Кузьменко Н.Г. Коммутаторы и IP телефония

Подождите немного. Документ загружается.

нагрузки протокол GLBP первому узлу сообщает виртуальный МАС адрес

первого маршрутизатора, а второму узлу МАС адрес второго маршрутизато-

ра. После этого узлы посылают пакеты по одному виртуальному IP адресу, но

с разными МАС адресами. В результате чего обработку этих пакетов осуще-

ствляют оба маршрутизатора распределяя нагрузку.

При отказе маршрутизатора AVG/AVF маршрутизатор AVF отслежива-

ет состояние активного виртуального шлюза и обнаруживает отсутствие со-

общений. После этого он будет принимать пакеты с виртуальным МАС адре-

сом отказавшего маршрутизатора. Тем самым 1 узел не узнает о выходе 1

маршрутизатора из строя.

Контрольные вопросы

1. Поясните возможные варианты поведения сети при отказе шлюза ?

2. Какие способы применяются для автоматического поиска нового шлюза

взамен отказавшего ?

3. В чём заключаются недостатки протокола RIP ?

4. Какое время сходимости имеет протокол RIP ?

5. В чём заключается отличие протокола Ргоху RIP от RIP ?

6. В чём заключаются недостатки протокола IRDP ?

7. За счёт чего протокол HSRP имеет малое время поиска резервного

коммутатора ?

8. Что такое группа в виртуальных сетях ?

9. Какой тип сообщения используется в протоколе HSRP ?

10. В каких состояниях может находиться маршрутизатор использующий

протокол HSRP ?

11. Зачем в протоколе HSRP используются активные и резервные

маршрутизаторы ?

12. Какое количество резервных маршрутизаторов поддерживает протокол

VRRP ?

13. Какое минимальное количество маршрутизаторов поддерживает

протокол VRRP ?

14. Какое время поиска имеет протокол VRRP ?

15. За счёт чего протокол VRRP имеет малое время поиска резервного

маршрутизатора ?

16. Каким образом можно перераспределить нагрузку между несколькими

маршрутизаторами ?

17.Чем отличается активный шлюз от активного транспортёра ?

18. В чём заключается назначение протокола GLBP ?

132

ГЛАВА 8. ОБЕСПЕСЕНИЕ СЕТЕВОЙ БЕЗОПАСНОСТИ

Безопасность – одна из наиболее важных функций в сегодняшних сетях.

Без реализации системы безопасности доступ в сеть имели бы и обычные

пользователи и хакеры (взломщики). С быстрым развитием возможностей

удалённого доступа потребность усиления сетевой безопасности резко воз-

растает для того, чтобы исключить вторжение в сеть и уменьшить её уязви-

мость.

Нельзя создать сеть, защищённую на 100%, даже если приняты соответ-

ствующие меры, потому что сеть безопасна только настолько, насколько её

сделали. Чтобы осуществить усиленные меры безопасности, необходимо на-

чать с физических устройств и продолжить на всех уровнях сети. Как только

создана политика доступа, сетевой администратор, должен знать, как приме-

нить и распространить эту политику.

Политика безопасности доступа предназначена для того, чтобы опреде-

лить, что нужно сделать, чтобы обезопасить себя от всех возможных вторже-

ний. Создание политики для организации позволит использовать соглашения

на уровне обслуживания на основе определённого потока пакетов (трафика) и

стандартов безопасности.

Политика безопасности доступа должна определять следующее:

− Физическую безопасность всех устройств в сети.

− Управление доступом к сети пользователей при помощи виртуальных ЛВС

и безопасности на уровне порта.

− Какому трафику позволено входить и выходить из сети.

− Фильтры маршрутизации данных, которые определяют, какие данные мо-

гут проходить по сети и какие фильтры уровня Распределения должны

быть применены к ним.

− Пользовательские группы, которые имеют доступ к конкретной части сети.

− Типы доступа для каждой пользовательской группы.

Каждый уровень сети имеет различную функцию и применяет политику

по-своему. Политика безопасности доступа, должна применяться на всех

устройствах сети.

8.1. Политика магистрального уровня

Применение политики безопасности на магистральном уровне, увели-

чивает интервал времени между запросом доступа от узла к сети и тем, когда

ему это будет позволено сделать из-за обработки на коммутаторе, что не ра-

ционально, поскольку уровень магистрали должен передавать пакеты на-

столько быстро, насколько это возможно. Политики должны применяться на

133

более низких уровнях доступа и распределения. Магистральный уровень дол-

жен полагаться на политику безопасности и фильтрования этих уровней.

Фирма Cisco, например, рекомендует, что единственная политика, ис-

пользуемая на магистральном уровне, должна касаться только функций каче-

ства обслуживания QoS, которая меньше всего задействуют процессор ком-

мутатора. Такой подход гарантирует заданный уровень обслуживания для

конкретного соединения и предотвращает перегруженность сети.

8.2. Политика уровня распределения

Уровень распределения - основной уровень для осуществления полити-

ки безопасности доступа. Реализовать политику на этом уровне может быть

столь же просто, как применить блокирование для рабочих групп, или столь

же сложно, как определить пути различных типов данных через сеть. На

уровне распределения происходит объявление правильных маршрутов, бло-

кирование трафика определённого типа и ограничение количества данных,

посылаемых на магистральный уровень.

На этом уровне определяются ресурсы и маршруты, которые должны

быть отправлены на магистральный уровень и какому трафику позволено

входить и выходить из блока коммутаторов.

Хорошая политика на этом уровне гарантирует, что ненужный трафик

или неправильные маршруты не будут распространяться на уровень маги-

страли, она должна определять следующее:

− Какие пакеты пользователей могут передаваться другим виртуальным се-

тям VLAN. Соответствующее ранжирование достигается при помощи при-

менения списков доступа к конкретным портам, чтобы пропускать или

уничтожать определённые пакеты данных.

− Какие маршруты, доступны блоку коммутаторов магистрали, определяе-

мые списками распределения.

− Какие службы будут использоваться во всей сети, например, DNS и DHCP.

На уровне распределения, политика безопасности сети реализуется с

помощью:

− Списков доступа,

− Управления доступом к виртуальным терминалам,

− Управления доступом к HTTP.

Списки доступа. Список доступа это список условий, которые управ-

ляют доступом к коммутатору или маршрутизатору (как внешнему, так и

встроенному). Списки доступа для IP, AppleTalk и IPX, подобно привратни-

кам, управляют доступом к различным сегментам сети. После того как список

134

доступа создан, он может применяться на входящем или исходящем интер-

фейсе. Всё что не включено в список – запрещено.

Фильтрация пакетов осуществляется при помощи сравнения значений

их полей. Полученная от пакетов информация (типа адресов источника и по-

лучателя) сравнивается со значениями в списке доступа. Если зафиксировано

совпадение, список в установленном порядке разрешает или запрещает пере-

дачу данных. Если

обнаруживается

запрет на передачу,

то не порт отправи-

теля пакета посыла-

ется сообщение

ICMP о запрещении.

На рис.8.1. ис-

точник с адресом

10.1.128.6 пробует

послать пакет дан-

ных получателю с

адресом 10.1.128.10.

Поскольку список доступа не разрешает передачу на адрес источника, то па-

кет будет отвергнут автоматически.

Список доступа обрабатывается в порядке написания. Как только

найдено совпадение, обработка списка прекращается,

Типы списков доступа. Есть два типа списков доступа: стандартный и

расширенный. Оба типа разрешают или запрещают что-либо на основании

определенных критериев. На основе стандартного списка доступа осуще-

ствляется разрешение или запрет на передачу пакетов, с использованием

только на адреса источника. Расширенный список доступа основан на исполь-

зовании – адреса источника, адреса получателя, типа протокола, типа прило-

жения или номера порта пакета.

Легче всего настраивать стандартные списки доступа IP и IPX. Команда

настройки требует указать номер списка доступа, тип оператора (permit или

deny) и адрес источника. Этот оператор разрешает или запрещает прохожде-

ние пакетов, приходящих от указанного источника, через порт, на котором

применяется список доступа.

Чтобы указать подсеть, можно воспользоваться шаблоном после адреса

IP. Если шаблоны не используются, то адрес источника должен полностью

совпадать. Шаблон представляет собой маску подсети, ноли в шаблоне указы-

вает на то, что значение должно точно соответствовать IP адресу в том же

октете, а 255 позволяет использовать в соответствующем октете любой IP ад-

рес. Если, например, в строке списка доступа указана сеть с адресом

193.5.5.10 и маска (шаблон) сети 0.0.0.255, то 0.0.0 из шаблона означают, что

135

Коммутатор уровня

распределения

IP = 10.1.128.6

IP = 10.1.128.10

Рис. 8.1. Использование списков доступа

первые три октета IP адреса источника должны точно соответствовать пер-

вым трём октетам части IP адреса класса C – 193.5.5. Поскольку последний

октет маски имеет значение 255, то последний октет адреса источника может

иметь любое значение. Эта строка списка доступа означает, что передача па-

кетов с любого узла, имеющего номер сети 193.5.5, будет разрешена. В

списках доступа можно использовать маски подсетей переменной длины.

Таблица 8.1

Разбиение сети на подсети маской 255.255.255.40

Устройство подсеть 1 подсеть 2 подсеть 3

Адрес подсети 16 32 48

Первый узел 17 33 49

Последний узел 30 46 62

Широковещательный адрес 31 47 63

Другой пример, маска – 255.255.255.240. В табл.8.1 показаны первые

три подсети, номера подсетей, номера узлов и широковещательный адрес для

каждой подсети.

Тип списка доступа определяются назначенным ему номером. В

табл.8.2 указаны разрешённые соответствия типов списков доступа номерам

списков.

Таблица 8.2

Номера списков доступа и связанные с ними типы списков доступа

Номер Тип списка доступа

1 – 99 Стандартный IP

100 – 199 Расширенный IP

200 – 299 Типа протокола доступа

300 – 399 DECnet

400 – 499 Стандартный XNS

500 – 599 Расширенный XNS

600 – 699 Appletack

700 – 799 48 бит МАС адрес

800 – 899 Стандартный IPX

900 – 999 Расширенный IPX

1000 – 1099 Протокол обновлении служб IPX SAP

1100 – 1199 Расширенныq 48-битный АС адрес

1200 – 1299 IPX суммарные адреса

1300 – 1999 Стандартный IP (увеличенное кольцо)

2000 – 2699 Расширенный IP (увеличенное кольцо)

Расширенный список доступа позволяет фильтровать пакеты на основа-

нии адреса источника, адреса получателя, типа протокола, приложения, или

номера порта транспортного протокола ТСР.

136

Команды расширенных списков доступа IP более сложны, чем команды

стандартных списков, и содержат намного больше опций, например, такие

как:

− для расширенных списков доступа IP (IP указывает на все типы про-

токолов из стека ТСР/IP), диапазон возможных номеров лежит в пре-

делах от 100 до 199:

− разрешение передачи пакетов от источника на порт;

− если данные будут отвергнуты, то по адресу источника будет посла-

но сообщение ICMP;

− сравнение с разрешённым протоколом;

− сравнение портов получателя или источника. Возможные значения:

меньше чем, больше чем, равно, не равно и диапазон включительно;

− запись в журнал информации о пакетах, которые соответствуют опе-

раторам списка доступа.

Команда записи информации в журнал протоколирует информацию обо

всех пакетах, которые соответствуют списка доступа. Включение этой функ-

ции потребляет ресурсы процессора. Её необходимо использовать только в

целях поиска неисправностей.

Применение списков доступа

Списки доступа создаются различными способами. Как только они со-

зданы, можно распространить их применение на порты различных типов при

помощи соответствующих команд. Управляя таблицами маршрутизации на

137

Уровень

распределения

Экспериментальная

сеть

192.129.0.0

Рис. 8.2. Сети связанные на уровне распределения

Магистральный

уровень

Уровень

доступа

Производственная

сеть

192.128.0.0

0/0

магистральном уровне, можно ограничить размер таблиц в сетевых устрой-

ствах. Это позволит коммутаторам более быстро обрабатывать данные, не

даёт пользователям подключаться к сетям, к которым нет статических марш-

рутов или маршрутов по умолчанию, и поддерживает целостность информа-

ции маршрутизации.

На рис.8.2. приведены две сети класса C, которые пересекаются на ком-

мутаторе уровня распределения. Сеть 128 используется в производстве, а сеть

129 предназначена только для тестовых целей и развития новой топологии

сети. Сеть 128 должна иметь возможность передачи пакетов на уровень маги-

страли через порт 0/0, который соединяется с коммутатором уровня магистра-

ли. Вторая сеть используется только для тестовых целей, поэтому список до-

ступа должен блокировать любые пакеты из этой сети и не давать им дости-

гать коммутатора уровня магистрали.

8.3. Политика на уровне доступа

На уровне доступа следует применять небольшое число политик. Ком-

мутаторы на этом уровне должны полагаться на безопасность уровня порта и

пароли. Политика уровня доступа управляет физическим доступом к компо-

нентам сети. Физический доступ подразумевает следующее:

− Конфигурирование пользователей и паролей на физических устрой-

ствах;

− Ограничение доступа по Telnet;

− Ограничение доступа к сетевым коммутаторам при помощи уровней

привилегий;

− Конфигурирование сообщений-баннеров;

− Обеспечение физической безопасности устройств;

− Обеспечение безопасности порта;

− Управление.

Пароли могут быть настроены для каждого способа доступа к коммута-

тору, по линии VTY, консоли, доступ через Web и вспомогательные порты.

Доступ по VTY может быть защищён паролем, но когда небрежный админи-

стратор оставляет незаконченной сессию Telnet и уходит, то дверь открыта с

полным доступом к целой сети. Эта ситуация позволяет любому получить до-

ступ через открытую сессию Telnet.

Ограничение доступа по Telnet. Чтобы понизить шансы уязвимости

этого типа, необходимо настроить тайм-аут и применить его на неиспользуе-

мые сессии VTY. Операционная система коммутатора вычисляет неиспользу-

емые сессии в секундах или минутах, в зависимости от версии ПО, Если сес-

138

сия не получает ввод знаков от администратора в течение установленного

времени, то она закрывается и администратор отключается.

Применение уровней привилегий. Уровни привилегий могут быть на-

значены, чтобы ограничить пользователей коммутатора выполнять некоторые

команды или типы команд. Возможна настройка двух уровней в операцион-

ный системе коммутатора: пользовательский и привилегированный уровни.

Пользовательский уровень позволяет выполнять лишь подмножество

команд, без команд изменения конфигурации или функций отладки.

Привилегированный уровень, позволяет использовать все доступные

команды, включая команды изменения конфигурации.

Пользователю могут быть назначать 16 различных уровней, от 0 до 15.

Уровень 1 по умолчанию установлен для пользовательского режима. Этот

уровень разрешает пользователю очень ограниченный доступ. Уровень 15 по

умолчанию установлен для привилегированного режима, который разрешает

полный доступ ко всем командам конфигурации.

Уровень привилегии 0 – специальный уровень, который позволяет ис-

пользовать более узкий набор команд.

Конфигурирование сообщений-баннеров. Приветствие (баннер) ис-

пользуется для публикации общедоступных высказываний. Однако общедо-

ступные высказывания, помещённые на баннер, представляют собой потенци-

альную угрозу коммутаторам или маршрутизаторам сети, особенно сообще-

ние "Welcome", приглашающее ко вторжению в сеть.

Физическая безопасность устройств. Физический доступ ко всем

устройствам сети должен быть включён в политику доступа. Защита физиче-

ского доступа к машинам чрезвычайно важна из-за уязвимостей всех типов и

чёрных ходов. Любой человек, имеющий физический доступ и некоторые по-

знания, может легко применить соответствующие методы и получить доступ

к сети. Поэтому важно иметь физический барьер между устройствами и поль-

зователем. Кроме того, ко всем точкам доступа к сети, которые являются

открытыми, должны применяться пароли.

Требования физической безопасности подразумевают, запирание на за-

мок комнаты, где хранится устройства, запирание стойки с устройствами и за-

щиту резервных источников питания и физических связей. Обеспечить надле-

жащий контроль за вентиляцией и температурой в помещении. Необходимо

также установить пароли ко всем уровням, и выключить неиспользуемые или

ненужные порты в сети.

Безопасность порта подразумевает ограничение количества подключа-

емых узлов на порты коммутатора на основе МАС адреса. Поскольку МАС

адреса присваиваются сетевой карте заводом-изготовителем в соответствии с

действующими промышленными стандартами, то никакие две карты не могут

и не имеют одинаковые МАС адреса.

Безопасность на уровне порта работает следующим образом. Когда

порт коммутатора получает пакеты данных, он сравнивает МАС адрес отпра-

139

вителя, содержащийся в заголовке пакета, с известным коммутатору адресом

источника. Если адреса не совпадают, то коммутатор блокирует этот порт и

помечает его как выключенный. Индикатор такого порта тогда станет оран-

жевым, указывая на то, что порт выключен.

Если на коммутаторе сконфигурирован протокол SNMP, то админи-

стратору протокола SNMP автоматически посылается сообщение о выключе-

нии связи. При использовании безопасности на уровне порта необходимо по-

мнить, что:

− безопасность порта нельзя применять к магистральным (транковым)

связям, потому что они передают данные от нескольких виртуаль-

ных сетей VLAN и МАС адресов;

− безопасность порта не может быть включена на порту получателя

или источника SPAN – анализатора коммутируемого порта;

− на безопасном порту нельзя сконфигурировать динамическую или

статическую запись САМ (connect addressable memory);

− после включения безопасности порта, все статические или динами-

ческие записи САМ, связанные с портом, удаляются, а любая посто-

янная запись САМ рассматривается как безопасный МАС адрес;

− коммутаторы не всех производителей поддерживают безопасность

порта.

По умолчанию установки коммутатора разрешают доступ со всех МАС

адресов на все порты коммутатора. При включении безопасности порта, необ-

ходимо явно указать МАС адреса, которым разрешается доступ к портам ком-

мутатора. Портам разрешается использовать статические или динамические

назначения МАС адреса.

При использовании динамического назначения МАС адреса, как только

включена безопасность порта, первый узел, пославший пакет со своим МАС

адресом, становится безопасным адресом порта. Если на порт коммутатора

поступит кадр от другого узла с другим МАС адресом, то порт автоматически

перейдёт в выключенный режим.

При статическом назначении МАС адреса сетевому администратору

необходимо вручную его назначить. Это – наиболее безопасный способ со-

здания списка адресов источников, но требует много времени и усилий. Это

хорошее решение для маленьких сетей, но в больших сетях трудно осуще-

ствимо.

Управление. При первой установке операционной системы на комму-

татор, все порты коммутатора назначаются виртуальной сети VLAN1. Обыч-

но эта виртуальная сеть сохраняется как виртуальная сеть управления. В ре-

зультате если порты не были перенастроены или были повторно установлены

по умолчанию, то любой пользователь, войдя в виртуальную сеть VLAN1, ав-

томатически попадет в виртуальную сеть управления. Для решения этой

проблемы целесообразно переместить виртуальную управляющую сеть

VLAN1 в другую виртуальную сеть.

140

8.4. Частные виртуальные сети

Виртуальная частая сеть VPN представляет собой сеть, создаваемую в

открытой сетевой инфраструктуре, такой, например, как глобальная сеть In-

ternet и предназначена для:

− поддержки удалённого доступа;

− поддержки нескольких удалённых друг от друга узлов, соединенных

между собой выделенными линиями (или другими выделенными сред-

ствами связи);

− обеспечения возможности провайдера VPN разметить на своих серве-

рах различные службы для пользователей VPN сети (например, разме-

щение Web-страниц);

− обеспечения возможности поддержки не только соединений внутри

VPN сети, но и связь между разными VPN сетями, включая выход в

глобальную сеть Internet.

Преимущества использования частных виртуальных сетей по сравне-

нию с использовавшимися ранее методами канального шифрования и други-

ми альтернативными решениями следующие:

1. Одна технология VРN может обеспечить конфиденциальность несколь-

ких приложений протокола TCP/IP. Шифрование на уровне приложе-

ний требует использования различных методов для разных служб. Воз-

можна также поддержка нескольких протоколов посредством IP-тунне-

лирования с использованием протоколов туннелирования типа "точка-

точка", L2TP или протокола пересылки на 2-м уровне. Обеспечение

конфиденциальности для нескольких приложений протокола TCP/IP

особенно важно в ситуациях, когда необходимо обеспечить безопасный

доступ для партнеров или удалённых работников.

2. Службы шифрования могут быть предоставлены для всех соединений

TCP/IP между надёжным клиентом и сервером частной VPN сети. Пре-

имуществом такого подхода является его прозрачность для конечного

пользователя. Поскольку шифрование включено, сервер может повы-

сить уровень шифрования.

Типы виртуальных частных сетей

Виртуальная частная сеть VPN, представляет собой множество соедине-

ний пользователей, установленных в совместно используемой инфраструкту-

ре, с теми же политиками, как и в частной сети (рис.8.3.). Эта совместно ис-

пользуемая инфраструктура может включать в себя уже имеющуюся маги-

141