będziemy musieli się zmierzyć będą to:
</p>
<ul>
- <li><strong>Ataki odmowy usługi</strong> - w tym przypadku atakujący
+ <li><strong>Ataki odmowy usługi (DoS/DDoS)</strong> - w tym przypadku
+ atakujący
wykorzystuje serwer i działające na nim usługi. Przy użyciu ogromnej
- liczby żądań usługi przeciąża, wówczas osób, które faktycznie chcą
- z niej skorzystać, staje się ona niedostępna.</li>
+ liczby żądań usługi przeciąża ją, wówczas dla osób, które faktycznie
+ chcą z niej skorzystać, staje się ona niedostępna.</li>
<li><strong>Naruszenie danych</strong> - tutaj najczęściej padają
ofiarą hosty użytkowników końcowych oraz serwery. Dane z tych
komputerów mogą zostać skradzone.</li>
lub pozwalające na inne rodzaje ataków.<li>
</ul>
<p>
- Ataki najczęsciej, choć nie jest reguła, będą pochodzić z zewnątrz.
+ Ataki najczęsciej, choć nie jest to reguła, będą pochodzić z zewnątrz.
Dlatego też musimy wykorzystać dobrej jakości rozwiązania, takie jak:
</p>
<ul>
chronione prze <strong>AMP</strong> - zaawansowaną ochronę
antywirusową. Są to programy spełniające rolę platformy bezpieczeństwa
zawierającą pakiet programu antywirusowego, zaporę sieciową
- zapobieganie włamaniom i wiele innych. Projektują system bezpieczeńswa
+ zapobieganie włamaniom i wiele innych. Projektując system
+ bezpieczeństwa
sieci, musimy wdrożyć takie rozwiązania, które spowodują, że to wyżej
wymionione oprogramowanie będzie miało jak najmniej do pracy. W sieci
możemy wdrożyć takie rozwiązania jak <strong>ESA</strong> - system
Podobnie może być w przypadku sieci. Wymagane jest wówczas wdrożenie
mechanizmów AAA (w nomenklaturze Cisco). Ten skrót sprowadza się
do trzech czynności: autentykacji, autoryzacji oraz ewidencjonowania.
- <strong>Authentykacja</strong> jest sposobem pozwalającym na
+ <strong>Autentykacja</strong> jest sposobem pozwalającym na
stwierdzenie czy jesteśmy tymi, za których się podajemy.
<strong>Autoryzacja</strong>, natomiast określa nam co możemy zrobić
- w systemie (w tym przypadku, w sieci) - określa ona naszę uprawnienia.
+ w systemie - określa ona nasze uprawnienia.
Ostatnim czynnikiem jest zapewnienie <strong>ewidencjonowania</strong>
tj. zbierania oraz raportowania tego co użytkownik robi w sieci czy
na urządzeniu.
dostępowy.</li>
<li><strong>Serwer uwierzytelniania</strong> - oprogramownie
sprawdzające tożsamość klienta, powiadamia ono przełącznik lub
- punkt dostępowy czy klient może mieć dostęp do sieci.</li>
+ punkt dostępowy czy klient może uzyskać dostęp do sieci.</li>
</ul>
<h2 id="2.10.3.layer2concerns">2.10.3. Zagrożenia warstwy 2</h2>
<p>
pewne obawy co do bezpieczeństwa transmisji jak i samego połączenia.
Istnieje kilka ataków, które mogą zaistnieć w naszej sieci. Działania
te głównie skupiają się wokół przełącznika, a urządzenia Cisco
- posiadają odpowiednie środki zapobiegawcze możliwe do skonfigurowania
- na tych urządzenia.
+ posiadają odpowiednie środki zapobiegawcze mogą spowodować, że będą
+ one niewrażliwego na te zagrożenia.
</p>
<ul>
- <li><strong>Ataki na tablice MAC</strong> - Obejmują ataki polegają na
- zalewaniu adresami MAC. Środek zapobiegawczy:
- <strong>Zabezpieczenia portu</strong>.</li>
+ <li><strong>Ataki na tablice MAC</strong> - Obejmują ataki polegające
+ na zalewaniu adresami MAC. Środek zapobiegawczy:
+ <strong>zabezpieczenia portu</strong>.</li>
<li><strong>Ataki na sieci VLAN</strong> - Obejmują ataki z przeskokiem
i podwójnym znakowaniem VLAN. Obejmują one również ataki między
urządzeniami we wspolnej sieci VLAN. Środek zapobiegawczy:
- <strong>Wyłączenie protokołu DTP, zmiana natywnej sieci VLAN</strong></li>
+ <strong>wyłączenie protokołu DTP, zmiana natywnej sieci VLAN</strong></li>
<li><strong>Ataki na DHCP</strong> - Obejmują ataki polegające na
blokowaniu i fałszowaniu DHCP. Środek zapobiegawczy:
<strong>DHCP Snooping</strong>.</li>
<li><strong>Ataki na ARP</strong> - Obejmują <em>spoofing</em> ARP
oraz ataki zatucia ARP. Środek zapobiegawczy:
- <strong>Dynamiczna inspekcja ARP (DAI)</strong>.</li>
+ <strong>dynamiczna inspekcja ARP (DAI)</strong>.</li>
<li><strong>Ataki z podszywaniem się.</strong> - Obejmują ataki
polegające na sfałszowaniu adresów MAC i IP. Środek zapobiegawczy:
<strong>IP Source Guard (IPSG)</strong>.</li>
<li><strong>Ataki na STP</strong> - Obejmują ataki manipulacji
protokołem <em>Spanning Tree</em>. Środek zapobiegawczy:
- <strong>Włączenie funkcji PortFast oraz BPDU Guard.</strong>.</li>
+ <strong>włączenie funkcji PortFast oraz BPDU Guard.</strong>.</li>
</ul>
<p>
Oczywiście nasze starania mogą nie być wystarczające szczególnie wtedy
gdy protokoły nie będą wystarczająco zabezpieczone. Zaleca się
- porzucenia protokołów nie posiadających żadnych sensownych
+ porzucenie protokołów nie posiadających żadnych sensownych
zabezpieczeń, na rzecz bezpieczniejszych wersji, korzystających z
warstwy TLS czy wykorzystanie protokołów pochodnych od SSH. Innym
czynnikiem może być wydzielenie odrębnej sieci VLAN dla zarządzania
zawierającej pole 802.1Q z identyfikatorem natywnego VLAN-u, jak i
drugie pole 802.1Q zawierające identyfikator docelowej sieci VLAN.
Domyślnie natywną siecią VLAN, jest VLAN 1. Natomiast <em>id</em>
- konkretnej sieci VLAN, jest zapisany w adresie IP hosta.
+ konkretnej sieci VLAN, jest zapisany w adresie IP hosta. W momencie
+ osiągniecia pierwszego przełącznika, pierwszy znacznik zostaje zdjęty
+ (przez VLAN natywny, przysyłany jest ruch <em>nietagowany</em>),
+ natomiast drugi przełącznik zauważy <em>tag</em> i przekaże te ramki
+ do odpowiedniej sieci VLAN.
</p>
<p>
Ochrona przed tego typu czynnościami, wymaga od nas wykonania czynności,
wybranie portu z którego mogą przychodzić odpowiedzi z serwera DHCP
oraz nałożenie limitów na ilość zapytań. Komunikatów DHCP DISCOVER.
Ciekawym faktem jest to, że uruchomienie tej funkcjonalności pozwala
- na zamienić przełącznik, działający w warstwie 2 w nieco bardziej
+ nam zamienić przełącznik, działający w warstwie 2 w nieco bardziej
inteligente urządzenie, które musi spojrzeć aż do pola danych w
przesyłanych ramkach.
</p>
<strong>fałszowanie</strong> są do siebie bardzo zbliżone w metodach
do ich przeprowadzania. Można by nawet rzec, że identyczne. Protokołu
ARP używa się w celu uzyskania adresu MAC na podstawie adresu IP.
- Zadaniem atakującego jest albo wysyłanie fałszywych odpowiedzi na
+ Zadaniem atakującego jest wysyłanie fałszywych odpowiedzi na
zapytanie ARP, przez co najczęściej host straci połączenie z innymi
- w sieci. Przy czym tutaj warto powiedzić, że te wysyłanie odpowiedzi
+ w sieci. Przy czym tutaj warto powiedzieć, że te wysyłanie odpowiedzi
musi być ciągłe. Inaczej po zaprzestaniu wysyłania tych odpowiedzi,
- komunikacja po kilku minutach wrócić do normy. Tego typu działanie
- jest właśnie, zatruciem ARP. Fałszowowanie ma na celu najczęściej
+ komunikacja po kilku minutach wróci do normy. Tego typu działanie
+ jest właśnie, zatruciem ARP. Fałszowanie ma na celu najczęściej
zmianę trasy ruchu sieciowego, więc tutaj używa się komunikatu
<strong>gratisowego</strong> ARP, który jest częścią standardu
ARP. Jego wykorzystanie różni się tym, że przy normalnej komunikacji
<p>
Atak fałszowania adresów, może pozwolić atakującemu na przejście przez
zaporę sieciową. Atak ten polega na wygenrowaniu zarówno ramek i jak
- i pakietów IP ze sfałszowanymi informacjami. Dodatkowo pamiętając
+ i pakietów IP ze sfałszowanymi adresami. Dodatkowo pamiętając
jak działają przełączniki, to możebyć wielce prawdopodbne, otrzymamy
odpowiedź na sfałszowany adres, gdyż przełącznik zapisze w tablicy MAC,
że ten komputer jest podłączony do takiego portu.
Ostatnim omawianym atakiem jest atak na STP. Intruz może chcieć
manipulować protokołem w celu wymuszenia zmiany mostu głównego, aby
moc przechwytywać ruch z sieci. Dokonuje on tego po przez wysłanie
- komunikatu BPDU, zawierającego BID o bardzo niskim piorytecie. Wówczas
+ komunikatu BPDU, zawierającego BID o bardzo wysokim piorytecie. Wówczas
trasy zostaną ponownie przeliczone, a atakujący uzyska dostęp do naszej
transmisji.
</p>
blokowany w stan <em>err-disabled</em>, po tym jak kolwiek komunikacja
zostanie zaprzestana z hostem podłączonym do niego.
</p>
+ <p>
+ Innym zagrozniem nie wyrządzającym szkody bezpośrednio hostom jest
+ <strong>rozpoznanie CDP</strong>. CDP to własnościowy protokół Cisco
+ wykorzystywany do konfiguracji urządzeń tego producenta. Urządzenia
+ mają domyślnie włączony ten protokołu i wymieniają miedzy sobą
+ informacje za jego pomocą. CDP jest pomocnym protokołem jednak przesyła
+ zbyt wiele informacji w sposób niebezpieczny. Jedną z nich jest
+ jest natywna sieć VLAN. Dlatego zaleca się wyłącznie jego oraz
+ jego otwartego odpowiednika - LLDP
+ (<em>Link-Layer Discovery Protocol</em>).
+ </p>
<h2 id="ch10summary">Podsumowanie</h2>
<p>
- W tym rozdziale zapoznaliśmy się koncepcjami bezpieczeństwa wartswy
+ W tym rozdziale zapoznaliśmy się koncepcjami bezpieczeństwa warstwy
drugiej. Dowiedzieliśmy się jak są rodzaje ataków i środki zaradcze.
Na koniec szerzej omówiliśmy każdy z rodzajów ataków, aby mieć ich
obraz podczas konfiguracji.
projects / mmdev.git / commitdiff