01 Zaštita Na Fizičkom, Data Link i Mrežnom Sloju

Zaštita na fizičkom i data link sloju

Dušan Stamenković, M.Sc.

Beograd, 21. oktobar 2014.

Hijerarhijski model mreže


Prednosti ovako organizovane mrežne

arhitekture:

Skalabilnost – Ovakve mreže se brzo i

jednostavno mogu proširiti

Redundantnost – Na sloju jezgra, odnosno

distributivnog sloja garantuje mogućnost

komunikacije alternativnim putanjama

Performanse – Agregacija linkova između

komutatora velikih brzina na sloju jezgra i

komutatora na sloju distribucije dozvoljavaju

veliki protok širom mreže

Bezbednost – Upotrebom pravila i polisa za

ograničavanje pristupa, protoka i filtriranje

paketa na portovima komutatora na sloju za

pristup, odnosno distributivnom sloju u velikoj

meri podižu nivo bezbenosti mreže


Pravi izbor komutatora za određeni sloj hijerarhije je od vitalnog značaja za mrežu.





Hijerarhijski model mrežne infrastrukture doprinosi visokim performansama, skalabilnosti, smanjuje potrebu za stalnim održavanjem i daje mogućnost brzom i efikasnom rešavanju problema.

Analiza saobraćaja se u okvakvom modelu koristi za praćenje performansi mreže.

Hijarhijski model se, kako smo već pokazali, sastoji iz tri sloja:• Sloj pristupa (access)• Sloj distribucije (distribution)• Sloj jezgra (core)

Komutatori izabrani za svaki sloj moraju zadovoljiti potrebe svakog hijerahijskog sloja, odnosno pre svega potrebe poslovanja.

IEEE Ethernet 802.3 standard

Vrste paketa

Osnovna bezbednosna podešavanja Cisco komutatora

Osnovna bezbednosna podešavanja Cisco komutatora

Telnet:

-Najčešče upotrebljavani metod pristupa udaljenom mrežnom uređaju-Šalje čist tekst/poruke putem paketa-Nije bezbedan korišćenje

SSH:

•Trebalo bi da bude metod koji se koristi•Šalje kriptovani tekst/poruke putem paketa•Bezbedan je za korišćenje


Tipovi napada na komputatore:

• Telnet attacks• MAC flooding attacks• Spoofing attacks


Telnet napadi

Postoje tri tipa napada na Telnet servis:

•Presretanje Telnet komunikacije (poruke se prosleđuju u formi čistog teksta)

•Telnet brute force napad

•Telnet DoS


Telnet attack - Presretanje Telnet komunikacije (poruke se prosleđuju u formi čistog teksta)

Najveći problem Telneta svakako nije funkcionalnost već bezbednost, odnosno nedostatak

šifrovanja podataka. Svaka komunikacija sa udaljenog uređaja na komutator se šalje u vidu

poruke, a ta poruka je poslata u formi običnog teksta. Ovakav vid slanja poruka, odnosno komandi

koje unosimo putem tastature je veliki bezbednosni rizik jer neko lako može da presretne

korisničko ime i lozinku za pristupanje uređaju.

Iz bezbednosnih razloga, Telnet se najčešće koristi u testnim okruženjima jer je jednostavnije

konfigurisati Telnet nego SSH.


Telnet attack - brute force napad

Ako na našem mrežnom uređaju podesimo lozinku za pristupanje VTY (virtual teletype) linijama i

zahtevamo autentifikaciju korisnika pomoću iste, mi i dalje nismo rešili naš problem i ne možemo

reći da je naš komutator bezbedan.

Lozinke na VTY linijama pružaju samo osnovni nivo bezbednosti, odnosno pružaju zaštitu od

neovlašćenog pristupa.

Međutim, ovakav način obezbeđivanja nije pretarno siguran.

Na Internetu se može pronaći veliki broj alata koji napadaču nude mogućnost da pokrene brute

force napada i na taj način dođe do lozinke za pristup našem uređaju.

Brute force napada je napad putem rečnika ili liste fraza, poznatih lozinki, brojeva, itd. Alat prolazi

kroz rečnik i pokušava da pristupi uređaju putem lozinki iz rečnika.

Ukoliko ste dovoljno pametni koristićete reči kojih nema u rečniku ili ih pisati u drugačijem obliku,

npr. p@$$w0rd.


Telnet attack – DoS (Denial of Service)

DoS napad u celini je samo način da se poremeti komunikacija između dva mrežna uređaja. Cilj

napada je da se optereti propusni opseg veze i na taj način onemogući ili uspori komunikacija.

Prilikom napada, napadač šalje veliki broj okvira sa irelevantnim podacima ili podacima čije

odredište ne postoji i na taj način guši propusni opseg.

Ova vrsta napada se može koristiti kako bi se npr. administrator sistema sprečio da pristupi

uređaju putem Telnet sesije.


MAC flooding attacks

U računarskim mrežama, MAC flooding (poplava) je tehnika kojom napadač pokušava da

kompromituje bezbednost komutatora.

Komutatori prosleđuju pakete na osnovu MAC adresa koje čuvaju u tabeli koja se naziva MAC

address table. U ovim tabelama komutatori povezuju MAC adrese uređaja sa njihovim IP

adresama.

Tipičan MAC flooading napad se generiše slanjem velikog broja Ethernet okvira, od koji svaki

sadrži različitu MAC adresu pošiljaoca. Namera ovakvog tipa napada je da se ograničena

memorija za skladištenje tabele popuni i na taj način onemogući njena upotreba. Nakon uspešno

izvršenog napada, napadač koristeći „packet analyzer“ može doći do osetljivih podataka između

određenih računara do kojih nije mogao doći dok je komutator u normalnom režimu rada.

Efekat ovakvog napada može varirati, od prepisivanja legitimnih MAC adresa u tabeli do pripreme

ARP spoofing napada koji napadaču omogućava pristup podacima i posle vraćanja komutatora u

normalan režim rada.


MAC flooding attacks


ARP spoofing attacks

ARP spoofing je tehnika kojom napadač šalje lažne (spoof) ARP poruke preko lokalne mreže. Cilj

ovakvog napada je da napadač sa svojom MAC adresom nakon uspešno izvrešnog napada bude

povezan sa IP adresom nekog drugog (legitimnog) uređaja ili čak servera. Jednom, kada se u ARP

tabeli nađe IP adresa povezana sa MAC adresom napadača, sav saobraćaj upućen ka toj IP adresi

istovremeno će pristizati na dve MAC adrese, legitimnom korisniku i napadaču.

Efekat ARP napada takođe može varirati, od presretanja okvira podataka, promene njihovog

sadržaja prilikom razmene podataka, pa sve do zaustavljanja razmene podataka.

ARP napad se koristi kao prethodnica drugim tipovima napada kao što su DoS, MitM ili session

hijacking (preuzimanje sesije).


ARP spoofing attacks


U umrežavanju računara, odnosno segmentaciji mreže na više manjih podmreža poznajemo

deljenje na mrežnom sloju uz pomoć mrežnih maski (subnet mask) i IP adresa.

Slična podela postoji i na drugom (data link) sloju gde nam je pružena mogućnost segmentacije u

više različitih broadcast (emisionih) domena koji su međusobno izolovani, tako da između uređaja

svrstane u određeni emisioni domen mogu proći samo paketi za taj emisioni domen.

Takvi domeni se nazivaju VLAN-ovi, odnosno Virtual Local Area Network.

Podela mreže se postiže ili na komutatoru ili na preusmerivaču.

Jednostavniji uređaji podržavaju samo podelu na nivou port-a, pa deljenje na VLAN-ove

podrazumeva i dodatno kabliranje. Sofisticiraniji uređaji mogu označavati pakete pomoću tagg-

ova tako da se jedna međuveza (trunk) može koristiti za prenos podataka više VLAN-ova.

Prednosti u upotrebi VLAN-ova su višestruke: smanjenje troškova, povećanje nivoa bezbednosti,

bolje performanse i lakše održavanje infrastrukture.


Virtual Local Area Network






Trunk-ovi su veze između uređaja koje koriste veći broj VLAN-ova.

IEEE 802.1Q

•Standardni trunk protokol.

•Koristi označavanje okvira za identifikaciju kojem VLAN-u pripada koji okvir.

•Ne označava native VLAN saobraćaj.

Native VLAN je jedini VLAN koji nije označen u trunk-u, drugim rečima, njegovi okviri se prenose

neoznačeni. Neretko se dešava da native VLAN i management VLAN budu isti VLAN ali iz

bezbednosnih razloga je bolje da ne budu.

Komunikaciju uređaja koji pripadaju različitim VLAN-ovima je moguća jedino posredstvom

preusmerivača (rutera).

Documents

01 Zaštita Na Fizičkom, Data Link i Mrežnom Sloju