Обеспечение безопасности компьютерной сети, построенной на коммутаторах D-Link
Министерство общего и
профессионального образования Свердловской области
государственное автономное
образовательное учреждение
среднего профессионального
образования Свердловской области
«Нижнетагильский
горно-металлургический колледж
имени Е.А. и М.Е. Черепановых»
ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА
Специальность 230101 Вычислительные
машины, комплексы, системы и сети
Тема Обеспечение безопасности
компьютерной сети, построенной на коммутаторах D-Link
Руководитель Бурлуцкий .В.И.
Рецензент Виноградов Д.В.
ФИО, должность Подпись
Выполнил(а):Обыскалов Е.А. .
Студент (ка) группы 053.
Специальность 230101 Вычислительные
машины, комплексы, системы и сети
2013-2014 учебный год
Содержание
Введение
Глава 1.
Теоретические аспекты обеспечения безопасности компьютерных сетей на базе
коммутаторов D-Link
.1.
Назначение и функции коммутаторов D-Link
.1.1 Общая
классификация коммутаторов
.1.2 Обзор
коммутаторов D-Link
.2.
Классификация угроз сетевой безопасности
.3
Возможности коммутаторов D-Link по обеспечению сетевой безопасности
.3.1 Функция
Port Security
.3.2 Функция
Access Control List (ACL)
.3.3 Функция
IP-MAC-Port Binding
.3.4 Функция
Storm Control
Глава 2.
Лабораторный практикум по теме «Технологии обеспечения безопасности локальных
сетей»
.1
Лабораторная работа 1 «Базовые механизмы безопасности коммутаторов»
.2
Лабораторная работа 2 « Функция Port Security»
.3
Лабораторная работа 3 «Функция IP-MAC-Port Binding»
.4
Лабораторная работа 4 «Безопасность на основе сегментации трафика»
.5
Лабораторная работа 5 «Списки контроля доступа (Access Control List, ACL)»
Глава 3. Меры
безопасности при работе с коммутаторами
Список
литературы
Введение
В начале XXI века стало
очевидным, что роль компьютерных сетей возросла от простой передачи информации
до предоставления множества услуг, в числе которых сегодня - передача речи,
видео, электронной почты, файлов, фотографий, документов, IP-TV, IP-телефония и др.
Безусловно, это сопровождается усложнением сетевого оборудования. Чем
больше компьютерная сеть и чем больше услуг она предоставляет, тем сложнее ей
управлять. В настоящее время при администрировании компьютерных сетей
учитывается целый ряд вопросов, среди которых важное место занимает проблема
обеспечения сетевой безопасности.
На данный момент определены три базовых принципа информационной
безопасности, которая должна обеспечивать:
- конфиденциальность информации, т. е. ее свойство быть
известной только допущенным (авторизованным) субъектам сети;
‒ целостность данных (ресурса) сети, т. е. свойство данных
быть в семантическом смысле неизменными при функционировании сети, что
достигается защитой данных от сбоев и несанкционированного доступа к ним;
‒ доступность информации в любое время для всех
авторизованных пользователей.
Если же какой-то из компьютеров сети уже заражен, требуется защитить
остальные компьютеры. Кроме того, нужно предотвратить несанкционированный
доступ в сеть как из «внешнего» мира, так и «изнутри» из одного сегмента сети в
другой [18].
Поскольку проблема обеспечения безопасности компьютерных сетей является
актуальной в современном мире, образовательным учреждениям необходимо выпускать
высококвалифицированных компетентных специалистов, занимающихся сетевым
администрированием. Для этого необходимо обучать студентов на современном
оборудовании. Однако нередко возникает проблема частичного или полного
отсутствия методического материала по работе с новым оборудованием,
необходимого для качественного обучения студентов, в частности, для
формирования профессиональных компетенций будущих специалистов.
В 2013 году Нижнетагильским горно-металлургическим колледжем был
приобретен типовой комплект лабораторного стенда «Глобальные компьютерные сети»
для проведения практических учебных занятий, содержащий оборудование фирмы D-Link, имеющее множество встроенных функций по обеспечению
безопасности локальной сети.
В связи с этим целью дипломной работы является создание методических
указаний для выполнения лабораторных работ по теме «Технологии обеспечения
безопасности локальных сетей» в курсе «Компьютерные и телекоммуникационные
сети» студентами укрупнённой группы специальностей 230000 Информатика и
вычислительная техника.
Для достижения поставленной цели необходимо выполнить следующие задачи:
- рассмотреть теоретические аспекты обеспечения безопасности
компьютерных сетей на базе коммутаторов D-Link;
- провести классификацию угроз сетевой безопасности;
- разработать инструкции к лабораторным работам для студентов
НТГМК;
- изучить меры предосторожности при работе с коммутационным
оборудованием.
В первой главе рассмотрены понятия коммутации второго и третьего уровня,
назначение и функции коммутаторов, приведена классификация коммутаторов по
возможности управления и в соответствии с уровнями модели ISO/OSI. Описаны характеристики коммутаторов D-Link DES-3810-28 и DES-3200-10. Проведена классификация угроз сетевой безопасности, а также
рассмотрены встроенные функции обеспечения безопасности коммутаторов D-Link.
Вторая глава описывает ход и выполнение лабораторно-практических работ
для студентов специальностей 230000 Информатика и вычислительная техника по
теме «Технологии обеспечения безопасности локальных сетей ».
Третья глава рассказывает о мерах предосторожности при работе с
коммутационным оборудованием.
Глава 1.
Теоретические аспекты обеспечения безопасности компьютерных сетей на базе
коммутаторов D-Link
.1.
Назначение и функции коммутаторов D-Link
.1.1 Общая
классификация коммутаторов
Компьютерная сеть это группа компьютеров, соединенных друг с другом
каналом связи. Канал обеспечивает обмен данными внутри сети, то есть обмен
данными между компьютерами данной группы. Сеть может состоять из двух-трех
компьютеров, а может объединять несколько тысяч ПК. Физически обмен данными
между компьютерами может осуществляться по специальному кабелю,
волоконно-оптическому кабелю или через витую пару [26].
Объединять компьютеры в сеть и обеспечивать их взаимодействие помогают
сетевые аппаратные и аппаратно-программные средства. Эти средства можно
разделить на следующие группы по их основному функциональному назначению:
- пассивное сетевое оборудование - соединительные разъёмы, кабели, коммутационные шнуры,
коммутационные панели, телекоммуникационные розетки и т.д.;
- активное сетевое оборудование - преобразователи/адаптеры, модемы, повторители, мосты,
коммутаторы, маршрутизаторы и т.д.
В настоящее время развитие компьютерных сетей происходит по следующим
направлениям:
‒ увеличение скорости;
‒ внедрение сегментирования на основе коммутации;
‒ объединение сетей при помощи маршрутизации.
Коммутация второго уровня
Рассматривая свойства второго уровня эталонной модели ISO/OSI и его классическое определение,
можно увидеть, что данному уровню принадлежит основная доля коммутирующих
свойств.
Канальный уровень обеспечивает надежный транзит данных через физический
канал. В частности, он решает вопросы физической адресации (в противоположность
сетевой или логической адресации), топологии сети, линейной дисциплины (каким
образом конечной системе использовать сетевой канал), уведомления о
неисправностях, упорядоченной доставки блоков данных и управления потоком
информации.
На самом деле, определяемая канальным уровнем модели OSI функциональность
служит платформой для некоторых из сегодняшних наиболее эффективных технологий.
Большое значение функциональности второго уровня подчеркивает тот факт, что
производители оборудования продолжают вкладывать значительные средства в
разработку устройств с такими функциями, то есть коммутаторов [21].
Коммутация третьего уровня
Коммутация на третьем уровне ‒ это аппаратная маршрутизация.
Традиционные маршрутизаторы реализуют свои функции с помощью
программно-управляемых процессоров, что будем называть программной
маршрутизацией. Традиционные маршрутизаторы обычно продвигают пакеты со
скоростью около 500000 пакетов в секунду. Коммутаторы третьего уровня сегодня
работают со скоростью до 50 миллионов пакетов в секунду. Возможно и дальнейшее
ее повышение, так как каждый интерфейсный модуль, как и в коммутаторе второго
уровня, оснащен собственным процессором продвижения пакетов на основе ASIC. Так
что наращивание количества модулей ведет к наращиванию производительности
маршрутизации. Использование высокоскоростной технологии больших заказных
интегральных схем (ASIC) является главной характеристикой, отличающей
коммутаторы третьего уровня от традиционных маршрутизаторов [22].
Коммутатор - это устройство, функционирующее на втором/третьем уровне
эталонной модели ISO/OSI и предназначенное для объединения сегментов сети,
работающих на основе одного протокола канального/сетевого уровня. Коммутатор
направляет трафик только через один порт, необходимый для достижения места
назначения.
На рисунке (см. рисунок 1) представлена классификация коммутаторов по
возможностям управления и в соответствии с эталонной моделью ISO/OSI.
Рисунок 1 -
Классификация коммутаторов
Рассмотрим подробнее назначение и возможности каждого из видов
коммутаторов.
Неуправляемый коммутатор ‒ это устройство, предназначенное для соединения
нескольких узлов компьютерной сети в пределах одного или нескольких сегментов
сети. Он передаёт данные только непосредственно получателю, исключение
составляет широковещательный трафик всем узлам сети. Никаких других функций
неуправляемый коммутатор выполнять не может.
Управляемые коммутаторы представляют собой более сложные устройства,
позволяющие выполнять набор функции второго и третьего уровней модели ISO/OSI. Управление ими может осуществляться посредством Web-интерфейса, командной строки через
консольный порт или удаленно по протоколу SSH, а также с помощью протокола SNMP [1].
Настраиваемые коммутаторы предоставляют пользователям возможность
настраивать определенные параметры с помощью простых утилит управления, Web-интерфейса, упрощенного интерфейса
командной строки и протокола SNMP.
Коммутаторы уровня 2 анализируют входящие кадры, принимают решение об их
дальнейшей передаче и передают их пунктам назначения на основе МАС-адресов
канального уровня модели OSI. Основное преимущество коммутаторов уровня 2 -
прозрачность для протоколов верхнего уровня. Так как коммутатор функционирует
на втором уровне, ему нет необходимости анализировать информацию верхних
уровней модели OSI.
Коммутаторы уровня 3 осуществляют коммутацию и фильтрацию на основе
адресов канального (уровень 2) и сетевого (уровень 3) уровней модели OSI. Такие
коммутаторы динамически решают, коммутировать (уровень 2) или маршрутизировать
(уровень 3) входящий трафик [5]. Коммутаторы 3-го уровня выполняют коммутацию в
пределах рабочей группы и маршрутизацию между различными подсетями или
виртуальными локальными сетями (VLAN).
.1.2. Обзор
коммутаторов D-Link
В настоящее время одним из всемирно известных разработчиков и
производителей сетевого и телекоммуникационного оборудования является компания
D-Link. Она предлагает широкий набор решений для домашних пользователей,
корпоративного сегмента, провайдеров интернет-услуг [25]. Также компания
предоставляет решения для учебных заведений. В частности, образовательным
учреждением «Нижнетагильский горно-металлургический колледж» было закуплено
соответствующее оборудование для выполнения лабораторных работ - типовой
комплект лабораторного стенда «Глобальные компьютерные сети». Комплект состоит
из трёх маршрутизаторов Cisco 1921, одного коммутатора третьего уровня D-Link
DES-3810-28, двух управляемых коммутаторов второго уровня D-Link DES-3200-10,
четырёх неуправляемых коммутаторов D-Link DES-1005А, 48-портовой фиксированной
коммутационной панели категории 5е, которая позволяет формировать необходимую
топологию сети. Лабораторный стенд представлен на рисунке (см. рисунок 2).
Рисунок 2 -
Внешний вид лабораторного стенда «Глобальные компьютерные сети»
Рассмотрим подробнее коммутаторы лабораторного стенда, которые будут
использоваться при выполнении лабораторных работ.
Коммутатор третьего уровня D-Link DES-3810-28 представлен на рисунке
(см. рисунок 3).
Рисунок 3 -
Коммутатор третьего уровня D-Link DES-3810-28
Коммутаторы третьего уровня серии DES-3810 (Desktop Ethernet Switch), входящие в семейство D-Link xStack, обеспечивают
высокую производительность, широкие функциональные возможности, в том числе и
уровня 3. Коммутаторы оснащены 24 и 48 портами. Коммутатор DES-3810-28 оснащен
24 портами 10/100 Мбит/с Fast Ethernet и 4 комбо-портами 1000 Base-T/SFP
Gigabit Ethernet. Порты Fast Ethernet обеспечивают подключение к другим
коммутаторам локальной сети. Комбо-порты обеспечивают гибкое подключение к
магистрали сети и центральным коммутаторам.
Коммутаторы серии DES-3810 поддерживают две различные версии программного
обеспечения - стандартную версию (SI) и расширенную версию (EI). Стандартная
версия поддерживает усовершенствованные функции для построения сетей масштаба
кампуса или предприятия, включая расширенные настройки Quality of Service
(QoS), ограничение трафика, туннелирование 802.1Q (Q-in-Q), маршрутизацию/
многоадресную рассылку IPv4, Ethernet OAM и различные функции безопасности.
Расширенная версия программного обеспечения поддерживает маршрутизацию IPv6,
протокол BGP (Border Gateway Protocol) и протокол MPLS (Multi Protocol Label Switching),
применяемые в сетях нового поколения с поддержкой IPv6 или для приложений
VPN/triple play в сетях Metro Ethernet. Помимо этого, расширенная версия также
поддерживает Switch Resource Management (SRM). Эта функция предоставляет
пользователям возможность оптимизировать распределение ресурсов коммутатора для
решения различных сетевых задач.
Данные коммутаторы серии DES-3810 предназначены для сетей
предприятий/кампуса, а также для пользователей, которым требуется высокий
уровень сетевой безопасности и максимальная надежность. Коммутатор DES-3810-28
поддерживает подключение внешнего резервного источника питания, обеспечивая
таким образом непрерывную работоспособность. Коммутатор также поддерживает
функции 802.1D Spanning Tree (STP), 802.1w Rapid Spanning Tree (RSTP) и 802.1s
Multiple Spanning Tree (MSTP), Loopback Detection (LBD) и контроль
широковещательного шторма, которые увеличивают отказоустойчивость сети. Функция
G.8032 Ethernet Ring Protection Switching (ERPS) обеспечивает время
переключения менее 50 мс. Для обеспечения распределения нагрузки и резервного
копирования данных при использовании нескольких коммутаторов/приложения
сервера, серия DES-3810 поддерживает функцию dynamic 802.3ad Link Aggregation
Port Trunking.
Коммутатор второго уровня D-Link DES 3200-10 изображен на рисунке (см.
рисунок 4).
Рисунок 4 -
Коммутатор второго уровня D-Link DES 3200-10
Коммутаторы DES-3200 входят в линейку управляемых коммутаторов D-Link 2
уровня серии xStack, предназначенную для сетей Metro Ethernet (ETTX и FTTX) и
корпоративных сетей. Коммутаторы оснащены 8/16/24/48 портами 10/100 Мбит/с Fast
Ethernet, а также 2/4 комбо-портами Gigabit Ethernet/SFP у аппаратной ревизии
А1 или 1 портом 100/1000 SFP + 1 комбо-портом Gigabit Ethernet/SFP / 2 порта
100/1000 SFP + 2 комбо-порта Gigabit Ethernet/SFP у аппаратных ревизий В1 и С1.
Коммутаторы DES-3200-10/18 выполнены в корпусе шириной 9 дюймов и оснащены
пассивной системой охлаждения, подходящей как для настольного использования,
так и для установки в телекоммуникационных и распределительных шкафах.
Коммутаторы серии DES-3200 поддерживают управление доступом 802.1x на
основе порта/хоста, гостевой VLAN, а также аутентификацию
RADIUS/TACACS/XTACACS/TACACS для управления доступом к самому коммутатору.
Функция IP-MAC-Port Binding обеспечивает привязку IP- и МАС-адреса пользователя
к определенному номера порта на коммутаторе, запрещая тем самым пользователю
самостоятельно менять сетевые настройки. Более того, благодаря функции DHCP
Snooping коммутатор автоматически определяет пары IP/MAC-адресов выданных
сервером, отслеживая DHCP-пакеты и сохраняя их в «белом» списке IMPB. Эти
функции играют важную роль в поддержке безопасности сети. Встроенная функция
D-Link Safeguard Engine обеспечивает идентификацию и приоритизацию пакетов,
предназначенных для обработки непосредственно процессором коммутатора, с целью
предотвращения злонамеренных атак и нейтрализации воздействия паразитного
трафика на CPU коммутатора. Помимо этого, DES-3200 поддерживает cписки
управления доступом (ACL). Данный функционал предоставляет администраторам
возможность ограничить доступ к сетевым сервисам и не оказывает влияния на
производительность коммутатора [1].
.2.
Классификация угроз сетевой безопасности
Сетевая безопасность - это набор требований, предъявляемых к инфраструктуре компьютерной сети
предприятия и политикам работы в ней, при выполнении которых обеспечивается
защита сетевых ресурсов от несанкционированного доступа.
Под сетевой безопасностью правильно понимать защиту информационной
инфраструктуры организации от вторжений злоумышленников извне при помощи
аутентификации, авторизации, сетевых экранов, IDS/IPS, VPN и т. д., а также
защиту от случайных ошибок персонала или намеренных действий инсайдеров изнутри
самой организации (защиту от утечек - DLP) [27].
Проблемы, возникающие с безопасностью передачи информации при работе в
компьютерных сетях, представлены ниже (см. рисунок 5).
Рисунок 5 -
Проблемы, возникающие с безопасностью передачи информации при работе в
компьютерных сетях
Исследования практики функционирования систем обработки данных и
вычислительных систем показали, что существует достаточно много возможных
направлений утечки информации и путей несанкционированного доступа в системах и
сетях, а именно:
‒ чтение остаточной информации в памяти системы после
выполнения санкционированных запросов;
‒ копирование носителей информации, файлов информации с
преодолением мер защиты;
‒ использование недостатков операционной системы;
‒ незаконное подключение к аппаратному обеспечению и линиям
связи;
‒ маскировка под запрос системы;
‒ злоумышленный вывод из строя механизмов защиты;
‒ маскировка под зарегистрированного пользователя;
‒ внедрение и использование компьютерных вирусов;
‒ использование программных ловушек.
Обеспечение безопасности информации в компьютерных сетях достигается
комплексом организационных, организационно-технических, технических и
программных мер [9].
Цели защиты информации в компьютерных сетях:
) обеспечение целостности (физической и логической) информации;
) предупреждение несанкционированной модификации, несанкционированного
получения и размножения информации.
Задачи защиты информации в компьютерных сетях определяются теми угрозами,
которые потенциально возможны в процессе их функционирования.
Для сетей передачи данных реальную опасность представляют следующие
угрозы:
- прослушивание каналов, т. е. запись и последующий анализ
всего проходящего потока сообщений. Прослушивание в большинстве случаев не
замечается легальными участниками информационного обмена;
- умышленное уничтожение или искажение (фальсификация)
проходящих по сети сообщений, а также включение в поток ложных сообщений.
Ложные сообщения могут быть восприняты получателем как подлинные;
- присвоение злоумышленником своему узлу или ретранслятору
чужого идентификатора, что дает возможность получать или отправлять сообщения
от чужого имени;
- преднамеренный разрыв линии связи, что приводит к полному
прекращению доставки всех (или только выбранных злоумышленником) сообщений;
- внедрение сетевых вирусов, т. е. передача по сети тела вируса
с его последующей активизацией пользователем.
В соответствии с этим, специфические задачи защиты в сетях передачи
данных состоят в следующем:
- аутентификация одноуровневых объектов, заключающаяся в
подтверждении подлинности одного или нескольких взаимодействующих объектов при
обмене информацией между ними;
- контроль доступа, т. е. защита от несанкционированного
использования ресурсов сети;
- маскировка данных, циркулирующих в сети;
- контроль и восстановление целостности всех находящихся в сети
данных;
- арбитражное обеспечение, т. е. защита от возможных отказов от
фактов отправки, приема или содержания отправленных или принятых данных [28].
.3.Возможности
коммутаторов D-Link по обеспечению сетевой безопасности
Коммутаторы серии DES-3810 поддерживают такие новейшие функции
безопасности (см. рисунок 6), как многоуровневые списки управления доступом
(ACL), Storm Control и IP-MAC-Port Binding с DHCP Snooping. Функция IP-MAC-Port
Binding обеспечивает привязку IP-адреса источника к соответствующему МАС-адресу
для определенного номера порта, способствуя увеличению безопасности доступа.
Благодаря функции DHCP Snooping, коммутатор автоматически определяет пары
IP/MAC-адресов, отслеживая DHCP-пакеты и сохраняя их в «белом» списке IMPB.
Кроме того, функция D-Link Safeguard Engine обеспечивает идентификацию и
приоритизацию пакетов, предназначенных для обработки CPU, для предотвращения
сетевых атак и защиты управляющего интерфейса коммутатора [8].
Рисунок 6 -
Функции безопасности, поддерживаемые коммутаторами D-Link
.3.1 Функция Port Security
Port Security
- функция коммутатора, позволяющая
указать MAC-адреса хостов, которым разрешено передавать данные через порт.
После этого порт не передает пакеты, если MAC-адрес отправителя не указан как
разрешенный. Кроме того, можно указывать не конкретные MAC-адреса, разрешенные
на порту коммутатора, а ограничить количество MAC-адресов, которым разрешено
передавать трафик через порт. Используется для предотвращения:
- несанкционированной смены MAC-адреса
сетевого устройства или подключения к сети;
- атак, направленных на переполнение
таблицы коммутации.
Рассмотрим настройку функции Port Security.
Параметры данной команды, подлежащие настройке, представлены в таблице (см.
таблицу 1).
Таблица 1 Параметры функции Port Security
|
Параметр
|
Действие
|
|
learn-mode
|
режим запоминания
MAC-адресов; по умолчанию все порты находятся в режиме continuous
|
|
action
|
none ‒ не выполнять никаких действий send-alarm ‒ отправить сообщение о нарушении (SNMP, log)
send-disable ‒ отправить сообщение о нарушении и выключить порт
|
|
address-limit
|
максимальное количество
MAC-адресов, которое будет разрешено на порту; применяется к режимам static,
configured и limited-continuous: - для static и configured
значения от 1 до 8; -
для limited-continuous ‒ от 1 до 32; по
умолчанию для всех режимов разрешен 1 MAC-адрес
|
|
mac-address
|
статическое задание
разрешенных MAC-адресов для режимов static и configured
|
|
clear-intrusion-flag
|
очистить intrusion flag для
указанных портов; после этого можно включать порт, который выключился из-за
нарушения Port Security
|
Eavesdrop Prevention ‒ функция, запрещающая передавать
unicast-пакеты, которые передаются на неизвестные для коммутатора MAC-адреса,
на порты, на которых она включена. Это не позволяет неавторизованным
пользователям прослушивать трафик, который передается на MAC-адреса, удалённые
из таблицы коммутации по таймауту (aged-out).
Eavesdrop Prevention не влияет на multicast и broadcast трафик. Коммутатор передает этот трафик через соответствующие порты,
независимо от того, настроена ли на них функция Port Security.
Настройка Port Security автоматически включает на
этом интерфейсе Eavesdrop Prevention.
Отмена настройки Port Security выполняется командой:
(config)# no port-security <port>
Включение порта после того, как он был выключен Port Security, то есть после его блокировки:
switch(config)# port-security 10 clear-intrusion-flag(config)#
interface 10 enable
Настройка Eavesdrop Prevention
(config)# port-security <port-list>
eavesdrop-prevention
Рассмотрим настройку функии Port Security с аутентификацией 802.1X. Для
этого необходимо настроить Port Security в режиме запоминания port-access:
switch(config)# port-security 10 learn-mode port-access
Затем требуется установить при настройке
аутентификации 802.1X режим контроля auto:
switch(config)# aaa port-access authenticator 10 control auto
ort Security
и режим контроля аутентификации 802.1X подразумевают следующее:
‒ если аутентификация 802.1X настроена в
режиме контроля auto (режим по умолчанию), то коммутатор запоминает MAC-адрес
хоста, с которого подключился аутентифицированный пользователь как безопасный;
‒ если аутентификация 802.1X настроена в
режиме контроля authorized, то коммутатор запоминает MAC-адрес первого
появившегося хоста как безопасный [10].
коммутатор
безопасность сеть компьютерный
1.3.2 Функция Access Control List (ACL)
ACL (Access Control List) -списки контроля доступа ‒ обеспечивают ограничение прохождения
трафика через коммутатор. Фактически технология ACL реализует на коммутаторах
3-го уровня полноценный фильтр пакетов. Приём пакетов или отказ в приёме
основывается на определённых признаках, которые содержит пакет:
- IP- и MAC-адреса источника и приёмника;
- номер VLAN;
- номер порта TCP или UDP;
- тип ICMP-сообщения.
Списки контроля доступа являются средством фильтрации потоков данных без
потери производительности, так как проверка содержимого пакетов данных выполняется
на аппаратном уровне. Фильтруя потоки данных, администратор может ограничить
типы приложений, разрешенных для использования в сети, контролировать доступ
пользователей к сети и определять устройства, к которым они будут подключаться.
Также ACL могут использоваться для определения политики качества обслуживания
(QoS) путем классификации трафика и переопределения его приоритета.представляют
собой последовательность условий проверки параметров пакетов данных. Когда
сообщения поступают на входной порт, коммутатор проверяет параметры пакетов
данных на совпадения с критериями фильтрации, определенными в ACL, и выполняет
над пакетами данных одно из действий: Permit (Разрешить) или Deny (Запретить).
Критерии фильтрации могут быть определены на основе следующей информации,
содержащейся в пакете (см. рисунок 7):
- порт коммутатора;
- MAC/IP адрес;
- тип Ethernet/ тип протокола;
- VLAN;
- 802.1p/DSCP;
- порт TCP/UDP(тип приложения);
- первые 80 байт пакета, включая поле данных.
Рисунок
7 - Условия проверки ACL
Обычно
ACL разрешает или запрещает IP-пакеты, но, помимо всего прочего, он может
заглядывать внутрь IP-пакета, просматривать тип пакета, TCP и UDP порты. В
основном применение списков доступа рассматривают с точки зрения пакетной
фильтрации, то есть пакетная фильтрация необходима в тех ситуациях, когда
оборудование располагается на границе сети Интернет и частной сети и требуется
отфильтровать ненужный трафик.
В
этом случае ACL размещаются на входящем направлении и тем самым блокируют
избыточные виды трафика.
Функционал
ACL состоит в классификации трафика, сначала его нужно проверить, а затем
что-то с ним сделать в зависимости от того, куда ACL применяется. Примеры
применения списков контроля доступа:
- на интерфейсе: пакетная фильтрация;
- на линии Telnet: ограничение доступа к маршрутизатору;
- VPN: какой трафик нужно шифровать;
- QoS: какой трафик обрабатывать приоритетнее;
- NAT: какие адреса транслировать.
Виды списков контроля доступа
Динамические
списки контроля доступа (Dynamic ACL)
Позволяют сделать следующее: например, имеется маршрутизатор, который
подключен к какому-то серверу, и требуется закрыть доступ к нему из внешнего
мира, но в тоже время есть несколько человек, которые могут подключаться к
серверу.
Настраивается динамический список доступа, прикрепляется на входящем
направлении, а затем пользователи, которым нужно подключиться, подключатся
через Telnet к данному устройству. В результате динамический ACL открывает
проход к серверу, и уже человек может зайти через HTTP на сервер. По умолчанию
через 10 минут этот проход закрывается, и пользователь вынужден ещё раз
выполнить Telnet, чтобы подключиться к устройству.
Рефлексивные списки контроля доступа (Reflexive ACL)
Здесь ситуация немного отличается: когда узел в локальной сети отправляет
TCP запрос в Интернет, должен быть открытый проход, чтобы пришел TCP ответ для
установки соединения. Если прохода не будет ‒ станет невозможным установить
соединение, и этим проходом могут воспользоваться злоумышленники, например,
проникнуть в сеть. Рефлексивные ACL работают таким образом, что блокируется
полностью доступ (deny any) но формируется ещё один специальный ACL, который
может читать параметры пользовательских сессий, сгененированных из локальной
сети, и для них открывать проход в deny any. В результате получается, что никто
из сети Интернет не сможет установить соединение, а на сессии, сгенерированные
из локальной сети, будут приходить ответы.
Ограничение по времени (Time-based ACL)
Обычный ACL, но с ограничением по времени, позволяет ввести специальное
расписание, которое активирует ту или иную запись списка доступа. Можно
поступить следующим образом: создать список доступа, в котором запрещается
HTTP-соединение в течение рабочего дня, и привязать его к интерфейсу маршрутизатора.
В этом случае сотрудники предприятия не смогут получать HTTP-доступ в рабочее
время [12].
.3.3 Функция IP-MAC-Port Binding
Функция IP-MAC-Port Binding (IMPB),
реализованная в коммутаторах D-link, позволяет контролировать доступ
компьютеров в сеть на основе их
IP- и MAC-адресов,
а также порта подключения. Администратор может создать записи («белый список»),
связывающие IP- и MAC-адреса компьютеров с портами подключения коммутатора.
На основе этих записей в случае совпадения всех составляющих клиентские
компьютеры будут получать доступ к сети. В этом случае, если при подключении
клиента связка IP-MAC-порт будет отличаться от параметров
заранее сконфигурированной записи, коммутатор заблокирует MAC-адрес соответствующего узла с
занесением его в «черный список» (см. рисунок 8).
Рисунок
8 - Активизированная функция IP-MAC-Port Binding
Функция
IP-MAC-Port Binding специально разработана
для управления подключением узлов в сетях ETTH (Ethernet-To-The-Home)
и офисных сетях. Помимо этого функция IMPB позволяет бороться с атаками
типа ARP Spoofing, во время которых
злоумышленники перехватывают трафик или обрывают соединение, манипулируя
пакетами ARP.
Функция
IP-MAC-Port Binding (IMPB) включает
три режима работы: ARP mode (установлен по умолчанию), ACL mode и DHCP Snooping (см. таблицу 2).
Таблица
2. Режимы работы функции IMPB
|
Режим
|
Действие
|
|
ARP mode
|
Если в пришедшем ARP-пакете
связка IP-MAC не совпадает с заданной администратором, то адрес
узла будет занесен в таблицу с пометкой «Drop»
(Отбрасывать). Если эта связка совпадает, то адрес будет занесен в таблицу
коммутации как «Allow» (Разрешить).
|
|
ACL mode
|
Коммутатор на основе
предустановленного администратором «белого списка» создает правила ACL.
Любой пакет, связка IP-MAC, которого отсутствует в «белом списке» будет
блокироваться ACL. Если режим ACL отключен,
то правила записей IMPB будут удалены из таблицы ACL.
|
|
DHCP Snooping
|
Коммутатор автоматически
создает «белый список» IMPB в таблице коммутации или аппаратной таблице ACL
(при включенном режиме ACL mode). При
этом для корректной работы сервер DHCP должен быть подключен к
доверенному порту с выключенной функцией IMPB.
|
|
Strict mode
|
В этом режиме порт, прежде
чем передавать пакеты будет, отправлять их на ЦПУ для проверки совпадения их
пары IP-MAC с записями в белом списке. Таким образом, порт не
будет передавать пакеты, пока не убедится в их достоверности. Порт проверяет
все IP- и ARP-пакеты.
|
|
Loose mode
|
В этом режиме порт по
умолчанию открыт, он будет заблокирован, как только через него пройдет первый
недостоверный пакет. Порт проверяет только пакеты ARP и IPBroadcast.
|
На рисунке (см. рисунок 9) показан пример работы функции IP-MAC-Port Binding в режиме ARP. Злоумышленник инициировал атаку типа ARP Spoofing. Коммутатор обнаружил, что на порт 10
приходят пакеты ARP, связка для
которых отсутствует в «белом списке» IMPB, и блокирует MAC-адрес узла.
Рисунок
9 - Работа функции IMPB в режиме ARP.
1.3.4.
Функция Storm Control
Функция Storm Control ограничивает количество
multicast, широковещательных и неизвестных unicast фреймов, которые принимает и
перенаправляет устройство.
Для этого выставляются следующие параметры:
- порты, на которых включена функция;
- тип шторма (storm control type),
который будет учитываться:
§ Broadcast Storm;
§ Broadcast, Multicast Storm;
§ Broadcast, Multicast,
Unknown Unicast Storm;
- действие, которое будет выполняться
при обнаружении шторма:
§ Drop отбрасывать пакеты, которые
превышают пороговое значение;
§ Shutdown отключить порт, который
получает пакеты, распознанные как шторм;
- временной интервал, в течение
которого измеряется скорость трафика указанного типа шторма;
- пороговое значение, которое указывает
максимальное значение скорости (в kbps), с которой передаются пакеты,
распознанные как шторм.
Глава 2.
Лабораторный практикум по теме «Технологии обеспечения безопасности локальных
сетей»
2.1. Лабораторная
работа 1 «Базовые механизмы безопасности коммутаторов »
Рисунок
11- Расположение компьютеров в сети
В
современных сетях, особенно в сетях провайдеров услуг, необходимо осуществлять
не только защиту периметра сети и ограничения передачи трафика, но и контроль
над консолями управления активным оборудованием, минимизировать доступ к
средствам управления, учетным административным записям коммутатора. В данной
лабораторной работе рассматривается ограничение управлением коммутатора при
помощи функции Trusted Hosts.
Цель работы: изучить функцию Trusted Hosts и ее
настройку на коммутаторах D-Link.
Оборудование: коммутатор D-Link DES 3810-28, рабочая станция, консольный кабель, кабель Ethernet.
Перед выполнением задания необходимо сбросить настройки коммутатора к
заводским настройкам по умолчанию командой:
config
Настройте IP-адрес интерфейса управления коммутатора:
ipif System ipaddress 10.90.90.91/24
Создайте доверенную рабочую станцию, с которой разрешено управление
коммутатором:
trusted_host 10.90.90.101
Посмотрите список доверенных узлов сети:
trusted_host
Проверьте возможность управления коммутатором со станций ПК 2 и ПК 3:
10.90.90.91
Что вы наблюдаете?
Повторите упражнение после установки подсети управления.
Удалите доверенную станцию управления:
delete trusted_host ipaddr
10.90.90.101
Создайте сеть, из которой разрешено управление коммутатором:
trusted_host network 10.90.90.91/24
Проверьте возможность управления коммутатором со станций ПК 2 и ПК 3:
10.90.90.91
Что вы наблюдаете?
Удалите сеть, из которой разрешено управление коммутатором:
trusted_host network 10.90.90.91/24
2.2. Лабораторная
работа 2 «Функция Port Security»
Функция Port Security позволяет настроить любой порт
коммутатора так, чтобы через него доступ к сети мог осуществляться только
определенными устройствами. Устройства, которым разрешено подключаться к порту,
определяются по MAC-адресам. MAC-адреса могут быть настроены
динамически или вручную администратором. Помимо этого, функция Port Security позволяет ограничивать количество
изучаемых портом MAC-адресов, тем
самым ограничивая количество подключаемых к нему узлов.
Существуют три режима работы функции Port Security:
- Permanent (Постоянный) - занесенные в таблицу MAC-адреса никогда не устаревают, даже
если истекло время, установленное таймером Aging Time, или коммутатор был перезагружен;
- Delete on Timeout (удалить по истечению времени) -занесенные в таблицу MAC-адреса устареют по истечению
времени, уставленного таймером Aging Time, и будут
удалены. Если состояние связи на подключаемом порту изменяется, то MAC-адреса также удаляются из таблицы
коммутации;
- Delete on Reset (удалить при сбросе) - занесенные в таблицу MAC-адреса будут удалены после
перезагрузки коммутатора (этот вариант используется по умолчанию).
Цель работы: научиться управлять подключением узлов к портам коммутатора
и изучить настройку функции Port Security на
коммутаторах
D-Link.
Оборудование: коммутатор D-Link DES 3200-10, рабочая станция, кабель Ethernet, консольный кабель.
Рисунок
11 - Настройка Port Security
Управление
количеством подключаемых к портам коммутатора узлов путем ограничения
максимального количества изучаемых MAC-адресов
Сначала
необходимо вернуть настройки коммутатора к заводским настройкам по умолчанию
командой:
config
Установите максимальное количество изучаемых каждым портом MAC-адресов равным 1 и включите функцию
на всех портах:
port_security ports all admin_state enable max_learning addr
1
Подключить ПК 1 и ПК 2 к портам 2 и 8 коммутатора соответственно.
fdb port 2fdb port 8
Проверьте, соответствуют ли зарегистрированные адреса адресам рабочих
станции.
Проверьте информацию о настройках Port Security на портах коммутатора:
show port_security ports 1-8
Включите в запись журнал работы коммутатора MAC-адресов, подключающихся к порту станции, и отправку
сообщений SNTP Trap:
port_security trap_log
Выполните тестирование доступности узлов командой ping от ПК 1 к ПК 2 и наоборот.
Подключите ПК 1 к порту 8, а ПК 2 к порту 1.
Повторите тестирование соединения между рабочими станциями командой ping.
Проверьте информацию в журнале работы коммутатора:
log
Какой вы сделаете вывод?
Сохраните конфигурацию и перезагрузите коммутатор:
reboot
Выполните тестирование соединения между рабочими станциями командой ping.
Какой вы сделаете вывод? Сохраняется ли информация о привязке MAC-port?
Настройте на порту 2 функцию Port Security в режиме Permanent и максимальное количество изучаемых
адресов равным 1:
port_security ports 2 admin_state enable max learning_addr 1
lock_address_mode permanent
Сохраните конфигурацию и перезагрузите коммутатор:
reboot
Очистите информацию о привязке MAC-порта порту 2:
clear port_security_entry port 2
Отключите Port Security на порту 2 и приведите настройки
коммутатора в исходное (по умолчанию) состояние:
port_security ports 2 admin_state disable max_learning_addr
1ock_address mode deleteonreset
Просмотрите время таймера блокирования (оно соответствует времени жизни MAC-адреса в таблице коммутации):
show fdb aging_time
Изменить время действия таймера можно с помощью настройки времени жизни MAC-адреса в таблице коммутации (оно
указано в секундах):
config fdb aging_time 20
Измените режим работы функции Port Security на Delete on Timeout:
config port_security ports 2 admin_state enable
max_learning_addr 1 lock_address mode deleteontimeout
Проверьте MAC-адреса,
которые стали известны порту 2:
show fdb port 2
Проверьте информацию о настройках Port Security коммутатора:
show port_security ports 1-8
Выполните тестирование соединения между ПК 1 и ПК 2 командой ping.
Какой вы сделаете вывод? Сохраняется ли информация о привязке MAC-port?
Отключите функцию Port Security на
портах:
config port_security ports 1-8 admin_state disable
Отключите функцию записи в log-файл
и отправки SNMP Trap:
disable port_security trap_log
Примечание: после выполнения обучения можно отключить функцию
динамического изучения MAC-адресов,
и тогда в таблице коммутации сохранятся изученные адреса. Таким образом текущая
конфигурация сети будет сохранена, и дальнейшее подключение новых устройств без
ведома администратора будет невозможно. Новые устройства можно добавить путем
создания статической записи в таблице коммутации.
Настройка защиты от подключения к портам, основанной на статической
таблице MAC-адресов
Отключите рабочие станции от коммутатора.
Верните настройки коммутатора к заводским:
reset system
Активизируйте функцию Port Security на всех
портах и запретите изучение MAC-адресов,
установив параметр max_learning_addr равным нулю (команда вводится в одну строку):
config port_security admin_state ports 1-8 enable
max_learning_addr 0
Проверьте состояние портов:
show ports
Проверьте соединения между ПК 1 и ПК 2 командой ping.
Проверьте состояние таблицы коммутации:
show fdb
Имеются ли там записи?
В таблице коммутации вручную создайте статические записи MAC-адресов для рабочих станций,
подключенных к портам 2 и 8:
create fdb default 00-00-00-ba-00-01 port 2fdb default
00-00-00-ba-00-02 port 8
Проверьте созданные статические записи в таблице коммутации:
show fdb
Проверьте информацию о настройках Port Security на портах коммутатора:
show port_security ports 1-8
Проверьте соединения между ПК 1 и ПК 2 командой ping.
Подключите ПК 1 к порту 8, а ПК 2 к порту 2.
Повторите тестирование командой ping.
Какой вы сделаете вывод?
Удалите ранее созданную статическую запись из таблицы MAC на порту 2:
delete fdb default 00-50-ba-00-00-01
2.3. Лабораторная
работа 3 «Функция IP-MAC-Port Binding»
Функция IP-MAC-Port Binding
реализована в коммутаторах D-Link и позволяет контролировать доступ
компьютеров в сеть на основе их IP- и MAC-адресов, а также порта подключения.
Администратор может создавать записи, связывающие IP- и MAC-адреса
компьютеров с портами коммутатора. На основе этих записей, в случае совпадения
всех составляющих, клиенты будут получать доступ к сети со своих компьютеров. В
том случае, если связка IP-MAC-порт будет отличаться от заранее
сконфигурированной записи, то коммутатор заблокирует MAC-адрес соответствующего узла.
Функция IP-MAC-Port Binding включает
три режима работы: ACL mode, ARP mode (используется по умолчанию) и DHCP snooping mode.
При работе в режиме ARP
коммутатор анализирует ARP
пакеты и сопоставляет параметры IP-MAC ARP-пакета, с предустановленной администратором связкой IP-MAC. Если хотя бы один параметр не совпадает, то MAC-адрес узла будет занесен в таблицу
коммутации с пометкой Drop
(отбрасывать). Если все параметры совпадают, то MAC-адрес узла будет занесен в таблицу коммутации с пометкой
Allow (разрешить).
При функционировании в ACL mode, коммутатор,
на основе предустановленного «белого списка» IMPB создает правила ACL. Любой пакет, связка IP-MAC которого
отсутствует в «белом списке», будет блокироваться ACL.
Режим DHCP Snooping используется коммутатором для
динамического создания записей IP-MAC на основе анализов DHCP-пакетов и привязки их к портам с
включенной функцией IMPB
(администратору не требуется создавать записи вручную). Таким образом,
коммутатор автоматически создает «белый список» IMPB в таблице коммутации или аппаратной таблице ACL (при включенном режиме ACL). При этом для обеспечения
корректной работы сервер DHCP
должен быть подключен к доверенному порту с выключенной функцией IMPB. Администратор может ограничить
количество создаваемых в процессе автоизучения записей IP-MAC на порт и,
следовательно, ограничить для каждого порта с активированной функцией IMPB количество узлов, которые могут
получить IP-адрес с DHCP сервера. При работе в режиме DHCP Snooping коммутатор не будет создавать записи
IP-MAC для узлов с IP-адресом, установленным вручную.
При включении функции IMPB
на порту администратор должен указать режим его работы:
- Loose mode - порт по умолчанию заблокирован;
- Strict mode - порт по умолчанию открыт.
Цель работы: научиться управлять подключением узлов к портам коммутатора
и изучить настройку функции IP-MAC-Port Binding на коммутаторах D-Link.
Оборудование: коммутатор D-Link 3200-10, рабочая станция, консольный
кабель, кабель Ethernet.
Настройка функции IMPB в
режиме ARP.
Рисунок
12 - Функция IMPB в режиме ARP
Верните
настройки коммутатора к заводским (по умолчанию) командой:
reset config
Замените указанные в командах MAC-адреса на реальные MAC-адреса
компьютеров, подключенных к коммутатору.
Создайте запись IP-MAC-Port Binding, связывающую IP- и MAC-адрес
ПК 1 с портом 2 (по умолчанию режим работы функции ARP):
address_binding ip_mac ipaddress 10.90.90.101 mac_address
00-50-ba-00-00-01 port 2
Создайте запись IP-MAC-Port Bindnig, связывающую IP- и MAC-адрес
ПК 2 с портом 8:
create address_binding ip_mac ipaddress 10.90.90.102
mac_address 00-50-ba-00-00-02 port 8
Активизируйте функцию на портах 2 и 8 (по умолчанию режим работы портов Strict):
Проверьте созданные записи IP-MAC-Port Binding:
show address_binding ip_mac all
Проверьте порты, для которых настроена функция, и их режим работы:
address_binding ports
Подключите рабочие станции ПК 1 и ПК 2 к коммутатору как показано на
рисунке (см. рисунок 12).
Проверьте доступность соединения между рабочим станциями командой:
ping <ipaddress>
Включите запись в log-файл
и отправку сообщений SNTP Trap в случае
несоответствия ARP-пакета связки IP-MAC:
enable address_binding
trap_log
Подключите ПК 1 к порту 8, а ПК 2 к порту 2.
Повторите тестирование соединения между рабочими станциями командой ping.
Проверьте заблокированные рабочие станции
show address_binding
blocked all
Проверьте наличие заблокированных станций в log-файле.
show log
Какой вы сделаете вывод?
Удалите адрес из списка заблокированных адресов:
delete address_binding blocked vlan_name System mac_address
00-50-ba-00_00-01
Удалите
IP-MAC-Port Binding:
address_binding ip_mac ipaddress 192.168.1.12 mac_address
00-50-ba-00-00-01
Отключите функцию IP-MAC-Port-Binding
на портах 2 и 8:
config address_binding ip_mac ports 2, 8 state disable
Настройка функции IP-MAC-Port Binding в режиме ACL
Создайте запись IP-MAC-PortBinding , связывающую IP- и MAC-адрес станции ПК 1 с портом 2:
create address_binding ip_mac ipaddress 10.90.90.101
mac_address 00-50-ba-00-00-01 ports 2
Создайте запись IP-MAC-Port Bindnig, связывающую IP- и MAC-адрес
станции ПК 2 с портом 8:
create address_binding ip_mac ipaddress 10.90.90.102
mac_address 00-50-ba-00-00-02 ports 8
Активируйте функцию на портах 2 и 8 (по умолчанию режим работы портов Strict), включите режим allow_zeroip, благодаря которому коммутатор не будет блокировать
узлы, отправляющие ARP-пакеты с IP-адресом источника 0.0.0.0, и
установите режим работы функции IMPB в
режиме ACL (команда вводится в одну строку):
config address_binding ip_mac ports 2, 8 state enable
allow_zeroip enable mode acl
Проверьте созданные записи IP-MAC-PortBinding:
show address_binding
ip_mac
Проверьте порты, на которых настроена функция и режим их работы:
show address_binding ports
Проверьте созданные профили доступа ACL:
access_profile
Подключите рабочие станции к коммутатору, как показано на рисунке (см.
рисунок 12).
Повторите доступность соединения между станциями командой ping.
ping <ip address>
Подключите ПК 1 к порту 8, а ПК 2 к порту 2.
Повторите тестирование соединения между станциями командой ping.
Проверьте заблокированные рабочие станции:
show address_binding blocked
all
Какой вы сделаете вывод?
Удалите адрес из списка заблокированных адресов:
delete address_binding blocked vlan_name System mac_address
00-50-ba-00-00-01
Удалите все заблокированные адреса:
address_binding blocked all
Удалите все записи IP-MAC-Port Binding:
address_binding ip_mac ipaddress 10.90.90.102 mac_address
00-50-ba-00-00-02address_binding ip_mac ipaddress
10.90.90.101 mac_address
00-50-ba-00-00-01
Отключите функцию IP-MAC-Port Binding на портах 2 и 8:
config address_binding ip_mac ports 2, 8 state disable
Какой можно сделать вывод о функции IP-MAC-Port Binding в режиме ACL?
2.4. Лабораторная
работа 4 «Безопасность на основе сегментации трафика»
Функция Traffic Segmentation (сегментация трафика) служит для
разграничения доменов на канальном уровне. Она позволяет настраивать порты или
группы портов коммутатора таким образом, чтобы они были полностью изолированы
друг от друга, но имели доступ к разделяемым портам, которые используются,
например, для подключения серверов или магистрали сети. Функция сегментация
трафика может использоваться с целью сокращения трафика внутри сетейVLAN802.1q, позволяя разбивать их на меньшие группы. При этом правила VLAN имеют более высокий приоритет при
передаче трафика, правила Traffic Segmentation
применяются после них.
Используя функцию Traffic Segmentation,
настройте порты коммутатора 9 - 16 коммутатора 1, находящиеся во VLAN v3, таким образом, чтобы рабочие станции, подключенные к ним,
не могли обмениваться данными между собой, но при этом могли передавать их
через магистральный канал.
Цель работы: изучить функцию сегментации трафика и ее настройку на
коммутаторах D-Link.
Рисунок
13 - Пример использования функции Traffic Segmentation
Оборудование:
коммутатор D-Link DES 3810-28, рабочая станция,
консольный кабель, кабель Ethernet.
Перед выполнением работы лабораторной работы необходимо вернуть настройки
коммутатора к заводским командой:
reset config
Примечание: перед созданием новой VLAN используемые в ней порты необходимо удалить VLAN по умолчанию, т. к. в соответствии
со стандартом IEEE 802.1q немаркированные порты не могут одновременно принадлежать
нескольким VLAN.
Настройка коммутатора 1
Удалите порты коммутатора из VLAN по умолчанию для их использования в других VLAN:
config vlan default delete 1-16
Настройте порт 25 маркированным во vlan default:
vlan default add tagged 25
Создайте VLAN v2 и v3, добавьте соответствующие VLAN порты, которые необходимо настроить немаркированными.
Настройте порт 25 маркированным:
create vlan v2 и v3vlan v2 add untagged 1-8vlan v3 add tagged 25vlan v3 tag 3vlan v3 add
untagged 9-16
Проверьте настройку VLAN:
show vlan
Проверьте доступность соединения между рабочими станциями командой ping:
ping <ip address>
от ПК 1 к ПК 3
от ПК 2 к ПК 4
от ПК 1 к ПК 2 и ПК 4
от ПК 2 к ПК 1 и ПК 3
Настройте сегментацию трафика:
config traffic_segmentation 9-16 forward_list 25
Проверьте выполненные настройки:
show traffic_segmentation
Подключите ПК 1 к порту 9 коммутатора.
Проверьте доступность соединения между рабочими станциями командой ping:
ping <ip-address>
От ПК 1 к ПК 2
От ПК 1 к ПК 4
Запишите, что вы наблюдаете.
2.5. Лабораторная
работа 5 «Списки контроля доступа (Access Control
List, ACL)»
Списки контроля доступа являются средством фильтрации потоков данных без
потери производительности, т. к. проверка содержимого пакетов данных выполнятся
аппаратно. Фильтруя потоки данных, администратор может ограничить типы
приложений разрешенных для использования в сети, контролировать доступ
пользователей к сети и определять устройства, к которым они могут подключаться.
Списки контроля доступа (Access Control
list, ACL) представляют собой последовательность условий
проверки параметров пакетов данных. При поступлении сообщения на входной
интерфейс, коммутатор проверяет параметры пакетов данных на совпадение с
критериями фильтрации, определенными в ACL и выполняет над пакетами одно из действий: permit (разрешить) или deny (запретить).
Списки контроля доступа (Access Control
list, ACL) состоят из профилей доступа (Access Profile) и правил (Rule). Профили доступа определяют типы критериев, которые должны проверяться
в пакете данных (MAC-адрес, IP-адрес, номер порта, VLAN и т. д.), а в правилах указываются
непосредственно значения их параметров. Каждый профиль может состоять из
множества правил. Цель работы: настроить списки контроля доступа на коммутаторе D-Link, используя в качестве критериев фильтрации MAC и
IP-адреса. Оборудование: коммутатор DES-3200-10, рабочая станция консольный
кабель.
Настройка ограничения доступа пользователей к серверу по IP-адресам
Рисунок
14 - Ограничение доступа к серверу по IP-адресам
Разрешить
доступ к серверу компьютерам с IP-адресами в диапазоне от 10.90.90.101/24 до
10.90.90.104/24. Остальным компьютерам сети 10.90.90.105/24 до 10.90.90.108/24
доступ к серверу запретить.
Правило
1
Если
IP-адрес источника попадает в диапазон от 10.90.90.101 до 10.90.90.104 (подсеть
10.90.90.91/24) - доступ разрешить (permit).
Правило
2
Если
IP-адрес источника попадает в диапазон 10.90.90.105 до 10.90.90.108 доступ
запретить.
Правило
3
Иначе,
разрешить доступ всем узлам.
Настройка
коммутатора 1
Перед
выполнением задания необходимо вернуть настройки коммутатора к заводским
командой:
reset config
Удалите порты коммутатора из VLAN по умолчанию для их использования в
других VLAN:
vlan default delete 1-8
Создайте VLAN v2 и добавьте соответствующие порты, которые необходимо
настроить немаркированными. Настройте порт 2 маркированным:
create vlan v2 tag 2vlan v2 add untagged 1-8vlan v2 add
tagged 2
Проверьте настройки VLAN:
vlan
Повторите процедуру настройки для коммутатора 2.
Проверьте доступность соединения между ПК 1 и ПК 2 командой ping:
<ip-address>
Правило 1
Создать профиль доступа с номером 1, разрешающий доступ для подсети
10.90.90.91/24 (узлам с 101 по 104):
create access_profile profile_id 1 profile_name 1 ip
source_ip_mask 255.255.255.0
Создать правило для профиля доступа 1:
config access_profile profile_id 1 add access_id 1 ip
source_ip 10.90.90.91 port 2 permit
Правило 2
Создать профиль доступа с номером 2, запрещающий остальным станциям
доступ к серверу:
create access_profile profile_id 2 profile_name 2 ip
source_ip_mask 255.255.255.0
Создайте правило для профиля доступа 2:
config access_profile profile_id 2 add access_id 1
ipsource_ip 10.90.90.91 port 2 deny
Созданное правило запрещает прохождение через порт 25 трафика, который
принадлежит сети 10.90.90.91/24, но не входит в разрешенный диапазон.
Правило 3
Иначе, разрешить доступ всем узлам.
Проверьте созданные профили:
show access_profile
1) Что вы наблюдаете? Сколько профилей создано, сколько в них
правил?
) Подключите рабочую станцию, как показано на рисунке (с адресом
из диапазона 10.90.90.101 до 10.90.90.104) к коммутатору 2. Протестируйте
командой ping соединение с сервером
10.90.90.91/24. Запишите, что вы наблюдаете.
) Измените IP-адрес
рабочей станции ПК 1 (задайте адрес из диапазона 10.90.90.105/24 -
10.90.90.108/24) Протестируйте соединение с сервером 10.90.90.91/24. Запишите,
что вы наблюдаете.
Удалите профиль ACL
(например, профиль 2):
delete access_profile profile_id 2
Проверьте соединение с сервером командой ping:
ping
10.90.91.91
Запишите, что вы наблюдаете.
Настройка фильтрации кадров по MAC-адресам
Настроить профиль доступа так, чтобы кадры, принимаемые на любой порт
коммутатора от ПК3 (с MAC-адресом
00-50-ba-22-22-22) зеркалировались
(копировались) на целевой порт коммутатора, к которому подключено устройство
мониторинга сети.
Рисунок
15 - Фильтрация кадров по MAC-адресам
Замените
MAC-адреса, указанные в командах на реальные MAC-адреса
рабочих станций, подключаемых к коммутатору.
Формулировка
правила: если MAC-адрес источника равен MAC-адресу ПК 3
(00-50-ba-22-22-22) , то следует копировать кадры на целевой
порт.
Создать
профиль доступа 3:
create access_profile profile_id 3 profile_name 3 ethernet
source_mac 00-50-ba-22-22-22
Создать правило для профиля доступа 3, в результате выполнения которого
кадры, принимаемые на порт коммутатора с ПК 3, будут зеркалироваться на любой
порт.
config access_profile profile_id 3 add access_id 1 ethernet
source_mac 00-50-ba-22-22-22 port all mirror
Включите функцию зеркалирования портов глобально на коммутаторе:
enable mirror
Укажите целевой порт:
config mirror port 8
Захватите и проанализируйте пакеты с помощью анализатора протоколов.
Запишите наблюдения.
Подключите рабочую станцию ПК 3 к порту 8 на коммутаторе.
Проверьте доступность соединения между ПК 2 и ПК 3 командой ping.
Захватите и проанализируйте пакеты с помощью анализатора протоколов.
Запишите наблюдения.
Удалите все профили ACL:
access_profile all
Отключите функцию зеркалирования портов:
disable mirror
Глава 3. Меры
безопасности при работе с коммутаторами
Коммутатор является сложным техническим устройством и требует соблюдения
ряда мер предосторожности при работе.
Питание прибора осуществляется от сети напряжением 220 В, которое может
быть опасным для жизни, поэтому:
- не открывайте крышку включенного прибора - все необходимые элементы управления
и коммутационные разъемы вынесены на переднюю и заднюю сторону прибора;
- не подвергайте прибор воздействию избыточного тепла и
влажности. После перевозки в зимних условиях перед включением в сеть необходимо
дать ему прогреться в течение 2 - 3 часов;
- для чистки корпуса используйте сухую или слегка влажную
салфетку. Не пользуйтесь растворителями, не допускайте попадания внутрь корпуса
влаги, кислот и щелочей.
Особое внимание следует уделить заземлению. Пожалуйста, придерживайтесь
следующих рекомендаций:
- сделайте в рабочем помещении надежную земляную шину;
- используйте трехпроводную сеть 220 В (фаза, «ноль», «земля»)
для питания прибора и других устройств, оснащенных европейскими розетками;
- подключите все устройства, имеющие клемму «земля», к шине
заземления, для каждого устройства используйте отдельный провод;
- используйте отдельную силовую сеть для подключения мощных
потребителей электроэнергии.
Заключение
Защита информации в компьютерных сетях является важным фактором, поэтому
ее потеря или разглашение недопустимо. Нужно помнить, что злоумышленники ведут
охоту за конфиденциальными данными. При этом личные данные сотрудников им не
всегда интересны, а вот секретная информация предприятия, разглашение которой
может принести непоправимый урон развитию бизнеса и чревато большими убытками,
В ходе данной дипломной работы были рассмотрены теоретические аспекты
обеспечения безопасности компьютерных сетей на базе коммутаторов D-Link. Рассмотрены назначения и функции коммутаторов, а так
же рассмотрены, используемые в данной работе коммутаторы D-Lnk. Дана классификация угрозам сетевой безопасности и
приведены возможности коммутаторов D-Link по обеспечению сетевой безопасности.
Разработаны методические указания к лабораторному практикуму для
студентов НТГМК по следующим направлениям: базовые настройки коммутаторов по
обеспечению сетевой безопасности, функция Trusted Hosts, Port Security и IP-MAC-Port Binding, списки
контроля доступа (Access Control List, ACL) и
сегментация трафика.
Рассмотрены основные меры безопасности при работе с коммутационным
оборудованием.
Список
литературы
Печатные
издания:
. Борисенко
А.А. Локальная сеть. Просто как дважды два. ‒ Москва, 2007.
. Гольдштейн
Б., Соколов В. Автоматическая коммутация. ‒ Москва, 2007.
3. Григорьев В.М. Виртуальная лаборатория по компьютерным сетям. ‒ Днепропетровск, 2011.
4. Кузин А.В. Компьютерные сети: - 3-е изд. Москва, 2009.
. Крейг
Хант. Сетевое администрирование: - 3-е изд. - СПб - Москва, 2008.
. Лимончелли
Т., Хоган К., Чейлап С. Системное и сетевое администрирование. ‒ СПб: Питер, 2010.
. Олифер
В.Г., Олифер Н.А. Компьютерные сети, принципы, протоколы, технологии: - 2-е
изд. - СПб: Питер, 2010.
. Олифер
В.Г., Олифер Н.А. Основы компьютерных сетей. ‒ СПб: Питер, 2009.
. Олифер
В.Г., Олифер Н.А. Сетевые операционные системы. - 2-е изд. - СПб: Питер, 2009.
. Палмер
М. Проектирование и внедрение компьютерных сетей. ‒ СПб: Питер, 2004.
. Пескова
С.А., Кузин А.В., Волков А.Н. Сети и телекоммуникации. ‒ Москва, 2008.
. Руденков
Н.А., Долинер Л.И. Основы сетевых технологий. ‒ Екатеринбург, 2011.
. Смирнова
Е., Козик П. Технологии современных сетей Ethernet. Методы коммутации и
управления потоками данных. ‒ СПб: Питер, 2012.
. Смирнова
Е., Пролетарский А., Ромашкина Е. Технологии коммутации и маршрутизации в
локальных компьютерных сетях. ‒ Москва: Издательство МГТУ им. Н.Э. Баумана, 2013.