Upload
duka1984
View
229
Download
2
Embed Size (px)
DESCRIPTION
Zaštita racunarskih mreza na fizičkom i data link sloju
Citation preview
Hijerarhijski model mreže
Prednosti ovako organizovane mrežne
arhitekture:
Skalabilnost – Ovakve mreže se brzo i
jednostavno mogu proširiti
Redundantnost – Na sloju jezgra, odnosno
distributivnog sloja garantuje mogućnost
komunikacije alternativnim putanjama
Performanse – Agregacija linkova između
komutatora velikih brzina na sloju jezgra i
komutatora na sloju distribucije dozvoljavaju
veliki protok širom mreže
Bezbednost – Upotrebom pravila i polisa za
ograničavanje pristupa, protoka i filtriranje
paketa na portovima komutatora na sloju za
pristup, odnosno distributivnom sloju u velikoj
meri podižu nivo bezbenosti mreže
Hijerarhijski model mreže
Pravi izbor komutatora za određeni sloj hijerarhije je od vitalnog značaja za mrežu.
Hijerarhijski model mreže
Hijerarhijski model mrežne infrastrukture doprinosi visokim performansama, skalabilnosti, smanjuje potrebu za stalnim održavanjem i daje mogućnost brzom i efikasnom rešavanju problema.
Analiza saobraćaja se u okvakvom modelu koristi za praćenje performansi mreže.
Hijarhijski model se, kako smo već pokazali, sastoji iz tri sloja:• Sloj pristupa (access)• Sloj distribucije (distribution)• Sloj jezgra (core)
Komutatori izabrani za svaki sloj moraju zadovoljiti potrebe svakog hijerahijskog sloja, odnosno pre svega potrebe poslovanja.
Osnovna bezbednosna podešavanja Cisco komutatora
Telnet:
-Najčešče upotrebljavani metod pristupa udaljenom mrežnom uređaju-Šalje čist tekst/poruke putem paketa-Nije bezbedan korišćenje
SSH:
•Trebalo bi da bude metod koji se koristi•Šalje kriptovani tekst/poruke putem paketa•Bezbedan je za korišćenje
Zaštita na fizičkom i data link sloju
Tipovi napada na komputatore:
• Telnet attacks• MAC flooding attacks• Spoofing attacks
Zaštita na fizičkom i data link sloju
Telnet napadi
Postoje tri tipa napada na Telnet servis:
•Presretanje Telnet komunikacije (poruke se prosleđuju u formi čistog teksta)
•Telnet brute force napad
•Telnet DoS
Zaštita na fizičkom i data link sloju
Telnet attack - Presretanje Telnet komunikacije (poruke se prosleđuju u formi čistog teksta)
Najveći problem Telneta svakako nije funkcionalnost već bezbednost, odnosno nedostatak
šifrovanja podataka. Svaka komunikacija sa udaljenog uređaja na komutator se šalje u vidu
poruke, a ta poruka je poslata u formi običnog teksta. Ovakav vid slanja poruka, odnosno komandi
koje unosimo putem tastature je veliki bezbednosni rizik jer neko lako može da presretne
korisničko ime i lozinku za pristupanje uređaju.
Iz bezbednosnih razloga, Telnet se najčešće koristi u testnim okruženjima jer je jednostavnije
konfigurisati Telnet nego SSH.
Zaštita na fizičkom i data link sloju
Telnet attack - brute force napad
Ako na našem mrežnom uređaju podesimo lozinku za pristupanje VTY (virtual teletype) linijama i
zahtevamo autentifikaciju korisnika pomoću iste, mi i dalje nismo rešili naš problem i ne možemo
reći da je naš komutator bezbedan.
Lozinke na VTY linijama pružaju samo osnovni nivo bezbednosti, odnosno pružaju zaštitu od
neovlašćenog pristupa.
Međutim, ovakav način obezbeđivanja nije pretarno siguran.
Na Internetu se može pronaći veliki broj alata koji napadaču nude mogućnost da pokrene brute
force napada i na taj način dođe do lozinke za pristup našem uređaju.
Brute force napada je napad putem rečnika ili liste fraza, poznatih lozinki, brojeva, itd. Alat prolazi
kroz rečnik i pokušava da pristupi uređaju putem lozinki iz rečnika.
Ukoliko ste dovoljno pametni koristićete reči kojih nema u rečniku ili ih pisati u drugačijem obliku,
npr. p@$$w0rd.
Zaštita na fizičkom i data link sloju
Telnet attack – DoS (Denial of Service)
DoS napad u celini je samo način da se poremeti komunikacija između dva mrežna uređaja. Cilj
napada je da se optereti propusni opseg veze i na taj način onemogući ili uspori komunikacija.
Prilikom napada, napadač šalje veliki broj okvira sa irelevantnim podacima ili podacima čije
odredište ne postoji i na taj način guši propusni opseg.
Ova vrsta napada se može koristiti kako bi se npr. administrator sistema sprečio da pristupi
uređaju putem Telnet sesije.
Zaštita na fizičkom i data link sloju
MAC flooding attacks
U računarskim mrežama, MAC flooding (poplava) je tehnika kojom napadač pokušava da
kompromituje bezbednost komutatora.
Komutatori prosleđuju pakete na osnovu MAC adresa koje čuvaju u tabeli koja se naziva MAC
address table. U ovim tabelama komutatori povezuju MAC adrese uređaja sa njihovim IP
adresama.
Tipičan MAC flooading napad se generiše slanjem velikog broja Ethernet okvira, od koji svaki
sadrži različitu MAC adresu pošiljaoca. Namera ovakvog tipa napada je da se ograničena
memorija za skladištenje tabele popuni i na taj način onemogući njena upotreba. Nakon uspešno
izvršenog napada, napadač koristeći „packet analyzer“ može doći do osetljivih podataka između
određenih računara do kojih nije mogao doći dok je komutator u normalnom režimu rada.
Efekat ovakvog napada može varirati, od prepisivanja legitimnih MAC adresa u tabeli do pripreme
ARP spoofing napada koji napadaču omogućava pristup podacima i posle vraćanja komutatora u
normalan režim rada.
Zaštita na fizičkom i data link sloju
ARP spoofing attacks
ARP spoofing je tehnika kojom napadač šalje lažne (spoof) ARP poruke preko lokalne mreže. Cilj
ovakvog napada je da napadač sa svojom MAC adresom nakon uspešno izvrešnog napada bude
povezan sa IP adresom nekog drugog (legitimnog) uređaja ili čak servera. Jednom, kada se u ARP
tabeli nađe IP adresa povezana sa MAC adresom napadača, sav saobraćaj upućen ka toj IP adresi
istovremeno će pristizati na dve MAC adrese, legitimnom korisniku i napadaču.
Efekat ARP napada takođe može varirati, od presretanja okvira podataka, promene njihovog
sadržaja prilikom razmene podataka, pa sve do zaustavljanja razmene podataka.
ARP napad se koristi kao prethodnica drugim tipovima napada kao što su DoS, MitM ili session
hijacking (preuzimanje sesije).
Zaštita na fizičkom i data link sloju
U umrežavanju računara, odnosno segmentaciji mreže na više manjih podmreža poznajemo
deljenje na mrežnom sloju uz pomoć mrežnih maski (subnet mask) i IP adresa.
Slična podela postoji i na drugom (data link) sloju gde nam je pružena mogućnost segmentacije u
više različitih broadcast (emisionih) domena koji su međusobno izolovani, tako da između uređaja
svrstane u određeni emisioni domen mogu proći samo paketi za taj emisioni domen.
Takvi domeni se nazivaju VLAN-ovi, odnosno Virtual Local Area Network.
Podela mreže se postiže ili na komutatoru ili na preusmerivaču.
Jednostavniji uređaji podržavaju samo podelu na nivou port-a, pa deljenje na VLAN-ove
podrazumeva i dodatno kabliranje. Sofisticiraniji uređaji mogu označavati pakete pomoću tagg-
ova tako da se jedna međuveza (trunk) može koristiti za prenos podataka više VLAN-ova.
Prednosti u upotrebi VLAN-ova su višestruke: smanjenje troškova, povećanje nivoa bezbednosti,
bolje performanse i lakše održavanje infrastrukture.
Zaštita na fizičkom i data link sloju
Trunk-ovi su veze između uređaja koje koriste veći broj VLAN-ova.
IEEE 802.1Q
•Standardni trunk protokol.
•Koristi označavanje okvira za identifikaciju kojem VLAN-u pripada koji okvir.
•Ne označava native VLAN saobraćaj.
Native VLAN je jedini VLAN koji nije označen u trunk-u, drugim rečima, njegovi okviri se prenose
neoznačeni. Neretko se dešava da native VLAN i management VLAN budu isti VLAN ali iz
bezbednosnih razloga je bolje da ne budu.
Komunikaciju uređaja koji pripadaju različitim VLAN-ovima je moguća jedino posredstvom
preusmerivača (rutera).