Организация защиты информации на основе маршрутизаторов, межсетевых экранов, прокси-серверов. Построение vpn Сетевые адаптеры
Сетевые адаптеры, концентраторы, кабельная системы являются тем минимумом оборудования, с помощью которого возможно создания сети. Платы сетевых адаптеров вставляются в слоты расширения всех сетевых компьютеров и серверов, для обеспечения физического соединения между компьютером и сеть и состоит из аппаратной части, а также встроенных программ, записанных в ПЗУ. Эти программы реализуют функции физического и канального уровней модели открытых систем OSI в конечном узле сети и выполняют функции передачи и приема кадра. Для этого осуществляется;
Прием данных с вышестоящего LLC (канального) уровня (через специализированный буфер в оперативной памяти) и инкапсуляция его в кадр данных MAC-уровня, с заполнением адресов назначения и источника, а также вычислением контрольной суммы.
Кодирование и скремблирование кодов (функция реализована не во всех протоколах).
Выдача сигналов в кабельную сеть, в соответствии с принятым кодом, в которой между принимающей и посылающей сторонами обговариваются:
максимальный размер блока передаваемых данных;
объем данных, передаваемых без подтверждения о получении;
интервалы между передачами блоков данных;
интервал, в течение которого необходимо послать подтверждение;
объем данных, который может принять каждая плата, не переполняя буфер приема;
скорость передачи данных.
Перевод цифровых данных полученных от вышестоящего уровня в электрические и оптические сигналы, которые и передаются по сетевым кабелям.
Выделение сигнала из кабельной сети, дескремблирование и декодирование сигнала, если это было выполнено на узле-источнике.
Проверка контрольной суммы. При совпадении контрольных цифр из МАС- кадра извлекается кадр и передается уровню LLC. При несовпадении, пакет отбрасывается, а уровню LLC передается код ошибки.
Несанкционированный доступ к компьютерам подключенным к сети;
Осуществляется путем установление платы сетевого адаптера в режим прослушивания сети и запуска программного анализатора, позволяющего производить запись и анализ трафика на узле (компьютере), при санкционированном или несанкционированном подключении к сети.
Защита от несанкционированного доступа
Возможна путем обнаружение злоумышленника с помощью специальных программ ( AntiSniff) см. табл.
Концентраторы
Согласно эталонной модели взаимодействия открытых систем концентраторы относятся к аппаратным средствам физического и канального уровней передачи информации, имеющим несколько портов (выходов), для подключения физического сегмента кабеля идущего от сетевых адаптеров конечных узлов.
К функциям концентратора относят:
1. В зависимости от стандарта сетевой реализации повторение кадра либо на всех портах, либо только на некоторых портах.
2. Объединение конечных физических узлов сети в единую разделяемую среду в соответствии с принятым в данной сети протоколом (Ethernet, Token Ring и др.)
3. Разделение сети на подсегменты (рис.).
4. Автосегментация- способность концентратора изолировать работающие порты, создающие помехи, ошибки или имеющих недопустимый для данной сети МАС-адрес.
Использование концентраторов дает следующиепреимущества:
разрыв кабеля в сети, подключенного к концентратору, нарушает работу только данного сегмента. Остальные сегменты остаются работоспособными;
простота маштабирования сети при подключении новых компьютеров или концентраторов;
использование различных портов для подключения кабелей разных типов;
возможность централизованного контроля за работой сети и сетевым трафиком.
Классификация концентраторов:
По регенерации сигнала:
активные (active)– регенерируют и передают сигналы;
пассивные (passive)– пропускают через себя сигнал как узлы коммутации, не усиливая и не восстанавливая его;
гибридные (hybrid)- концентраторы, к которым можно подключать кабели различных типов.
По конструктивному исполнению:
модульные устройства, выполненные в виде приборного блока, имеющим от 4 до 16 плат различного функционального назначения и устанавливающиеся в высокоскоростных локальных сетях с централизованным управлением. Достоинство данных концентраторов – возможность резервирования сети.
функционально законченные автономные устройства, предназначенные, для работы с одним типом сети и конкретным типом кабеля. Среди которых существует отдельный класс изделий - наращиваемые концентраторы, объединение которых, осуществляемое с помощью разъемов в корпусе устройства и простых кабельных соединений. Это позволяет создать сетевое устройство с единой системой управления портами, поддерживающее передачу информации по линиям связи различного типа, а также и предоставлять информацию, связанную со статистикой работы и состоянием устройств.
Рис. 1. Разделение сети на подсегменты
Несанкционированный доступ к компьютерам подключенным к сети;
Осуществляется путем запуска программного анализатора, позволяющего производить запись и анализ трафика на узле (компьютере), при несанкционированном подключении к концентратору.
Для осуществления таких атак как подмена адреса отправителя и отказ в обслуживании возможно динамическое изменение МАС-адресов сетевых адаптеров, например, с помощью программы Hack.exe
Для повышения безопасности концентраторы с функциями защиты необходимо устанавливать в закрытом на замок распределительном шкафу.
Защита от несанкционированного доступа
Назначение разрешенных MAC адресов портам концентратора. Для этого администратор сети вручную связывает с каждым портом концентратора некоторый MAC-адрес, станции к которому разрешено подключаться данному порту. В случае несанкционированного подключения, кадры с неразрешенными MAC адресами отфильтровываются, порт отключается, а администратор фиксирует факт нарушения доступа. Данная защита производится только на интеллектуальных концентраторах, имеющих блок управления.
Шифрование пакетов. При передаче пакетов сообщений концентратор шифрует трафик для всех портов МАС –адрес получателя которых не совпадает с МАС- адресом порта назначения, кроме порта, к которому подключен получатель этого пакета (см рис.)
Мост
Мост-это устройство, соединяющее 2 и более сети, с одним и тем же протоколом, обрабатывающий поступающие кадры последовательно и обладающий свойством фильтрации пакетов. Рассмотрим работу моста на примере работы прозрачного моста.
Прозрачный мост (IEEE802.1 D)
Прозрачный мост строит свою адресную таблицу на основании пассивного наблюдения за трафиком, циркулирующем в подключенных к его портам сегментах. Для формирования адресной таблицы:
1. Поступившие кадры запоминаются в буферной памяти моста.
2. В адресную таблицу производится запись о MAC-адресе источника и номере порта, на который поступили кадры
|
MAC-адрес |
Порт |
|
1 |
1 |
|
. . . |
. . . |
|
n |
3 |
3.Осуществляется передача поступивших кадров на все порты моста, кроме порта-источника кадров.
Рис. Упрощенная схема моста
4. Далее выполняется п.1-3 пока вся адресная таблица не заполнится.
После заполнения таблицы, при поступлении очередного кадра мост анализирует адресную таблицу на предмет совпадения ее адресов с адресом назначения кадра:
1.Если запись существует, то мост проверяет, находятся ли адрес источника и адрес назначения в одном сегменте сети. Если да, то кадр удаляется из буфера. Данная операция называется фильтрацией трафика. Если нет, то мост по адресной таблице проверяет на какой порт следует передать кадр для продвижения его по сети.
2. Если запись не существует, то осуществляется передача поступивших кадров на все порты моста, кроме порта-источника кадров.
Мы описали режим работы динамической адресной таблицы, особенность которых заключается в том, что записи таблиц имеют срок жизни, ограниченные метка времени. Если мост не принял ни одного кадра с МАС –адресом источника, за время отмеченное в метке, то запись удаляется из таблицы. После поступления новых кадров от данного узла к мосту в таблице появится новая запись.
В отличии от динамических таблиц существуют статические таблицы, которые не имеют срока жизни и создаются администратором вручную.
Нарушения безопасности
Режим передачи кадров с широковещательными и неизвестными адресами на все порты моста, кроме входящего называется затоплением сети. Данный режим работы приемлем, если широковещательный адрес выработан корректно работающим узлом, в противном случае или в случае атаки, сеть заполняется ошибочным трафиком. Описанная ситуация носит название широковещательный шторм.
Способы устранения
Защита от широковещательного шторма возможна путем установки для каждого узла предельно допустимой интенсивности генерации кадров с широковещательным адресом.