1 / 35

Cеть предприятия, подключение к Интернет, сетевая безопасность

Cеть предприятия, подключение к Интернет, сетевая безопасность. Темы семинара. Ethernet, Ethernet Switch, ARP Безопасность Ethernet VLAN (802.1Q) dot1x (802.1x) Internet Protocol, IP машрутизация NAT Firewall (фильтрация пакетов) Прокси сервер. Сеть предприятия. Internet. Ethernet.

zandra
Download Presentation

Cеть предприятия, подключение к Интернет, сетевая безопасность

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Cеть предприятия, подключение к Интернет, сетевая безопасность

  2. Темы семинара • Ethernet, Ethernet Switch, ARP • Безопасность Ethernet • VLAN (802.1Q) • dot1x (802.1x) • Internet Protocol, IP машрутизация • NAT • Firewall (фильтрация пакетов) • Прокси сервер

  3. Сеть предприятия Internet

  4. Ethernet Для 100Base-TXрабочие пары1-2 и 3-6 FF:FF:FF:FF:FF:FF - Broadcast MAC address

  5. HUB (повторитель) 00:00:00::BB:BB:BB • 00:00:00:CC:CC:CC • 00:00:00:BB:BB:BB 00:00:00:AA:AA:AA

  6. Switch (коммутатор) Ethernet • 00:00:00:BB:BB:BB • 00:00:00:CC:CC:CC L2 forward table • 3 • 2 • 4 1 • dst 00:00:00:BB:BB:BBsrc 00:00:00:AA:AA:AA • Максимальное кол-во: 8000 • Время устаревания: 300 секунд Broadcast FloodUnknown Unicast Flood • 00:00:00:AA:AA:AA

  7. Атаки и защита на уровне коммутатора • Ethernet Loop • MAC Spoofing • MAC Flooding • Нелегитимное подключение к порту

  8. Ethernet Loop • Проблема: Бесконечный Flood • Решение: • Spanning Tree (STP) • Loopback Detect Bridge Protocol Data Unit

  9. Spanning Tree (STP) • STP - Spanning Tree (802.1D) • RSTP - Rapid Spanning Tree (802.1w) • PVST+/VSTP - Per VLAN Spanning Tree • Rapid-PVST • MSTP - Multiple Spanning Tree (802.1s) • STP - 30 сек, RSTP/MSTP - 5 сек • Другие протоколы • REP - Cisco Resilient Ethernet Protocol • EAPS - Ethernet Automatic Protection Switching

  10. MAC Spoofing • 00:00:00:BB:BB:BB • 00:00:00:CC:CC:CC • L2 forward table • dst 00:00:00:BB:BB:BBsrc 00:00:00:CC:CC:CC • 3 • 2 • 1 • dst 00:00:00:BB:BB:BBsrc 00:00:00:CC:CC:CC • Защита: • Static Forward Table • Port Security • 00:00:00:AA:AA:AA

  11. Port Security • Привязываетнесколько MAC адресов к порту. • Можетзапомнитьновыйадреснавсегда, либоразрешитьустареваниепоtimeout`у. • Принарушении. Отправитьсообщение, выключитьпорт, ничегонеделать. • Cisco(config-if)# switchport port-security maximum 3 • D-Link# configport_security ports 1-2 admin_state enable max_learning_addr 3 lock_address_modeDeleteOnTimeout

  12. MAC Flooding • 00:00:00:BB:BB:BB • 00:00:00:CC:CC:CC • L2 forward table • UnknownUnicastFlood • DoS • 3 • 2 • 1 • dst 00:00:00:BB:BB:BBsrc 00:00:00:00:XX:XX Забиваем все 8000 записей • Защита: • Static Forward Table • Port Security • 00:00:00:AA:AA:AA

  13. Virtual Local Area Network (VLAN) • Сегментация на уровне Ethernet • + Объединение пользователей в LAN по функциональной необходимости, а не по территории • + Уязвимости Ethernet локализованы VLAN`ом • - Для передачи трафика меду VLAN необходим маршрутизатор Один кабель IEEE 802.1Q

  14. VLAN 802.1Q • 802.1Q увеличивает размер карда на 4 байта. Диапазон VLAN 1-4094 (12 бит) • Коммутатор с 802.1Q, принимая пакет, всегда вставляет VLAN тег • cisco (config-if)# switchport access vlan 10 • cisco (config-if)# switchport trunk allowed vlan 10,30,2,3 • d-link$ config vlan vlanid 10 add untagged 1-2 • d-link$ config vlan vlanid 10,30 add tagged 24-25

  15. Dinamic Host Configuring Protocol (DHCP) DHCP серверовможетбытьнесколько • Нелигитимные DHCP сервера • Защита: • DHCP Snooping • Запрос • Запрос • Ответ • Ответ

  16. DHCP Snooping • DHCP ответы только с доверенных портов • cisco(config)# dhcp-snooping • cisco(config)# dhcp-snooping vlan 25 • cisco(config-if)#ip dhcp snooping trust

  17. Address Resolution Protocol (ARP) • MAC 00:00:00:BB:BB:BB • IP 192.168.0.11 • MAC 00:00:00:CC:CC:CC • IP 192.168.0.12 • Компьютер A формирует broadcast запрос WHO HAS 192.168.0.11 • Принимают все • Отвечает только компьютер B • Теперь комьютер A знает MAC для 192.168.0.11 • Ответ кешируется на 300 сек • ping 192.168.0.11 • MAC ? • Можно посылать ответы без запроса! • MAC 00:00:00:AA:AA:AA • IP 192.168.0.10

  18. ARP frame format Wireshark dump

  19. ARP Spoofing (Poisoning) • MAC 00:00:00:BB:BB:BB • IP 192.168.0.11 • MAC 00:00:00:CC:CC:CC • IP 192.168.0.12 • Ping 192.168.0.12Уйдёт на MAC A • Ping 192.168.0.11Уйдёт на MAC A • Ethernet MAC A -> MAC B • ARP Reply (MAC A, IP 192.168.0.12) • Ethernet MAC A -> MAC C • ARP Reply (MAC A, IP 192.168.0.11) • MAC 00:00:00:AA:AA:AA • IP 192.168.0.10

  20. ARP Spoofing (Poisoning) • Обнаружение: • arpwatch • Защита: • cтатический ARP • фильтрациянауправляемыхкоммутаторах • IPv6 • IPsec • DHCP Snooping+ ARP Inspection Port Security не защитит !

  21. ARP Inspection • Если порт ненадёжный: • Коммутатор перехватывает все ARP-запросы и ARP-ответы на ненадёжных портах прежде чем перенаправлять их; • Коммутатор проверяет соответствие MAC-адреса IP-адресу на ненадёжных портах. • Включение • cisco(config)# ip arp inspection vlan 1 • Настройка доверенного порта: • cisco(config)# interface gigabitethernet1/0/1cisco(config-if)# ip arp inspection trust

  22. 802.1X (dot1x) • Suplicant - устройство которое запрашивает доступ к сети у аутентификатора. На клиенте должно быть ПО реализующее 802.1X • Audenticator - устройство контролирующее физический доступ к сети. Proxy между клиентом и сервером аутентификации. • Authentication server - аутентификация клиента. Cообщает аутентификатору разрешен ли клиенту доступ к сети.

  23. 802.1X Indentity Store

  24. 802.1X Supplicant

  25. 802.1X PC Supplicant

  26. 802.1X (dot1x) • Режимы: port-based, MAC-based • VLAN клиента через RADIUS в 802.1X • cisco(config)# radius-server host 192.168.1.3cisco(config)# radius-server key radiuskeycisco(config)# aaa new-modelcisco(config)# aaa authentication dot1x default group radiuscisco(config)# dot1x system-auth-controlcisco(config)#interface FastEthernet0/1cisco(config-if)# dot1x port-control auto

  27. Internet Protocol (IP) • IP адрес - 32 битное число • [raul@linux ~]$ ping 134744072 • PING 134744072 (8.8.8.8) 56(84) bytes of data. • 64 bytes from 8.8.8.8: icmp_seq=1 ttl=51 time=96.4 ms • 64 bytes from 8.8.8.8: icmp_seq=2 ttl=51 time=95.9 ms • Разделяются на "белые" глобально маршрутизируемые и "серые" глобально не маршрутизируемые.

  28. IP routing • Если IP значит IP Routing Table • 192.168.0.11 • 172.16.0.2 Компьютеры • 172.16.0.1 • Маршрутизатор • 192.168.0.1 • 192.168.0.10 Маршрутизация по Destination IP Address!

  29. IP Spoofing • IP Spoofing - подмена Source IP Address в заголовке IP • Подвержен протокол UDP. • TCP за счёт двух сторонней направленности практически не поддвержен. • Пример вредоносного кода в одном IP пакете: • Вирус Helkern, UDP 376 байт. Microsoft SQL Server 2000, 2003 год • Защита: • - Фильтрация пакетов (Firewall) • - DHCP Snooping + IP SourceGuard • - Reverse Path Filtering

  30. Reverse Path Filtering • Есть ли маршрут на адрес IP Source, чтобы доставить пакет обратно? • Cisco • cisco(config-if)# ip verify unicast source reachable <rx|any> [allow-default] • Linux • echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter

  31. Domain Name System (DNS) Зоны: - Прямая - Обратная ya.ru. IN A 93.158.134.203 203.134.158.93.in-addr.arpa. IN PTR www.yandex.ru. Обратная и прямаязонанезависимы!

  32. Firewall Фильтрацияпо IP, TCP / UDP, протоколамуровняприложения, ... StateFull Firewall Рекомендуемаяполитикавсёзапрещено, разрешеночтонужно. Microsoft ISA, Linux netfilter, Cisco ASA, Cisco Router, FreeBSD ipfw,FreeBSD NetGraph

  33. Network Address Translation (NAT) • Internet AplicationInspection (FTP, SIP, H.323) Ограничениевходящихсоединений NAT неFirewall ! Переполнениетаблицытрансляций 20-30 torrent+uTP = ~1000 трансляций Один белый IP Серые IP адреса

  34. Прокси сервер Microsoft ISA, Squid, Cisco cache engine Возможности: - Прозрачноепроксирование - Логирование - Аудентификация - Content Inspection

  35. Спасибо xgu.ru wikipedia.org Cisco Certification Guide Cisco Live Presentation Прошу вопросы

More Related