Hálózati biztonság növelése kapcsolt (switched) LAN hálózatokban

A hálózati infrastruktúra biztonságának (üzembiztonsági, adatvédelmi, támadásvédelmi, stb.) fenntartása érdekében általában elvárható hálózati beállítások és rendszer-implementáció tudatos elvégzése és folyamatos fejlesztése és monitorozása elengedhetetlen a kommunikációs rendszerek üzemeltetése során. A hálózatbiztonság egyformán fontos kérdés az adathálózatokban és a konvergens, egyéb (multimédia, IP telefónia, stb.) szolgáltatásokat is kiszolgáló hálózatokban is.

Az alábbiakban felsorolt biztonsági szempontok és beállítások összegyűjtéséhez felhasználtuk az iparági dokumentációkban és gyártók különféle műszaki leírásaiban, biztonsági ajánlásaiban fellelhető javaslatokat. Összeállításunk közel sem teljeskörű, hanem csak a legalapvetőbb krédéseket tárgyalja. Ezen javaslatok alkalmazása szinte minden hálózatban az ajánlható minimum körébe tartozik, legyen az csak adathálózat, vagy esetleg IP telefonokat is kiszolgáló konvergens hálózat.

Felhívjuk a figyelmet, hogy a legtöbb biztonsági lépés "csak" növeli a biztonságot, de nem jelent 100%-os védelmet. Továbbá magasabb biztonsági állapotot a különféle biztonsági mechanizmusok együttes alkalmazásával érhetünk el. Fontos, hogy a technika által alkalmazható biztonági lépések biztonsági politikával együtt legyenek alkalmazva és azt szigorúan be kell tartani illetve tartatni a felhasználókkal.

A LAN hálózati fenyegetések és kivédésük

Ethernet címtár telítése (MAC CAM flooding)

Az ethernet kapcsolók címtára korlátos, csak meghatározott számú ethernet címet (MAC address) képes tárolni és kezelni memóriájában (általában maximum pár tízezret). Amikor a címtár telítődik, a switch megszűnik switchként viselkedni, olyan lesz, mint egy hub (repeater, jelismétlő). Ekkor minden ethernet adatkeretet minden portra továbbít, azaz a hálózat lehallgathatóvá válik bármely csatlakozási ponton. Ha IP telefóniát használunk, akkor a telefonok is lehallgathatóak lesznek bármely hálózati csatlakozási pontról. A hálózati teljesítmény is csökken, mert a kapcsoló jobban terhelődik egy ilyen helyzetben, azaz a hálózati szolgáltatást zavaró állapot is keletkezik (DoS támadás).

Védekezés: A védekezés a kapcsolók portjára alkalmazható statikus vagy dinamikus biztonsági beállításokkal oldható meg. Statikus beállításnál konkrétan megadjuk a portra csatlakoztatható eszköz ethernet címét és csak azt engedélyezzük forgalmazni az adott porton. Enyhébb védekezés a dinamikus mód, amikor csak a csatlakoztatható ethernet címek darabszámát korlátozzuk (általában 1db-ra), ugyanakkor a cím maga bármi lehet.

A módszer hátránya, hogy az ethernet cím önkényesen megváltoztatható általában az ethenet csatolókon. Az elárasztástól még ebben az esetben is megvéd a port biztonsági beállítása.

Hálózat engedély nélküli kiterjesztése (Rouge network extension)

Valamely hálózati csatlakozóba egy másik hálózati eszköz (switch, vezeték nélküli access point) csatlakoztatásával a hálózat a rendszergazda tudta nélkül kiterjeszthető. Különösen veszélyes, ha vezeték nélküli eszközzel csinálják, mert az a Vállalat területén kívülre is nyitottá teheti a hálózatot.

Védekezés: Csakúgy, mint az előző esetben, a védekezés a kapcsolók portjára alkalmazható statikus vagy dinamikus biztonsági beállításokkal oldható meg. Azaz az előző módszer (a csatlakoztatható MAC címek számának korlátozása vagy a címek rögzítése) a hálózat engedély nélküli kiterjesztésétől is véd.

A módszer hátránya is ugyanaz, azaz hogy az ethernet cím önkényesen megváltoztatható, sőt egyetlen eszközzel több kliens címe címklónozással el is rejthető.

Hamis DHCP szerver üzemeltetése

Egy hálózat üzemét hamis DHCP szerver beüzemelése alaposan megzavarhatja rossz IP címek kiosztásával, és íly módon a hálózat használata lehetetlenné válik (DoS támadás). Kényes állapot az is, amikor egy hamis DHCP szerverről hamis gateway/router cím kerül kiosztásra a kliensek számára, így térítve el az alapértelmezett gateway/router felé tartó forgalmat. A hamis gateway az íly módon hozzá irányított forgalmat észrevétlenül (a hálózat működik) tudja lehallgatni.

Védekezés: Az ethernet kapcsolók DHCP snooping szolgáltatásának bekonfigurálásával megadhatjuk, hogy mely portokon megengedett a DHCP szerver felöli válasz érkezése. Ha olyan porton érkezik DHCP válasz, ahol az nem engedélyezett, az ilyen válasz kiszűrésre kerül, azaz nem lehetséges más DHCP szervert csatlakoztatni a hálózathoz.

Az összes IP cím lekérése a DHCP szerverről

Egy DHCP szerver által kiosztható IP címek darabszáma korlátozott. A hálózat használatát megakadályozó támadás, ha valaki egy megfelelő programmal az összes IP címet magának lekéri a DHCP szervertől. Ezt követően a normál felhasználók IP cím hiányában nem tudják a hálózatot használni (DoS támadás).

Védekezés: Az előző pontban alkalmazott védekezés (DHCP snooping) beállítása megvéd a DHCP szerver címtárának leürítésétől is. A DHCP szerver leürítéshez nem feltétlenül kell különböző ethernet címekről (MAC address) érkeznie a DHCP kéréseknek, de ha ez az alkalmazott módszer, akkor a kapcsolók portjára alkalmazott MAC korlátozás (lsd. fentebb) ilyenkor ettől is megvéd.

Az ARP protokoll felhasználása lehallgatásra (man-in-the-middle támadás)

Minden IP-vel kommunikáló eszköz fenntart egy ARP táblát, amelyben ethernet címek tárolódnak a hozzájuk tartozó IP címekkel. Ez alapján történik az eszközök által az elküldendő adatkeretek címzése. Ha egy állomás egy adott IP címmel rendelkező állomással akar kommunikálni és nem tudja az ethernet címet, egy ARP kérést küld a hálózatra, amelyet az adott IP címmel rendelkező állomás megválaszol majd. Az ARP kérés ethernet broadcast formájában minden eszközhöz eljut, de megválaszolni alapesetben csak a cél-IP címmel rendelkező eszköz fogja. Az ARP táblában lévő címpárok Windows esetében általában 2 percig, Linux esetében 30 másodpercig, IP telefonok esetében akár 30-40 percig is megmaradnak, ha nem történik kommunikáció. Egy újabb ARP válasz felülírja a korábbi bejegyzést.

Az ARP mechanizmus kompromittálásával lehetséges bármely két kommunikáló fél közé beékelődni és észrevétlenül lehallgatni a teljes kommunikációt. Például ha az ún. gratuitous ARP válaszok elfogadása engedélyezett, akkor mivel az ARP kérésre bárki válaszolhat és azt az adott kliens elfogadhatja, szintén az ilyen típusú támadás indításának alapja lehet.

Védekezés: A védekezés a Dinamikus ARP ellenőrzés (Dynamic ARP Inspection=DAI) segítségével lehetséges, amely egy összetett mechanizmus. Feltétele, hogy rendelkezásre álljon egy minden DHCP történést rögzítő táblázat (DHCP binding table), amelyet az ethernet kapcsolók építenek fel a DHCP forgalom monitorozásával. A DAI megvizsgál és összevet mindent ARP kérést és választ a DHCP binding táblázatban található információval, és amennyiben egy ARP válasz nem az ARP-tulajdonostól (azaz az IP cím jogos tulajdonosától) származik, az eldobásra kerül. A jogosult ARP-tulajdonos egyetlen olyan porthoz tartozik, amelyen lévő eszköz a DHCP-táblában megtalálható a megfelelő ethernet és IP címmel.

Az olyan portokon, ahol DHCP-t nem használó eszköz van, "megbízható", azaz trusted állapotba kell konfigurálni és így azon DAI ellenőrzés nem történik, mert különben nem tudna kommunikálni az ilyen eszköz, mivel nem szerepel a DHCP-táblában. Fontos kiegészítő lépés lehet még a védelem érdekében, ha letiltjuk az eszközökön az un. gratuitous ARP (3. féltől érkező) ARP válaszok (ld. fentebb) elfogadását. Erre az IP telefonok konfigurációs beállítása általában lehetőséget ad.

Hamis forrás IP cím használata

A forrás IP cím meghamisítását számos támadás használja. Az ilyen módszer elrejti a valós támadót, akit így nem lehet megtalálni. DoS támadások és TCP SYN elárasztásos támadások valamint ezek elosztott formáiban használatosak.

Védekezés: Az egyes fejletteb ethernet kapcsolókban megtalálható IP forrás cím védelme (IP source guard) szolgáltatás. Ez a szolgáltatás az előző pontban említett DHCP binding táblázatot használja a címek ellenőrzésére. A táblázatban megtalálható, hogy a kapcsoló mely portján milyen IP című eszköz csatlakozik. Ha más forrás IP címmel rendelkező adatcsomag lépne be egy adott kapcsolóporton, mint ahogy az a táblázatban szerepel, akkor azt a kapcsoló eldobja.

A spanning tree protokoll megzavarása és védelme

A spanning tree protokoll az ethernet kapcsolókban gyári beállítás szerint általában be van kapcsolva. Alapesetben a spanning tree protokoll használatát nem javasolják illetve nem javasoljuk, mert egyrészt jelentős biztonsági rés (könnyedén támadható) illetve terheli a hálózatot és a berendezéseket. Ha mégis futtatjuk, akkor a következőket javasoljuk:

  • uplink fast és backbone fast állítása az uplink/trunk portokon,
  • portfast állítása az access portokon,
  • stack esetén cross-stack uplink fast (CSUF) állítása,
  • "spanning tree guard root" állítása a root switch-en az uplink portokon, a root védelme érdekében
  • "spanning-tree bpduguard enable" állítása az access portokon (bpduguard miatti error-disabled state /a port lezár/ esetén a port manuális úton történő engedélyezése szükséges a legtöbb ethernet kapcsolóban és/vagy időzíthető a visszakapcsolás);

Illetéktelen hálózati hozzáférés

Alapesetben egy hozzáférhető hálózati csatlakozásba (kiosztott fali csatlakozó) bárki bármilyen hálózati eszközt csatlakoztathat, az ethernet kapcsolat feléled és a hálózat használható.

Védekezés: A hálózati eszközök (ethernet kapcsolók, vezeték nélküli hozzáférési pontok) kapuin (port) lehetőség van azonosítás elvégézésére a 802.1x protokoll (802.1x = IEEE Standard for port-based Network Access Control) segítségével. A 802.1x adatbázisát egy külön RADIUS szerveren kell elhelyezni, amelyet a hálózati eszköz titkosított csatornán kérdez le egy-egy eszköz csatlakoztatásakor. A kliens gépeken 802.1x kliens szoftveres kiegészítését kell futtatni. A hálózati csatlakozáskor (ethernet link megjelenésekor) a hálózati eszköz alapesetben egy felhasználónév/jelszó párost kér be a felhasználótól és csak ezek helyes megadása és a RADIUS szerveren történő verifikálást követően nyitja meg a hálózati portját és válik lehetségessé a kommunikáció. Összetettebb, biztonságosabb ugyanakkor némileg egyszerűbb az azonosítók kezelése például Cryptocard vagy Dongle key rendszer alkalmazásával, amellyel egy RADIUS-os megoldás kiegészíthető. A felhasználói adatbázis lehet Active Directory, Open LDAP vagy Open Directory is és nem feltétlenül kell a RADIUS szerveren lennie.

VLAN-ok védelme

Ha több VLAN-t is használunk, akkor a VLAN-ok áthágása (VLAN hopping) elleni védekezés érdekében a következőket fontoljuk meg:

  • a native VLAN-t illetve címke nélküli (untagged) VLAN-t használni tilos, azt ki kell törölni illetve le kell tiltani;
  • külön adat-VLAN-t és külön voice-VLAN-t kell használni, amennyiben IP telefóniás rendszerünk is van;
  • külön menedzsment-VLAN-t kell létrehozni az eszközök menedzseléséhez;

Ha nem használunk több VLAN-t, akkor is érdemes egy külön menedzsment VLAN-t létrehozni a hálózati eszközök védelme érdekében, így a felhasználói VLAN-ból az eszközök nem lesznek elérhetőek.

Amennyiben a fentiek felkeltették érdeklődését és szeretne szakembereinkkel konzultálni és/vagy szeretné, ha szakembereink részt vennének hálózata biztonságának megerősítésében, kérjük, hogy vegye fel velünk a kapcsolatot!

Árajánlat kérése!