Информационна сигурност # 3-2018 - информационна сигурност

Осигуряване локални мрежи

Артьом Drozhzhin, инженер в Cisco Systems

Осигуряването на безопасността на локалната мрежа включва мерки за запазване на целостта, наличността и поверителността на стойностите на мрежата.

В тази статия ще се занимават само с проблемите на защитата на мрежовата услуга, както и някои инструменти за мрежова сигурност.

Заплахи за локалната мрежа

Редица стандартен протокол LAN не разполага със собствени средства за защита, така че да се гарантира безопасната им експлоатация е важно да се вземат допълнителни мерки. В този раздел ще бъдат представени първите мерки клас за сигурност.

Заплахи манипулация превключване на маса

Модерен LAN изграден с помощта на Ethernet превключвател, често се възприема като по-сигурна от неоторизиран прихващане на трафик от мрежата, изградена върху концентратори (хъбове). Успешното изпълнение на прихващането на трафик в включен LAN го компрометира като средство за защита. Това може да се реализира чрез манипулиране на Ethernet комутатори филтриране на маса.

Начини за намаляване на заплахата

Заплахата от манипулация на ARP протокол

3. Тъй като съобщенията се обработват ARP-процесорни маршрутизатори и комутатори на трето ниво, като ограничена процесорна мощ, нападателят е в състояние да организират атаки, като "отказ на услуга" чрез изпращане на големи количества рутер ARP-съобщение или ключ. обработката им, нападнат няма да е в състояние да обработва легитимните съобщения, които ще застрашат загуба на комуникация с други маршрутизатори или ключове.

Начини за намаляване на заплахата

Заплахата от интервенция в протокола DHCP

Начини за намаляване на заплахата

Целева на атака - Мрежа LAN устройства

Както мрежови протоколи, комутатори, маршрутизатори и може да бъде мишена за злонамерени атаки. Получаването на достъп до устройството за управление на мрежата, в допълнение към функциите на предоставяне на мрежови изпълнителни функции за сигурност, дава възможност на някой хакер да допълнителни възможности за по-нататъшно прилагане на успешни атаки.

Начини за намаляване на заплахата

Използвайте препоръките за сигурно управление на организацията на документа "Cisco SAFE: Сигурност архитектура за Enterpise". Особено внимание в защита на мрежови устройства трябва да се обърне към облекчаване на заплахата от успешни атаки от типа "отказ на услуга", насочена към комутатори и маршрутизатори.

Въпреки факта, че създателите на мнозина, използвани в днешните локални мрежи протоколи и механизми не предвиди степента на сложност на атаки, насочени към техните продукти е известно, че уязвимостта на тези протоколи днес са компенсирани от присъствието на LAN превключва механизми Cisco Catalyst отбраната. Това сигурността на пристанищата, BPDU Guard, Dynamic ARP инспекция, DHCP Snooping, IP Източник охрана и контрол равнина Policing. В допълнение, често уязвимости могат да бъдат компенсирани с правилните настройки превключватели.