5. 5
Уязвимости канального уровня
Атаки на STP
Коммутаторы рассылают Config BPDU
Config BPDU содержит Bridge ID: Priority+MAC
Коммутатор с наименьшим Bridge ID становится Root Bridge
6. 6
Уязвимости канального уровня
Атаки на L2 VLAN
VLAN hopping
- Switch spoofing
- Double tagging
Trunk port
DTP (Dynamic Trunking Protocol)
Native VLAN
7. 7
Уязвимости канального уровня
Атаки на L2 VLAN
Установить порт в access mode
Выключить auto negotiation на порту
Выключить DTP на портах
Не использовать Native VLAN
Включить принудительное тегирование всех VLAN
8. 8
Уязвимости канального уровня
Переполнение CAM-таблицы коммутатора
Флуд DHCP-запросами
Атаки на протокол CDP
19. 19
VPN
Виртуальная сеть, использующая в качестве каналов
связи существующую коммуникационную
инфраструктуру
Обеспечение безопасности данных производится
путем шифрования трафика
20. 20
IPSec
Работает на сетевом уровне
Прозрачен для сетевых приложений
Модульная архитектура, различные комбинации
режимов работы
Обеспечение целостности (протокол AH) и целостности
+конфиденциальности (протокол ESP)
21. 21
Транспортный режим работы IPSec
Обеспечивается аутентификация или шифрование поля
данных IP-пакета
Информация сетевого уровня известна (отправитель и
адресат)
Обычно это host-to-host взаимодействие
22. 22
Туннельный режим работы IPSec
Обеспечивается аутентификация или шифрование
всего пакета, включая IP-заголовок
Это классический VPN
23. 23
IPSec. AH заголовок
Защита от подмены исходного пакета, включая адрес
отправителя
AH заголовок располагается после IP-заголовка
Несовместим с NAT
26. 26
IPSec. ESP заголовок
Обеспечивает конфиденциальность передаваемых
данных
Опционально выполняет аутентификацию payload
(HMAC) или всего IP-пакета (если вместе с AH)
30. 30
Security Association
Оба хоста на каждой стороне SA хранят в SADB
информацию о режие, протоколе, ключах и
алгоритмах, используемые в соединении
Каждый SA реализуется в одном направлении. Для
двунаправленной связи надо два SA
Security Policy Database (SPD) указывает для пакета
одно из трех действий:
- Отбросить пакет
- Принять пакет, но не обрабатывать с помощью
IPSec
- Обработать с помощью IPSec
31. 31
Управление ключами
Аутентификация с помощью общего секрета,
цифровых сертификатов и т.п.
IKE (Internet Key Exchange)
ISAKMP (Internet Security Association Key
Management Protocol)
33. 33
Настройка IPSec
Включить маршрутизацию и ESP
Сконфигурировать ключи
Запустить демон обмена ключами (isakmpd)
Описать политики IPSec
Настроить фаервол для пропускания IPSec-
трафика
34. 34
Пример настройки OpenBSD
/etc/sysctl.conf
net.inet.ip.forwarding=1!
net.inet.esp.enable=1!
net.inet.ipcomp.enable=1
/etc/ipsec.conf
ike esp from 192.168.1.0/24 to 192.168.2.0/24 peer 5.6.7.8 !
ike esp from 1.2.3.4 to 192.168.2.0/24 peer 5.6.7.8!
ike esp from 1.2.3.4 to 5.6.7.8
/etc/pf.conf
pass on $ext_if proto esp from 5.6.7.8!
pass on $ext_if proto udp from 5.6.7.8 port isakmp!
pass on enc0 proto ipencap from 192.168.2.0/24!
pass on enc0 from 192.168.2.0/24