Автоматизація доступу до каналів комп'ютерних мереж (стр. 14 из 16)

Важливим чинником при забезпеченні надійності роботи комп'ютерної мережі і, як наслідок, безперервності інформаційної підтримки підприємства є наявність резервних зв'язків. Найбільш відповідальні сегменти мережі, використовувані для зв'язку з критично важливими вузлами комп'ютерної мережі необхідно дублювати. При цьому рішення задачі «гарячого резервування» кабельної системи покладається на канальний і мережевий рівні взаємодії. Наприклад, у разі порушення цілісності основного кабельного сегменту — комутатор, оснащений функцією гарячого резервування портів, здійснює трансляцію кадрів канального рівня на резервний порт. При цьому підключений до комутатора вузол, у зв'язку з недоступністю середовища передачі на основному мережевому інтерфейсі починає прийом і передачу через резервний мережевий інтерфейс. Використання мережевих інтерфейсів вузлом заздалегідь визначене пріоритетами його таблиці маршрутизації.

Додатковий захист мережі можна забезпечити за рахунок обмеження фізичного доступу зловмисника до кабельної системи підприємства. Наприклад, використання прихованої проводки є перешкодою зловмисникові, що здійснює спроби моніторингу мережевої активності і перехоплення повідомлень з використанням засобів аналізу ПЕМІН.

Гнучкість системи управління доступом до середовища передачі даних забезпечується за рахунок перспективного будівництва структурованої кабельної системи (СКС) підприємства. При проектуванні і будівництві СКС необхідно передбачити індивідуальні лінії зв'язку для всіх вузлів комп'ютерної мережі. Управління конфігурацією фізичних зв'язків повинне здійснюватися центарлизовано.

Нижче приведені основні рекомендації, що дозволяють понизити вірогідність експлуатації кабельної системи комп'ютерної мережі підприємства зловмисником.

1. Конфігурація фізичних зв'язків, що рекомендується, в комп'ютерній мережі підприємства — «зірка», при цьому для підключення кожного вузла виділений окремий кабельний сегмент. Як середовище передачі використовується восьмижильний мідний кабель типу «витаючи пара» або оптоволокно.

2. Для підключення критично важливих для підприємства серверів використовують два кабельні сегменти — основний і резервний.

3. Прокладка мережевого кабелю здійснюється в прихованій проводці, або в кабель-каналах, що закриваються, з можливістю опечатання не зриваними наклейками — «стикерами».

4. Кабельні сегменти, використовувані для підключення всіх вузлів комп'ютерної мережі, мають бути сконцентровані на одній комутаційній панелі.

5. У початковій конфігурації топології фізичних зв'язків має бути виключене сумісне використання середовища передачі будь-якою парою вузлів мережі. Виняток становить зв'язок з «вузол-комутатор».

6. Управління конфігурацією фізичних зв'язків між вузлами здійснюється тільки на комутаційній панелі.

7. Комутаційна панель змонтована в комутаційній шафі, що замикається. Доступ в приміщення комутаційної шафи строго обмежений і контролюється службою безпеці підприємства.

На рис. 4.2 приведені рекомендації по побудові комп'ютерної мережі на фізичному рівні.

Рис. 4.2. Рекомендації по побудові комп'ютерної мережі на фізичному рівні.

Особливий клас середовищ передачі складає безпровідне середовище передачі або радіочастотний ресурс. При побудові комп'ютерних мереж підприємств в даний час широко застосовується технологія RadioEthernet. Топологія фізичних зв'язків мереж, побудованих за цим принципом, — або «крапка-крапка», або «зірка». Особливість організації безпровідних мереж передачі даних, побудованих з використанням технології RadioEthernet, припускає наявність у зловмисника повного доступу до середовища передачі. Зловмисник, що володіє радіомережевим адаптером в змозі без зусиль організувати прослуховування радіомережі передачі даних. Паралізувати роботу такої мережі можна за умови наявності у зловмисника випромінювача, працюючого 2ГГц-овом в діапазоні частот і що володіє вищими в порівнянні з випромінювачами радіомережі, що атакується, потужностними характеристиками.

Рекомендації по захисту радіомереж передачі даних.

1. Служба безпеці повинна забезпечити строге обмеження фізичного доступу персоналу підприємства і повне виключення доступу сторонніх на майданчики монтажу приймального і випромінюючого устаткування радіомереж передачі даних. Доступ на майданчики повинен контролюватися службою безпеці підприємства.

2. Прокладка високочастотного кабелю має бути виконана прихованим способом або в коробах з подальшим опечатанням коробів «стикерами».

3. Довжина високочастотного кабельного сегменту має бути мінімальною.

4. Доступ в приміщення з радіомодемами, радіомостами і станціями, оснащеними радіомережевими адаптерами повинен строго контролюватися службою безпеці підприємства.

5. Адміністратор мережі повинен детально документувати процедури налаштування радіомодемів, радіомостів і станцій, оснащених радіомережевими адаптерами.

6. Адміністратор мережі повинен регулярно міняти реквізити авторизації для видаленого управління цими пристроями.

7. Адміністратор мережі повинен виділити окремий адресний пул для адміністрування цих пристроїв по мережі.

8. Адміністратор мережі повинен відключити невживані функції радіомодемів, радіомостів і станцій, оснащених радіомережевими адаптерами.

9. Адміністратор повинен активувати функції радіомодему або радіомоста забезпечуючі «тунелирование» і криптографічний захист передаваних повідомлень, що приймаються.

10. Адміністратор повинен контролювати доступ до радіомодемів, радіомостів і станцій, оснащених радіоадаптерами з боку вузлів комп'ютерної мережі підприємства. Одін з можливих способів контролю — використання міжмережевого екрану.

4.3.2 Авторизація доступу на канальному рівні організації комп’ютерних мереж

Забезпечення безпеки розділення середовища передачі комунікаційними засобами канального рівня. Протоколи і стандарти цього рівня описують процедури перевірки доступності середовища передачі і коректності передачі даних. Здійснення контролю доступності середовища необхідне оскільки специфікації фізичного рівня не враховують те, що в деяких мережах лінії зв'язку можуть розділяється між декількома взаємодіючими вузлами і фізичне середовище передачі може бути зайнята. Переважна більшість комп'ютерних мереж побудована на основі технологій Ethernet, Fast Ethernet і Gigabit Ethernet. Алгоритм визначення доступності середовища для всіх технологій однаковий і заснований на постійному прослуховуванні середовища передачі всіма підключеними до неї вузлами. Ця особливість використовується зловмисниками для організації різних видів атак на комп'ютерні мережі. Навіть за умови дотримання рекомендацій щодо виключення розділення середовища передачі зловмисник може здійснити прослуховування трафіку між довільно вибраною парою вузлів комп'ютерної мережі. Причому використання простих комутаторів не є серйозною перешкодою для зловмисника. Твердження про повну захищеність мереж, побудованих на основі топології фізичних зв'язків «зірка» і оснащених простими комутаторами, є серйозною помилкою. Далі ми розглянемо недоліки застосування простих комутаторів як засоби забезпечення інформаційного обміну в комп'ютерних мережах на канальному рівні.

Процес передачі інформації від одного вузла (А) до іншого (Б) через простій комутатор відбувається поетапно і дані передаються блоками. Розмір блоків визначений стандартом канального рівня. Блок даних, яким оперує протокол канального рівня, називається кадром. Припустимо, що передавальний вузол (А) визначив доступність середовища і початків передачу. У першому передаваному кадрі буде широкомовний запит до всіх вузлів мережі про пошук вузла з необхідним мережевою адресою. Цей запит містить апаратна адреса вузла відправника (А) і його мережева адреса (в даному випадку мова йде про IP як протоколі мережевого рівня). Відмітимо, що комутатор відповідно до вимог специфікацій канального рівня зобов'язаний передати цей широкомовний запит всім підключеним до його портів вузлам. Звернемо увагу також на те, що в нашій комп'ютерній мережі виконана вимога про виключення розділення середовища передачі між двома вузлами, і кожен вузол підключений безпосередньо до свого порту комутатора. Проте, незважаючи, на виконання даної рекомендації, зловмисник отримає широкомовний запит вузла (А), оскільки вузол його (зловмисника може) опинитися шуканим. Таким чином, зловмисник отримуватиме нарівні зі всіма останніми широкомовні запити на дозвіл мережевих адрес. Накопичуючи відомості з широкомовних запитів, зловмисник матиме уявлення про мережеву активність всіх вузлів. Тобто про те - хто, і в який час і з ким намагався почати інформаційний обмін. За допомогою цієї нескладної техніки зловмисник може визначити апаратні і мережеві адреси вузлів що є серверами або маршрутизаторами. Кількість запитів на дозвіл мережевої адреси сервера або маршрутизатора буде на декілька порядків вище, ніж звичайній робочій станції. Сформувавши таким чином відомість мережевої активності і карту мережі з адресами передбачуваних серверів і маршрутизаторів, зловмисник може відразу приступити до реалізації атак відмови в доступі до цих вузлів. Відмітимо при цьому, що в процесі збору широкомовних пакетів зловмисник не проявляв ніякої мережевої активності, тобто залишався невидимим для всіх вузлів мережі окрім простого комутатора, до порту якого він підключений.