Cursul6

O reţea securizată este la fel de puternica ca veriga cea mai slabă. Din acest motiv, în plus faţă de asigurarea frontierei reţelei, este important sa asiguram dispozitivelefinale în cadrul reţelei. Securitatea Endpoint-urilor include asigurarea dispozitive din infrastructura de reţea în LAN, precum şi a sistemelor finale, cum ar fi staţii de lucru, servere, telefoane IP, puncte de acces, şi crearea dereţele de dispozitive de stocare (SAN). Există mai multe aplicaţii de securitate endpoint şi dispozitive disponibile pentru a realiza acest lucru, inclusiv dispozitive de securitate Cisco IronPort, Admitere Network Control (NAC), Cisco şi agent de securitate (CSA). Asigurarea securitatii endpoint-urilor cuprinde, , asigurarea infrastructurii la nivel Layer 2 de reţea pentrua opri atacurile împotriva Layer 2, cum ar fi adresa MAC spoofing şi atacurile de manipulare STP. Configuraţii de securitate de Layer 2 includ securitatea portuară care să permită, paza BPDU, a root-ului , controlul furtuni, analiza comutarii porturilor Cisco (SPAN), sau a porturilor de la distanţă SPAN (RSPAN).

În cele din urmă, tipul de soluţii de securitate puse în aplicare depinde de tipul de tehnologii LAN utilizate. De exemplu, reţelele care folosesc wireless, VoIP, tehnologii şi reţelele SAN au considerente de securitate şi soluţii suplimentare.

Într-un cuprinzător hands-on de laborator pentru capitol, Asigurarea Layer 2 Switch, elevii configura următoarele pe un switch Layer 2: acces SSH, control furtuna pentru emisiuni, PortFast, BPDU de paza, paza rădăcină, securitateaportuară, şi Switched Port Analyzer. Cursanţii verifice, de asemenea configuraţii, monitorizare a activităţii port folosind Wireshark, şi să analizeze un atac surse. Laboratorul se găseşte în manualul de laborator pe Conexiunea la Academia cisco.netacad.net.

O activitate Packet Tracer, Layer 2 de securitate, oferă cursanţilor practică suplimentare de punere în aplicare a tehnologiilor introduse în acest capitol. Cursanţii sigur parametrii STP pentru a atenua atacurile STP, permite furtuna de control pentru a preveni furtuni de difuzare, şi pentru a permite securitatea portuară pentru a preveni atacurile de adresa MAC tabel overflow.

Într-un al doilea Packet Tracer activitate, Layer 2 VLAN de Securitate, care învaţă a crea un VLAN de management, ataşaţi un calculator de gestionare a VLAN de management, şisă implementeze un ACL pentru a împiedica utilizatorii să acceseze în afara VLAN de management.

Packet Tracer activităţi pentru CCNA Security se găsesc pe conexiune la Academia cisco.netacad.net.

Ameninţările cele mai mari de profil adesea discutate în mass-media sunt ameninţările externe, cum ar fi viermi de Internet şi atacuri DoS. Dar asigurarea unei reţele interne locală (LAN) este la fel de importantă ca asigurarea perimetrul unei reţele. Fără un LAN securizat, utilizatorii dîntr-o organizaţie nu pot fi capabil să acceseze reţeaua, care poate reduce în mod semnificativ productivitatea.

Multi administratori de reţea işi dezvolte strategia lor de securitate in perimetrul unei reţele si lucreaza in interiorul LAN-ului. Alti administratori dezvolta strategiade securitate a reţelei la LAN in afara perimetrului . Indiferent de abordare, cele două domenii specifice, sunt vitale pentru a asigura infrastructura reţelei..

LAN este alcătuit din parametri de reţea. O gazda, este un computer individual sau dispozitiv care acţionează ca un client de reţea. Endpoint-urile comune sunt laptop-uri, desktop-uri, telefoane IP, şi personal digital assistants

(PDA-uri). Servere pot fi luate în considerare ca endpoint-uri. Strategia de securitate LAN-to- perimeter se bazează pe ideea că, dacă utilizatorii nu folosesc masurile de securitate în operaţiunile lor de pe desktop, nici o măsura de securitate nu va garanta securizarea unei reţele.

Infrastructura de reţea este alt domeniu de interes pentru securizarea LAN. Parte din asigurarea reţelei LAN sunt atenuanrea atacurilor. Aceste atacuri includ atacurile spoofing la adresa MAC, manipularea atacurilor STP, atacurioverflow la tabela de adrese MAC, atacuri furtuna LAN, şi atacuri la VLAN. Un alt element pentru securizarea infrastructurii de reţea este de a asigura dispozitivele dinLAN-urile intermediare . Acestea includ switch-uri, dispozitive wireless, dispozitive de telefonie IP, şi dispozitive de stocarea zonei reţelei (SAN)

Înainte de securizarea infrastructurii de reţea, ţinta iniţială trebuie să fie securitatea endpoint-urilor. Gazdele

trebuie să fie protejat de virusi, cai troieni, viermi, şi aaltor ameninţări de securitate. Strategia Cisco de abordare a securitatii pentru endpoint se bazează pe trei elemente:

Cisco Network Admission Control (NAC) - soluţia NAC asigură că fiecare endpoint este în conformitate cu politicile de securitate ale reţelei înainte de a fi acordat accesul la reţea. NAC oferă accesul la dispozitive compatibile şi se asigură că dispozitivelorneconforme li se refuză accesul, sunt puse în carantină, sau au acces limitat la resurse.

Endpoint protection - tehnologie bazata pe comportamenteste disponibila cu Cisco Security Agent (CSA), care protejează împotriva ameninţărilor care sunt reprezentate de viruşi, cai troieni, şi viermi. Aparatele IronPort pe perimetru de securitate completeaza CSA concentrându-se pe e-mail şi de securitatea web.

Network infection containment (izolarea reţelei de infecţie) - Pentru a aborda cele mai noi metode de ataccare pot compromite reţeaua, izolarea se concentreaza pe automatizarea elementelor-cheie ale procesului de răspuns la infecţie. Cisco Self-Defending Network (SDN)elemente ale NAC, CSA, şi IPS ofere acest serviciu

O strategie de securitate endpoint este necesara, deoarece software-ul tinde să aibă puncte slabe. Software-ul secure (de încredere), este conceput pentru a proteja datele şi a rezista la tentativele de atac. Din punct de vedere istoric,software secure a fost folosit doar în cadrul militar şi în sistemele critice comerciale. În general, acest tip de software este software personalizat.

Software-ul non- secure poate deveni mai de încredere prin imbunatatire sau blocarea vulnerabilitatilor . Imbunatatireaîn timp care este făcuta de multe ori, necesită documentaţiaa componentelor software-ul interne, care nu este de obicei furnizata de distribuitori. În plus, software-ul securizat

necesită securizarea sistemelor de operare, precum şi orice aplicaţii care rulează în interiorul unui sistem de operare.

Sisteme de operare furnizează servicii de securitate de bazăpentru aplicaţii:

Codul de încredere şi calea de încredere – ne asigură ca integritatea sistemului de operare nu este încălcat.Codul de încredere se referă la asigurarea că codul sistemului de operare nu este compromis. Un sistem de operare ar putea oferi verificarea integrităţii de funcţionare a tuturor codurilor printr-un mesaj folosind codurile hash de autentificare (HMACs) sau semnături digitale. Verificarea Integritatea add-on software-ul ar putea fi necesare la instalare. Pot fi utilizate semnăturile digitale de asemenea,. Calea de încredere se referă la o instalaţie care să ne asigure că utilizatorul foloseşte un sistem autentic şi nu un cal troian. Un exemplu al unei căi de încredere este

secvenţa Ctrl-Alt-Delete ch eie necesare pentru logare în Server-ul Windows şi Windows XP.

Contextul Privileged de executie - identitatea de autentificare Oferă şi anumite privilegii bazate pe identitate.

Procesul de protecţie a memoriei şi de izolare – asigurarea separarii de alţi utilizatori şi de datele lor.

Controlul accesului la resurse - asigură confidenţialitatea şi integritatea datelor.

Un atacator poate submina toate aceste servicii. Dacă oricare cod de încredere sau cale de încredere nu este prezent sau este compromis, sistemul de operare şi toate aplicaţiile pot fi cu uşurinţă subminate de un cod ostil. Unsistem de operare ar putea fi făcute mai vulnerabil în cazulîn care există necesitatea de a oferi suport pentru protocoalele moştenite.

Sisteme moderne de operare ofera pentru fiecare proces identitate şi privilegii. Privilegiile de comutare sunt necesare în timpul funcţionării programului sau în timpul unei sesiuni de autentificare unice. De exemplu, UNIX are facilitatea suid (set user ID) şi Windows are utilitarul runas.

Acestea sunt câteva tehnici care ajuta la protejarea un obiectiv de vulnerabilităţile sistemului de operare:

Conceptul Least privilege – cea mai buna protecti pentru un endpoint, unui proces nu ar trebui să i se acorde privilegii mai mult decât este necesar

Izolarea între procese - Izolarea dintre procese pot fifizice sau virtuale. De exemplu, protecţia de memorie se poate face în hardware. Unele sisteme de operare ofera o izolare sigura folosind compartimente logice deexecutie.

Monitorul de referinta- Un monitor de referinţă este unconcept de control al accesului care se referă la un mecanism sau proces care mediaza accesul la toate obiectele. Acesta oferă un punct central pentru toate deciziile de politică, de implementare a unei funcţii de audit care urmăreste accesul. În plus faţă de monitorul de referinţă care, de obicei, există într-un sistem de operare, CSA funcţioneaza ca un monitor de referinţă.

piese mici, verificabile de cod - Pentru toate funcţiile de securitate, ideea este de a avea piese mici, uşor de verificat de cod care sunt gestionate şi monitorizate de un monitor de referinţă.

Obiectivul final al unui atacator este adesea o aplicaţie care rulează pe un host care prelucrează date sensibile, pe care atacatorul doreşte să le obţină. Atacurile la aplicatiipot fi directe sau indirecte. Într-un atac direct, atacatorul pacaleste aplicatia cu nivelul privilegiului aplicaţiei. Într-un atac indirect, atacatorul compromite maiintai un alt subsistem şi ataca aplicatia prin intermediul

subsistemului compromis (escaladarea privilegiu).

Atunci când un atacator are posibilitatea de a comunica direct cu aplicaţia ţintă, aplicatia trebuie să fie protejate corespunzător. De exemplu, un atacator ar putea încerca un atac DoS la o anumita aplicaţie. Un alt exemplu de atac direct la o aplicatie ţintă este în cazul în care unatacator foloseşte defecte ale aplicatiei pentru a ocoli accesul controalelor pentru a obţine acces la citirea sau scrierea unor date sensibile.

Într-un alt scenariu, un atacator câştigua accesul indirect la date sensibile printr-un lanţ de compromisuri ale componentelor unui alt sistem. De exemplu, mai intai un atacator obţine acces la nivel de utilizator in sistemul care contine datele sensibile. Apoi, prin exploatarea unui defect in orice aplicatie locala, atacatorul atinge privilegiul administratorului de sistem (escaladarea privilegiu). Folosind aceste privilegii, atacatorul poate săcitească sau să scrie in cele mai multe parti ale sistemului, inclusiv in locurile unde se afla datelor sensibile din aplicaţia ţintă.

Cisco Systems oferă mai multe componente pentru a asigura o robustă soluţie de securitate endpoint. Componentele principale ale acestei soluţii sunt:IronPortCisco NACCSA

Aparatele Cisco IronPort protejeaza perimetrul întreprinderilor împotriva amenintarilor de pe Internet, cu accent pe securitatea e-mail-urilor şi a traficului web, două dintre principalele considerente de securitate ale endpoint-urilor. Obiectivele în acest caz, sunt asigurate dedispozitive care lucreaza pe perimetrul retelei.

NAC utilizează infrastructura reţelei pentru a impune respectarea politicii de securitate pe toate dispozitivele care caută să acceseze resursele reţelei. Cu NAC, specialisti in securitate de reţea poate autentifica, autoriza, evalua, şi remedia retele cu fir, fără fir, şi utilizatorii de la distanţă şi maşinile lor înainte ca acestia sa aiba acces in reţea. NAC identifică dacă

dispozitivele de retea sunt conforme cu politicile de securitate din reţea şi remediaza orice vulnerabilitate înainte de care permite accesul in reţea.

CSA oferă o soluţie complet integrată de securitate endpoint, care combină politicile, impiedicarea pierderilorde date .oprirea atacurilor zero-update şi depistarea anti-virus într-un singur agent şi o singura consola de administrare. CSA apără endpoint-urile împotriva pierderilor de date de la acţiunile malefice sau ale utilizatorului şi impune politicile acceptabile de utilizareîn termeni de infrastructură de management simpla.

IronPort, NAC, şi CSA au unele suprapuneri în funcţionarea pentru securitatea endpoint-urilor. Aceste tehnologii, atunci când sunt utilizate în paralel, se adaugă straturilorde protecţie şi sunt interoperabile. Ele se combină pentru aasigura o protecţie la vulnerabilităţile sistemului de operare atat impotriva atacurilor directe cat şi indirecte.

În timp ce există o serie de alternative la soluţii de securitate endpoint oferite de Cisco Systems, limitarea altor sisteme este faptul că acestea nu oferă o abordare a securizarii reţelei cuprinzătoare ,end-to-end. Unii dintre cei mai importanti furnizori de solutii de securitate endpoint sunt McAfee, Symantec, Juniper, SonicWall, şi Fortinet.

Cisco Systems a achizitionat în 2007IronPort Systems. IronPort este un important furnizor de anti-spam, anti-virus, şi aparate anti-spyware. IronPort utilizeaza SenderBase, cea mai mare baza de date de detectare ameninţare, pentru a ajuta la furnizarea măsurilor preventive şi reactive de securitate.

IronPort oferă diferite tipuri de aparate de securitate:

C-Series - Un aparat de securitate pentru controlul e-mail-urilor virusilor şi spam-urilor.

S-Series - Un aparat de securitate web pentru filtrare spyware, filtrare URL, şi anti-malware.

M-Series - Un dispozitiv de management al securitatii pentru e-mail-uri şi trafic web care gestioneaza şi monitorizeaza setările politicii unei organizaţii şi a informaţiilor referitoare la audit

Aparatul M-Series este un instrument de management flexibil pentru centralizarea şi consolidarea datelor şi a politiciide runtia, oferind profesioniştilor in securitate o singură interfaţă pentru a gestiona securitatea tuturor sistemelor de la nivelul aplicatie

Prin furnizarea de soluţii de securitate desfăşurate la intrarea reţelei, IronPort permite o apărare pe perimetru pentru a ajuta la prevenirea amenintarilor din Internet si atuturor tipurilor de atacuri sa ajunga la desktop-urile angajaţilor.

IronPort SenderBase este cel mai mare serviciu de monitorizare din lume a traficului de e-mail. SenderBase colecteaza date de la mai mult de 100.000 de ISP-uri, universităţi, şi corporaţii. Acesta măsoară mai mult de 120 de parametri diferite pentru orice server de e-mail de pe Internet. Această bază de date masiva primeşte peste cinci miliarde de interogări pe zi, cu date în timp real în şi dinfiecare continent, atât de la furnizori de retele mici cat

şi de la furnizori mari de reţea. SenderBase are o vedere foarte precisă a modelelor oricarui expeditor de mail din cauza dimensiunii bazei de date. Ea a rămas cea mai mare dinlume, datorita exactitatii datelor. IronPort SenderBase acorda licenţe pentru comunitati open-source şi alte instituţii care participă în lupta împotriva spam-ului.

Cele mai mari opt ISP –uri şi mai mult de 20 la sută din cele mai mari întreprinderi din lume folosesc aparate pentrusecuritatea e-mailurilor IronPort C-Series. Prin protejareasistemelor de e-mail-uri ale întreprinderilor de toate mărimile, timpii de nefunctionare care este asociati cu spam-uri , virusi, si o mare varietate de alte ameninţări a fost redus. Sistemul reduce, de asemenea, sarcina personalului tehnic.

Spyware-ul a devenit unul dintre cele mai importante aspectede securitate. Mai mult de 80 la sută din PC-urile unei firme sunt infectate cu spyware, dar mai puţin de 10 la sută din corporaţii au desfăşurat apărarea impotriva

spyware pe perimetru. Viteza, varietate, de răutate şi spyware şi a atacurilor bazate pe web malware au subliniat importanţa unei platforme robuste, sigure pentru a proteja perimetrul retelei întreprinderi de astfel de ameninţări. IronPort S-Series este un aparat de securitate web, care oferă multiple motoarele de scanare pe un singur dispozitiv,integrat. S-Series include tehnologia exclusivă IronPort WebReputation şi Vectoring and Streaming engine, sunt noi tehnologii care permit scanarea spyware bazate pe semnaturi de filtrare.

Un profesionist in securitate poate rula simultan motoarele de scanare pentru a oferi o mai mare protecţie împotriva ameninţărilor malware, cu degradarea minima a performanţelor. Acesta oferă protecţie împotriva unei game largi de ameninţări web-based, variind de la adware, phishing, pharming si atacuri la ameninţările mai rău, cum ar fi cai troieni, viermi, şi alte atacuri ale sistemelor demonitorizare.

Scopul Cisco NAC este dublu: să permită accesul la reţea numai unui sistem autorizat şi compatibil (indiferent dacă sunt administrate sau neadministrate), şi să pună în aplicare politica de securitate de reţea.

NAC ajută la menţinerea stabilităţii reţelei prin furnizareaa patru caracteristici importante: autentificare şi

autorizare, evaluare (evaluarea unui dispozitiv de intrare din punct de vedere al politicilor de reţea), carantina sistemelor neconforme, precum şi remedierea sistemelor neconforme.

Produsele Cisco NAC vin în două categorii generale:

Cadrul NAC - cadru NAC utilizează infrastructura existentă de reţea Cisco şi software de la terţi pentrua impune respectarea politicii de securitate pe toate endpoint-urile. Cadrul NAC este potrivit pentru medii de reţea de înaltă performanţă, cu obiective diverse. Aceste medii necesită o reţea LAN consistenta,, extranet WAN fără fir, şi soluţie de acces de la distanţă, care se integrează în securitatea existenta formata din software-ul patch-uri, instrumente şi procese. Diferite dispozitive din reţea, nu neapărat unsingur dispozitiv, poate oferi cele patru caracteristici ale CNA.

Cisco NAC Appliance - Soluţia Cisco NAC Appliance condensează cele patru funcţii de CNA într-un aparat şioferă o soluţie la cheie pentru a controla accesul la reţea. Această soluţie este o potrivire naturala pentrureţelele de medie-scalate care necesită o soluţie la cheie auto-conţinută,. Cisco NAC Appliance este ideal pentru organizatiile care au nevoie de simplificare şi integrarea urmăriri sistemului de operare şi de patch-uri anti-virus şi actualizări vulnerabilitate. Ea nu are nevoie de o reţea Cisco

.

Componentele unui cadru NAC asigura respectarea accesului controat Funcţiile NAC, inclusiv autentificarea, autorizarea, şi de contabilitate (AAA), scanare, remediere,sunt realizate de alte produse Cisco, cum ar fi un Cisco Secure Access Control Server (ACS), sau de produse partener,cum ar fi TrendMicro.

Scopul atât a cadrului NAC cat si Cisco NAC Appliance este de a asigura că numai gazdele care sunt autentificate şi care au fost examinate şi aprobate sunt permise in reţea. De exemplu, laptopurile companie care au fost folosite offsite pentru o perioadă de timp, nu au primit actualizările de securitate curente sau ar fi putut deveni infectate de la alte sisteme de aceea nu se pot conecta la reţea până când nu sunt analizate şi aprobate.

Dispozitive de reţea de acces funcţionează ca stratul de executare. Ei au forţa clientilor pentru a interoga un server RADIUS de autentificare şi autorizare. Serverul-ul RADIUS poate interogare alte dispozitive, cum ar fi un server TrendMicro anti-virus, şi poate să răspundă de implementarea in reţea. Numai atunci când totul este peste

un anumit standard hostul este identificat şi recunoscut in reţea.

Cisco NAC Appliance consolidează toate funcţiile din cadrul CNA pentru o reţea intr-un aparat unic care îndeplinesc toate din aceleasi roluri. Cateva componente majore îndeplinesc toate aceste sarcini:

Cisco NAC Appliance Server (NAS) - Un dispozitiv care este utilizat pentru a efectua controlul accesului la reţea. Acest dispozitiv de securitate este implementat la nivel de reţea. Acesta poate fi pusă în aplicare in-band sau out-of-band la nivelul Layer 2 sau Layer 3ca un gateway virtual sau ca un gateway IP reală, şi poate fi central sau într-o manieră distribuită. NAS Cisco efectuează verificări de conformitate ale dispozitivelor utilizatorilor care încearcă să accesezereţeaua.

Cisco NAC Appliance Manager (NAM) - O interfata administrativa centralizata, care este utilizata de

către personalul de suport tehnic. ANM Cisco oferă o interfaţă bazată pe web pentru crearea politicilor de securitate şi gestionarea utilizatorilor online. Se poate acţiona, de asemenea, ca un proxy de autentificare pentru a autentifica serverele de back-up. Administratorii pot folosi controalele de conformitate, şi cerinţele de remediere pentru a stabili rolurile de utilizator,. ANM comunică cu Cisco şi gestionează NAS Cisco, care este componenta de aplicare a Cisco NAC Appliance.

Cisco NAC Appliance agent (ANA) Software-ul client care facilitează admitere reţea. Acest agent, rulează doar citirea pe o maşină finala. Acesta efectuează o inspecţie profundă a profilului de securitate a unei maşini locale prin analizarea setările de registry, servicii, şi fişiere. Prin intermediul acestei inspecţii, NAA poate determina dacă un dispozitiv a cerut anti-virus DAT, un patch-uri de securitate, sau o remediere rapidă de Windows. O remediere rapidă este un patch care poate fi instalat, în timp ce cererea se execută, la adresa vulnerabilităţilor. Se poate corectaatunci problema apăsând actualizarea cerută la gazdă. Pentru activele unmanaged, ANA Cisco poate fi descărcate după cum este necesar.

Regula de set-are a actualizări - actualizările automate sunt folosite pentru a pastra nivelul de securitate ridicat, oferind întotdeauna cele mai recente actualizări de virusi şi patch-uri software pentru gazde în carantină.

Cisco NAC Appliance NAC se extinde la toate metodele de acces la reţea, inclusiv accesul prin LAN, acces prin gateway-uri de la distanţă, şi puncte de acces wireless. Cisco NAC Appliance sprijină, de asemenea postură de evaluare pentru vizitatori.

Atunci când desfăşurati, Cisco NAC Appliance sunt mai multe avantaje:

Recunoaşte utilizatorii, dispozitivele lor, şi rolul lor în reţea. Această primă etapă are loc la punctul deautentificare, înainte ca un cod malitios sa poata provoca daune.

Evaluează dacă echipamentele sunt conforme cu politicile de securitate. Politici de securitate pot include anti-virusi sau software anti-spyware, actualizări de sistem de operare, sau patch-uri. Cisco NAC Appliance sprijină politicile care variază în funcţie de tipul de utilizator, tipul aparatului sau sistem de operare.

Impune politici de securitate prin blocarea, izolarea şi repararea echipamentelor neconforme.

Maşini neconforme sunt redirecţionate într-o zonă de carantină, în cazul în care remedierea este la latitudinea unui profesionist in securitate.

Cisco NAC Appliance Procesul presupune mai multe etape:

Pasul 1. utilizatorul încearcă să acceseze o resursă din reţea.

Pasul 2. utilizatorul este redirecţionat către o paginade logare.

Pasul 3. gazdă este autentificat şi, opţional, scanata pentru respectarea posturii. Dacă acestea sunt conforme, gazdei i se acordă acces in reţea. În cazul în care nu este conform, gazdă este trecuta în carantină într-un VLAN, unde gazda poate fi patch-uita şi poate deveni conforma.

ANA Cisco este interfaţa software-ul pe care utilizatorii îlvăd când interacţionează cu Cisco NAC Appliance. Există treiferestre de acces:

1. prima fereastra este fereastra de conectare iniţială în cazul în care utilizatorul introduce numele de utilizator şiparola şi sistemul este scanat 2. Dacă scanarea eşuează, utilizatorului se acorda acces temporar şi apare o fereastra You Have Temporary Access.

3. În cazul în care remedierea este disponibila, fereastra Please Download and Install the Required Software va invitasa Instalati software necesare de utilizator pentru a deveniconformi.

Cisco Security Agent (CSA),este un produs host-based de prevenire a accesului neautorizat (HIPS) in sistem, este un software care oferă securitate endpoint prin oferirea protecţiei impotriva ameninţarilor pentru servere si sisteme

de calcul desktop. Deoarece o singura consola de management poate suporta până la 100.000 de agenti, aceasta este o soluţie extrem de scalabilă.

Modelul Arhitectura CSA constă din două componente:

Centrul de Management pentru CSA - Permite ca administratorul de reţea sa împărta reteaua în grupuri de gazde funcţie de cerinţele de securitate, şi apoi săconfigureze politici de securitate pentru aceste grupuri. Se poate menţine un jurnal de încălcări ale securitatii şi a trimite alerte prin e-mail sau pager.

Agent de securitate Cisco - Componenta CSA este instalata pe sistemul gazdă, acesta monitorizeaza continuu activitatea sistemului local şi analizează operaţiunile de acest sistem. CSA ia măsuri proactive pentru a bloca activitatea rău intenţionata şi sondeazaCentrul de Management la intervale configurabile pentruactualizarea politicii.

O interfaţă SSL web activa poate fi folosit pentru a conectaîn siguranţă o staţie de lucru la Centrului de Management pentru CSA.

Cand o aplicatie are nevoie de acces la resursele sistemului, se face apel la kernel-ul sistemului de operare.CSA intercepteaza aceste apeluri ale sistemului de operare şi le compară cu politica de securitate cache. Dacă cererea nu încalcă politica, este trecut la kernel pentru execuţie.

Dacă cererea încalcă politica de securitate, CSA blocheaza cererea şi ia două masuri:

Un mesaj de eroare corespunzător este transferat la cerere.

O alertă este generata şi trimisa la Centrul de Management pentru CSA.

CSA coreleaza acest apel al sistemului de operare cu celelalte apeluri efectuate de această cerere sau proces, şimonitorizează aceste evenimente pentru a detecta activitateamalefica.

CSA oferă protecţie prin implementarea a patru interceptari

interceptarea fisierelor de sistem - toate fişier cerere read sau write sunt interceptate şi permise sau blocate functie de politica de securitate.

interceptarea retelei - Network driver interface specification (NDIS) modificările şi conexiunile din reţea sunt eliminate prin intermediul politicii de securitate. Numărul de conexiuni de reţea, care sunt permise într-un anumit timp poate fi, de asemenea, limitat pentru a preveni atacuri de tip DoS.

interceptare Configurari - Citirea şi scrierea cererilor de registry în Windows sau pentru a rula fişierele de control (RC) de pe UNIX sunt interceptate.Acest lucru apare din cauza interceptarii modificarii configuraţiei sistemului de operare care poate avea consecinţe grave. Prin urmare, CSA controaleaza strâns citirea / scriere cererilor de registru.

Executia de interceptare spaţiu - Aceasta se referă de interceptarea cu menţinerea integrităţii mediu de rulare dinamic a fiecărei cereri de detectarea şi blocarea cereri pentru a scrie in memorie care nu sunt deţinute de către cerere solicitant. Încercările de a injecta o cerere cod, cum ar fi o bibliotecă partajată sau bibliotecă legături dinamice (DLL) într-un alt, de asemenea, sunt detectate şi blocate. Interceptor detecteaza, de asemenea, atacuri buffer overflow, conservând astfel integritatea resurse dinamice, cum arfi sistemul de fişiere, de configurare de servicii web,memorie, reţea şi I / O.

Prin interceptarea de comunicarii între aplicaţii şi sistemul de bază, CSA combină funcţionalitatea de abordările

tradiţionale de securitate:

Firewall Distribuite - interceptorul de reţea îndeplineşte funcţiile unui firewall gazdă.

HIPS - Echipele de interceptare din reţea furnizeazaa avertizari unui HIPS care punere în aplicare politici de securitate proactive

o Application sandbox - O cerere sandbox este un spaţiu de execuţie în

Reţeaua de prevenire a viermilor - reţea de interceptare si prevenire a viermilor ofera spaţiu de executie fără a fi nevoie de actualizări.

Fisierul de monitorizare a integritatii - sistemul defişiere şi de configurare a interceptarilor acţionează ca un fişier de monitorizare a integritatii.

Politicile implicite care sunt preconfigurate pe CSA pună înaplicare toate aceste caracteristici de securitate. Dacă este necesar, clienţii pot crea cu uşurinţă sau schimba politicile.

Atacurile rău intenţionate vin în mii de feluri, şi sunt constant concepute atacuri noi pentru a exploata vulnerabilităţi descoperite. O analiză a progresiei logice aunui atac ajută la ilustrarea modului în care aproape fiecare atac intenţionează să obţină controlul asupra mecanismelor de bază în sistemul ţintă. Există diferenţe semnificative între mecanismele de atac care sunt utilizate prin sondare şi pătrundere in faze în comparaţie cu mecanismele de atac persistente.

Primele două etape se schimbă continuu, prin descoperirea şiexploatarea de noi vulnerabilităţi personalizate aproape în fiecare zi. Combaterea atacurilor prin sondare şi pătrunde se face prin actualizarea constantă a semnăturilor malware IPS şi apărarea firewall-urilor de aceste atacuri care evolueaza. Atacurile la aceste faze timpurii, de asemenea, se pretează la tehnici de evaziune, cum ar fi codarea Unicode de şiruri de web sau suprapunerea pachetelorfragmentate . Atacurile care modifica starea penetrarii

necesita o investigare semnificativă, deoarece acestea pot genera alarme false care necesită revizuire consumatoare de timp de către un administrator de securitate.

În schimb, mecanismele de atac în faza persist şi etapele ulterioare sunt relativ stabile. Activităţile malitioase aleunui atacator sunt limitate, şi un atac implică efectuarea unui apel catre kernel-ul sistemului pentru a accesa resursele sistemului. Codul malitios poate încerca sa modifice sistemul de operare,sa modifica fişiere, sa creze sau modifice conexiuni in reţea, sau sa violeze spaţiul de memorie a proceselor active.

Deoarece identificarea în mod constant al atacurilor în fazele lor timpurii este aproape imposibila, CSA se concentrează pe furnizarea unei securitati proactive prin care controlează accesul la resursele sistemului. Această abordare evită necesitatea actualizarii apararii şi protejează hosturile de la un nou atac. De exemplu, viermi Nimda şi Slammer au cauzat pierderea a milioane de dolari întreprinderilor în prima zi a aspectului lor înainte ca actualizările sa fie disponibile, dar CSA a oprit aceste atacuri prin identificarea comportamentului lor malitios, fără nici o actualizare.

CSA generează mesaje de pe maşinile client, care sunt înregistrate şi vizibile de pe consola CSA. Un utilizator sau administrator poate revizui mesajele din jurnal. Un mesaj de jurnal include data şi ora, severitatea, text, un cod de eveniment, nume de fişier, numele de proces, sursa sidestinatie IP-uri, ID-ul regulă, buton de cod, sursă şi porturi de destinaţie, de utilizator, de pachete de reţea, şi primul.eveniment

IronPort, NAC, CSA şi lucrează împreună pentru a oferi o soluţie cuprinzătoare, end-to-end pentru securitate endpointîntr-o reţea LAN. Cu toate acestea, o reţea LAN poate fi vulnerabila la o serie de atacuri Layer 2 şi atacuri VLAN. Dincolo de securitate endpoint, atenuare atac în LAN este o prioritate.

Reţeaua profesionişti in securitate trebuie să anihileze atacurilor de Layer 2 în infrastructură. Printre aceste atacuri se numără : MAC address spoofing, STP manipulation,MAC address table overflows, LAN storms, and VLAN attacks..

Primul pas în impiedicarea atacurilor, este acesta de a înţelege ameninţările de Layer 2 de infrastructură. Layer 2 poate avea o legătură foarte slabă cu nivelele superioare OSI, daca Layer 2 este compromis, hackerii pot ajungr la nivelele superioare . Este important pentru securitatea reţelei profesionale să ne amintim că atacurile de Layer 2 impun, de obicei acces intern, fie de la un angajat sau de la un vizitator.

Un alt aspect fundamental este buffer overflows. Buffer overflow-uri sunt adesea sursa unui atac DoS. Buffer overflow-uri pot fi folosite pentru a permite executarea unui cod arbitrar într-un program şi escaladarea unor privilegiii neautorizate.

Layer 2 este Data Link Layer în modelul OSI. Este unul din cele şapte straturi proiectate să funcţioneze împreună cu celelalte straturi, dar independent. Layer 2 opereaza mai sus de nivelul fizic şi mai jos de nivelul Network si Transport . Independenţa Layer 2 permite interoperabilitatea şi interconectivitatea. Dintr-o perspectivă de securitate, independenţa Layer 2 creează o provocare, deoarece atunci când stratul este compromisă, alte straturi nu sunt conştiente de acest fapt, lăsându-le deschise pentru a fi compromise. Securitatea reţelei este la fel de puternic ca cea mai slabă verigă, şi aceasta este adesea Data Link Layer.

Pentru a ajuta la prevenirea exploatarii Layer 2, o aplicatie trebuie să valideze utilizatorii care intra inretea. Aceaste intrari ar putea conţine date formatat necorespunzător, secvenţe de control, sau prea multe date, cum ar fi cu depăşirilor de buffer. Amintiţi-vă, buffer overflow exploit încearcă să suprascrie memoria unei aplicatii.

Buffer overflow-uri sunt, probabil, cea mai obişnuită metodă

de subversiune de pe Internet de astăzi. Acestea sunt cele mai utilizate pentru a obţine acces la root privilegii sau pentru a provoca un atac DoS.

Instrumente, cum ar fi Cisco Security Agent, pot fi utilizate pentru a preveni depăşirilor de buffer.

Spre deosebire de hub-uri, switch-uri reglementeaza fluxul de date între porturi prin crearea de reţele instant care conţin doar două dispozitive obiectivul fiind comunicarea în acel moment. Switch-urile realizeaza acest lucru prin transmiterea datelor în anumite porturi , bazate pe adresa MAC. Switch-urile menţin adresele MAC, in tabele cunoscute sub numele de content-addressable memory (CAM), pentru a urmări adresele MAC sursa asociate cu fiecare port al switch-ului. Aceste tabele sunt populate de adresele învăţate pe switch.

Este important să reţineţi:cadrele de date, sunt trimise de end-user-i, iar sursa şi destinaţia adreselor lor nu sunt modificate pe parcursul trecerii prin swich. Dacă un swich primeşte un cadru şi adresa MAC destinaţie nu este în tabel,swich-ul transmite cadrul la toate porturile, cu excepţia portului de la care a primit frame. Când nodul destinaţie răspunde, swich -ul înregistrează adresa MAC a nodului în tabelul adresa in câmpul cu adresa sursă a cadrului. Switch-urile populeaza tabelul de adrese MAC cu adresa MAC sursă acadrului, asocita cu adresa portului de pe care cadrul este primit.

În reţelele cu mai multe switch-uri interconectate, tabeleleMAC înregistreaza mai multe adrese MAC pentru porturile de interconectare intre switch-uri. Aceste adrese MAC reflectanodurile de la distanţă sau noduri care sunt conectate la unalt switch din cadrul domeniului.

Metoda folosită de switch-uri pentru a popula tabelul adresaMAC conduce la o vulnerabilitate cunoscut sub numele de spoofing MAC. Atacurile Spoofing apar atunci când o gazdă mascata primeste date altfel inaccesibile

Atacurile MAC spoofing apar atunci când un atacator modificaadresa MAC gazdă pentru a se potrivi cu alta adresa MAC cunoscuta a unei tinte. Hostul atacator trimite apoi un cadru în întreaga reţea cu adresa MAC nou configurată. Când swich-ul primeşte cadru, examinează sursa de adresa MAC. Swich-ul suprascrie adresa MAC curenta in tabelul intrarea şi atribuie adresa MAC la noul port. Apoi forwardeaza cadredestinate gazdei ţintă pentru a ataca gazda.

Când swich-ul modifică tabelă de adrese MAC, gazdă ţintă nu mai primeste nici un trafic până când nu trimite trafic. Când gazdă ţintă trimite trafic, swich-ul primeşte şi examinează cadru, rescriind adresa MAC, realiniiind adresa MAC la portul original.

În plus faţă de atacurile spoofing MAC, atacurile MAC address table overflow, de asemenea, sunt posibile pe dispozitivele Layer 2. Amintiţi-vă că switch-uri utilizează adrese MAC pentru a directiona comunicaţiile la portul corespunzător nodului destinaţie. Termenul tesatura ( fabric) se refera la circuitele integrate şi la programaremaşină de însoţire, care permit functionarea aparatului. De exemplu, Fabric Switch este responsabil pentru controlul căilor de date prin intermediul switch-ului. Tabelă de adrese MAC într-un swich conţine adrese MAC la care se poateajunge dintr-un port fizic dat pe un switch şi parametri asociaţi pentru fiecare VLAN. Atunci când un switch Layer 2 primeşte un cadru, switch-ul se uita în tabelul de adresa MAC pentru adresa MAC destinaţie şi transmite cadrul corespunzător.

Cheia pentru înţelegerea modului de lucru al atacurilor MAC address overflow este să ştiţi că tabelele cu adrese MAC

sunt limitate în dimensiuni. Inundaţii MAC profită de această limitare prin bombardarea switch cu adrese sursa false până tabela de adrese MAC este plină. Dacă sunt introduse intrări suficiente în tabelul cu adrese MAC, tabela se umple atfel incat noile intrări nu mai pot fi acceptate. Când se întâmplă acest lucru, switch-ul începe săinunde toate intrarile cu trafic, pentru că nu există nici pozitie libera în tabela., Switch-ul în esenţă, se comportaca un hub. Ca rezultat, atacatorul poate vedea toate cadreletrimise de la o gazdă la alta. Traficul este inundat numai în VLAN-ul local, astfel încât intrusul vede doar traficul din interiorul VLAN locale, la care intrusul este conectat.

În cazul în care intrusul opreste trimiterea de adrese MACcu surse invalide, switch-ul în cele din urmă începe să acţioneze ca un switch din nou.

Cea mai frecventă modalitate implementare a unui atac la tabela de adrese MAC overflow este folosirea unui instrumentmacof. Acest instrument inunda un swich cu cadre avand sursăşi destinaţia adresei MAC generate aleator intr-o anumita

perioada. Peste o perioadă scurtă de timp, tabelă de adrese MAC se umple. Daca tabela de adresa MAC este plină de adrese MAC sursă false, switch-ul începe să trimita catre toate porturile cadrele pe care le primeşte. Atâta timp cât macof este lăsat sa rulează, tabel swich-ului rămâne plina ,şi continuă să trimita toate cadrele primite pe fiecare port.

Atât MAC spoofing cat şi atacurile MAC address table overflow pot fi atenuate prin configurarea de port security pe switch. Cu securitatea portuară, administratorul poate specifica fie static adresele MAC pe un port de switch special sau permite trecerea la învăţarea dinamica a unui număr fix de adrese MAC pentru un port de switch. Pentru a specifica static adresele MAC nu este o soluţie uşor de gestionat pentru un mediu de producţie. Permiţând trecerea de a învăţa dinamic un număr fix de adrese MAC este o soluţie scalabilă administrativ.

O altă vulnerabilitate a dispozitivelor de Layer 2 este Spanning Tree Protocol (STP). STP este un protocol de Layer 2 care asigura o topologie loop-free. STP funcţionează prin alegerea unui root bridge şi construirea unei topologi Permite STP pentru redundanta, dar, în acelaşi timp, se asigură că doar un singur link este operaţional la un momentdat şi nu sunt prezente. buclele

Atacatorii de reţea pot efectua un atac de manipulare STP pentru a prin schimbarea topologia unei reţele. Un atacator poate face sa para ca ataca root bridge-ul, spoofing astfel bridge-ul rădăcină. Tot traficul este imediate mutat catre un alt root bridge (sistemul atacator.

Pentru a efectua un atac STP, gazda atacatoare configuraretrimite brodcast-uri şi forţeaza schimbarea topologiei prin recalculările spanning-tree. BPDUs trimise de către gazdă atacatoare anunta o prioritate mai mica, în încercarea de a fi ales ca root bridge. Daca va avea succes, gazda atacatoare devine noul root bridge şi vede astfel cadre, care altfel nu sunt accesibile.

Acest atac poate fi folosit pentru a anula toate cele trei obiective de securitate:, integritatea confidenţialitatea şidisponibilitatea.

Tehnicile de diminuare a manipularii STP include PortFast, precum şi root guard şi BPDU guard..

Dispozitivele de Layer 2 sunt, de asemenea, vulnerabile la atacuri LAN storm. Un LAN storm apare atunci când pacheteleinunda LAN-ul, creand un trafic excesiv şi degradand performanta retelei. Erorile în implementarea protocolului, greşeli în configuraţii de reţea, sau emiterea unui atac DoSpot provoca un atac LAN storm. Poate apărea, in reţele un broadcast storm. Amintiţi-vă că switch-uri întotdeauna transmite un broadcast în toate porturile. Unele protocoalelor necesare, cum ar fi Address Resolution Protocol (ARP) şi Dynamic Host Configuration Protocol (DHCP), emit broadcast-uri; prin urmare, switch-uri trebuie să fie capabil sa forward-eze traficul.

În timp ce nu este posibil prevenirea tuturor tipurilor de furtuni şi de emisiuni excesive de pachete, este posibil oprirea acestora folosind controlul furtunii. Control Storm opreste perturbarea traficului intr-o reţea LAN de un multicast, furtună sau unicast pe una din interfeţele fizice. Control Storm (sau suprimarea traficului) monitorizează trecerea pachetelor de la o interfaţă pe o magistrala de comutaţie şi determină dacă pachetul este multicast unicast,, sau de broadcast.. Swich-ul contorizeazănumărul de pachete de tipul celor menţionate primite într-unanumt interval de timp şi compară cu un prag de măsurare predefinit nivelul de suprimare. Control Storm blochează apoi traficul în cazul în care pragul de creştere este atins.

Un VLAN este un domeniu de broadcast logic, care se poate întinde pe mai multe segmente fizice LAN. În interior, VLAN-urile oferă o segmentare i flexibila. O structură VLAN poate fi proiectat ca un grup de staţii care lucreaza in echipa la un proiect, sau ca o aplicati a mai multor utilizatori fără a vedea locaţia fizică a acestora. Fiecare port al switch-ului poate fi atribuit numai unui VLAN, adăugând astfel un strat de securitate. Porturile într-un VLAN impart acelasi broadcast; porturile din VLAN-uri diferite nu impart acelasi broadcast. Broadcast-urile în cadrul unei VLAN îmbunătăţeşte performanţele generale ale reţelei.

Folosind tehnologia VLAN, şi conectarea porturile switch-urilor utilizatorii pot fi grupati în comunităţi logic definite, cum ar fi colegi în acelaşi departament, o echipă de produs eco-funcţionale, sau diverse grupuri de utilizatori partajand aceleiaşi aplicatii ale reţelei. Un VLAN poate exista pe un singur swich sau pe switch-uri multiple de control. VLAN-urile pot fi găzduite într-o clădire unica sau intr-o constructia cu infrastructuri multiple. VLAN-urile se pot conecta, de asemenea, la reţelele de zonă metropolitană.

Există diferite tipuri de atacuri VLAN predominante în reţelele moderne. , Mai degrabă decât a lista toate tipurilede atacuri, este important să se înţeleagă metodologia generală din spatele acestor atacuri şi abordările primare pentru a le atenua.

Arhitectura VLAN-ului îmbunătăţeşte şi simplifică întreţinerea performanţelor reţelei, dar in acelasi timp deschide este o uşa deschisa abuzurilor. VLAN-ul permite catraficul de la un VLAN sa fie vazut de un alt VLAN cu ajutorul unui router. În anumite circumstanţe, atacatorii pot vedea date parole şi alte informaţii sensibile. Atacatorii pot profita de un port de trunchi incorect configurat. În mod implicit, porturile trunk-ului au acces la toate VLAN-urile şi trec traficul mai multor VLAN-uri multiple prin acelaşi link fizic, în general, între switch-uri. Datele care se deplasează pe aceste link-uri ar putea fi încapsulate cu IEEE 802.1Q sau link-ul inter-switch (ISL).

Într-un atac hopping VLAN, atacatorul profită de configurare automată a canalului implicit pe cele mai multe switch-uri. Atacatorul configurează un sistem care face spoofing catre un swich. Acest spoofing prevede ca atacatorul să poată simula fie semnale ISL sau 802.1Q, împreună cu semnalele Cisco-proprietare Dynamic Trunking

Protocol (DTP). *Un atac hopping VLAN poate fi lansat într-unul unul din celedouă moduri:

mesaje Spoofing DTP de la un atacator pentru a provocaintrarea in modul trunk De aici, un atacator poate trimite trafic etichetat cu VLAN-ţintă, şi swich-ul trimite apoi pachetele la destinaţie.

Introducerea unui swich atacator si stabilirea unui trunk. Atacatorul poate accesa apoi toate VLAN-uri pe swich-ul victimei de la swich-ul atacator.

Cel mai bun mod pentru a opri un atac VLAN hopping este de adezactiva trunk-urile pe toate porturile, cu excepţia celorcare necesită în mod specific trunk. Pe porturile trunking necesare, dezactivaţi negocierea DTP (auto canale) şi permiteti trunking-ul manual

Un alt tip de atac VLAN este un atac dublu-tagging (sau dublu-capsulate) VLAN hopping. Acest tip de atac profită de modul în care funcţionează hardware-ul pe cele mai multe

switch-uri. Cele mai multe switch-uri efectueaza doar un singur nivel de decapsulari 802.1Q; acest lucru poate permite unui atacator în anumite situaţii sa încorporeze un tag 802.1Q ascuns în interiorul cadrului. Această etichetă permite cadrului sa mearga la un VLAN că tag-ul original 802.1Q nespecificat. O caracteristică importantă a VLAN dublu-capsulate hopping atac este că funcţionează, chiar dacă porturile trunk sunt dezactivate. Un atac double-tagging VLAN hopping urmează patru paşi:

1. Atacatorul trimite un cadru dublu-tag-at 802.1Q la switch. Antetul exterior are tag-ul VLAN-ului atacatorului, care este aceeaşi ca VLAN nativ al portului trunk. În sensul acestui exemplu, să presupunem că acesta este VLAN 10. Tag-ul interior esteVLAN-ul victimă, în acest exemplu, VLAN -ul20. 2. Cadrul ajunge la swich, care se uită la primul tag-ul 802.1Q 4-byte. Swich-ul vede că cadru este destinat VLAN-ului 10, care este VLAN nativ. Transmite pachetelepe toate porturile VLAN 10 după despachetarea tag-ului VLAN 10. Pe portul trunk VLAN 10 tag-ul este dezbrăcat,iar pachetul nu este reetichetat deoarece face parte din VLAN nativ. În acest moment, VLAN 20 tag-ul este încă intact şi nu a fost inspectat de către primul switch.

3. Frame ajunge la swich-ul al doilea, dar nu stie de faptul că acesta este pentruVLAN 10. Traficul apartinand VLAN-ului native nu este etichetat de către swich-ul

4. Switch-ul al doilea analizează numai la interior 802.1Q tag-ul pe care atacatorul l-a trimis şi vede că este destinat VLAN -ului20, care esteVLAN-ul ţintă. Switch-ul doi trimite cadrul pe portul victimei sau inunda toate intrarile, funcţie de faptul ca există saunu adresa MAC a victimei

Acest tip de atac este unidirecţional şi funcţionează numai atunci când portul atacator şi trunchiul au acelaşi VLAN nativ. Contracararea acestui tip de atac nu este la fel de uşoara ca oprirea atacurilor hopping VLAN. Cea mai bună solutie este de a ne asigura că VLAN-ul nativ al porturilor trunk este diferită de VLAN nativ a porturilor de utilizator. De fapt, acesta este considerata cea mai buna practica de securitate si anume de a utiliza un VLAN manechin, care este nefolosit în întreagul LAN ca VLAN nativpentru toate porturile trunk 802.1Q într-o reţea LAN

După ce vulnerabilităţile unui dispozitiv de nivel 2 sunt înţelese, următorul pas este de a implementa tehnici de

atenuare a atacurilor care profita de aceste vulnerabilitati. De exemplu, pentru a opri MAC spoofing si MAC table overflows, activaţi port security.

Port security permite unui administrator să configureze static adresele MAC admise pe un port sau învăţarea dinamicaa adreselor MAC sa se faca pentru un număr limitat de adreseMAC. Prin limitarea numărului de adrese MAC permise pe un port, securitatea portuară poate fi folosit pentru a controla extinderea neautorizată a reţelei.

Când adresele MAC sunt atribuite într-un port sigur, portul nu transmite frame-urile cu adrese MAC sursa in afara grupului de adrese definite. Atunci când un port configurat cu port security primeşte un cadru, adresa MAC sursa a cadrului este comparata cu lista de adrese sursă sigure carea fost configurata manual sau autoconfigured (învăţate) pe port. Daca o adresa MAC a unui dispozitiv ataşat la portul diferă de lista de adrese sigure, portul, fie se închide până când este activată administrativ (modul implicit) sau cadre primite la gazdă nesigura sunt aruncate (limita opţiunii). Comportamentul de port depinde de modul în care este configurat pentru a răspunde la un infractor de securitate.

Este recomandat ca un administrator carer configureaza caracteristică de securitate portuară să emită un shutdown (inchida portul), mai degrabă decât sa arunce cadrele nesigure, prin restrictionare . Opţiune de restrictionare arputea eşua in cazul unui atac.

Acestia sunt paşii pentru configurarea securitatea portuară pe un port de acces:

Pasul 1. Configuraţi o interfaţă ca o interfaţă de acces.

Switch(config-if)# switchport mode access

În cazul în care o interfaţă este în modul implicit (auto dinamic), nu poate fi configurat ca un port sigur.

Pasul 2. Activează securitatea portuară pe interfata folosind comanda switchport port-security.

Sintaxa completa include o serie de parametri opţionali.

Switch(config-if)# switchport port-security [mac-address mac-address [vlan {vlan-id | {access | voice}}]] | [mac-address sticky [mac-address | vlan {vlan-id | {access | voice}}]] [maximum value [vlan {vlan-list | {access | voice}}]]

Pasul 3. (Opţional) Setaţi numărul maxim de adrese MAC sigure pentru interfaţă.

Switch(config-if)# switchport port-security maximum valueGama este de 1 la 132. Valoarea implicită este 1.

După securitate portuară este activată, este necesar să se stabilească conditiile accesului la port. Încălcarea normelor se referă la acţiunile pe care swich-ul le ia în

cazul în care se produce o încălcare a securitatii.

Acestia sunt paşii pentru configurarea încălcarii securităţii portului pe un port de acces:

Pasul 1. Setaţi modul violarii. Aceasta este acţiunea pe care swich-ul o intreprinde atunci când este detectata încălcare securitatii . În cazul în care modul de încălcareanu este specificat,actiunea implicita este închiderea portului.

Switch(config-if)# switchport port-security violation {protect | restrict | shutdown | shutdown vlan}

Atunci când un port sigur este dezactivat din eroare, ceea ce înseamnă că a avut loc o încălcare şi portul este dezactivat, iesirea din aceasta stare se face prin introducerea comenzii errdisable recovery cause psecure-violation de la nivel global, manual sau reactivand intrareaprin comenzile shutdown şi no shutdown ..

Pasul 2. Introduceţi o adresa MAC sigura static pe interfeţa.

Switch(config-if)# switchport port-security mac-address mac-address

Repetaţi această comandă de câte ori este necesar pentru fiecare adresa MAC sigura.

Pasul 3. Activează învăţarea sticky pe interfata.

Switch(config-if)# switchport port-security mac-address sticky

Când învăţare sticky este activata, interfata adaugă toate adresele MAC sigure care sunt învăţate dinamic, până la numărul maxim configurat, la running configuration şi converteşte aceste adrese MAC in adrese sigure ..

Utilizaţi comanda no switchport port-security maximum value pe interfaţă pentru a reveni la starea interfata implicita ca un port nesigur. Adresele sigure sticky fac parte în continuare din running configuration.

Utilizaţi comanda no switchport port-security maximum value pentru a reveni la numărul implicit de adrese MAC sigurepe interfaţa

Utilizaţi comandă no switchport port-security violation {protect | restrict} } pentru a reveni la condiţia modului de violare implicit (modul de închidere).

Port security aging poate fi folosit pentru a seta timpul valabil pentru adrese statice şi dinamice pe un port sigur. Două tipuri de imbatranire sunt suportate per port:

Absolute - Adresele sigure de pe port sunt şterse după timpul specificat de imbatranire.

Inactivity - Adresele sigure de pe port se elimină numai în cazul în care acestea sunt inactive in timpul specificat de imbatranire.

Utilizaţi îmbătrânirea pentru a elimina adrese MAC pe un port de securitate fără a şterge manual adresele MAC sigure existente. Limitele de timp Aging pot fi, de asemenea, crescute pentru a ne asigura ca vechile adrese MAC rămân sigure în timp ce noile adrese MAC sunt adăugate. Tineti minte ca numărul maxim de adrese sigure pe port poate fi configurat. Imbatranirea de adrese configurate static sigurepoate fi activata sau dezactivata per-port.

Utilizaţi comanda switchport port-security aging {static | time time | type {absolute | inactivity}} pentru a activa sau dezactiva îmbătrânirea statica pentru un port de

securitate sau pentru a seta timpul de imbatranire sau tipul.

Un exemplu tipic de configurare de securitate portuară pentru un port voce are nevoie de doua adrese MAC sigure. Adresele sunt, de obicei, învăţate dinamic. O adresa MAC este pentru telefon IP, şi altă adresă este pentru PC-ul conectat la telefon IP. Încălcarea acestui politici duce la oprirea portului Timeout-ul de îmbătrânire pentru adresele MAC învăţate este setat la două ore.

Atunci când este activată securitatea portuară, administratorul ar trebui să folosească comenzi show pentru a verifica că portul a invatat adresa MAC. În plus, comenzile show sunt utile în monitorizarea şi depanare configuraţiilor port-securitate. Ele pot fi folosite pentru a vizualiza informaţii cum ar fi numărul maxim de adrese MACcare pot fi asociate cu un port, numărul de încălcare, şi modul de încălcare actuale.

Utilizaţi comanda show port-security pentru a vizualiza setările de securitate portuară pentru switch, inclusiv numărul de încălcari, configurarea interfeţelor, şi acţiuni de încălcare a securităţii.

Utilizaţi comanda show port-security [interface interface-id] pentru a vizualiza setările de portul de securitate pentru o anumita interfaţa, inclusiv numărul maxim de adreseMAC sigure permis pe interfata, numărul de adrese MAC sigur pe interfata, numărul de încălcări de securitate care au avut loc, şi modul de încălcare.

Utilizaţi comanda show port-security [interface interface-id] address pentru a vizualiza toate adresele MAC sigure configurate pe toate interfeţele switch-ului sau pe o anumita interfaţă cu informaţi de îmbătrânirea pentru fiecare adresă.

Administratorii de retea au nevoie de o modalitate pentru a vedea cine utilizează reţeaua şi unde se afla cei care o utilizeaza. De exemplu, în cazul în care portul F2 / 1 este sigur pe un swich, o capcana SNMP este generata când o adresa MAC pentru acel port dispare din tabela de adresa MAC.Caracteristica de notificare a adreselor MAC trimite

capcane SNMP la staţia de management ale reţelei (NMS), ori de câte ori o nouă adresă MAC se adaugă sau o adresă veche este ştearsa din tabelele de expediere. Notificările adreselor MAC sunt generate doar pentru adresele dinamice şisigure MAC. Notificarea adreselor MAC permite administratorului de reţea sa monitorizeze adrese MAC care sunt învăţate, precum şi adrese MAC age ou şi sunt eliminatedin switch. Utilizaţi comanda mac address-table notificationpentru a permite caracteristica de notificarea a adreselor MAC pe un swich

Pentru a imbunatati STPputrm folosi PortFast, root guard şiBPDU guard Comenzile STP pot fi activate. Aceste caracteristici impun plasarea bridge-ul rădăcină în reţea şidelimitarea frontierelor domeniului STP.

PortFast

Caracteristica PortFast spanning-tree face ca o interfaţă

configurat ca un port de acces Layer 2 sa treaca din starea de blocare în starea de forwarding imediat, ocolind starile listening şi learning. PortFast poate fi folosit pe porturile de acces Layer 2 care se conecteaza la o singură staţie de lucru sau server pentru a permite acestor dispozitive să se conecteze la reţea imediat, fara sa mai aştepte pentru converenta STP.

Deoarece scopul PortFast-ului este de a minimiza timpul de asteptare faptul că porturile de acces trebuie să aştepte pentru STP să conveargă, acesta ar trebui să fie utilizat doar pe porturile de acces. PortFast dacă este activat pe unport de conectare la un alt switch, există un risc de a creao buclă de spanning-tree.Această comandă configurează PortFast pentru toate porturilenon-tunk

Switch(config)# spanning-tree portfast default

Această comandă configurează Portfast pe o interfaţă.

Switch(config-if)# spanning-tree portfast

Această comandă verifică dacă PortFast a fost configurat pe o interfaţă.

Switch# show running-config interface FastEthernet 0/8

Caracteristica BPDU guard permite designerilor de reţea sa menţine topologia reţelei activa. BPDU guard este folosit pentru a proteja reţeaua de problemele cauzate de primirea BPDUs în porturi pe care nu ar trebui să le primeasca. Receptionarea de BPDUs neaşteptate ar putea fi accidentală sau parte dintr-o încercare neautorizată de a adăuga un switch la reţea. Dacă un port care este configurat cu PortFast primeşte un BPDU, STP poate pune în portul in starea disable, prin utilizarea BPDU guard. Acesta estecel mai buna aparare a utilizatorului cu care se confruntă porturile pentru a preveni imprastierea atacurilor in reţea de către o gazdă Utilizaţi această comandă pentru a activa BPDU guard pe toate porturile cu PortFast activate. Switch(config)# spanning-tree portfast bpduguard default

Pentru a afişa informaţii despre starea de Spanning Tree, utilizati comanda show spanning-tree summary În acest output, BPDU guard este activat.

Switch# show spanning-tree summaryRoot bridge for: VLAN0001, VLAN0004-VLAN1005 VLAN1013-VLAN1499, VLAN2001-VLAN4094 EtherChannel misconfiguration guard is enabled Extended system ID is enabled Portfast is enabled by default PortFast BPDU Guard is enabled Portfast BPDU Filter is disabled by default Loopguard is disabled by default UplinkFast is disabled BackboneFast is disabled Pathcost method used is long<output omitted> O altă comandă utilă pentru a verifica configurarea BPDU guard este show spanning-tree summary totals

Root GuardCaracteristică Root Guard a switch-ului rădăcină oferă o modalitate de a plasa root bridge-urile în reţea. Root Guardlimitează la switch porturile pe care bridge-ul rădăcină le poate negocia. Dacă o protectie-port rădăcină este activata portul primeşte BPDUs care sunt superioare celor care bridge-ul rădăcină curent le trimiterea, asa că portul este mutat într-o stare inconsistentă-rădăcină, care este efectivegala cu o stare de ascultare STP, şi traficul de date nu este transmis în acel port. Deoarece un administrator poate seta manual prioritatea bridge-ului si poate sa o treaca in zero, root guard poate părea inutilă. Setarea priorităţii in zero nu garantează că switch-ul va fi ales ca root bridge, pentru că ar putea exista un alt switch cu o prioritate de zero şi o mai mică datorita adresaei MAC, şi, prin urmare, un bridge ID mai mic. Root Guard face mai buna desfasurare a porturilor care se conectează la switch-uri si care nu ar trebui să fie root bridge.

Cu root guard, dacă o gazdă atacatoare trimite BPDUs false într-un efort de a deveni root bridge, switch-ul, la primirea unui BPDU, ignoră BPDU-ul şi pune portul într-o stare root-inconsistentă.Portul recuperează cât mai curând BPDUs ofensator încetează. Root Guard şi BPDU guard sunt similare, dar impactul lor este diferit. Paza BPDU dezactivează portul la recepţia BPDUdacă PortFast este activat pe port. Dezactivarea portului opreste în mod eficient dispozitivele din spatele unor astfel de porturi sa participle la STP. Administratorul trebuie să reactiveze manual portul care este adus în stareadisable sau sa configureze un timeout disable. Root Guard permite dispozitivului să participe la STP, atâta timp cât dispozitivul nu încearca să devină root. În cazul în care Root Garda blocheaza portul, recuperarea ulterioară este automată. Recuperare are loc de îndată ce aparatul ofensatorîncetează să trimită BPDUs superioare. Aceasta este comanda pentru configurarea root guard pe o interfaţă. Switch(config-if)#spanning-tree guard root

Pentru a verifica root guard,folositi comanda show spanning-tree inconsistentports. Tineti minte ca un swich pune un port n într-o stare root-inconsistentă dacă acesta primeşte BPDUs pe un port pe care nu ar trebui să fi primeasca BPDUs.Portul recuperează cât mai curând dupa ceBPDUs ofensatoare înceteaza.

Atacurile storm LAN pot fi atenuate prin utilizarea de stormcontrol prin monitorizarea nivelului-suprimare a pragurilor predefinite -. Când storm control functioneaza, în acelaşi timp poate fi setat un prag de creştere şi un prag de avarie. Control Storm foloseşte una dintre aceste metode pentru a măsura activitatea de trafic:

Lăţime de bandă ca procent din lăţimea de bandă totală disponibilă a portului care poate fi folosit broadcast,multicast, sau trafic unicast.

Rata traficului exprimat în pachete pe secunda la care pachetele broadcast, multicast, sau unicast sunt primite.

Rata de trafic în biţi pe secundă, la care pachetele broadcast, multicast, sau unicast sunt primite.

Rata de trafic în pachete pe secundă şi pentru cadre mici. Această caracteristică este activată la nivel global. Pragul pentru cadre mici este configurat pentrufiecare interfata.

Cu fiecare metodă, portul blochează traficul în cazul în care pragul predefinit de creştere este atins. Portul rămâneblocat până când rata de trafic scade sub pragul care se încadrează ,daca acesta este specificat, şi apoi se reia transmiterea normal. În cazul în care pragul pragul de avarie in care se încadrează nu este specificat, swich-ul blocheaza tot traficul, până cand traficul scade sub pragul ratei de creştere. Pragul, sau nivelul de suprimarea, se referă la numărul de pachete permis înainte sa se ia măsuri. În general, un nivel de suprimarea ridicat este mai puţin eficient in protecţie împotriva broadcast storms.Folosiţi comanda storm-control pe interfaţă pentru a permite storm control pe o interfaţă şi setaţi valoarea pragului pentru fiecare tip de trafic. Nivelul de suprimareastorm-control poate fi configurat ca un procent din lăţimea de bandă totală de port, ca o rată în pachete pe secunda la care traficul este primit, sau ca o rată în biţi pe secundă,la care traficul este primit .

În cazul în care suprimarea nivelului de trafic este specificat ca procent (de până la două zecimale) din lărgimea de bandă totală, nivelul poate fi 0.00-100.00. O valoare a pragului de 100 de procente înseamnă că nici o limită nu este pusa pe tipul de trafic (broadcast, multicastsau unicast). O valoare de 0.0 înseamnă că tot traficul de acel tip pe acel port este blocat. Procentele pragului sunt aproximări din cauza limitărilor hardware şi modul în care pachetele de diferite marimi sunt numărate. În funcţie de dimensiunile pachetelor care alcătuiesc traficul de intrare,pragul ar putea diferi de la nivelul configurat cu mai multepuncte procentuale.

Control Storm este susţinută pe interfeţe fizice. Cu Cisco IOS Release 12.2 (25), control storm poate fi, de asemenea, configurat pe EtherChannels. Când configuraţi Control Storm pe un EtherChannel, setările se propaga la interfeţele fizice EtherChannel. Aceasta este sintaxa completă pentru comanda storm-control:

storm-control {{broadcast | multicast | unicast} level {level [level-low] | bps bps [bps-low] | pps pps [pps-low]}}| {action {shutdown | trap}}

Opţiunile trap si shutdown sunt independente una de cealaltă. Dacă este configurata acţiunea trap, swich-ul va trimite un mesaj log SNMP atunci când apare o furtună. Dacă acţiunea shutdown este configurata, portul este in disabled în timpul unei furtuni, şi comanda no shutdown pe interfaţa trebuie să fie utilizata pentru ridica interfaţa. Când apare o furtună şi acţiune este de a filtra traficul, si nivelul de suprimarea nu este specificat, swich-ul blocheaza tot traficul până când rata de trafic scade sub nivelul de suprimarea. Dacă nivelul de suprimarea este specificat, swich-ul blocheaza traficul până când rata de trafic scade sub acest nivel .

Utilizaţi comanda show storm-control [interface] [{broadcast| multicast | unicast | history}] pentru a verifica setărilestorm control. Această comandă afişează nivelurile stabilitede control pentru suprimarea furtunii pe toate interfeţele, sau pe interfaţa specificată, pentru tipul de trafic

specificat. În cazul în care nici un tip de trafic nu este specificat, implicit este traficul broadcast.

Cel mai bun mod de a atenua atacurile VLAN hopping este de ane asigura că trunking este activat doar pe porturile care necesită trunking. În plus, asiguraţi-vă că ati dezactivat negocierile DTP (auto canale) şi permiteti numai trunkingul manual. Pentru a preveni un atac VLAN hopping care utilizează dubla încapsulare 802.1Q, schwich-ul trebuie să se uite mai adanc în cadru pentru a stabili dacă mai mult de o etichete de VLAN este ataşată de aceasta. Din păcate, cele mai multe switch-uri au hardware-ul care este optimizat pentru a căutao etichetă şi apoi pentru a comuta cadrul. Problema de performanţă faţă de securitate impune administratorilor de aechilibra cerinţele lor cu atenţie. Atenuarea atacurilor VLAN hopping prin utilizarea încapsularii duble 802.1Q

necesită mai multe modificări la configuraţia VLAN-ului. Unul dintre cele mai importante elemente este de a utiliza oVLAN dedicat nativ pentru toate porturile trunchi. Acest atac este uşor să se oprească atunci când se urmează practica recomandată de a nu utiliza reţele de VLAN-uri nativ pentru porturi trunchi oriunde altundeva pe swich. În plus, dezactivaţi toate porturile switch neutilizate şi puneţi-le într-un VLAN neutilizat.

Pentru a controla trunking –ul de porturi, mai multe opţiunisunt disponibile. Pentru link-uri care nu sunt destinate sa fie trunk-uri, utilizează switchport mode access configut pe interfata pentru a dezactiva trunking.. Există trei paşi pentru a crea link-uritrunk:Pasul 1. Utilizaţi comanda switchport mode trunk configuratain modul interfaţă pentru a determina interfata sa devinaun link trunkPasul 2. Utilizaţi comanda switchport nonegotiate de configurare pe interfaţă pentru a preveni generarea de cadreDTP.

Pasul 3. Utilizaţi comanda switchport trunk native vlan vlan_number pentru a seta configurarea VLAN-ului nativ la un VLAN neutilizat. VLAN-ul implicit nativ este VLAN1.

În plus faţă de tehnici de atenuare, este posibil sa configuram un dispozitiv de nivel 2 pentru a sprijini analiza traficului. Traficul de reţea care trece prin porturi sau VLAN-uri poate fi analizat cu ajutorul analizorului switched port analyzer (SPAN) sau remote SPAN (RSPAN). SPAN poate trimite o copie a traficului de la un port la un alt port de pe acelaşi switch în cazul în care unanalizorul de reţea sau dispozitiv de monitorizare este conectat. RSPAN poate trimite o copie de trafic într-un portpe un switch diferit. Copiile SPAN (sau oglinzi) ale traficului primit, trimise, sau si primit si transmis pe porturile sursă sau VLAN-urile sursa au destinaţia portului de analiză. SPAN nu afectează traficul de reţea de pe porturile sursa sau VLAN-uri. Portul destinaţie este dedicatpentru utilizarea SPAN. Cu excepţia traficului, care este necesar pentru SPAN sau sesiunea RSPAN, porturile de

destinaţie nu primesc sau trimit trafic. Interfeţele ar trebui să fie monitorizate, de obicei, în ambele direcţii, în timp ce VLAN-uri ar trebui să fie monitorizat într-o singură direcţie. SPAN nu este necesar pentru syslog sau SNMP. SPAN este folosit ca oglindă a traficului, în timp ce syslog şi SNMP sunt configurate pentru a trimite date direct la serverul adecvat. SPAN nu atenueaza atacurile, dar permite monitorizarea activităţii malefice.

O sesiune SPAN poate fi configurata pentru a monitoriza traficul de la portul sursă la portul destinaţie. De exemplu, configurati sesiunea 1 SPAN de prima sesiune ştearsa 1. Apoi, configuraţi oglindire traficului bidirecţional de la sursa avand portul Gigabit Ethernet 0 / 1 la destinatie port Gigabit Ethernet 0 / 2, păstrând metodade incapsulare.

Switch(config)# monitor session 1 source interface gigabitethernet0/1Switch(config)# monitor session 1 destination interface gigabitethernet0/2 encapsulation replicateSwitch(config)# end Un alt exemplu ilustrează captura de trafic primita şi transmisa de la VLAN 10 la 20, respectiv. Switch(config)# monitor session 1 source vlan 10 rxSwitch(config)# monitor session 1 source vlan 20 txSwitch(config)# monitor session 1 destination interface FastEthernet ¾

Pentru a verifica configurarea SPAN, utilizati comandă showmonitor session session-number.

Un sistem de detectie a intruziunilor (IDS) are capacitatea de a detecta utilizarea necorespunzătoare, abuzul, şi accesul neautorizat la resurse de reţea. SPAN poate fi folosite ca oglindă a traficului pentru un alt port în care o sondă sau un senzor de IDS este conectat. Atunci când un senzor de IDS detectează un intrus, senzorul poate reseta sesiunea TCP evitand stabilire a conexiunii de intrus în cadrul reţelei, eliminând astfel imediat intrusul din reţea.

SPAN este de obicei utilizate atunci când un IDS este adăugat la o reţea. Dispozitive IDS trebuie să citească toate pachetele dîntr-unu sau mai multe, VLAN-uri şi SPAN poate fi utilizat pentru a obţine aceste pachetele pentru dispozitivele IDS

RSPAN are toate caracteristicile de SPAN, plus suport pentruporturi sursă şi porturile destinaţie care sunt distribuite pe mai multe switch-uri, permitand unui port sa monitorizeze orice port destinaţie situat pe VLAN RSPAN. Acest lucru permite unui administrator sa monitorizeze traficul pe un swich cu ajutorul unui dispozitiv de pe un alt swich. RSPAN poate fi folosit pentru a transmite trafic care sa ajunga la un IDS care analizeaza traficului pentru comportament rău intenţionat. Sursa porturilor traficului poate fi calibrat pe switch-uri multiple. Dacă scopul este de detectare a intruziunilor, IDS examinează traficul transmise de către toate dispozitivele sursă. În cazul în care un atacator compromte reţeaua internă printr-un router de perimetru, o copie a traficului intrusului este transmisăla IDS pentru examinare. Ca şi în cazul SPAN, RSPAN nu este necesară pentru syslog sau SNMP şi este folosit doar pentru oglindă traficului, şi nu trimite date direct la un server definit. RSPAN nu atenua atacuri, dar permite monitorizarea activităţii malefice.

Pentru a configura RSPAN, începeti prin configurarea VLAN-ului RSPAN. Aici, VLAN 100 este creat şi configurat ca un VLAN RSPAN.Switch1(config)# vlan 100Switch1(config-vlan)# remote-spanSwitch1(config-vlan)# exit

În continuare, este necesar sa configura porturile sursa RSPAN şi VLAN-urile. Captura de trafic de la portul sursa este reflectat într-un port reflector dedicat, care acţionează pur şi simplu ca o interfata loopback în măsura în care reflectă trafic capturat din VLAN RSPAN. Nici un trafic nu este, de fapt trimis de portul reflector. Acesta oferă doar un mecanism intern de loopback pentru sesiuni de sursă RSPAN. Un port reflector exista doar pentru o sesiune de sursă RSPAN. În acest exemplu, există un singur port sursa. Switch1(config)# monitor session 1 source interface FastEthernet 0/1Switch1(config)# monitor session 1 destination remote vlan 100 reflector-port FastEthernet 0/24Switch1(config)# interface FastEthernet 0/2Switch1 config-if)# switchport mode trunkÎn cele din urmă, configuram traficul RSPAN ca să fie transmis la o interfaţă spre IDS. În acest exemplu, traficuldestinat VLAN-ului 100 este transmisă pe interfata Fast Ethernet 0 / 2. Switch2(config)# monitor session 2 source remote vlan 100Switch2(config)# monitor session 2 destination interface FastEthernet 0/3Switch2(config)# interface FastEthernet 0/2Switch2(config-if)# switchport mode trunk

Utilizaţi comenzile show monitor şi show interfaces trunk pentru a verifica configurarea RSPAN. SPAN şi RSPAN sunt folosite pentru oglinda traficului cu scopul de a analiza protocolul sau pentru detectarea şi prevenirea intruziunilor. O serie de instrumente si tehnologii pentru securizarea infrastructurii LAN au fost explorate. IronPort, NAC, CSA securizeaza utilizatorii finali de la diferite ameninţări, inclusiv buffer overflow, virusi, troieni, viermi şi. Tehnologii, cum ar fi BPDU guardşi root guard prevenin atacurile STP. Control Storm ajută la

prevenirea furtunilor LAN. Port security garantează faptul că gazdele adecvate sunt ataşate porturilor. Switching –ul Layer sunt cele mai bune practici pentru a preveni atacurile VLAN. Dar LAN-urile modern includ, de asemenea dispozitive fără fir, dispozitive de telefonie IP, şi dispozitivele de stocare de reţea zonă. Aceste dispozitive şi de traficul asociat acestora trebuie să fie asigurat.

Orientările de Layer 2 sunt dependente de politica de securitate specific a organizaţiei.

Este important sa gestionam switch-urile ca si cum ar fi routere, folosind protocoale securizate sau metode out-of-band în cazul în care politica permite acest lucru. Opriţi serviciile care nu sunt necesare şi porturile care nu sunt utilizate. Punerea în aplicare a diverse servicii de securitate, cum ar fi securitatea portuară şi accesorii STP,după cum este necesar şi susţinute de hardware. Inchideti, Cisco Discovery Protocol (CDP) pe porturile neconectate la dispozitive de reţea, cu excepţia porturilor care se conectala telefoane IP Cisco.

În mod implicit, VLAN 1 este VLAN de management. De asemenea, în mod implicit, toate porturile sunt membri de VLAN 1 (VLAN1 este utilizator VLAN implicit). În plus, este

VLAN1 VLAN implicit nativ pentru toate porturile trunchi. Din acest motiv, este recomandat ca nu VLAN 1 să nu fie utilizat pentru nimic. Toate porturile neutilizate ar trebuisă fie alocat unui VLAN neutilizate. Toate porturile trunchiar trebui să fie atribuit un VLAN manechinului neutilizate. VLAN de management ar trebui să fie atribuit unui VLAN neutilizat, care nu coincide cu nici un VLAN utilizat, VLAN de management, sau VLAN nativ .

Tehnologia LAN fără fir a fost un motiv puternic pentru avansarea în securitatea reţelei. Dispozitivelor wireless auo nevoie mai mare de soluţii complete de securitate fără fir. În mod similar, apariţia de Voice over IP (VoIP), precum şi toate dispozitivele de însoţire şi tehnologii

(telefonie IP), a motivat mai multe progrese în materie de securitate. Cine ar dori un apel telefonic interceptat de unhacker? Este util sa descriem motivele pentru implementarileVoIP, componentele care sunt necesare în reţele VoIP, şi problemele care apar in serviciile VoIP. Natural este sa exploram implicaţiile implementarii măsurilor de securitate în reţelele IP de voce. Reţelele de stocare (SAN), oferă o soluţie pentru creşterea downtime-ului in reţea şi pe server. Având în vedere că scopul securitatii reţelei este de a asigura securitatea datelor (inclusiv voce şi video), precum şi faptul că în prezent, datele de obicei se află pe un SAN, este esenţial ca SAN sa fie asigurat.

Reţelele modern dezvolta de obicei controlere wireless, puncte de acces, şi un sistem de management fără fir pentru a oferi protecţie completă împotriva atacurilor fără fir. Mediul wireless este securizat cu o infrastructură integratade protecţie împotriva ameninţărilor, vizibilitatii avansate în mediul RF, si in reţelele cu fir ale colaboratorilor. O abordare integrată completa a infrastructurii de securitate wireless reduce costurile in timp ce eficientizarea operaţiunilor de securitate. O astfel de soluţie are o serie de beneficii:

detectarea ameninţarilor proactive şi a intruziunilor detectarea şi prevenirea atacurile fără fir

garanţia protecţiei confidenţialitatii datelor şi a comunicaţiei.

Un singur utilizator şi o politica simplificăta de management protejează utilizatorii împotriva accesului neautorizat.

Colaborarea cu sisteme de securitate permit asigurareasecuritati fără fir şi a protecţie.

Intr-o reţea de întreprindere sunt comune Telefoane IP, IP Private Branch Schimburi (PBX), gateway-uri de voce, steme de mesagerie vocală, şi protocoalele necesare.,. Aceste tehnologii şi protocoale sporesc productivitatea şi salveazaîn cele din urmă organizaţia de la costuri ridicate de telefonie. Prin utilizarea unui IP PBX, organizaţiile pot elimina PBX vechi şi se pot bucură de avantajele telefoniei IP printr-o reţea convergentă. Un IP PBX oferă controlul apelului şi, atunci când este utilizat împreună cu telefoaneIP, se poate oferi funcţionalitate PBX într-o manieră distribuită şi scalabila. Modele solutiilor de telefonie Cisco IP Deployment se încadrează în una dintre urmatoarele categorii:

implementare Single-site-ul Centralizarea prelucrarii apelurilor pentru sucursale

la distanţă Distribuirea prelucrarii mplementarii apelurilor Gruparea IP-urilor in WAN

Selectarea modelului de implementare depinde de cerinţele organizaţiei, cum ar fi dimensiunea reţelei, caracteristicile, şi disponibilitatea de lăţime de bandă WAN.

Reţelelor utilizeaza, reţele zona pentru depozitarea datelor. Crearea de reţele de stocare (storage networking) este esenţială pentru arhitectura contemporana a centrelor de date, oferind o platforma de networking care ajuta departamentele IT in realizarea unui cost total de proprietate, îmbunătăţit . Soluţiile pentru reţelele storage networking sunt :

protecţia investiţilor – Prima, a doua, şi a treia generaţie pot coexista pe şasiul clienţilor existentichiar şi configuraţii noi de switch.

Virtualizarea - managerii IT pot folosi infrastructurile de stocare.

Securitatea - Datele sunt protejate atunci când acestaeste în repaus

Consolidarea - profesionişti pot consolida resursele, profitând de faptul ca platformele SAN sunt extrem descalabile.

Disponibilitatea - accesul instantaneu la date este disponibil de la mai multe niveluri pentru recuperareadatelor.

LAN fără fir se bazează pe tehnologii care folosesc frecvenţă radio (RF). Tehnologia RF a existat încă din secolul al XIX-lea. Tehnologia VoIP a devenit disponibile comercial în anii 1990. Tehnologia SAN nu a intrat oficial pe piaţă până la începutul anilor 2000. urmează o scurta istorie.

La începutul anilor 2000, implementarea punctelor de acces autonome (AP), a fost rapid înlocuite de modelul de implementare lightweight. AP-urile lightweight depinde de configuraţiile controlerelor LAN fără fir (WLCs). Aceastea difera de la AP-urile autonome, care necesita configurarea individuală a fiecărui dispozitiv. Soluţia lightweight AP-wireless controller are mai multe avantaje, cum ar fi de detectare şi localizarea AP-urilor intruse. Cisco WLCs sunt responsabile pentru funcţiile la nivel de sistem LAN fără fir, cum ar fi politicile de securitate, prevenirea intruziunilor, management RF, QoS, şi mobilitate.Aceste funcţii lucrează în colaborare cu AP şi Cisco Wireless Control System (WCS) pentru a sustine aplicatiile wireless. De la servicii de voce şi date pana la urmarire silocalizarei, Cisco WLCs furnizează controlul, scalabilitatea, securitatea, fiabilitatea in construirea reţelelor securizate, scalabilitatea sucursalelor wireless din campusuri principale. Cisco WLCs se integreze bine în reţele de întreprinderi existente. El comunică cu AP lightweight peste orice infrastructură de Layer 2 sau Layer 3, utilizând LightweightAccess Point Protocol (LWAPP). Aceste dispozitive oferă

suport pentru automatizarea configurarii a numeroase WLAN-uri şi funcţiile de management în toate locaţiile. Deoarece Cisco WLCs suporta IEEE 802.11a/b/g şi standardelor 802.11n, organizatiile pot implementa soluţia care corespunde cel mai bine cerinţele lor individuale. Organizaţiile pot oferi acoperire robust cu 802.11a/b/g sau oferi o performanţă in transfer mai mare cu de cinci ori şifiabilitate sporită cu 802.11n.

Cu acces la internet wireless din orice loc, hackerii si-au extins posibilitatea de a se conecta la reţele de la distanţă. Unui hacker calificat sau un novice in tehnologia wireless, I se ofera multiple oportunitati de exploatare a punctelor slabe în reţele fără fir. Cea mai populară formă de hacking wireless este numita war driving, cand un hacker încearcă sa aiba acces la reţele fără fir cu laptop-ul lor, în timp ce conduce masina în jurul unei zone metropolitane sau suburbane.. Aeroporturi, restaurante fast-food, cafeneleoferă frecvent acces la Internet, acordănd astfel hackerilorposibilitatea de a compromite datele altor utilizatori. Un

hacker ar putea chiar încerca să se conecteze la alt computer utilizând modul ad-hoc într-o zonă publică. Niciodată nu este sigura conectarea la o reţea deschisa fărăfir, mai ales într-o zonă publică, cu excepţia cazului în care conexiunea este urmată de o conexiune VPN criptat. În ceea ce priveşte reţeaua de întreprindere, amintiţi-vă că cele mai multe atacuri de securitate provin din interior. Aceste atacuri pot fi lansate în mod intenţionat de către unangajat nemulţumit, sau ar putea fi neintentionat activate de catre un computer care este infectat cu un virus. Multe organizaţii, ca parte a politicilor lor de securitate, nu permit angajaţilor să instaleze AP proprii.

Hackerii fără fir au o serie de instrumente aflate la dispoziţia lor, în funcţie de nivelul lor de sofisticare şi determinarea: Software-ul de reţea Stumbler găseşte reţele fără fir.

Software-ul Kismet afişează reţele fără fir care nu difuzează SSID-urile lor.

Software AirSnort adulmecă şi fisuri chei WEP. CoWPAtty fisuri WPA-PSK (WPA1). ASLEAP colectează autentificare de date. Wireshark poate scana date wireless Ethernet şi 802.11

SSID-uri. Pentru hacker mai determinati, un analizor de spectru poate fi folosit pentru a identifica, clasifica, şi pentru a găsi surse de semnale RF Wi-Fi. Analizoare de spectru moderne potidentifica anumite tipuri de dispozitive care provoaca interferenţe RF şi le poate gasi locaţia lor fizică.

Prima reţea LAN fără fir (WLAN), a apărut în 1990. Aceste reţele WLAN au fost complet deschise, fara nici o autentificare sau criptare. Prima opţiune de securitate pentru reţele WLAN a fost un identificator set serviciu (SSID). Mai târziu, implementarile au permis utilizarea de SSID-uri, fără difuzarea SSID-urilor. StandardUL IEEE 802.11b a definit protocol de securitate pentru criptarea datelor Wired Equivalent Privacy (WEP), între terminale radio. De mai mulţi ani, implementarile WEP au fost singurul mijloc pentru securizarea WLAN. Deficienţe în WEP a condus la dezvoltarea de tehnologii noi, bazate pe protocoale, cum ar fi Temporal Key Integrity Protocol (TKIP)şi criptarea, cum ar fi Advanced Encryption Standard (AES). Wi-Fi Protected Access (WPA) pune în aplicare TKIP şi este mai sigură decât WEP. WPA2 implementează AES şi este mai sigură decât WPA. WPA2, foloseste standardul 802.11i, si este în prezent stadiul actual al tehnologiei de securitate fără fir. Pe parcurs, a fost adăugată autentificare ca o opţiune de asigurare a WLAN-urilor şi este acum o componentă fundamentală a politicii in retelele fără fir. Arhitectura 802.11i specifică autentificare 802.1X care, implică utilizarea EAP şi a unui server de autentificare

La proiectarea şi utilizarea reţelelor fără fir, este o ideebună pentru securitatea reţelei profesionale de a menţine unnivel adecvat de paranoia. Reţelele fără fir sunt extrem de primitoare pentru hackeri. Din fericire, câteva măsuri de precauţie în cazul în care sunt luate, administratorii de retea pot reduce riscul pentru utilizatorii fără fir. Administratorul de reţea ar trebui să retina mai multe considerente de securitate:

Reţele wireless folosind WEP sau WPA / TKIP nu sunt foarte sigure şi sunt vulnerabile la atacuri hacking.

Reţelele fără fir care utilizează WPA2/AES ar trebui săaibă o frază de trecere de cel puţin 21 de caractere.

Dacă un VPN IPsec este disponibil, utilizaţi-l pe oriceLAN fără fir public. Dacă accesul fără fir nu este necesar, dezactivaţi radio wireless sau NIC wireless.

Ca un profesionist in securitatea reţelelor, desfăşurând o soluţie wireless ar trebui să solicite WPA2/AES împreună cu autentificare. Autentificarea ar trebui să fie manipulata decătre un server de autentificare centralizat.

VoIP este transmiterea traficului de voce în reţelele bazatepe IP. IP-ul a fost proiectat iniţial pentru crearea de reţele de date, dar succesul său în crearea de reţele de date a dus la adaptarea sa la traficul de voce.

VoIP a devenit popular în mare măsură din cauza reducerii decosturi prin intermediul reţelelor de telefonie tradiţionale. În reţelele de telefonie tradiţionale, cei maimulţi oameni plătesc un comision fix lunar pentru convorbirile telefonice locale şi o taxă pe minut pentru apeluri interurbane. Apelurile VoIP sunt plasate prin intermediul internetului, cu cele mai multe conexiuni la Internet fiind taxat cu o taxă fixă lunarara. Folosind conexiunea la Internet pentru traficul de date, cât şi pentru apeluri de voce permite consumatorilor să reducă factura pentru telefonul lunar. Pentru apeluri internaţionale, economiile pot fi enorme.

Avantajele care decurg din implementările de reţele VoIP s-au schimbat în timp. Incepand cu simpla convergenţă a mediului, aceste avantaje au evoluat pana la a include convergenţă de informaţii call-switching şi experienţa totala a utilizatorului. Iniţial, calculele erau centrate perandamentul investiţiilor (ROI) pe taxare-bypass şi pe economiile convergente-reţea. Deşi aceste economii sunt încărelevante în ziua de azi, progresele în domeniul tehnologiilor de voce permite organizaţiilor şi furnizorilorde servicii sa diferenţieze ofertele lor de produse prin furnizarea de funcţii avansate.

VoIP are o serie de avantaje:

Scăderea costurilor apelurilor de telecomunicaţii sunt semnificative. VoIP furnizorii de servicii gratuite cu până la 50 la sută mai puţin pentru serviciul de conectivitate telefonica.

creşterea productivitatii cu servicii de telefonie VoIPpoate fi substanţială. Unele companii au raportat creşteri de productivitate de până la trei ore pe săptămână, pe angajat. Caracteristici cum ar fi remote office, click-to-call, Outlook integration, unified voice mail, conference calling, şi collaboration tools,permite creşterile de productivitate.

Costurile de mutare, adauga, modificare sunt mult mai reduse. Flexibilitatea VoIP permite deplasarea cu uşurinţă a unui telefon între staţiile de lucru.

costurile de întreţinere pentru servicii în curs pot fimai mici.

Multe sisteme VoIP necesita acţiuni de formare puţine sau deloc pentru utilizatori.

Scăderea Încarcării telefonului mobil în calitate de angajaţi prin efectuarea apelurilor prin intermediul laptop-urilor lor în loc de telefonul mobil. Aceste apeluri fac parte din taxele de reţea şi costul

reprezinta doar suma de conexiunea la Internet în sine.

Costurile de telecomutare a telefonului sunt scăzut şi nu există taxe de instalare majore. ComunicaţiiLE de voce iau locul conexiunii de bandă largă.

VoIP permite unificarea mesajelor. Sisteme de informaţii sunt integrate.

Criptarea apelurilor de voce este acceptată. sunt necesare mai puţine persone administrative pentru

a răspunde la telefoane.

O reţea de pachete de voce, sau o reţea care acceptă traficul de voce, are un număr de componente:

Telefoane IP – transmitera de voce IP la desktop. Gatekeeper - Oferă Call Admission Control (CAC), lăţime de bandă de control şi de management, precum şi translatarea adresei. Gateway- Oferă translatarea între reţelele VoIP şi reţelelenon-VoIP, cum ar fi PSTN -. Gateway-uri oferă, de asemenea, accesul fizic pentru dispozitivele analogice locale şi dispozitive digitale de voce, cum ar fi telefoane, faxuri, seturi de cheie, şi PBX. Unitate de control multipunct (MCU) - Oferă conectivitate întimp real pentru participanţii dîn mai multe locaţii pentru a participa la videoconferinţă sau la aceeaşi şedinţă. Agent Call - Oferă control al apelurilor pentru telefoaneleIP, CAC, lăţime de bandă de control şi de management, precumşi translatarea adreselor. Atât Cisco Unified CommunicationsManager cat şi Cisco Unified Communications Manager BusinessEdition, funcţioneaza ca agenţi de apel.

Servere de aplicaţii - Furnizarea de servicii, cum ar fi mesagerie vocală şi mesagerie unificată, cum ar fi Cisco Unity. Staţie Videoconferinta - Oferă acces pentru participarea utilizatorilor finali la videoconferinţă. Staţia de videoconferinţă conţine un dispozitiv de captură video pentru intrare video şi un microfon pentru intrare audio. Utilizatorul poate vizualiza fluxuri video şi auzi audio care provine de la o staţie de la distanţă de utilizator. Alte componente, cum ar fi aplicatii de voce software, (IVR), sisteme interactive voice response, şi softphones, furnizarea de servicii suplimentare pentru a satisface nevoile unor site-uri de întreprinderii. VoIP depinde de o serie de protocoale de specialitate, inclusiv H.323, Media Gateway Control Protocol (MGCP), Session Initiation Protocol(SIP), Skinny Call Control Protocol (SCCP), şi Real-Time Protocol RTP.

Comunicarea VoIP are loc prin intermediul reţelei de date tradiţionale. Asta înseamnă că asigurarea comunicaţii de voce este direct legată de securizarea reţelei de date. Există mai multe ameninţări specifice in reţele VoIP:

Accesul neautorizat la resursele de voce

Hackerii pot sa manipuleze sistemele de voce, identităţile utilizatorilor, configuraţiile telefoanelor, şi pot intercepta mesajele vocale -mail. Dacă hackerii obtin acces la sistemele de voce-mail, ei pot schimba vocea-mail de salut, care pot avea un impact negativ asupra imaginii şi reputaţiei companiei. Un hacker care obţine acces la PBX saula gateway-ul de voce poate închide porturile de voce sau modifica parametrii de voce-rutare, care afectează accesul la voce prin intermediul reţelei.

Compromiterea resurselor din reţea

Scopul unei reţele securizate este de a ne asigura că aplicaţiile, procesele, utilizatorilor pot fi interoperatein siguranta utilizând resursele partajate din reţea. Deoarece infrastructura de reţea partajata transporta voce şi date, securitate şi acces la infrastructura reţelei sunt esenţiale în asigurarea funcţiilor de voce. Deoarece sistemele de voce IP sunt instalate pe o reţea de date, acestea sunt tinte potentiale pentru hackeri care anterior direcţionau atacurile doar catre PC-uri, servere şi aplicaţii de date. Hackerii sunt ajutate în căutarea lor pentru vulnerabilităţi în sistemele de voce IP de standarde deschise şi bine-cunoscute şi protocoalele care sunt folosite de reţelele IP.

Eavesdropping (Trage cu urechea)

TrasUL cu urechea implica interceptarea neautorizată a pachetelor de voce sau a fluxurilor RTP din-mediu. Trage cu urechea expune informaţii confidenţiale sau de proprietate, care este obţinută prin interceptarea şi remontarea pachetelor într-un flux de voce. Hackerii folosesc o varietate de instrumente pentru a trage cu urechea.

Atacurile DoS

Atacurile DoS sunt definite ca atacuri de virusare sau supraîncărcarea a echipamentelor de procesare a apelurilor pentru a refuza accesul la serviciile utilizatorilor legitimi. Cele mai multe atacuri de tip DoS se încadrează înuna din cele trei categorii:

Network resource overload ( supraîncărcarea reţelei de resurse) inseamna supraincarcarea retelei de resurse cucereri inexces afectand buna funcţionare a unui serviciu. Resursă de reţea este de cele mai multe ori latimea de banda. Atacul DoS utilizează toata lăţimea de bandă disponibilă, cauzând utilizatorilor autorizaţisă fie în imposibilitatea de a accesa serviciile solicitate.

Nevoia de resurse a gazdelor - implică utilizarea unorresurse critice de gazde. Atunci când utilizarea acestor resurse este maximizat prin atac DoS, serverul nu mai poate răspunde la solicitările de servicii legitime.

atacul in afara limitelor - implica folosirea de pachete de structura ilegale şi date neaşteptate, care pot determina un accident al sistemuluii de operare de la distanţă. Un exemplu de acest tip de atac este folosirea combinaţiilor de flag-uri TCP ilegal. Cele mai multe stive TCP / IP sunt dezvoltate pentru a răspunde adecvat utilizării, ele nu sunt dezvoltate pentru anomalii. Atunci când stiva primeşte date ilegal, acesta ar putea să nu ştie cum să se ocupe de pachete, provocând un accident de sistem.

Spam VoIP, sau SPIT, sunt mesajele nesolicitate şi nedorite difuzate pe VoIP pentru utilizatorii finali ai unei reţele de întreprindere. În afară de a fi apeluri enervante, in volum mare pot afecta în mod semnificativ disponibilitatea şi productivitatea finale. Deoarece apelurile bulk sunt, dificil de a urmărit, ele pot fi folosite pentru fraudă, utilizarea neautorizată, şi încălcările vieţii private. Până în prezent, spam-ul VoIP este rar, dar are potenţialul de a deveni o problemă majoră. SPIT ar putea fi generate într-un mod similar cu e-mail spam-ul cu "botnets" direcţionate catre milioane de utilizatori VoIP din masini compromise. Spam-ul a fost o problemă de ani de zile. Nesolicitate şi rău intenţionate spam-urile comerciale de e-mail- acum fac majoritatea de e-mail la nivel mondial. De exemplu, în Europa, potrivit analistilor Radicati, 16 miliarde de mesajespam au fost trimise în fiecare zi în 2006, reprezentând 62 la sută din toate mesajele de e-mail europene. Această cifră este de aşteptat să crească la37 miliarde e-mailuri

spam pe zi, până în 2010. Există îngrijorarea că VoIP va suferi aceeaşi soartă ca e-mail. O altă preocupare cu privire la SPIT este că metodele de e-mail anti-spam nu va funcţiona. Apeluri de voce de care se ocupă SPIT le fac cu mult mai dificilă decât spam e-mail. Noi metode trebuie să fie inventat pentru a aborda probleme de SPIT. Autentificate Transport Layer Security (TLS) opreşte cele mai multe dintre atacurile SPIT, deoarece accepta doar pachete de la dispozitive de încredere .

Două tipuri frecvente de fraudă în reţelele VoIP sunt "Vishing" şi toll fraud.

"Vishing" (phishing voce) foloseşte telefonia pentru a culege informatii, cum ar fi detalii de cont direct de la utilizatori. Una dintre primele cazuri raportate de Vishing a afectat PayPal. Victimele au primit mai întâi un e-mail care pretindea ca vine de la PayPal, cerându-le să verifice detaliile cardului de credit pe telefon. Cei care au sunat la numărul au fost apoi rugaţi să introduceţi numărul cardului de credit folosind tastatura. După ce numărul cărţii de credit au fost introduse, autorii acestei fraude au reuşit să fure bani din contul victimelor lor.

Din cauza costului mai mic de a face apeluri VoIP, comparativ cu sistemele de telefon standard, atacatorii pot apela mii de oameni . Utilizatorii au încredere încă in telefon mai mult decat pe web, dar aceste tehnici de spam pot submina încrederea utilizatorilor în VoIP.

Toll fraud este furtul de serviciu telefonic pe distanţe lungi si accesul neautorizat la un trunchi PSTN (o linie

exterior) pe un PBX sau sistem de voce-mail. Taxa de trecereeste o frauda de miliarde de dolari , şi toate organizaţiilesunt vulnerabile. Furtul poate fi, de asemenea, definit ca utilizarea sistemului de telefonie atât prin utilizatorilor autorizaţi cat şi de cei neautorizati pentru a accesa numerele neautorizat, cum ar fi numere cu tarif special.

Această fraudă nu este nouă şi PBX –urile au fost întotdeauna vulnerabile. Diferenţa este că puţini oameni ar putea hack-eri un PBX, în comparaţie cu numărul de persoane active în sistemele de IP. Pentru a proteja împotriva fraudei astfel, administratorii de reţea utilizaţi caracteristicile care există în Cisco Unified CommunicationsManager pentru a controla apelurile telefonice, cum ar fi filtre, partiţii, sau Forced Authorization Codes (FACs).

O altă problema de securitate VoIP in creştere se referă la SIP. Adoptarea în creştere de SIP pentru VoIP este de aşteptat să deschidă un front complet nou în război de securitate. SIP este un protocol relativ nou care ofera securitate inerenta. Unele dintre caracteristicile sale, , lăsa vulnerabilitati in fata hackerilor, cum ar fi utilizarea de text pentru codare şi extensii SIP care poate crea gauri de securitate.

Exemple de hacks pentru SIP includ deturnarea de înregistrari, care permite unui hacker să intercepteze apelurile primite şi redirijarea acestora; mesaj de manipulare, care permite unui hacker să modifice pachetele de date care circulă între adrese SIP; şi sesiune tear-down,care permite unui hacker să termine apelurilor sau sa efectueze un atac DoS VoIP orientat prin inundarea sistemului cu cereri de închidere

Multe soluţii de securitate IP pot fi implementate numai pe dispozitive Layer 3. Datorită arhitecturii protocolului, Layer 2 oferte foarte puţin sau deloc de securitate, inerente. Înţelegerea şi de stabilirea domeniilor de broadcast este unul dintre conceptele fundamentale în proiectarea reţelelor IP securizate. Multe atacuri simple încă periculoase pot fi lansate în cazul în care dispozitivul ataca reşedinţa în acelaşi domeniu de broadcastca sistemul ţintă. Din acest motiv, telefoane IP, gateway-uri VoIP, staţii de lucru şi gestionarea reţelei ar trebui să fie întotdeauna pe subreţea lor, separat de restul reţelei de date şi de fiecare subretea.

Pentru a asigura comunicaţii private şi integritatea, mediului fluxurile de voce trebuie să fie protejate de ascultare şi de manipulare. Tehnologiile de date-networking,cum ar fi reţele VLAN poate separa traficul de voce din traficul de date, oprind accesul la VLAN voce din VLAN de date. Utilizarea VLAN-urilor separate pentru voce şi date împiedică orice aplicaţie a atacatorului sau ataca din snooping sau capturarea traficul altor VLAN-uri deoarece traverseaza acelasi mediu fizic. Asigurându-vă că fiecare dispozitiv se conectează la reţea utilizând o infrastructurăde swich-uri,deoarece instrumente de sniffing pot fi

folosite , pentru captarea trafic de utilizator.

Alocarea traficului de voce pentru anumite VLAN-uri prin seepararea traficului de voce logic şi traficul de date esteo practica la nivel de industrie recomandata. Cât mai mult posibil, dispozitivele care sunt identificate ca dispozitivede voce ar trebui să fie limitată la VLAN-uri dedicate de voce. Această abordare asigură faptul că acestea pot comunica doar cu alte resurse de voce. Mai important, traficul de voce este ţinut departe de reţeaua de date generale, în cazul în care ar putea fi mai uşor interceptatesau alterate în scopuri malefice. Avand un anumit VLAN vocese aplica mai uşor listele de control acces pe VLAN (VACLs) pentru a proteja traficul de voce.

Prin înţelegerea protocoalele care sunt folosite între dispozitive din reţea VoIP, poate fi pusă în aplicare ACL-uri eficiente pe VLAN-uri de voce. Telefoanele IP trimit numai trafic RTP, şi ei nu au nici un motiv sa trimita trafic TCP sau ICMP pentru celelaltealte. Telefoane IP nu trimite trafic TCP şi câteva protocoale UDP pentru a comunica cu serverele. Multe dintre atacurile telefonului IPpoate fi oprit prin utilizarea ACL-uri pe VLAN-uri de voce pentru a preveni abaterile de la aceste principii.

Firewall-urile inspecteaza pachetele şi să le supun regulilor configurate pe porturile specificate. Este dificilsa precizam din timp care porturi vor fi folosite într-un apel vocal, deoarece porturile sunt dinamic negociate în timpul instalării apelului. Cisco ASA Adaptive Security Appliances inspecteaza protocoale de voce pentru a se asigura că cererile SIP, CSPC, H.323, MGCP şi sunt conforme cu standardele de voce. Cisco ASA Adaptive Security Appliances poate oferi, de asemenea, aceste capabilităţi pentru a ajuta la protejarea traficul de voce:

Asiguraţi-vă ca SIP, CSPC, H.323, MGCP şi cererile suntconforme cu standardele.

opriti metode neadecvate SIP de a fi trimise la Cisco Unified Communications Manager.

limita rata de cereri SIP. Punerea în aplicare a politicii de apeluri (whitelist,

lista neagră, apelantului / apelatului, SIP Uniform Resource Identifier).

porturile deschise dinamic pentru aplicaţiile Cisco

Permite doar "telefoanelor înregistrate " sa efectua apeluri.

permiteti inspecţia apelurilor telefonice criptate.Cisco IOS firewall-uri oferă, de asemenea, multe dintre aceste caracteristici sigure.

VPN-urile sunt utilizate pe scară largă pentru a oferi conexiuni securizate cu reţeaua corporativa. Conexiunile potproveni dintr-o sucursală, un birou mic / home office (SOHO), un telecommuter, sau un utilizator de roaming. IPSecpoate fi utilizat pentru serviciile de autentificare şi de confidenţialitate. Pentru a facilita performanţă, se recomandă ca tunelele VPN sa se termina in interiorul unui firewall. Firewall-ul este folosit pentru a inspecta şi a proteja protocoalele plaintext. Cand se folosesc VPN pe Internet sau intr-o reţea publică, este important să se ia în considerare lipsa de QoS. Acolo unde este posibil, QoS artrebui să fie abordate cu furnizorul printr-un acord privindnivelul serviciilor (SLA). Un SLA este un document care detaliază parametrii aşteptati ai QoS pentru pachetele caretrec prin reţeaua furnizorului. Comunicaţiile de voce nu funcţionează bine (sau, uneori, la toate) datorita latenţei. Deoarece datele sigure sunt

criptate pe VPN, ele pot crea strangulari atunci când are loc procesul de tranzitare al pachetelor prin algoritmul de criptare lor. Problema se agravează odată cu creşterea securitatii. Codificãrile VoIP , DES sau 3DES sunt pe deplincompatibile unele cu altele atâta timp cât oferă throughput necesare. Pe plan internaţional, corporatiile s-ar putea confrunta cu alte probleme care afectează comunicaţii de voce. Departamentul de Comerţ al SUA impune restricţii privind exportul de anumitor tehnologii de criptare. De obicei, DES este exportat în timp ce3DES nu este. Cu toate acestea, reglementările au luat numeroase forme, de la excluderea totala a exportului care se aplică la anumite ţări, pana la permiterea exportului 3DES pentru anumite industrii şi utilizatori. VPN-urile cu cele mai multe societăţi care se extind în afara Statelor Unite trebuie să afle dacă furnizorul lor VPN are produse exportabile, cât şimodul în care reglementările de export afecteaza reţelele construite cu aceste produse .

Când asiguraram traficul de voce, nu uitaţi să asigure servere de aplicaţii voce. Cu versiunile mai noi de Cisco Unified Communications Manager dezactivaţi servicii inutile,nume de utilizator implicit, permiteti să fie instalat numaiimagini semnate, instalate de CSA, care suporta protocoalelede management sigure. Prin combinarea de securitate de transport care este furnizat de LAN-uri securizate,

firewall, VPN şi cu aplicarea şi caracteristicile de securitate gazdă disponibile cu Cisco Unified CommunicationsManager şi telefoane IP Cisco, este posibil de a avea un mediu foarte sigur de telefonie IP .

Un SAN este o reţea specializată, care permite accesul rapid, de încredere între servere şi resurse externe de stocare. Într-un SAN, un dispozitiv de stocare nu este proprietatea exclusivă a unui server . Mai degrabă, dispozitive de stocare sunt împărţite între toate serverele de reţea ca resurse la egal la egal. Aşa cum un LAN poate fiutilizat pentru a se conecta la serverele clientilor, un SANpoate fi utilizat pentru a conecta serverele de stocare, servere de stocare intre ele , şi servere intre ele..

Un SAN nu are nevoie să fie o reţea separata fizic. Aceasta poate fi o subreţea dedicata care transporta numai date critice de business între servere şi dispozitive de stocare.Un SAN, de exemplu, nu ar transporta trafic general, cum ar fi e-mail sau alte aplicaţii ale utilizatorului final. Ar fi

limitat la trafic de I / O, cum ar fi citirea unui fişier depe un disc sau scrierea unui fişier de pe un disc. Această abordare de reţea ajută la evitarea compromisului inacceptabil şi la performanţă redusă, care este inerent atunci când o singură reţea este utilizată pentru toate aplicaţiile.

Caderea reţelelor provoaca pierderi mari de bani companiilor. În acelaşi timp, cantitatea de informaţii care trebuie să fie gestionata şi stocata este în creştere dramatica în fiecare an.

SAN oferă un răspuns la creşterea volumului de date care trebuie stocate într-un mediu de reţea enterprise. Prin implementarea unui SAN, utilizatorii pot să scape de trafic de stocare de la exploatarea reţelelor de zi cu zi şi de a stabili o legătură directă între medii de stocare şi servere.

SAN în infrastructura de întreprindere evoluează rapid pentru a îndeplini trei cerinţe principale de afaceri:

Reducerea cheltuielilor de funcţionare Creşterea agilitatii pentru a sprijini schimbarea

priorităţilor in afaceri, cerinţele de aplicare, şi creşterea veniturilor.

Îmbunătăţirea raspunsului pe distanţe lungi, backup, recuperare pentru a satisface cerinţele de reglementareşi cele mai bune practici.

Cisco oferă o abordare la nivel de întreprindere pentru implementarea SAN scalabile, extrem de disponibil, şi mult mai usor de administrat. soluţii Cisco pentru reţele SAN inteligente sunt o parte integrantă a unei arhitecturi centru de date. Cisco SAN furnizează soluţii ca un mijloc preferat de accesare, administrare, şi protejarea resurselorde informaţii într-o varietate de tehnologii de transport SAN. Acestea includ Fibre Channel, Fibre Channel over IP

(FCIP), Internet Small Computer Systems Interface (iSCSI), Gigabit Ethernet, sau de retele optice.

Toate tehnologiile majore SAN de transport se bazează pe modelul SCSI de comunicaţii. În multe feluri, un SAN poate fi descrisă ca fuzionea intre SCSI şi crearea de reţele. Protocol de comanda SCSI este standardul de fapt, care este utilizat pe scară largă în aplicaţii de stocare de înaltă performanţă. Parte de comanda SCSI poate fi transportata pe un canal Fibre Channel SAN sau încapsulat şi transportat peste reţelele IP. Exista trei mari tehnologii SAN de transport:

Fibre Channel - Aceasta tehnologie este un transport primar SAN pentru conectivitate host-to-SAN. In mod traditional, SAN are nevoie de o infrastructură separată dedicată pentru a interconecta gazde şi sisteme de stocare. Protocolul de transport principal pentru această interconectare a fost Fibre Channel. Reţelele de transport Fibre Channel oferă un

serial pentru protocolul SCSI.iSCSI – Map-area SCSI peste TCP / IP. Acesta este un alt model de conectivitate host-to-SAN, care este de obicei folosit în LAN. Un iSCSI ajuta o investiţie în reţelele existente de IP sa construiasca şi sa extinda reţelele SAN. Acest lucru se realizează prin utilizarea comenzii TCP / IP de transport SCSI, de date, şi de stare intre gazde sau intre iniţiatori şi dispozitive de stocare sau obiective, cum ar fi subsisteme de stocare şi dispozitive de banda.FCIP - Popular modelul de conectivitate SAN-to-SAN, care este adesea folosit peste WAN sau MAN (reţea zona metropolitană). Designerii SAN pot utiliza protocol FCIP open-standard pentru a sparge bariera distantei pentrtu soluţiile curente Fibre Channel şi pentru a permite interconectarea SAN-urilor izolate pe distanţe extinse.

În memoria computer-ului, un număr de unitate logică (LUN) este o adresă pe 64 de biţi pentru o unitate de disc individuala şi, prin extensie, dispozitivul de disc în sine.Termenul este folosit în protocolul SCSI ca o modalitate de a diferenţia disk drive-uri individuale într-un dispozitiv comun ţintă SCSI cum ar fi o matricea de disc.

MascareA LUN este un proces de autorizare, care face o LUN la dispoziţia unor gazde şi disponibile pentru alte gazde. Mascare LUN este pusă în aplicare în primul rând la nivelul adaptorului host bus (HBA). Mascare LUN implementata la acest nivel este vulnerabila la orice atac care compromite HBA.

Beneficiile mascarii LUN sunt limitate, deoarece, multe HBA,pot să creeze adrese sursă. Mascate LUN este în principal o modalitate de a proteja împotriva coruperII discurilor care aparţin altor servere.

De exemplu, servere Windows, care sunt ataşate la un SAN, uneori, sunt corupte prin încercarea de a scrie etichete non-Windows. Prin ascunderea Luns pe server non-Windows de

pe server Windows, acest lucru poate fi prevenit, deoarece serverul Windows nu realizează volumele non-Windows existente.

Astăzi, Luns nu sunt în mod normal, unităţile individuale dedisc, dar sepot seta partiţiile virtuale (sau volume) de o gamă redundantă de Independent Disks (RAID)

Un Nume World Wide (WWN) este o adresă pe 64 de biţi folosita in reţelele Fibre Channel pentru a identifica un unic element într-o reţea Fibre Channel. Impartirea in zone poate utiliza WWNs pentru a atribui permisiuni de securitate. Zonarea poate folosi, de asemenea, nume de servere în switch-uri pentru a permite sau bloca accesul in WWNs Utilizarea de WWNs pentru scopuri de securitate este în nesigura, deoarece WWN –ul unui dispozitiv este un parametruconfigurabil de către utilizator. Zonarea care utilizează WWNs este susceptibil de a accesului neautorizat, deoarece zona pot fi ocolite în cazul în care un atacator este capabil de a falsifica WWN a autorizat un adaptor host bus (HBA). O HBA este un adaptor I / O care se află între bus-ulcalculatorului gazdă şi bucla Fibre Channel şi gestionează transferul de informaţii între cele două canale

În crearea de reţele de stocare, zonarea Fibre Channel este împărţirea dintr-o tesatura Fibre Channel in subseturi mai mici. Dacă un SAN conţine mai multe dispozitive de stocare, un dispozitiv nu trebuie să aiba neapărat permisiunea de a interacţiona cu toate celelalte dispozitive din cadrul SAN. Zonare este uneori confundat cu mascare LUN, deoarece ambeleprocese au aceleaşi obiective. Diferenţa este că zonarea este pus în aplicare pe switch-uri în timp ce mascare LUN seface pe dispozitivele endpoint. Zonare este, de asemenea potenţial mai sigura. Membrii Zonei vad numai pe ceilalţi membri ai zonei. Dispozitive pot fi membri ai mai multor zone. Există câteva reguli simple de a păstra în minte funcţionarea zonarii:

Membrii Zone vad numai pe ceilalţi membri ai zonei. Zonele pot fi configurate dinamic bazat pe WWN. Dispozitive pot fi membri la mai mult de o zonă. Zonarea retelei de switch-uri poate avea loc la nivel

de port sau dispozitiv, bazate pe portul fizic al switch-ului, dispozitivul WWN, sau ID-ul LUN.

Zonare retelei Fibre Channel are beneficiul de a securiza accesul şi a permite coexistenţa sistemelor de operare. Zonarea se aplică numai la topologia de swich-uri, ea nu există în topologii simpla de Fibre Channel.

O reţea virtuală stocare (VSAN) este o colecţie de porturi din switch-uri conectate intr-o Fibre Channel care formează o retea virtual. Porturile pot fi partajate într-un singur swich în VSANs multiple. În plus, mai multe switch-uri se poate alătura unui număr de porturi pentru a forma un singurVSAN. În acest mod, VSANs seamănă foarte mult cu VLAN-uri. In VLAN-uri, traficul este etichetat cand acesta traverseazălegături inter-switch cu ID-ul VSAN. In acelasi mod VSANs manipuleaza VSAN. VSANs utilizeaza izolare bazate pe hardware, ceea ce înseamnă că traficul este etichetat în modexplicit cu informaţii de membru ale legăturii inter-switch pe VSAN. Pot fi obtinute statistici, pe o bază per-VSAN. VSANs au fost iniţial inventat de Cisco, dar acum au fost adoptate ca standard ANSI.

Pentru a asigura SAN, este necesar să se asigure tesatura SAN, ataşarea oricarei gazde, şi discurile actuale. Există şase zone critice care se iau în considerare atunci când securizam un SAN:

SAN management - Securizarea serviciilor de management care sunt folosite pentru a administra SAN.

Acces Fabric - acces securizat la tesatura. Tesatura SAN se referă la hardware care conecteaza serverele la dispozitive de stocare.

Target access - acces securizat la dispozitive de stocare (obiective) şi Luns.

Protocoale SAN - Secure protocoalele care sunt folositeîn comunicare switch-la-switch.

IP storage access - Secure FCIP şi iSCSI. Integritatea datelor şi secretul - Criptarea datelor,

deoarece traversează reţele, precum şi atunci când stocate pe discurI

Există mai multe tipuri de instrumente de management SAN disponibile, care pot gestiona la nivel de dispozitiv şi la nivel de aplicaţie, precum şi oferta de raportare şi monitorizare a serviciilor. Indiferent de instrument de SAN-management utilizat, trebuie să se asigure că accesul la mijloacele de management este sigur. Pentru conducerea uneiSAN, există alte probleme de securitate care se iau în considerare:

Perturbarea proceselor de pe switch - Un atac DoS poate produce o sarcina excesive pe CPU, ducând CPU în imposibilitatea de a reacţiona la evenimentele din tesatura.Compromiterea tesaturii - schimbarea configuraţiei sau pierderea configuraţiei poate duce la modificări ale serviciilor configurate sau ale porturilor.Compromiterea integritatii datelor şi confidenţialitatii - Încălcarea confidenţialitatii informaţiilor stocate ale dateleor reale si compromiterea integritatii .

Pentru a asigura integritatii datelor, integritatea LUN, şi performanta aplicatiei, este necesar sa asiguram atât reteaua cat şi accesul ţintă. În cazul în care ţesături şi acces ţintă nu sunt sigure, acest lucru poate duce la accesul neautorizat la date. Accesneautorizat înseamnă că integritatea şi confidenţialitatea ambele au fost încălcate. Datele pot fi, de asemenea, corupte sau şters. În cazul în care LUN este compromis, fie accidental sau intenţionat, datele pot fi pierdute şi disponibilitatea poate fi ameninţata. În cele din urmă, performanţa aplicaţiilor şi disponibilitatea pot fi afectatede evenimente I / O inutile sau tesatura, deoarece procesorul este mentinut ocupată mai mult decât este necesar. Pentru a preveni aceste tipuri de probleme, VSANs foloseste VSANs şi zonarea..

VSANs şi zonele sunt tehnologii complementare, care lucreazăbine împreună, pentru controlul de securitate într-un SAN. Primul pas în configurarea acestor protocoale complementare este de a asocia porturile fizice cu un VSAN, la fel ca asocierea porturi de switch cu VLAN-uri, şi împărţire apoi în zone logice VSANs. Zonarea este mecanismul principal pentru asigurarea accesului la obiectivele SAN (disc şi bandă). Există două metode principale de zonare, hard si soft. Zonarea Soft restricţionează numele serviciilor din tesatura, aratand unui dispozitiv numai subset-ul permis de dispozitive. Cand un server se uită la conţinutul tesaturii,vede numai dispozitivele care ii este permis să le vadă. Cu toate acestea, orice server poate încerca în continuare să contacteze alte dispozitive din reţea pe baza adreselor lor.În contrast, zonarea limitează puternic comunicarea într-o ţesătură. Această zonare este mult mai des folosit deoarece este mai sigura.

Pentru a asigura în timpul transmiterrea de date, o serie detehnici s-au dezvoltat. Multe strategii iSCSI sunt comune pentru reţele IP. De exemplu, ACL-uri IP sunt similare zone Fibre Channel, Pentru transmiterea securizata de datelor, o serie de protocoale de criptare şi de autentificare sunt acceptate:

Diffie-Hellman Challenge Handshake Authentication Protocol (DH-CHAP)

Fibre Channel Authentication Protocol (FCAP) Fibre Channel Password Authentication Protocol (FCPAP) Encapsulating Security Payload (ESP) Fibre Channel Security Protocol (FC-SP)

Multe caracteristici de securitate FCIP ajuta la securitatea IP în routere Cisco IOS bazate pe:

IPsec pentru securitate peste operatorii de transport public

Servicii de mare viteza de criptare hardware specializate,

Firewall de filtrare

Securizarea SAN completeaza procesul de asigurare a LAN-urilor: securizarea finale, de switch-uri,in mediul fără fir, infrastructura VoIP, şi reţelele SAN. În asigurarea LAN, o serie de referiri la IPsec au fost făcute. IPsec esteun mijloc de criptare a datelor între obiective, cum ar fi

într-un tunel VPN. Pentru a înţelege cum funcţionează IPsec,este necesar o înţelegere de bază a criptografiei.