Материал: Обеспечение безопасности компьютерной сети, построенной на коммутаторах D-Link

На рисунке (см. рисунок 9) показан пример работы функции IP-MAC-Port Binding в режиме ARP. Злоумышленник инициировал атаку типа ARP Spoofing. Коммутатор обнаружил, что на порт 10 приходят пакеты ARP, связка для которых отсутствует в «белом списке» IMPB, и блокирует MAC-адрес узла.

Рисунок 9 - Работа функции IMPB в режиме ARP.

1.3.4. Функция Storm Control

Функция Storm Control ограничивает количество multicast, широковещательных и неизвестных unicast фреймов, которые принимает и перенаправляет устройство.

Для этого выставляются следующие параметры:

-       порты, на которых включена функция;

-       тип шторма (storm control type), который будет учитываться:

§  Broadcast Storm;

§  Broadcast, Multicast Storm;

§  Broadcast, Multicast, Unknown Unicast Storm;

-       действие, которое будет выполняться при обнаружении шторма:

§  Drop отбрасывать пакеты, которые превышают пороговое значение;

§  Shutdown отключить порт, который получает пакеты, распознанные как шторм;

-       временной интервал, в течение которого измеряется скорость трафика указанного типа шторма;

-       пороговое значение, которое указывает максимальное значение скорости (в kbps), с которой передаются пакеты, распознанные как шторм.

Глава 2. Лабораторный практикум по теме «Технологии обеспечения безопасности локальных сетей»

2.1.   Лабораторная работа 1 «Базовые механизмы безопасности коммутаторов »

Рисунок 11- Расположение компьютеров в сети

В современных сетях, особенно в сетях провайдеров услуг, необходимо осуществлять не только защиту периметра сети и ограничения передачи трафика, но и контроль над консолями управления активным оборудованием, минимизировать доступ к средствам управления, учетным административным записям коммутатора. В данной лабораторной работе рассматривается ограничение управлением коммутатора при помощи функции Trusted Hosts.

Цель работы: изучить функцию Trusted Hosts и ее настройку на коммутаторах D-Link.

Оборудование: коммутатор D-Link DES 3810-28, рабочая станция, консольный кабель, кабель Ethernet.

Перед выполнением задания необходимо сбросить настройки коммутатора к заводским настройкам по умолчанию командой:

config

Настройте IP-адрес интерфейса управления коммутатора:

ipif System ipaddress 10.90.90.91/24

Создайте доверенную рабочую станцию, с которой разрешено управление коммутатором:

trusted_host 10.90.90.101

Посмотрите список доверенных узлов сети:

trusted_host

Проверьте возможность управления коммутатором со станций ПК 2 и ПК 3:

10.90.90.91

Что вы наблюдаете?

Повторите упражнение после установки подсети управления.

Удалите доверенную станцию управления:

delete trusted_host ipaddr 10.90.90.101

Создайте сеть, из которой разрешено управление коммутатором:

trusted_host network 10.90.90.91/24

Проверьте возможность управления коммутатором со станций ПК 2 и ПК 3:

10.90.90.91

Что вы наблюдаете?

Удалите сеть, из которой разрешено управление коммутатором:

trusted_host network 10.90.90.91/24

2.2.   Лабораторная работа 2 «Функция Port Security»

Функция Port Security позволяет настроить любой порт коммутатора так, чтобы через него доступ к сети мог осуществляться только определенными устройствами. Устройства, которым разрешено подключаться к порту, определяются по MAC-адресам. MAC-адреса могут быть настроены динамически или вручную администратором. Помимо этого, функция Port Security позволяет ограничивать количество изучаемых портом MAC-адресов, тем самым ограничивая количество подключаемых к нему узлов.

Существуют три режима работы функции Port Security:

-       Permanent (Постоянный) - занесенные в таблицу MAC-адреса никогда не устаревают, даже если истекло время, установленное таймером Aging Time, или коммутатор был перезагружен;

-       Delete on Timeout (удалить по истечению времени) -занесенные в таблицу MAC-адреса устареют по истечению времени, уставленного таймером Aging Time, и будут удалены. Если состояние связи на подключаемом порту изменяется, то MAC-адреса также удаляются из таблицы коммутации;

-       Delete on Reset (удалить при сбросе) - занесенные в таблицу MAC-адреса будут удалены после перезагрузки коммутатора (этот вариант используется по умолчанию).

Цель работы: научиться управлять подключением узлов к портам коммутатора и изучить настройку функции Port Security на коммутаторах

D-Link.

Оборудование: коммутатор D-Link DES 3200-10, рабочая станция, кабель Ethernet, консольный кабель.

Рисунок 11 - Настройка Port Security

Управление количеством подключаемых к портам коммутатора узлов путем ограничения максимального количества изучаемых MAC-адресов

Сначала необходимо вернуть настройки коммутатора к заводским настройкам по умолчанию командой:

 config

Установите максимальное количество изучаемых каждым портом MAC-адресов равным 1 и включите функцию на всех портах:

port_security ports all admin_state enable max_learning addr 1

Подключить ПК 1 и ПК 2 к портам 2 и 8 коммутатора соответственно.

fdb port 2fdb port 8

Проверьте, соответствуют ли зарегистрированные адреса адресам рабочих станции.

Проверьте информацию о настройках Port Security на портах коммутатора:

show port_security ports 1-8

Включите в запись журнал работы коммутатора MAC-адресов, подключающихся к порту станции, и отправку сообщений SNTP Trap:

port_security trap_log

Выполните тестирование доступности узлов командой ping от ПК 1 к ПК 2 и наоборот.

Подключите ПК 1 к порту 8, а ПК 2 к порту 1.

Повторите тестирование соединения между рабочими станциями командой ping.

Проверьте информацию в журнале работы коммутатора:

 log

Какой вы сделаете вывод?

Сохраните конфигурацию и перезагрузите коммутатор:

reboot

Выполните тестирование соединения между рабочими станциями командой ping.

Какой вы сделаете вывод? Сохраняется ли информация о привязке MAC-port?

Настройте на порту 2 функцию Port Security в режиме Permanent и максимальное количество изучаемых адресов равным 1:

port_security ports 2 admin_state enable max learning_addr 1 lock_address_mode permanent

Сохраните конфигурацию и перезагрузите коммутатор:

reboot

Очистите информацию о привязке MAC-порта порту 2:

clear port_security_entry port 2

Отключите Port Security на порту 2 и приведите настройки коммутатора в исходное (по умолчанию) состояние:

port_security ports 2 admin_state disable max_learning_addr 1ock_address mode deleteonreset

Просмотрите время таймера блокирования (оно соответствует времени жизни MAC-адреса в таблице коммутации):

show fdb aging_time

Изменить время действия таймера можно с помощью настройки времени жизни MAC-адреса в таблице коммутации (оно указано в секундах):

config fdb aging_time 20

Измените режим работы функции Port Security на Delete on Timeout:

config port_security ports 2 admin_state enable max_learning_addr 1 lock_address mode deleteontimeout

Проверьте MAC-адреса, которые стали известны порту 2:

show fdb port 2

Проверьте информацию о настройках Port Security коммутатора:

show port_security ports 1-8

Выполните тестирование соединения между ПК 1 и ПК 2 командой ping.

Какой вы сделаете вывод? Сохраняется ли информация о привязке MAC-port?

Отключите функцию Port Security на портах:

config port_security ports 1-8 admin_state disable

Отключите функцию записи в log-файл и отправки SNMP Trap:

disable port_security trap_log

Примечание: после выполнения обучения можно отключить функцию динамического изучения MAC-адресов, и тогда в таблице коммутации сохранятся изученные адреса. Таким образом текущая конфигурация сети будет сохранена, и дальнейшее подключение новых устройств без ведома администратора будет невозможно. Новые устройства можно добавить путем создания статической записи в таблице коммутации.

Настройка защиты от подключения к портам, основанной на статической таблице MAC-адресов

Отключите рабочие станции от коммутатора.

Верните настройки коммутатора к заводским:

reset system

Активизируйте функцию Port Security на всех портах и запретите изучение MAC-адресов, установив параметр max_learning_addr равным нулю (команда вводится в одну строку):

config port_security admin_state ports 1-8 enable max_learning_addr 0

Проверьте состояние портов:

show ports

Проверьте соединения между ПК 1 и ПК 2 командой ping.

Проверьте состояние таблицы коммутации:

show fdb

Имеются ли там записи?

В таблице коммутации вручную создайте статические записи MAC-адресов для рабочих станций, подключенных к портам 2 и 8:

create fdb default 00-00-00-ba-00-01 port 2fdb default 00-00-00-ba-00-02 port 8

Проверьте созданные статические записи в таблице коммутации:

show fdb

Проверьте информацию о настройках Port Security на портах коммутатора:

show port_security ports 1-8

Проверьте соединения между ПК 1 и ПК 2 командой ping.

Подключите ПК 1 к порту 8, а ПК 2 к порту 2.

Повторите тестирование командой ping.

Какой вы сделаете вывод?

Удалите ранее созданную статическую запись из таблицы MAC на порту 2:

delete fdb default 00-50-ba-00-00-01

2.3.   Лабораторная работа 3 «Функция IP-MAC-Port Binding»

Функция IP-MAC-Port Binding реализована в коммутаторах D-Link и позволяет контролировать доступ компьютеров в сеть на основе их IP- и MAC-адресов, а также порта подключения. Администратор может создавать записи, связывающие IP- и MAC-адреса компьютеров с портами коммутатора. На основе этих записей, в случае совпадения всех составляющих, клиенты будут получать доступ к сети со своих компьютеров. В том случае, если связка IP-MAC-порт будет отличаться от заранее сконфигурированной записи, то коммутатор заблокирует MAC-адрес соответствующего узла.

Функция IP-MAC-Port Binding включает три режима работы: ACL mode, ARP mode (используется по умолчанию) и DHCP snooping mode.

При работе в режиме ARP коммутатор анализирует ARP пакеты и сопоставляет параметры IP-MAC ARP-пакета, с предустановленной администратором связкой IP-MAC. Если хотя бы один параметр не совпадает, то MAC-адрес узла будет занесен в таблицу коммутации с пометкой Drop (отбрасывать). Если все параметры совпадают, то MAC-адрес узла будет занесен в таблицу коммутации с пометкой Allow (разрешить).

При функционировании в ACL mode, коммутатор, на основе предустановленного «белого списка» IMPB создает правила ACL. Любой пакет, связка IP-MAC которого отсутствует в «белом списке», будет блокироваться ACL.

Режим DHCP Snooping используется коммутатором для динамического создания записей IP-MAC на основе анализов DHCP-пакетов и привязки их к портам с включенной функцией IMPB (администратору не требуется создавать записи вручную). Таким образом, коммутатор автоматически создает «белый список» IMPB в таблице коммутации или аппаратной таблице ACL (при включенном режиме ACL). При этом для обеспечения корректной работы сервер DHCP должен быть подключен к доверенному порту с выключенной функцией IMPB. Администратор может ограничить количество создаваемых в процессе автоизучения записей IP-MAC на порт и, следовательно, ограничить для каждого порта с активированной функцией IMPB количество узлов, которые могут получить IP-адрес с DHCP сервера. При работе в режиме DHCP Snooping коммутатор не будет создавать записи IP-MAC для узлов с IP-адресом, установленным вручную.

При включении функции IMPB на порту администратор должен указать режим его работы:

-       Loose mode - порт по умолчанию заблокирован;

-       Strict mode - порт по умолчанию открыт.

Цель работы: научиться управлять подключением узлов к портам коммутатора и изучить настройку функции IP-MAC-Port Binding на коммутаторах D-Link.

Оборудование: коммутатор D-Link 3200-10, рабочая станция, консольный кабель, кабель Ethernet.

Настройка функции IMPB в режиме ARP.

Рисунок 12 - Функция IMPB в режиме ARP

Верните настройки коммутатора к заводским (по умолчанию) командой:

reset config

Замените указанные в командах MAC-адреса на реальные MAC-адреса компьютеров, подключенных к коммутатору.

Создайте запись IP-MAC-Port Binding, связывающую IP- и MAC-адрес ПК 1 с портом 2 (по умолчанию режим работы функции ARP):

address_binding ip_mac ipaddress 10.90.90.101 mac_address 00-50-ba-00-00-01 port 2

Создайте запись IP-MAC-Port Bindnig, связывающую IP- и MAC-адрес ПК 2 с портом 8:

create address_binding ip_mac ipaddress 10.90.90.102 mac_address 00-50-ba-00-00-02 port 8

Активизируйте функцию на портах 2 и 8 (по умолчанию режим работы портов Strict):

Проверьте созданные записи IP-MAC-Port Binding:

show address_binding ip_mac all

Проверьте порты, для которых настроена функция, и их режим работы:

 address_binding ports

Подключите рабочие станции ПК 1 и ПК 2 к коммутатору как показано на рисунке (см. рисунок 12).

Проверьте доступность соединения между рабочим станциями командой:

ping <ipaddress>

Включите запись в log-файл и отправку сообщений SNTP Trap в случае несоответствия ARP-пакета связки IP-MAC:

enable address_binding trap_log

Подключите ПК 1 к порту 8, а ПК 2 к порту 2.

Повторите тестирование соединения между рабочими станциями командой ping.

Проверьте заблокированные рабочие станции

show address_binding blocked all

Проверьте наличие заблокированных станций в log-файле.

show log

Какой вы сделаете вывод?

Удалите адрес из списка заблокированных адресов:

delete address_binding blocked vlan_name System mac_address 00-50-ba-00_00-01

Удалите IP-MAC-Port Binding:

address_binding ip_mac ipaddress 192.168.1.12 mac_address 00-50-ba-00-00-01

Отключите функцию IP-MAC-Port-Binding на портах 2 и 8:

config address_binding ip_mac ports 2, 8 state disable

Настройка функции IP-MAC-Port Binding в режиме ACL

Создайте запись IP-MAC-PortBinding , связывающую IP- и MAC-адрес станции ПК 1 с портом 2:

create address_binding ip_mac ipaddress 10.90.90.101 mac_address 00-50-ba-00-00-01 ports 2

Создайте запись IP-MAC-Port Bindnig, связывающую IP- и MAC-адрес станции ПК 2 с портом 8:

create address_binding ip_mac ipaddress 10.90.90.102 mac_address 00-50-ba-00-00-02 ports 8

Активируйте функцию на портах 2 и 8 (по умолчанию режим работы портов Strict), включите режим allow_zeroip, благодаря которому коммутатор не будет блокировать узлы, отправляющие ARP-пакеты с IP-адресом источника 0.0.0.0, и установите режим работы функции IMPB в режиме ACL (команда вводится в одну строку):

config address_binding ip_mac ports 2, 8 state enable allow_zeroip enable mode acl

Проверьте созданные записи IP-MAC-PortBinding:

show address_binding ip_mac

Проверьте порты, на которых настроена функция и режим их работы:

show address_binding ports

Проверьте созданные профили доступа ACL:

 access_profile

Подключите рабочие станции к коммутатору, как показано на рисунке (см. рисунок 12).

Повторите доступность соединения между станциями командой ping.

ping <ip address>

Подключите ПК 1 к порту 8, а ПК 2 к порту 2.

Повторите тестирование соединения между станциями командой ping.

Проверьте заблокированные рабочие станции:

show address_binding blocked all

Какой вы сделаете вывод?

Удалите адрес из списка заблокированных адресов:

delete address_binding blocked vlan_name System mac_address 00-50-ba-00-00-01

Удалите все заблокированные адреса:

address_binding blocked all

Удалите все записи IP-MAC-Port Binding:

address_binding ip_mac ipaddress 10.90.90.102 mac_address

00-50-ba-00-00-02address_binding ip_mac ipaddress 10.90.90.101 mac_address