Uplink-порт (порт 28) може обмінюватися пакетами з усіма портами:

config traffic segmentation 28 forward list 1-28

Порти з абонентами можуть обмінюватися пакетами лише з Uplink-портом:

config traffic segmentation 1 forward list 1,28

config traffic segmentation 2 forward list 2,28

config traffic segmentation 3 forward list 3,28

І так продовжується для всіх інших портів. Слід зазначити, що ця функція має бути

обов'язково налаштована і на комутаторах агрегації для створення тунелю до ядра мережі.

Специфічне використання технології STP для підвищення надійності роботи мережі

STP. Розглянемо тут лише захист абонентського порту і його блокування у разі надходження до нього BPDU-пакетів. У Cisco-подібних пристроях в режимі конфігурування інтерфейсу вмикається наступною командою (залежить від комутатору):

spanning-tree bpduguard enable або spanning-tree bpdu-guard

spanning-tree bpdu-guard auto-recovery

Також наведемо конфігурацію для комутаторів D-Link, Табл. 2.

Налаштування STP на абонентському порту

Табл. 2

config stp ports Х fbpdu disable

Включає знищення всіх BPDU-пакетів, що приходять на порт.

config stp ports Х restricted role false

Визначає, що вказаний порт не може бути кореневим (root) портом.

config stp ports Х restricted tcn false

Вказує, що порт не може впливати на топологію мережі.

Таким чином блокується отримання BPDU-пакетів з порту абонента і здійснюється захист мережі.

Деякі системні адміністратори рекомендують вимикати взагалі функцію STP задля уникнення проблем у мережі (у випадку, коли збиткові (резервні) зв'язки не використовуються). Проте, це суперечить вимогам безпеки.

Висновки

У галузі створено достатню кількість дієвих технологій для захисту локальних мереж. Вимоги безпеки вимагають постійного удосконалення цих технологій. У конкурентній боротьбі Інтернет-провайдери використовують як загальновідомі, так і власні стратегії захисту, унеможливлюючи вихід з ладу мережі чи окремих її ділянок. Для забезпечення безвідмовності та стабільності у роботі продовжується пошук нових технологій та варіантів розширення можливостей існуючих систем захисту. Розглянуті у статті приклади використання діючих засобів в розширеному діапазоні сприяють підвищенню надійності у роботі та не потребують додаткових витрат на обслуговування мережі, що є економічно вигідним для провайдерів. Комплексне застосування засобів захисту Port security, IP Source Guard, DHCP Snooping, Dynamic ARP Inspection, Access Control List, Spanning Tree Protocol, Private VLAN з прикладними засобами дозволяє створити максимально захищену мережу від зламу, хакерських атак та збоїв у роботі обладнання.

Слід зауважити, що в окремих випадках через обмеженість функціоналу мережного обладнання використання деяких вищезазначених функцій неможливо. Тому необхідно розробляти альтернативні засоби підвищення безпеки та надійності. Як приклад такого прийому наведено використання технології Private VLAN (Traffic Segmentation) на комутаторах D-Link. Показано, що за умови відсутності підтримки певних функцій застосовано альтернативний варіант, який забезпечує надійність роботи мережі.

Специфічне використання технології STP дозволяє заблокувати зайвий неконтрольований службовий трафік в мережі, тим самим адміністратор мережі має можливість повністю уникнути непередбачуваних наслідків та важко діагностуємих проблем під час використання цієї технології.

Практичний досвід застосування сучасних технологій свідчить про необхідність забезпечення гнучкості та надійності систем захисту, а також їх багатоваріантності та постійного удосконалення.

Література

Пинженин В. Безопасность сети на основе 802.1х и SFlow, "идеальная и недостижимая" / Владислав Пинженин / Сетевые решения. - 2004. - №1. - С. 38-42.

Любохинец С. Ответ компании Cisco на современные угрозы безопасности / С. Любохинец // VIII-й Международный Security Innovation Forum 2014. - Киев : 27 ноября 2014 г. - С. 29-33.

Port security [Електронний ресурс] // - Режим доступу: http://xgu.ru/wiki/Port_security (09.02.2015 р.).

Wallace K. CCNP Routing and Switching TSHOOT 300-135 Official Cert Guide / Kevin Wallace, Raymond Lacoste - Published by Cisco Press, 2014. - 1024 p.

Олифер В. Г. Компьютерные сети. Принципы, технологии, протоколы / В. Г. Олифер, Н. А. Олифер. - 4-е изд. - Санкт-Петербург : Питер, 2010. - 944 с.

Dynamic ARP Protection [Електронний ресурс] // - Режим доступу:

http://xgu.ru/wiki/Dynamic_ARP_Protection (09.02.2015 р.).

Абаева Б. К. Вопросы проектирования сетей IPTV / Б. К. Абаева // T-Comm - Телекоммуникации и Транспорт. - 2010. - №7-2010. - С. 104-106.

Размещено на Allbest.ru


Подобные документы

  • Широке використання інформаційних технологій у всіх сферах життя суспільства. Інформація як об’єкт захисту. Основні види загроз безпеки інформації в комп’ютерних мережах. Несанкційований доступ до інформації і його мета. Порушники безпеки інформації.

    реферат [253,2 K], добавлен 19.12.2010

  • Особливості архітектури комп'ютерних мереж. Апаратні та програмні засоби комп'ютерних мереж, їх класифікація та характеристика. Структура та основні складові комунікаційних технологій мереж. Концепції побудови та типи функціонування комп'ютерних мереж.

    отчет по практике [1,2 M], добавлен 12.06.2015

  • Аналіз фізичної організації передачі даних по каналах комп'ютерних мереж, топологія фізичних зв'язків та організація їх сумісного використання. Методи доступу до каналів, настроювання мережевих служб для здійснення авторизації доступу до мережі Інтернет.

    дипломная работа [2,6 M], добавлен 12.09.2010

  • Поняття комп'ютерної мережі як системи зв'язку між двома чи більше комп'ютерами через кабельне чи повітряне середовище. Середовище передачі у комп'ютерних мережах. Передумови інтенсивного розвитку мережних технологій. Мережні сервіси, класифікація мереж.

    реферат [20,8 K], добавлен 13.11.2013

  • Вивчення історії кафедри "Комп’ютерної інженерії". Дослідження процесу складання, монтажу, налагодження, тестування апаратного забезпечення комп’ютерних систем і мереж. Науково-дослідні роботи у лабораторії "Програмного забезпечення комп’ютерних систем".

    отчет по практике [23,9 K], добавлен 01.03.2013

  • Основи безпеки даних в комп'ютерних системах. Розробка програми для забезпечення захисту інформації від несанкціонованого доступу: шифрування та дешифрування даних за допомогою криптографічних алгоритмів RSA та DES. Проблеми і перспективи криптографії.

    дипломная работа [823,1 K], добавлен 11.01.2011

  • Оцінка ролі кожного окремого комп'ютера в загальній мережі. Стандартні правила роботи мережевого устаткування різних виробників. Рівні і пристрої доступу і розподілу. Структура та принцип дії локальної мережі. Стандарти бездротових локальних мереж.

    дипломная работа [3,1 M], добавлен 09.04.2010

  • Визначення поняття і дослідження структури топології комп'ютерних мереж як способу організації фізичних зв'язків персональних комп'ютерів в мережі. Опис схеми топології типів шина, зірка і кільце. Багатозначність структур топології комп'ютерних мереж.

    реферат [158,1 K], добавлен 27.09.2012

  • Описання видів загроз безпеки інформації. Комп’ютерні віруси як особливий клас руйнуючих програмних дій, їх життєвий цикл та стадії виконання. Засоби і методи захисту інформації у комп’ютерних системах, механізм їх дії. Класифікація антивірусних програм.

    курсовая работа [48,9 K], добавлен 28.09.2011

  • Огляд і архітектура обчислювальних мереж, переваги їх використання та обґрунтування вибору. Пошук несправностей в мережах на базі операційної системи Windows, виявлення причин. Особливості методів захисту від несанкціонованого доступу в мережі TCP/IP.

    курсовая работа [2,8 M], добавлен 28.01.2011

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.