cеть предприятия, подключение к Интернет, сетевая...
DESCRIPTION
Cеть предприятия, подключение к Интернет, сетевая безопасность. Темы семинара. Ethernet, Ethernet Switch, ARP Безопасность Ethernet VLAN (802.1Q) dot1x (802.1x) Internet Protocol, IP машрутизация NAT Firewall (фильтрация пакетов) Прокси сервер. Сеть предприятия. Internet. Ethernet. - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: Cеть предприятия, подключение к Интернет, сетевая безопасность](https://reader035.vdocuments.mx/reader035/viewer/2022081418/56815d2c550346895dcb22b5/html5/thumbnails/1.jpg)
Cеть предприятия, подключение к Интернет,
сетевая безопасность
![Page 2: Cеть предприятия, подключение к Интернет, сетевая безопасность](https://reader035.vdocuments.mx/reader035/viewer/2022081418/56815d2c550346895dcb22b5/html5/thumbnails/2.jpg)
Темы семинара
• Ethernet, Ethernet Switch, ARP• Безопасность Ethernet• VLAN (802.1Q)• dot1x (802.1x)• Internet Protocol, IP машрутизация• NAT• Firewall (фильтрация пакетов)• Прокси сервер
![Page 3: Cеть предприятия, подключение к Интернет, сетевая безопасность](https://reader035.vdocuments.mx/reader035/viewer/2022081418/56815d2c550346895dcb22b5/html5/thumbnails/3.jpg)
Сеть предприятия
Internet
![Page 4: Cеть предприятия, подключение к Интернет, сетевая безопасность](https://reader035.vdocuments.mx/reader035/viewer/2022081418/56815d2c550346895dcb22b5/html5/thumbnails/4.jpg)
Ethernet
Для 100Base-TXрабочие пары1-2 и 3-6
FF:FF:FF:FF:FF:FF - Broadcast MAC address
![Page 5: Cеть предприятия, подключение к Интернет, сетевая безопасность](https://reader035.vdocuments.mx/reader035/viewer/2022081418/56815d2c550346895dcb22b5/html5/thumbnails/5.jpg)
HUB (повторитель)
00:00:00::BB:BB:BB
00:00:00:BB:BB:BB
00:00:00:AA:AA:AA
00:00:00:CC:CC:CC
![Page 6: Cеть предприятия, подключение к Интернет, сетевая безопасность](https://reader035.vdocuments.mx/reader035/viewer/2022081418/56815d2c550346895dcb22b5/html5/thumbnails/6.jpg)
Switch (коммутатор) Ethernet
00:00:00:BB:BB:BB
dst 00:00:00:BB:BB:BBsrc 00:00:00:AA:AA:AA
00:00:00:AA:AA:AA
00:00:00:CC:CC:CC
MAC Port
00:00:00:BB:BB:BB 2
00:00:00:AA:AA:AA 1
... ...
00:00:00:11:11:11 4
00:00:00:EE:EE:EE 41
2 3
L2 forward table
4
Максимальное кол-во: 8000Время устаревания: 300 секунд
Broadcast FloodUnknown Unicast Flood
![Page 7: Cеть предприятия, подключение к Интернет, сетевая безопасность](https://reader035.vdocuments.mx/reader035/viewer/2022081418/56815d2c550346895dcb22b5/html5/thumbnails/7.jpg)
Атаки и защита на уровне коммутатора
• Ethernet Loop
• MAC Spoofing
• MAC Flooding
• Нелегитимное подключение к порту
![Page 8: Cеть предприятия, подключение к Интернет, сетевая безопасность](https://reader035.vdocuments.mx/reader035/viewer/2022081418/56815d2c550346895dcb22b5/html5/thumbnails/8.jpg)
Ethernet Loop
Проблема: Бесконечный Flood
Решение:• Spanning Tree (STP)• Loopback Detect
Bridge Protocol Data Unit
![Page 9: Cеть предприятия, подключение к Интернет, сетевая безопасность](https://reader035.vdocuments.mx/reader035/viewer/2022081418/56815d2c550346895dcb22b5/html5/thumbnails/9.jpg)
Spanning Tree (STP)
• STP - Spanning Tree (802.1D)
• RSTP - Rapid Spanning Tree (802.1w)
• PVST+/VSTP - Per VLAN Spanning Tree
• Rapid-PVST
• MSTP - Multiple Spanning Tree (802.1s)• STP - 30 сек, RSTP/MSTP - 5 сек
• Другие протоколы
• REP - Cisco Resilient Ethernet Protocol
• EAPS - Ethernet Automatic Protection Switching
![Page 10: Cеть предприятия, подключение к Интернет, сетевая безопасность](https://reader035.vdocuments.mx/reader035/viewer/2022081418/56815d2c550346895dcb22b5/html5/thumbnails/10.jpg)
MAC Spoofing
00:00:00:BB:BB:BB
dst 00:00:00:BB:BB:BBsrc 00:00:00:CC:CC:CC
00:00:00:AA:AA:AA
00:00:00:CC:CC:CC
1
2 3
MAC Port
00:00:00:BB:BB:BB 2
00:00:00:AA:AA:AA 1
00:00:00:CC:CC:CC 1
L2 forward table
dst 00:00:00:BB:BB:BBsrc 00:00:00:CC:CC:CC
Защита:• Static Forward Table• Port Security
![Page 11: Cеть предприятия, подключение к Интернет, сетевая безопасность](https://reader035.vdocuments.mx/reader035/viewer/2022081418/56815d2c550346895dcb22b5/html5/thumbnails/11.jpg)
Port Security
• Привязывает несколько MAC адресов к порту.
• Может запомнить новый адрес навсегда, либо разрешить устаревание по timeout`у.
• При нарушении. Отправить сообщение, выключить порт, ничего не делать.
• Cisco(config-if)# switchport port-security maximum 3
• D-Link# config port_security ports 1-2 admin_state enable max_learning_addr 3 lock_address_mode DeleteOnTimeout
![Page 12: Cеть предприятия, подключение к Интернет, сетевая безопасность](https://reader035.vdocuments.mx/reader035/viewer/2022081418/56815d2c550346895dcb22b5/html5/thumbnails/12.jpg)
MAC Flooding
00:00:00:BB:BB:BB
dst 00:00:00:BB:BB:BBsrc 00:00:00:00:XX:XX
00:00:00:AA:AA:AA
00:00:00:CC:CC:CC
1
2 3
MAC Port
00:00:00:00:00:01 1
00:00:00:00:00:02 1
00:00:00:00:...:... 1
00:00:00:00:FF:FF 1
L2 forward table
Защита:• Static Forward Table• Port Security
Забиваем все 8000 записей
UnknownUnicastFlood
DoS
![Page 13: Cеть предприятия, подключение к Интернет, сетевая безопасность](https://reader035.vdocuments.mx/reader035/viewer/2022081418/56815d2c550346895dcb22b5/html5/thumbnails/13.jpg)
Virtual Local Area Network (VLAN)
IEEE 802.1Q
Сегментация на уровне Ethernet
+ Объединение пользователей в LAN по функциональной необходимости, а не по территории
+ Уязвимости Ethernet локализованы VLAN`ом
- Для передачи трафика меду VLAN необходим маршрутизатор
Один кабель
![Page 14: Cеть предприятия, подключение к Интернет, сетевая безопасность](https://reader035.vdocuments.mx/reader035/viewer/2022081418/56815d2c550346895dcb22b5/html5/thumbnails/14.jpg)
VLAN 802.1Q
802.1Q увеличивает размер карда на 4 байта. Диапазон VLAN 1-4094 (12 бит)Коммутатор с 802.1Q, принимая пакет, всегда вставляет VLAN тег
cisco (config-if)# switchport access vlan 10cisco (config-if)# switchport trunk allowed vlan 10,30,2,3
d-link$ config vlan vlanid 10 add untagged 1-2d-link$ config vlan vlanid 10,30 add tagged 24-25
![Page 15: Cеть предприятия, подключение к Интернет, сетевая безопасность](https://reader035.vdocuments.mx/reader035/viewer/2022081418/56815d2c550346895dcb22b5/html5/thumbnails/15.jpg)
Dinamic Host Configuring Protocol (DHCP)
DHCP серверов может быть несколько
• Нелигитимные DHCP сервера
• Защита:
• DHCP Snooping
Отв
ет
Запр
ос Запрос
Ответ
![Page 16: Cеть предприятия, подключение к Интернет, сетевая безопасность](https://reader035.vdocuments.mx/reader035/viewer/2022081418/56815d2c550346895dcb22b5/html5/thumbnails/16.jpg)
DHCP Snooping
• DHCP ответы только с доверенных портов
• cisco(config)# dhcp-snooping
• cisco(config)# dhcp-snooping vlan 25
• cisco(config-if)#ip dhcp snooping trust
![Page 17: Cеть предприятия, подключение к Интернет, сетевая безопасность](https://reader035.vdocuments.mx/reader035/viewer/2022081418/56815d2c550346895dcb22b5/html5/thumbnails/17.jpg)
Address Resolution Protocol (ARP)
MAC 00:00:00:BB:BB:BBIP 192.168.0.11
ping 192.168.0.11MAC ?
MAC 00:00:00:AA:AA:AAIP 192.168.0.10
MAC 00:00:00:CC:CC:CCIP 192.168.0.12
1. Компьютер A формирует broadcast запрос WHO HAS 192.168.0.11
2. Принимают все3. Отвечает только компьютер B4. Теперь комьютер A знает MAC для
192.168.0.11 5. Ответ кешируется на 300 сек
Можно посылать ответы без запроса!
![Page 18: Cеть предприятия, подключение к Интернет, сетевая безопасность](https://reader035.vdocuments.mx/reader035/viewer/2022081418/56815d2c550346895dcb22b5/html5/thumbnails/18.jpg)
ARP frame format
Wireshark dump
![Page 19: Cеть предприятия, подключение к Интернет, сетевая безопасность](https://reader035.vdocuments.mx/reader035/viewer/2022081418/56815d2c550346895dcb22b5/html5/thumbnails/19.jpg)
ARP Spoofing (Poisoning)
MAC 00:00:00:BB:BB:BBIP 192.168.0.11
Ethernet MAC A -> MAC BARP Reply (MAC A, IP 192.168.0.12)
MAC 00:00:00:AA:AA:AAIP 192.168.0.10
MAC 00:00:00:CC:CC:CCIP 192.168.0.12
Ethernet MAC A -> MAC CARP Reply (MAC A, IP 192.168.0.11)
Ping 192.168.0.12Уйдёт на MAC A
Ping 192.168.0.11Уйдёт на MAC A
![Page 20: Cеть предприятия, подключение к Интернет, сетевая безопасность](https://reader035.vdocuments.mx/reader035/viewer/2022081418/56815d2c550346895dcb22b5/html5/thumbnails/20.jpg)
ARP Spoofing (Poisoning)
Обнаружение:• arpwatch
Защита:• cтатический ARP• фильтрация на
управляемых коммутаторах
• IPv6• IPsec• DHCP Snooping
+ ARP Inspection
Port Security не защитит !
![Page 21: Cеть предприятия, подключение к Интернет, сетевая безопасность](https://reader035.vdocuments.mx/reader035/viewer/2022081418/56815d2c550346895dcb22b5/html5/thumbnails/21.jpg)
ARP Inspection
• Если порт ненадёжный:• Коммутатор перехватывает все ARP-запросы и ARP-ответы на
ненадёжных портах прежде чем перенаправлять их;• Коммутатор проверяет соответствие MAC-адреса IP-адресу на
ненадёжных портах.
• Включение• cisco(config)# ip arp inspection vlan 1• Настройка доверенного порта:• cisco(config)# interface gigabitethernet1/0/1
cisco(config-if)# ip arp inspection trust
![Page 22: Cеть предприятия, подключение к Интернет, сетевая безопасность](https://reader035.vdocuments.mx/reader035/viewer/2022081418/56815d2c550346895dcb22b5/html5/thumbnails/22.jpg)
802.1X (dot1x)
Suplicant - устройство которое запрашивает доступ к сети у аутентификатора. На клиенте должно быть ПО реализующее 802.1XAudenticator - устройство контролирующее физический доступ к сети. Proxy между клиентом и сервером аутентификации.Authentication server - аутентификация клиента. Cообщает аутентификатору разрешен ли клиенту доступ к сети.
![Page 23: Cеть предприятия, подключение к Интернет, сетевая безопасность](https://reader035.vdocuments.mx/reader035/viewer/2022081418/56815d2c550346895dcb22b5/html5/thumbnails/23.jpg)
802.1X Indentity Store
![Page 24: Cеть предприятия, подключение к Интернет, сетевая безопасность](https://reader035.vdocuments.mx/reader035/viewer/2022081418/56815d2c550346895dcb22b5/html5/thumbnails/24.jpg)
802.1X Supplicant
![Page 25: Cеть предприятия, подключение к Интернет, сетевая безопасность](https://reader035.vdocuments.mx/reader035/viewer/2022081418/56815d2c550346895dcb22b5/html5/thumbnails/25.jpg)
802.1X PC Supplicant
![Page 26: Cеть предприятия, подключение к Интернет, сетевая безопасность](https://reader035.vdocuments.mx/reader035/viewer/2022081418/56815d2c550346895dcb22b5/html5/thumbnails/26.jpg)
802.1X (dot1x)
• Режимы: port-based, MAC-based
• VLAN клиента через RADIUS в 802.1X• cisco(config)# radius-server host 192.168.1.3
cisco(config)# radius-server key radiuskey
cisco(config)# aaa new-model
cisco(config)# aaa authentication dot1x default group radius
cisco(config)# dot1x system-auth-control
cisco(config)#interface FastEthernet0/1cisco(config-if)# dot1x port-control auto
![Page 27: Cеть предприятия, подключение к Интернет, сетевая безопасность](https://reader035.vdocuments.mx/reader035/viewer/2022081418/56815d2c550346895dcb22b5/html5/thumbnails/27.jpg)
Internet Protocol (IP)
•IP адрес - 32 битное число•[raul@linux ~]$ ping 134744072•PING 134744072 (8.8.8.8) 56(84) bytes of data.•64 bytes from 8.8.8.8: icmp_seq=1 ttl=51 time=96.4 ms•64 bytes from 8.8.8.8: icmp_seq=2 ttl=51 time=95.9 ms
•Разделяются на "белые" глобально маршрутизируемые и "серые" глобально не маршрутизируемые.
![Page 28: Cеть предприятия, подключение к Интернет, сетевая безопасность](https://reader035.vdocuments.mx/reader035/viewer/2022081418/56815d2c550346895dcb22b5/html5/thumbnails/28.jpg)
IP routing
192.168.0.11
192.168.0.10
172.16.0.2
172.16.0.1
192.168.0.1
Если IP значит IP Routing Table
Subnet Interface next-hop
192.168.0.0/24 eth0 -
0.0.0.0/0 eth0 192.168.0.1
Компьютеры
Subnet Interface next-hop
192.168.0.0/24 eth0 -
172.16.0.0/24 eth1 -
Маршрутизатор
Маршрутизация по Destination IP Address!
![Page 29: Cеть предприятия, подключение к Интернет, сетевая безопасность](https://reader035.vdocuments.mx/reader035/viewer/2022081418/56815d2c550346895dcb22b5/html5/thumbnails/29.jpg)
IP Spoofing
• IP Spoofing - подмена Source IP Address в заголовке IP
• Подвержен протокол UDP.
• TCP за счёт двух сторонней направленности практически не поддвержен.
• Пример вредоносного кода в одном IP пакете:
• Вирус Helkern, UDP 376 байт. Microsoft SQL Server 2000, 2003 год
• Защита:• - Фильтрация пакетов (Firewall)
• - DHCP Snooping + IP SourceGuard
• - Reverse Path Filtering
![Page 30: Cеть предприятия, подключение к Интернет, сетевая безопасность](https://reader035.vdocuments.mx/reader035/viewer/2022081418/56815d2c550346895dcb22b5/html5/thumbnails/30.jpg)
Reverse Path Filtering
Есть ли маршрут на адрес IP Source, чтобы доставить пакет обратно?
Ciscocisco(config-if)# ip verify unicast source reachable <rx|any> [allow-default]
Linuxecho 0 > /proc/sys/net/ipv4/conf/all/rp_filter
![Page 31: Cеть предприятия, подключение к Интернет, сетевая безопасность](https://reader035.vdocuments.mx/reader035/viewer/2022081418/56815d2c550346895dcb22b5/html5/thumbnails/31.jpg)
Domain Name System (DNS)
Зоны:- Прямая- Обратная
ya.ru. IN A 93.158.134.203203.134.158.93.in-addr.arpa. IN PTR www.yandex.ru.
Обратная и прямая зона независимы!
![Page 32: Cеть предприятия, подключение к Интернет, сетевая безопасность](https://reader035.vdocuments.mx/reader035/viewer/2022081418/56815d2c550346895dcb22b5/html5/thumbnails/32.jpg)
Firewall
Фильтрация по IP, TCP / UDP, протоколам уровня приложения, ...
StateFull Firewall
Рекомендуемая политика всё запрещено, разрешено что нужно.
Microsoft ISA, Linux netfilter, Cisco ASA, Cisco Router, FreeBSD ipfw, FreeBSD NetGraph
![Page 33: Cеть предприятия, подключение к Интернет, сетевая безопасность](https://reader035.vdocuments.mx/reader035/viewer/2022081418/56815d2c550346895dcb22b5/html5/thumbnails/33.jpg)
Network Address Translation (NAT)
Aplication Inspection (FTP, SIP, H.323)Ограничение входящих соединений
NAT не Firewall !
Переполнение таблицы трансляций20-30 torrent+uTP = ~1000 трансляций
Internet
Серые IP адреса
Один белый IP
![Page 34: Cеть предприятия, подключение к Интернет, сетевая безопасность](https://reader035.vdocuments.mx/reader035/viewer/2022081418/56815d2c550346895dcb22b5/html5/thumbnails/34.jpg)
Microsoft ISA, Squid, Cisco cache engine
Возможности:- Прозрачное проксирование- Логирование- Аудентификация- Content Inspection
Прокси сервер
![Page 35: Cеть предприятия, подключение к Интернет, сетевая безопасность](https://reader035.vdocuments.mx/reader035/viewer/2022081418/56815d2c550346895dcb22b5/html5/thumbnails/35.jpg)
Спасибо
xgu.ruwikipedia.orgCisco Certification GuideCisco Live Presentation
Прошу вопросы