A hálózati infrastruktúra biztonságának (üzembiztonsági, adatvédelmi, támadásvédelmi, stb.) fenntartása érdekében általában elvárható hálózati beállítások és rendszer-implementáció tudatos elvégzése és folyamatos fejlesztése és monitorozása elengedhetetlen a kommunikációs rendszerek üzemeltetése során. A hálózatbiztonság egyformán fontos kérdés az adathálózatokban és a konvergens, egyéb (multimédia, IP telefónia, stb.) szolgáltatásokat is kiszolgáló hálózatokban is. Az alábbiakban felsorolt biztonsági szempontok és beállítások összegyűjtéséhez felhasználtuk az iparági dokumentációkban és gyártók különféle műszaki leírásaiban, biztonsági ajánlásaiban fellelhető javaslatokat. Összeállításunk közel sem teljeskörű, hanem csak a legalapvetőbb krédéseket tárgyalja. Ezen javaslatok alkalmazása szinte minden hálózatban az ajánlható minimum körébe tartozik, legyen az csak adathálózat, vagy esetleg IP telefonokat is kiszolgáló konvergens hálózat. Felhívjuk a figyelmet, hogy a legtöbb biztonsági lépés "csak" növeli a biztonságot, de nem jelent 100%-os védelmet. Továbbá magasabb biztonsági állapotot a különféle biztonsági mechanizmusok együttes alkalmazásával érhetünk el. Fontos, hogy a technika által alkalmazható biztonági lépések biztonsági politikával együtt legyenek alkalmazva és azt szigorúan be kell tartani illetve tartatni a felhasználókkal. A LAN hálózati fenyegetések és kivédésük Ethernet címtár telítése (MAC CAM flooding) Az ethernet kapcsolók címtára korlátos, csak meghatározott számú ethernet címet (MAC address) képes tárolni és kezelni memóriájában (általában maximum pár tízezret). Amikor a címtár telítődik, a switch megszűnik switchként viselkedni, olyan lesz, mint egy hub (repeater, jelismétlő). Ekkor minden ethernet adatkeretet minden portra továbbít, azaz a hálózat lehallgathatóvá válik bármely csatlakozási ponton. Ha IP telefóniát használunk, akkor a telefonok is lehallgathatóak lesznek bármely hálózati csatlakozási pontról. A hálózati teljesítmény is csökken, mert a kapcsoló jobban terhelődik egy ilyen helyzetben, azaz a hálózati szolgáltatást zavaró állapot is keletkezik (DoS támadás). Védekezés: A védekezés a kapcsolók portjára alkalmazható statikus vagy dinamikus biztonsági beállításokkal oldható meg. Statikus beállításnál konkrétan megadjuk a portra csatlakoztatható eszköz ethernet címét és csak azt engedélyezzük forgalmazni az adott porton. Enyhébb védekezés a dinamikus mód, amikor csak a csatlakoztatható ethernet címek darabszámát korlátozzuk (általában 1db-ra), ugyanakkor a cím maga bármi lehet. A módszer hátránya, hogy az ethernet cím önkényesen megváltoztatható általában az ethenet csatolókon. Az elárasztástól még ebben az esetben is megvéd a port biztonsági beállítása. Hálózat engedély nélküli kiterjesztése (Rouge network extension) Valamely hálózati csatlakozóba egy másik hálózati eszköz (switch, vezeték nélküli access point) csatlakoztatásával a hálózat a rendszergazda tudta nélkül kiterjeszthető. Különösen veszélyes, ha vezeték nélküli eszközzel csinálják, mert az a Vállalat területén kívülre is nyitottá teheti a hálózatot. Védekezés: Csakúgy, mint az előző esetben, a védekezés a kapcsolók portjára alkalmazható statikus vagy dinamikus biztonsági beállításokkal oldható meg. Azaz az előző módszer (a csatlakoztatható MAC címek számának korlátozása vagy a címek rögzítése) a hálózat engedély nélküli kiterjesztésétől is véd. A módszer hátránya is ugyanaz, azaz hogy az ethernet cím önkényesen megváltoztatható, sőt egyetlen eszközzel több kliens címe címklónozással el is rejthető.
Hamis DHCP szerver üzemeltetése Egy hálózat üzemét hamis DHCP szerver beüzemelése alaposan megzavarhatja rossz IP címek kiosztásával, és íly módon a hálózat használata lehetetlenné válik (DoS támadás). Kényes állapot az is, amikor egy hamis DHCP szerverről hamis gateway/router cím kerül kiosztásra a kliensek számára, így térítve el az alapértelmezett gateway/router felé tartó forgalmat. A hamis gateway az íly módon hozzá irányított forgalmat észrevétlenül (a hálózat működik) tudja lehallgatni. Védekezés: Az ethernet kapcsolók DHCP snooping szolgáltatásának bekonfigurálásával megadhatjuk, hogy mely portokon megengedett a DHCP szerver felöli válasz érkezése. Ha olyan porton érkezik DHCP válasz, ahol az nem engedélyezett, az ilyen válasz kiszűrésre kerül, azaz nem lehetséges más DHCP szervert csatlakoztatni a hálózathoz. Az összes IP cím lekérése a DHCP szerverről Egy DHCP szerver által kiosztható IP címek darabszáma korlátozott. A hálózat használatát megakadályozó támadás, ha valaki egy megfelelő programmal az összes IP címet magának lekéri a DHCP szervertől. Ezt követően a normál felhasználók IP cím hiányában nem tudják a hálózatot használni (DoS támadás). Védekezés: Az előző pontban alkalmazott védekezés (DHCP snooping) beállítása megvéd a DHCP szerver címtárának leürítésétől is. A DHCP szerver leürítéshez nem feltétlenül kell különböző ethernet címekről (MAC address) érkeznie a DHCP kéréseknek, de ha ez az alkalmazott módszer, akkor a kapcsolók portjára alkalmazott MAC korlátozás (lsd. fentebb) ilyenkor ettől is megvéd. Az ARP protokoll felhasználása lehallgatásra (man-in-the-middle támadás)
Minden IP-vel kommunikáló eszköz fenntart egy ARP táblát, amelyben ethernet címek tárolódnak a hozzájuk tartozó IP címekkel. Ez alapján történik az eszközök által az elküldendő adatkeretek címzése. Ha egy állomás egy adott IP címmel rendelkező állomással akar kommunikálni és nem tudja az ethernet címet, egy ARP kérést küld a hálózatra, amelyet az adott IP címmel rendelkező állomás megválaszol majd. Az ARP kérés ethernet broadcast formájában minden eszközhöz eljut, de megválaszolni alapesetben csak a cél-IP címmel rendelkező eszköz fogja. Az ARP táblában lévő címpárok Windows esetében általában 2 percig, Linux esetében 30 másodpercig, IP telefonok esetében akár 30-40 percig is megmaradnak, ha nem történik kommunikáció. Egy újabb ARP válasz felülírja a korábbi bejegyzést. Az ARP mechanizmus kompromittálásával lehetséges bármely két kommunikáló fél közé beékelődni és észrevétlenül lehallgatni a teljes kommunikációt. Továbbá az ún. gratuitous ARP válaszok elfogadásának engedélyezése nem a cél-IP címmel rendelkező eszköztől érkezik, hanem egy harmadik kommunikáló féltől, mintegy segítségként. Védekezés: A védekezés a Dinamikus ARP ellenőrzés (Dynamic ARP Inspection=DAI) segítségével lehetséges, amely egy összetett mechanizmus. Feltétele, hogy rendelkezásre álljon egy minden DHCP történést rögzítő táblázat (DHCP binding table), amelyet az ethernet kapcsolók építenek fel a DHCP forgalom monitorozásával. A DAI megvizsgál és összevet mindent ARP kérést és választ a DHCP binding táblázatban található információval, és amennyiben egy ARP válasz nem az ARP-tulajdonostól (azaz az IP cím jogos tulajdonosától) származik, az eldobásra kerül. A jogosult ARP-tulajdonos egy olyan port, amelyen lévő eszköz a DHCP-táblában megtalálható a megfelelő ethernet és IP címmel. Az olyan portokon, ahol DHCP-t nem használó eszköz van, "megbízható", azaz trusted állapotba kell konfigurálni és így azon DAI ellenőrzés nem történik, mert különben nem tudna kommunikálni az ilyen eszköz, mivel nem szerepel a DHCP-táblában. Fontos kiegészítő lépés lehet még a védelem érdekében, ha letiltjuk az eszközökön az un. gratuitous ARP (3. féltől érkező) ARP válaszok elfogadását. Erre az IP telefonok konfigurációs beállítása általában lehetőséget ad. Hamis forrás IP cím használata A forrás IP cím meghamisítását számos támadás használja. Az ilyen módszer elrejti a valós támadót, akit így nem lehet megtalálni. DoS támadások és TCP SYN elárasztásos támadások valamint ezek elosztott formáiban használatosak. Védekezés: Az egyes fejletteb ethernet kapcsolókban megtalálható IP forrás cím védelme (IP source guard) szolgáltatás. Ez a szolgáltatás az előző pontban említett DHCP binding táblázatot használja a címek ellenőrzésére. A táblázatban megtalálható, hogy a kapcsoló mely portján milyen IP című eszköz csatlakozik. Ha más forrás IP címmel rendelkező adatcsomag lépne be egy adott kapcsolóporton, mint ahogy az a táblázatban szerepel, akkor azt a kapcsoló eldobja. A spanning tree protokoll megzavarása és védelme A spanning tree protokoll az ethernet kapcsolókban gyári beállítás szerint általában be van kapcsolva. Alapesetben a spanning tree protokoll használatát nem javasolják illetve nem javasoljuk, mert egyrészt jelentős biztonsági rés (könnyedén támadható) illetve terheli a hálózatot és a berendezéseket. Ha mégis futtatjuk, akkor a következőket javasoljuk: uplink fast és backbone fast állítása az uplink/trunk portokon, portfast állítása az access portokon, stack esetén cross-stack uplink fast (CSUF) állítása, "spanning tree guard root" állítása a root switch-en az uplink portokon, a root védelme érdekében "spanning-tree bpduguard enable" állítása az access portokon (bpduguard miatti error-disabled state esetén a port manuális úton történő engedélyezése szükséges a legtöbb ethernet kapcsolóban); Illetéktelen hálózati hozzáférés Alapesetben egy hozzáférhető hálózati csatlakozásba (kiosztott fali csatlakozó) bárki bármilyen hálózati eszközt csatlakoztathat, az ethernet kapcsolat feléled és a hálózat használható. Védekezés: A hálózati eszközök (ethernet kapcsolók, vezeték nélküli hozzáférési pontok) kapuin (port) lehetőség van azonosítás elvégézésére a 802.1x protokoll (802.1x = IEEE Standard for port-based Network Access Control) segítségével. A 802.1x adatbázisát egy külön RADIUS szerveren kell elhelyezni, amelyet a hálózati eszköz titkosított csatornán kérdez le egy-egy eszköz csatlakoztatásakor. A kliens gépeken 802.1x kliens szoftveres kiegészítését kell futtatni. A hálózati csatlakozáskor (ethernet link megjelenésekor) a hálózati eszköz alapesetben egy felhasználónév/jelszó párost kér be a felhasználótól és csak ezek helyes megadása és a RADIUS szerveren történő verifikálást követően nyitja meg a hálózati portját és válik lehetségessé a kommunikáció. Összetettebb, biztonságosabb ugyanakkor némileg egyszerűbb az azonosítók kezelése például Cryptocard vagy Dongle key rendszer alkalmazásával, amellyel egy RADIUS-os megoldás kiegészíthető. A felhasználói adatbázis lehet Active Directory, Open LDAP vagy Open Directory is és nem feltétlenül kell a RADIUS szerveren lennie. VLAN-ok védelme Ha több VLAN-t is használunk, akkor a VLAN-ok áthágása (VLAN hopping) elleni védekezés érdekében a következőket fontoljuk meg: a native VLAN-t illetve címke nélküli (untagged) VLAN-t használni tilos, azt ki kell törölni illetve le kell tiltani; külön adat-VLAN-t és külön voice-VLAN-t kell használni, amennyiben IP telefóniás rendszerünk is van; külön menedzsment-VLAN-t kell létrehozni az eszközök menedzseléséhez; Ha nem használunk több VLAN-t, akkor is érdemes egy külön menedzsment VLAN-t létrehozni a hálózati eszközök védelme érdekében, így a felhasználói VLAN-ból az eszközök nem lesznek elérhetőek. Amennyiben a fentiek felkeltették érdeklődését és szeretne szakembereinkkel konzultálni és/vagy szeretné, ha szakembereink részt vennének hálózata biztonságának megerősítésében, kérjük, hogy vegye fel velünk a kapcsolatot! Számítógépes hálózatokban a média hozzáférés-vezérlés elleni támadás vagy a MAC-áradás a hálózati kapcsolók biztonságát veszélyeztető technika. A támadás úgy működik, hogy a legitim MAC tábla tartalmát kényszeríti a kapcsolóról, és kényszeríti az unicast áradási viselkedést, amely potenciálisan érzékeny információkat küld a hálózat azon részeihez, ahol általában nem szándékozik elindulni. Támadás módszer A kapcsolók MAC-táblát tartanak, amely a hálózaton található egyes MAC-címeket a kapcsoló fizikai portjaira helyezi. Ez lehetővé teszi a kapcsoló közvetlen adatainak kiosztását a fizikai portról, ahol a címzett található, ellentétben azzal, hogy az adatokat minden portról megkülönböztetés nélkül elosztják Ethernet hubként . Ennek a módszernek az az előnye, hogy az adatokat kizárólag a számítógépet tartalmazó hálózati szegmensre terhelik, hogy az adatokat kifejezetten erre a célra szánják. Egy tipikus MAC elárasztási támadásnál a kapcsoló tábla számos Ethernet keretet táplál, amelyek mindegyike különböző forrás MAC-címeket tartalmaz a támadó által. Az a szándék, hogy a kapcsolóban lévő korlátozott memóriát elfogyasztja a MAC címtáblázat tárolásához. A támadás hatása az implementációk között változhat, azonban a kívánt hatás (a támadó által) a legitim MAC címeket kényszeríti a MAC-címtábláról, ami jelentős mennyiségű bejövő keretet képes elárasztani minden porton. Ez az áradási viselkedés, hogy a MAC áradás támadás kapja a nevét. Miután sikeres MAC áradási támadást indítottak el, egy rosszindulatú felhasználó csomag analizátort használhat az érzékeny adatok más számítógépek közötti átvitelére, ami nem lenne elérhető, ha a kapcsoló normálisan működik. A támadó egy ARP spoofing támadást is követhet, amely lehetővé teszi számukra, hogy megőrizzék a privilegizált adatokhoz való hozzáférést, miután a kapcsolók visszatérnek a kezdeti MAC áradási támadásoktól. A MAC áradások szintén használhatják a kezdeti VLAN hopping támadást. Ellenintézkedések A MAC áradás elleni támadások megakadályozása érdekében a hálózati szolgáltatók általában egy vagy több szolgáltatás meglétére támaszkodnak hálózati eszközükön: A gyártók által gyakran "portbiztonságnak" nevezett szolgáltatással számos fejlett kapcsoló konfigurálható, hogy korlátozza a végpontokhoz csatlakoztatott portokon tanulható MAC-címek számát. [3] A MAC címek kisebb táblázata a hagyományos MAC-címtáblán kívül (és alcsoportként is) marad. Számos gyártó lehetővé teszi a felfedezett MAC-címek hitelesítését hitelesítési, engedélyezési és könyvelési (AAA) kiszolgálóval szemben, majd ezt követően szűrt. Az IEEE 802.1X rendszerű implementációk gyakran lehetővé teszik, hogy a csomagszűrési szabályokat az AAA kiszolgáló határozza meg dinamikusan, az ügyfelekről származó információk, beleértve a MAC címet is. Az ARP spoofing vagy IP cím spoofing elleni védelmi funkciók bizonyos esetekben további MAC-címszűrést is végrehajthatnak az unicast csomagokon, azonban ez egy végrehajtásfüggő mellékhatás. A fentiekkel párhuzamosan további biztonsági intézkedéseket alkalmaznak, amelyek megakadályozzák az ismeretlen MAC címek normál unicast elárasztását . [5] Ez a szolgáltatás általában a "portbiztonság" funkcióra támaszkodik, hogy legalább az összes biztonságos MAC-cím megmaradjon, amíg a 3. rétegű eszközök ARP-táblájában marad. Ezért a tanult biztonságos MAC címek öregedési ideje külön állítható. Ez a funkció megakadályozza a csomagok áradását normál működési körülmények között, valamint enyhíti a MAC áradás elleni támadás hatásait.
Nincsenek megjegyzések:
Megjegyzés küldése