Все в большей мере критичные деловые процессы напрямую или опосредованно оказываются зависимы от функционирования глобальных сетей. Пропорционально этому растет и опасность ущерба от вирусов, «червей» или хакеров. Тем самым защищенность сети становится обязательным условием продуктивной работы, а система защиты должна охватывать все уровни и распространяться на архитектуру коммутации.
В 80-е гг. прошлого столетия новые вирусы, поражавшие сектор начальной загрузки, появлялись с периодичностью раз в неделю. Они наносили ограниченный ущерб, поскольку инфицированными оказывались лишь отдельные изолированные компьютеры. С появлением в середине 90-х гг. Internet и электронной почты количество атак выросло во много раз: почти ежедневно газетные заголовки пугали новыми макровирусами и успехами хакеров. Прошло еще десять лет, и проблема приняла характер эпидемии: теперь «черви» и «троянцы» могут поразить корпоративные и правительственные сети каждую минуту. Спам — лишь слегка замаскированная разновидность саботажа — способен на некоторое время парализовать целые корпоративные сети. Мошенничество и экономический шпионаж превратились в стремительно растущие отрасли.
На будущее надежды мало: многообразие, количество и агрессивность атак будут лишь расти. Атакам станут подвергаться не только регионально ограниченные сети, но и глобальная коммуникационная инфраструктура. Сети страдают от внешних атак, но исследования показывают, что опасность все чаще исходит из пределов сети. Иными словами, точечные меры наподобие брандмауэров на границах сети уже не помогают. Необходима сквозная концепция безопасности, которая охватывала бы все сетевые компоненты. Она должна простираться вплоть до магистрали и распространяться на коммутаторы ядра сети.
Магистральные коммутаторы представляют собой излюбленную мишень для атак, поскольку посредством удаленного доступа к ним можно изменить конфигурацию, манипулировать управляющей информацией или вызвать переполнение таблиц продвижения данных. Таблицы продвижения данных, называемые также базами данных о продвижении или о фильтрах, позволяют коммутаторам и мостам «учить», какие МАС-адреса на каком порту должны обрабатываться.
ПЛОТИНА ВМЕСТО АДРЕСНОГО ПОТОКА МАС
Место для хранения подобных таблиц ограничено. Поэтому в записях о фильтрах имеется тайм-аут: коммутатор может их снова «забыть». Это ограничение в объеме хранения хакеры используют в своих целях: при помощи большого числа МАС-адресов они вызывают переполнение таблицы и провоцируют снижение производительности сети. Надежный заслон против этого явления ставит «защита портов» (Port Security): метод ограничивает количество МАС-адресов, которые коммутатор может «выучить» на каждом порту. Если количество неизвестных адресов оказывается большим, то он блокирует соответствующий трафик и таким образом останавливает атаку.
УПРАВЛЕНИЕ ДОСТУПОМ НА ПОРТУ
МАС- или IP-адрес, а также реальное местонахождение пользователя еще не гарантируют однозначной идентификации хотя бы потому, что пользователи регистрируются на разных устройствах доступа. Проверка идентичности и предоставление прав доступа к специализированным сетевым ресурсам осуществляются в соответствии с протоколом 802.1х: он препятствует неавторизованным устройствам и пользователям в получении доступа с общедоступных портов к локальной сети. Процедура аутентификации должна быть проведена до того, как будут предоставлены первые сетевые услуги. Пока она не завершена, коммутатор передает лишь данные, необходимые для проверки легитимности.
Основу аутентификации в соответствии с 802.1х составляет открытый протокол аутентификации (Extensible Authentication Protocol, EAP) — он регулирует обмен данными между тем, кто запрашивает права доступа, и аутентификатором. EAP поддерживает различные методы коммуникации, среди которых RADIUS, Kerberos и шифрование с использованием открытых ключей. Протокол требует от пользователя ввести свой идентификатор и пароль. Пользовательские данные и информация о соединении отправляются на коммутатор, а тот в свою очередь посылает запрос серверу аутентификации, в большинстве случаев — серверу RADIUS. Решение о разрешении доступа к запрашиваемым ресурсам принимается на основе профилей. Преимущество ЕАР заключается в том, что пользовательскими профилями с правами доступа можно управлять из любого места системы, как правило, с поддержкой централизованного управления. Так, сервер RADIUS не должен сам проводить аутентификацию, он может поручить ее Novell eDirectory или Microsoft ADS. Результаты аутентификации RADIUS — при помощи ЕАР — отправляет коммутатору, а тот сообщает конечному устройству о своем согласии и переключает светофор на порту на зеленый цвет.
Часто в качестве трамплина для получения несанкционированного контроля над чужими сетями хакерам служит сервер протокола динамической конфигурации хостов (Dynamic Host Configuration Protocol, DHCP). Этот протокол предназначен для динамической раздачи IP-адресов и параметров конфигурации, поэтому новые устройства могут подключаться без длительной настройки. Благодаря DHCP администратору не приходится вручную конфигурировать рабочие станции в случае изменения топологии. Вместо этого вполне достаточно изменить соответствующий файл с параметрами на сервере DHCP. При спуфинге хакер перехватывает запросы DHCP от пользователей и возвращает неправильный адрес (или бессмысленную информацию о шлюзе) от имени сервера DHCP.
СНУПИНГ ПРОТИВ СПУФИНГА
На уровне коммутаторов помощь способен оказать снупинг DHCP (см. Рисунок 1), в соответствии с которым обработка информации DHCP делегируется выбранным портам — доверенным портам (Trusted Port). Лишь эти порты могут отправлять или подтверждать получение запросов DHCP. В качестве доверенных рекомендуется использовать порты с прямым соединением с сервером DHCP или порты для соединения с вышестоящим коммутатором. Это затрудняет злоумышленникам передачу подтверждений DHCP атакуемым конечным устройствам. Кроме того, снупинг DHCP предусматривает создание на коммутаторе таблиц связей: наряду с IP- и МАС-адресами клиентов они могут, к примеру, включать идентификаторы виртуальных локальных сетей (Virtual Local Area Network, VLAN) или портов. В комбинации с опцией DHCP 82 коммутатор, помимо прочего, добавляет к пакетам DHCP и собственную информацию, к примеру физический адрес порта, через который поступает запрос. Это делает снупинг действенным инструментом блокировки замаскированных нежелательных устройств в сети.
ДИНАМИЧЕСКАЯ ИНСПЕКЦИЯ ARP
Спуфинг может быть реализован и другим способом: хакер проникает через «дыру» в системе безопасности в протоколе разрешения адресов (Address Resolution Protocol, ARP). При помощи протокола ARP конечное устройство узнает МАС-адрес устройства, с которым ему требуется установить контакт. Для этого отправитель посылает запрос АRP с IP-адресом получателя, который в ответе на запрос отправляет свой МАС-адрес. Эта информация помещается в таблицу ARP. Теперь сетевые устройства могут взаимодействовать друг с другом напрямую. В случае атаки с нелегальным посредником (Man-in-the-Middle) в обмен вмешивается еще одно оконечное устройство и посредством фальшивых ответов ARP манипулирует таблицами ARP отправителя и получателя. Каждый последующий обмен данными происходит через это промежуточное устройство. Таким образом ему удается следить за трафиком между отправителем и получателем, чтобы перехватывать пароли, электронную почту или банковские транзакции.
Коммутаторы борются с такими действиями при помощи динамической проверки ARP (Dynamic ARP Inspection, DAI). Как и в случае снупинга DHCP, DAI проводит различие между портами, заслуживающими доверия, и портами, его не достойными. Если пакет ARP поступает через ненадежный порт, DAI по базе данных, составленной на основании информации о снупинге DHCP, проверяет правильность соответствия МАС- и IP-адресов. IP-адрес Ганса Мустера — 172.20.24.45, МАС-адрес — 00аа.0062.с609, а подключен он через ненадежный порт Ethernet 3/47. Снупинг DHCP регистрирует эту информацию. Если Ганс Мустер пошлет запрос ARP через порт под номером 3/47, то коммутатор сопоставит МАС-адрес и соответствующий ему IP-адрес в пакете и в таблице. Если соответствия нет, то пакет удаляется и попытка спуфинга проваливается. Кроме того, при помощи функции защиты отправителя IP Source Guard коммутатор способен проконтролировать, действительно ли на одном порту активно лишь одно устройство с IP-адресом, заданным сервером DHCP. Посредством автоматически создаваемых списков управления доступом к портам (Port Access Control List, PALC) он допускает входящий и исходящий трафик только с этого IP-адреса, а необходимую для составления PACL информацию собирает путем снупинга DHCP. Это предотвращает отслеживание IP-адресов и их незаконное использование на других портах.
Кроме того, опасность представляет также подделка управляющей информации, к примеру блоков данных протокола мостов (Bridge Protocol Data Unit, BPDU). Обычно каждый порт коммутатора принимает любой корректный BPDU. С их помощью хакеры могут блокировать трафик в сети, например, постоянно заставляя коммутаторы вычислять топологию заново. Кроме того, трафик можно перенаправить по ложному маршруту с целью его прослушивания. Все это позволяет предотвратить так называемая «охрана корня» (Root Guard): эта функция определяет, какие порты никогда не могут быть корневыми.
Центральные процессоры коммутаторов должны справляться с обработкой трафика в процессе атаки. Это предполагает еще один уровень защиты: количество передаваемых на обработку за единицу времени пакетов должно быть ограниченным. Так называемое ограничение скорости функционирования плоскости управления предотвращает, к примеру, блокирование вычислительной мощности процессора вследствие получения поддельной управляющей информации, которая с высокой вероятностью не соответствует реальному трафику.
Администратору следует деактивировать транкинг для всех нетранкинговых портов. Так, транкинг VLAN направляет информацию по кольцу Gigabit Ethernet от коммутатора к коммутатору вплоть до точки агрегации, где данные фильтруются с помощью списков контроля доступа (Access Control List, ACL). Кроме того, весьма полезной может быть приписка неиспользуемых портов к виртуальной сети без соединения третьего уровня или — что еще лучше — деактивация.
ЧАСТНЫЕ ВИРТУАЛЬНЫЕ СЕТИ
Виртуальных локальных сетей как средства для разделения трафика недостаточно. Частные виртуальные сети улучшают ситуацию, поскольку они позволяют дифференцировать коммуникации в пределах виртуальных сетей. При этом изолированные порты VLAN в состоянии общаться лишь с портами, принимающими все пакеты, а групповые порты, напротив, — только с другими членами того же сообщества, а также с портами, принимающими все пакеты. Такое разделение предотвращает распространение атаки на ресурсы в виртуальной сети.
Катарина Хернштайн — менеджер по развитию бизнеса компании Cisco. С ней можно связаться по адресу: http://www.cisco.de.
? AWi Verlag