Cesta: Aktuality / Článek na téma Ochrana síťové infrastruktury


Ochrana síťové infrastruktury

Ochranu sítě je možné rozdělit do několika částí s tím, že pro komplexní ochranu není možné žádnou z těchto částí vynechat. Jako základní rozdělení by se dala použít ochrana LAN proti útokům zvenčí (Internetu) a ochrana proti útokům zevnitř LAN. Pokud jde o útoky z Internetu, běžně se používá Firewall, IPS sonda pro ochranu serverů a v poslední době samostatná DDoS ochrana. Útok může být veden i zevnitř LAN sítě, kdy útočník sedí unvnitř vaší sítě nebo si zaměstnanec přinese vlastní zařízení, na kterém je například zapnutý DHCP server, ať už náhodou nebo schválně. Pokud ve své síti používáte řiiditelné aktivní prvky, například od firmy Huawei, pak je možné síť proti těmto útokům jednoduše chránit.

Základní ochrana sítě proti útokům zevnitř zahrnuje ověření, kdo do naší sítě přistupuje a omezení přístupu pouze oprávněným osobám. Pro zabezpečení tohoto požadavku je možné využít funkci Network Admission Control (NAC). Pro ověření zařízení je použit standard 802.1x. Zařízení nebo uživatel se autentizuje pomocí protokolu EAP proti RADIUS serveru. Po připojení zařízení do sítě odešle switch EAPOL (EAP over LAN) ke klientskému zařízení. Na klientské straně je tzv. Supplikant (program odpovidající na EAPOL a zajišťující atentizaci). Klient odešle své autentizační údaje na RADIUS server pro ověření. RADIUS server odpoví switchi Accept (přístup povolen), Reject (přístup zakázán).  Současně může RADIUS server poslat další parametry jako VLAN, do které uživatel patří, Access list, který má být na uživatele nasazen. Pro ověřování uživatelů můžeme využít stávající databázi uživatelů např. ActiveDirectory, LDAP server atd. Při využití NAC je možné i testovat stav zařízení a dle toho rozhodnout o povolení nebo zakázání přístupu do sítě. NAC lze aplikovat i na zařízení, která nepodporují 802.1X, například tiskárny, a ověřovat je pomocí jejich MAC adres. Tím zajistíte kompletní autentizaci všech zařízení v síti. V případě použití inteligentních řiditelných přepínačů, například Huawei, je možné výše uvedené způsoby libovolně kombinovat.

V případě, že se útočníkovi podaří překonat toto omezení je dobré mít zabezpečené a chráněné přímo aktivní prvky v síti. Mezi základní zabezpečení patří využívání zabezpečeného přístupu na aktivní prvky ať už protokolem SSH nebo HTTPS. Dobré je využívání oddělených uživatelských účtů, aby se všíchni administrátoři aktivních prvků nehlásili stejným uživatelským jménem a heslem. Prvky Huawei umožňují autentizaci RSA klíčem a heslem současně, což značně znesnadňuje případné prolomení hesla, neboť útočník by se musel dostat i k privátnímu klíči administrátora. 

Jako další stupeň ochrany je omezení přístupu na aktivní prvky pouze z určitých IP adres a ochrana Control plane. Sběrnice Switche/routeru jsou rozděleny na Data plane (přeposílá data mezi zařízeními) a Control plane (stará se o management switche/routeru, link agregaci, STP protokol, směrovací protokol, snmp protokol atd.). V případě, že se útočníkovi podaří vyřadit Control plane, například přílišným zatížením, přestane switch/router aktualizovat směrovací tabulky, rozpadne se protokol Spanning Tree nebo linková agregace (LACP) atd. Ochránit Control plane je možné například nasazením Access listu s omezením, ze kterých adres je možné se na prvek připojit, z jakých adres je možné vyčítat hodnoty SNMP protokolu. Dobré je i omezit množství ICMP paketů směřujících do Control plane a pro další provoz omezit šířkou pásma směrem ke Control planu. Dobré je odfiltrovat fragmentované pakety, aby se nedostaly do CPU, neboť ty můžou být zdrojem útoku. Na switchích Huawei je pro tuto ochranu určena funkce „CPU Attack defense“, která zabezpečí Control plane proti nebezpečnému provozu, administrátor si může přesně specifikovat počet kontrolních paketů daného protokolu, který je poslán do CPU za jednu sekundu.

Další jednoduché útoky na síť jsou například podvrhnutí DHCP serveru, kdy si útočník na svém počítači spustí vlastní DHCP server a uživatelům začne přidělovat nesmyslné IP adresy. Uživatelé pak nejsou schopni pracovat, neboť mají neplatnou IP adresu a nedostanou se k datům uloženým v síti. Proti tomuto nabízejí switche Huawei ochranu zapnutím funkce DHCP snooping. Jednotlivé porty na switchi jsou pak označeny jako Trust nebo Untrust dle toho, zda daný port směřuje k DHCP serveru (trust) nebo k uživatelům (untrust). V případě, že útočník spustí DHCP server za untrust portem, switch bude všechny pakety (nabídky IP adres) od útočníkova DHCP serveru zahazovat a o dané události informuje administrátor (SNMP trap)

Při zapnutí funkce DHCP snoopingu si switch vytváří tabulku přidělených IP adres jednotlivým zařízením. Tabulku je možné dále využít pro zabránění dalšího útoku a to podvrhnutí IP adresy. Při tomto útoku se útočník snaží tvářit jako jiné zařízení v síti, třeba z toho důvodu, aby mohl zachytávat data směřující na původní zařízení. Útočník se snaží podvrhnout vlastní MAC adresu k cizí IP adrese. Pomocí funkce Dynamic ARP inspection je možné tomuto útoku zabránit. Switch má tabulku IP/MAC adres naučenou pomocí DHCP snooping a s touto tabulkou porovnává, zda odpovědi na ARP dotazy souhlasí s přidělenou IP adresou zařízení. Pokud se útočník v ARP odpovědi snaží podstrčit jinou MAC adresu, je tato ARP odpověď switchem zahozena. Switche Huawei nabízejí několik dalších možností ochrany ARP ramců, které je dobré využít např. „ARP Gateway Anti-Collision“.

V sítích Ethernet je několik typů rámců jako Broadcast, Multicast a Unicast. Ke každému typu provozu se switch chová jinak. Broadcast rámce musí zkopírovat a poslat na všechny porty, stejně tak Unicast rámce, jejichž cílovou MAC adresu switch nezná. Tento provoz zatěžuje switch a při překročení určitého množství to může mít vliv na funkci aktivního prvku. Jako ochranu před zahlcením je možné na switchích Huawei využít funkce Traffic Suppresion a Storm Control. Při použití Traffic suppresion se nastaví maximální množství Broadcast, Multicats a unknow unicast provozu a při překročení této prahové hodnoty jsou rámce překračující povolené množství zahazované. Podobným způsobem funguje Storm Control, kdy při překrocení nastavené prahové hodnoty dojde k restriktivní akci na portu, přes který provoz přichází. Port je buď vypnutý nebo pouze blokovaný, dokud množství broadcast rámců neklesne pod definovanou mez.

S příchodem IPv6 nám odpadnou problémy s protokolem ARP, neboť ten se již nebude používat. Přesto pro komunikaci v síti Ethernet potřebujeme nějakým způsobem zjistit MAC adresu zařízení, se kterým chceme komunikovat. Při použití prokolu IPv6 toto zabezpečuje protokol ICMPv6. Samozřejmě i zde má útočník možnost podvrhnout svojí MAC adresu nebo podvrhnout sebe jako defaultní bránu. Pro zabránění těchto útoků je možné na Huawei switchích zapnout ND snooping. ND snooping analyzuje pět typů ICMPv6 zpráv a z nich si vytváří několik tabulek, které pak využívá při filtrování podvržených ICMPv6 zpráv. Porty na switchi se pak označují „trusted“ a „untrusted“. Na Untrusted portu není povolen Router Advertisement, u ostatních typů ND zpráv je ověřeno, zda jsou validní proti ND snooping binding table.

Probrat podrobně všechny metody zabezpečení infrastruktury by zabralo na celý časopis. Vybrané možnosti zabezpečení jsou součástí všech switchů a routerů od firmy Huawei, takže je stačí jen zapnout.

 

Autorem je Jan Aron, konzultant společnosti DNS a. s.


Přílohy ke stažení


DNS E-news