» » » Технологии безопасности сети на 2-ом уровне OSI. Часть 1

 

Технологии безопасности сети на 2-ом уровне OSI. Часть 1

Автор: admin от 27-10-2016, 20:05, посмотрело: 719

Казалось бы, получив доступ во внутреннюю сеть, злоумышленник может относительно беспрепятственно исследовать соседние узлы, собирать передаваемую информацию и вообщем уже все потеряно.

Технологии безопасности сети на 2-ом уровне OSI. Часть 1

Тем не менее при корректном подходе к контролю уровня доступа можно существенно осложнить упомянутые процедуры. При этом грамотно подготовленная сетевая инфраструктура, заметив зловредную аномалию, об этом своевременно сообщит, что поможет снизить ущерб.

Под катом перечень механизмов, которые помогут выполнить данную функцию.

Хотелось бы привести общую выжимку без лишних Вики-обоснований, но с описанием вариаций конфигурации, тем не менее иногда отступаю в ликбез, что бы стороннему читателю статья показалась более дружелюбной.

Статья выходила объемной, и по-моему слишком большие статьи не читаются, а складываются в долгий ящик с мыслью «как нибудь осилю». Поэтому материал пришлось разделить, и при должном успехе составлю вторую часть с менее распространенными (по крайней мере у нас) технологиями.

Содержание:


Технологии описаны на базе коммутатора Cisco, конкретно моя тестовая модель и версия следующие:

Технологии безопасности сети на 2-ом уровне OSI. Часть 1

Предпологаю, что данный вендор самый процентуально распространенный, да и самый инофрмационно богатый, а так же вызывает бОльшую заинтересованность у начинающих изучають подобные темы.

Тем не менее, уверен, что после усвоения каждой конкретной технологии на циске, корректно составить конфигурацию у другого вендора не составит труда, если у Вас есть 30 мин. и обычный User Guide.

Считаю, что информация не дублирует уже существующую на хабре, хотя что-то похожее можно встретить тут и тут.

[u]

тут.

? Проверка

Проверить статус технологии, включена ли, использует ли список доступа, статус проверки дополнительных опций и т.п. информацию:

show ip arp inspection vlan <id>

Полезные опции у предыдущей команды (добавить в конце строки) — statistics (показывает счетчики дропов и т.п.) и interfaces (доверенные интерфейсы, лимиты ARP сообщений).

[u]

Source Guard

[/u]
? Описание

В случае, если нет нужды проверять всю подсеть по ARP inspection, но хотелось бы защитить от подобных угроз пару-тройку узлов, можно использовать Source Guard. На практике их функционал дублирует друг друга, хотя и есть нюансы.

Технология привязывает заданные IP-MAC к конкретному физическому интерфейсу. В результате тоже предотвращает ARP спуфинг, а так же один узел сети не сможет отправить трафик от имени другого, подменив IP и MAC адреса источника (в случае ARP inspection это возможно, хотя и не является критичным).

? Конфигурация

Source Guard так же использует таблицу DHCP snooping. Она содержит не только связку IP-MAC, но и еще интерфейс, за которым находится конкретный узел.

Если узлы опять же не используют DHCP, в режиме глобальной конфигурации создается мануальная запись:

(config)# ip source binding <mac.add.ress> vlan <id> <IP.add.re.ss> interface <name>

Source Guard активируется непосредственно на интерфейсе:

(config-if)# ip verify source port-security

? Проверка

Проверка записей, которые использует технология, проводится командой:
show ip source binding
Что полезно, команда выводит как мануальные записи, так и взятые из таблицы DHCP snooping.
Список интерйесов, на которых Source Guard активирован, выводится командой:
show ip verify source

Думаю, пока что хватит


В следующий раз покажу, какие еще списки доступа бывают на свичах и зачем они нужны; как контролировать комуникацию в пределах одной подсети; попробую осветить тонкости перехода интерфейса в статус errdisable и может получиться понять, нужен ли вообще MACsec.

Источник: Хабрахабр

Категория: Админитстрирование » Сетевые технологии

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

Добавление комментария

Имя:*
E-Mail:
Комментарий:
Полужирный Наклонный текст Подчеркнутый текст Зачеркнутый текст | Выравнивание по левому краю По центру Выравнивание по правому краю | Вставка смайликов Выбор цвета | Скрытый текст Вставка цитаты Преобразовать выбранный текст из транслитерации в кириллицу Вставка спойлера
Введите два слова, показанных на изображении: *