Bezpieczna sieć LAN – Cisco Catalyst 2960S

Zapewnienie bezpieczeństwa sieci LAN jest dość często pomijanym aspektem w trakcie budowy infrastruktury teleinformatycznej. W większości przypadków dużo uwagi poświęca się  na zapewnienie bezpiecznego styku z  Internetem, pomijając sieć LAN. Ale czy jest ona bezpieczna ? Badania wykazują że większość włamań przeprowadzanych jest z wnętrza sieci. Co więcej ataki te nie są zauważane.

Jak zabezpieczyć sieć LAN przed atakami ?

Zapewnienie bezpieczeństwa sieci jest równie złożone jak zabezpieczenie dostępu do Internetu.  Użytkownicy posiadający dostęp do sieci, mogą przechwycić ruch w sieci lokalnej, mogą uniemożliwić łączność z serwerami, mogą spowolnić działanie sieci. W przypadku wykorzystywania telefonii IP bez problemu mogą podsłuchać Twoje rozmowy telefoniczne. Do wykonania tych czynności nie jest wymagana specjalistyczna wiedza. Wystarczy pobrać z Internetu gotowe narzędzia i uruchomić na komputerze podłączonym do naszej sieci. Oprogramowanie samo zacznie zbierać hasła, rejestrować rozmowy telefoniczne czy też atakować nasze serwery. Skuteczne zabezpieczenie sieci LAN musi odbywać się już w punkcie dostępu do sieci, czyli na przełączniku Ethernetowym, do którego podłączeni są użytkownicy. Przełączniki Cisco Catalyst udostępniają szereg mechanizmów zabezpieczających sieć LAN przed atakami z wnętrza.

Port Secutiy

Najprostszy z mechanizmów bezpieczeństwa – oferowany praktycznie przez wszystkich producentów. Jego działanie polega na przypisaniu adresu dozwolonego adresu MAC do portu przełącznika. Ten prosty mechanizm zabezpiecza sieć przed dwoma rodzajami ataków:

  • MAC Flooding – atak polegający na wysyłaniu do przełącznika losowo wygenerowanych adresów MAC. Wszystkie przełączniki mogą „nauczyć” się tylko określonej liczby adresów. Po przekroczeniu tej liczby przełącznik zaczyna funkcjonować jak Hub. Wydajność sieci uniemożliwia pozostałym użytkownikom pracę.
  • MAC Spoofing – przypisanie adresu MAC innego użytkownika. Zazwyczaj jest to wstęp do innego ataku. Osoba chcąca włamać się do sieci przypisuje swojemu komputerowi adres MAC innego użytkownika.

DHCP Snooping

Osoba atakująca może wykorzystać fakt działającego serwera DHCP do ataku na sieć LAN. Atak określany mianem DHCP Spoofing polega na podszyciu się pod prawdziwy serwer DHCP. Przydzielane adresy IP mogą wyglądać poprawnie, jednak niektóre parametry konfiguracji sieci mogą być inne niż się spodziewamy np. domyślna brama dla sieci. Zmiana tego jednego parametru spowoduje że ruch wychodzący z komputera będzie trafiał do osoby atakującej umożliwiając jej podsłuch „naszych” pakietów.

Mechanizm DHCP Snooping analizuje pakiety DHCP krążące w sieci lokalnej. W przypadku wykrycia pakietów świadczących o ataku, blokuje port, do którego podłączony jest atakujący użytkownik uniemożliwiając mu dalsze ataki.

Dynamic ARP Inspection

Mechanizm ten chroni sieć przed możliwością wykorzystania słabych stron protokołu ARP do podsłuchiwania ruchu innych użytkowników.

IP Source Guard

Najbardziej zaawansowany mechanizm stosowany w przełącznikach. Analizując ruch pomiędzy komputerem a resztą sieci przełącznik zapamiętuje parametry dotyczące podłączonego komputera (adres IP, adres MAC, port przełącznika, VLAN). W przypadku gdy atakujący będzie chciał podszyć się pod inny komputer przypisując sobie inny adres IP, przełącznik wykryje ten fakt i podejmie dalsze kroki eliminujące zagrożenie.

ACL

W przypadku podłączania do sieci lokalnej komputerów, co do których nie mamy pełnego zaufania, konieczne jest odfiltrowanie niechcianego ruchu. Przełącznik filtrując ruch na różnych warstwach (adresy MAC, adresy IP, porty) pozwala na wpuszczenie do sieci tylko określonego ruchu, minimalizując zagrożenie.

802.1x

Autoryzacja użytkowników jest standardem w dostępie do zasobów sieciowych, jednak stosunkowo rzadko jest wykorzystywany do autoryzacji podłączenia komputera do sieci. Mechanizm 802.1x pozwala sprawdzić czy komputer (lub użytkownik) jest uprawniony do dostępu do sieci jeszcze przed przesłaniem pierwszego pakietu z danymi. Integracja z Active Directory pozwala na spójne zarządzanie bazą użytkowników mogących uzyskiwać dostęp do siec.

BPDU Guard, SPT Guard

Przełączniki do poprawnego działania sieci wykorzystują specjalne protokoły. Osoba atakująca może zdestabilizować działanie całej sieci wysyłając spreparowane pakiety adresowane do przełączników. Przełącznik otrzymując taki pakiet może nie być w stanie wykonywać swoich podstawowych czynności. Osoba atakująca może także doprowadzić do tego że ruch pomiędzy przełącznikami będzie przebiegał przez komputer osoby atakującej.

Wpływ mechanizmów bezpieczeństwa na wydajność

Element ten jest bardzo istotny. Przełaczniki Cisco Catalyst  wszystkie mechanizmy bezpieczeństwa wykonują sprzętowo. Ich włączenie nie ma wpływu na wydajność sieci.

Przedstawione mechanizmy stanową podstawę bezpieczeństwa. Powinny być skonfigurowane w każdej sieci, niezależnie od jej wielkości.

Catalyst 2960S

Przełączniki te są uzupełnieniem dobrze znanej rodziny przełączników Cisco Catlyst 2960. Wzbogacają one rodzinę o przełączniki dużej wydajności, wyposażone w porty 10GBit/s. Zastosowanie ich w małych firmach, bądź oddziałach firmy pozwala na zapewnienie bezpieczeństwa już na samym brzegu sieci eliminując zagrożenia w zarodku. Prosta obsługa dzięki dostępnemu za darmo oprogramowaniu Cisco Network Assistant pozwala osobom bez specjalistycznego doświadczenia na monitorowanie i usuwanie naruszeń bezpieczeństwa wewnątrz sieci. Dla zaawansowanych użytkowników przełącznik oferuje interfejs linii poleceń (CLI) pozwalający na dogłębne diagnozowanie problemów.