Jak przełącznik może chronić sieć?
14 lipca 2008 14:05
NetWorld
Przełączniki sieciowe na przestrzeni ostatnich lat niezwykle ewoluowały. Nowe urządzenia to nie tylko większa wydajność, obsługa szybkich standardów transmisji danych, czy migracja funkcjonalności z urządzeń sieciowych wyższych warstw, to także znaczna poprawa bezpieczeństwa pracy użytkowników. Największym wyzwaniem producentów jest dostarczenie przełącznikom nowej architektury, która zasadniczo zmieni zestaw funkcji urządzenia.
Projektanci coraz częściej stosują architekturę opartą na elastycznej - w przeciwieństwie do statycznej - konfiguracji sprzętowej. Te duże zmiany to próba integracji bezpieczeństwa, kontroli i innych funkcjonalności, które nieustannie zmieniają technologie LAN.
Architektura lokalnej sieci dostępowejNowoczesny przełącznik powinien aktywnie identyfikować profil użytkownika oraz stosować politykę zgodną z jego tożsamością, zadaniami czy wykorzystywanymi aplikacjami. W jaki sposób zrealizować to polecenie?
Odpowiedź jest jedna, określana jednak różnymi nazwami - NAC (Network Access Control), Cisco Network Admission Control, NAP (Microsoft Network Access Protection), UAC (Juniper Unified Access Control) itp. Nieważne jak nazwany został mechanizm, zawsze będzie to metoda zatrzymująca nieproszonych użytkowników na poziomie portu przełącznika sieci lokalnej.
Architektura lokalnej sieci dostępowej
Bardzo dużo producentów rozwiązań Ethernet oferuje produkty związane z technologią NAC - nawet na mocno budżetowym rynku rozwiązań. Integracja zaawansowanych produktów sieciowych pozwala przełącznikom LAN komunikować się z zewnętrznym sprzętem bezpieczeństwa w celu filtrowania niebezpiecznych lub niezabezpieczonych użytkowników. Teoretycznie każda niepożądana aktywność sieciowa może zostać zlikwidowana już na poziomie portu urządzenia. Zaawansowane funkcjonalności nie są jednak dostępne w każdym przełączniku. Natomiast prawie każdy dostawca urządzeń LAN oferuje proste mechanizmy sieciowej ochrony, takie jak 802.1x, listy kontroli dostępu czy filtrowanie adresów MAC.
Co możemy zrobić bez korzystania z NAC?
NAC powiązuje elementy przełączników z pewnymi funkcjami zapory ogniowej. Punkt widzenia projektantów przełączników różni się od punktu widzenia inżynierów tworzących zapory ogniowe. Ci pierwsi myślą o maksymalnej wydajności i dostępności, natomiast twórcy firewalli skupiają się na perfekcji zabezpieczeń. Ten konflikt filozofii projektowania czyni produkty NAC, oparte na przełącznikach, wdrożeniami dość skomplikowanymi. Skutkuje to z kolei powolnym rozwojem i małą adopcją produktów. Dlatego warto poszukać odpowiedzi na pytanie - co możemy zrobić z przełącznikami, które już posiadamy, nie wykorzystując mechanizmów NAC?
Przełączniki pracujące w warstwie 2 modelu OSI stworzono do kontroli przepływu danych pomiędzy interfejsami. W warstwie łącza danych jedynym mechanizmem pozwalającym na komunikację jest MAC (Media Access Control) - 48-bitowy adres w postaci HEX. Przełączniki sieciowe narażone są na wiele możliwych ataków, m.in. przepełnienie tablicy MAC, podszywanie się pod ten adres, ataki na DHCP i VLAN, czy manipulację protokołem STP (Spanning Tree Protocol). Wymienione zagrożenia pochodzą od użytkowników po stronie portów przełącznika, więc naturalną funkcją ochronną jest możliwie maksymalne zabezpieczenie przed nieuprawnionym dostępem do sieci.
Przełączniki przetrzymują adresy MAC urządzeń przyłączonych do ich portów w specjalnej tablicy. Każda tablica ma ograniczenia, zależnie od sprzętu czy dostępnej pamięci. W wielu przełącznikach zapełnienie całej dostępnej tablicy MAC nie stanowi problemu. Wystarczy wprowadzać nowe adresy MAC, zanim wygasną uprzednio stworzone wpisy. Tablica ta wypełni się i nowe wpisy nie będą akceptowane. W ten sposób atakujący wysyłając wiele ramek z różnymi MAC adresami źródłowymi, może utrudnić lub uniemożliwić pracę legalnemu użytkownikowi. Powszechnie dostępne są narzędzia umożliwiające losową generację źródłowych i docelowych MAC adresów.
Funkcje przełącznika i aplikacji w architekturze NAC
Obecnie przełączniki są dość dobrze przygotowane na tego typu atak. Dobrym zabezpieczeniem jest taka konfiguracja, która przetrzymuje adres MAC w wewnętrznej tablicy urządzenia wyłącznie przez pewien ograniczony okres. Metodę ochronną stanowi także konfiguracja umożliwiająca przyłączenie się do portu tylko jednemu adresowi. Praktycznie każdy zarządzany przełącznik pozwoli na konfigurację takiego zabezpieczenia.
Funkcje przełącznika i aplikacji w architekturze NACInnym popularnym źródłem ataków jest podszywanie się pod adres MAC. Atakujący wykorzystując odpowiednie oprogramowanie, szuka adresu urządzenia legalnie pracującego w sieci. Następnie podmienia MAC własnego urządzenia na zdobyty. W ten sposób może odczytywać informacje przeznaczone dla innego komputera. Dość pracochłonnym, ale skutecznym rozwiązaniem dla takiego ataku, będzie przypisanie określonych adresów MAC do każdego portu. Inna metoda to wykorzystanie sieci VLAN. Dzięki niej możemy odseparować komunikację pomiędzy systemami w tej samej sieci IP. W tym przypadku stosujemy prywatny VLAN, który ograniczy komunikację wyłącznie do portów znajdujących się w tej samej sieci prywatnej.
Dobrą metodą zabezpieczenia nieautoryzowanego dostępu jest mechanizm dopuszczający jedynie autoryzowane serwery DHCP do funkcjonowania w sieci. Tworzy on tablicę zawierającą MAC adres, adres IP, czas dzierżawy, numer VLAN oraz informacje o interfejsie, odnoszące się do lokalnych portów przełącznika. Poprzez konfigurację zaufanych źródeł DHCP, urządzenie potrafi niezwłocznie odrzucać nielegalne ramki. Dodatkowe zabezpieczenie to badanie poprawności i zgodności pary adresów MAC/IP w wewnętrznej bazie danych (przykładowo, przy wpisach w konfiguracji serwera DHCP).
Wstęp do NAC - tak można określić powszechnie dostępny w nawet prostych funkcjonalnie urządzeniach protokół 802.11x. Umożliwia on uwierzytelnienie dostępu użytkownika na poziomie portu przełącznika. Skomplikowane mechanizmy NAC stworzono na podstawie tej prostej funkcjonalności. Oferują jednak znacznie więcej.
Kamil Folga
Pełna treść artykułu dostępna jest w wakacyjnym numerze NetWorlda
Zobacz w PPS: Routery i przełączniki
wydrukuj
wyślij do znajomego