DOI 10.24411/2658-3569-2020-10061

Безопасность в локальных компьютерных сетях на уровне доступа

Security in local computer networks at the access level

Успаева Милана Гумкиевна, кандидат экономических наук, ФГБОУ ВО «Чеченский государственный университет», кафедра финансов и кредита, доцент кафедры финансов и кредита

Гачаев Ахмед Магомедович, кандидат физико-математических наук, доцент, Грозненский государственный нефтяной технический университет им. акад. М.Д. Миллионщикова, Комплексный научно-исследовательский институт им. Х.И. Ибрагимова РАН, заведующий кафедрой «Высшая и прикладная математика»

Uspaeva Milana Gumkievna

Gachaev Akhmed Magomedovich

Аннотация. Локальные компьютерные сети массово эксплуатируются более трех десятилетий. В сравнении с современными, тогдашние сети были достаточно малыми и специфическими, насчитывали небольшое количество рабочих станций. Нынешние локальные компьютерные сети с выходом к всемирной сети Интернет насчитывают десятки и даже сотни тысяч рабочих станций. Проблема защиты таких сетей всегда была актуальной, а сейчас приобрела особое значение в связи с необходимостью обеспечения стабильности и надежности их работы. Каждый Интернет-провайдер стремится предоставлять пользователям качественный доступ ко всем ресурсам сети. Но при этом он должен быть защищен от попыток взлома и различных сетевых атак. Все сети, имеющие выход к всемирной сети Интернет, состоят из коммутаторов и, по крайней мере, одного маршрутизатора. Коммутаторы делятся на две категории: коммутаторы уровня доступа (Access Switch) и коммутаторы агрегации (магистральные коммутаторы). Особого внимания требует проблема защиты сетей на уровне коммутаторов доступа.

Summary. Local computer networks have been massively exploited for more than three decades. In comparison with modern networks of that time, they were quite small and specific, with a small number of workstations. Today’s local computer networks with access to the world wide Internet number tens or even hundreds of thousands of workstations. The problem of protecting such networks has always been relevant, and now it has become particularly important in connection with the need to ensure the stability and reliability of their operation. Every Internet provider strives to provide users with high-quality access to all network resources. However, it must be protected from hacking attempts and various network attacks. All networks connected to the world wide web consist of switches and at least one router. Switches are divided into two categories: Access-level switches (Access Switch) and aggregation switches (trunk switches). The problem of network protection at the level of access switches requires special attention.

Ключевые слова: локальные сети, ИИ, доступ, безопасность.

Keywords: local networks, AI, access, security.

Port security – функция коммутатора, которая позволяет указывать МАС-адреса хостов, которым разрешено передавать данные через порт. После настройки порт не передает пакеты, если MAC-адрес отправителя не указан как разрешенный. Кроме того, можно указать не конкретные mac-адреса, разрешенные на порту коммутатора, а ограничить количество МАС-адресов, которым разрешено передавать трафик через порт. Функция используется для предупреждения несанкционированной смена МАС-адреса сетевого устройства или подключения к сети, а также атак, направленных на переполнение таблицы коммутации [3].

IP Source Guard (Dynamic IP Lockdown) – функция коммутатора, которая ограничивает IP-трафик на интерфейсах 2-го уровня, фильтруя его на основе привязок DHCP Snooping и статических соответствий. Функция применяется для борьбы с IP-Spoofing’ом [4].

Каждый входящий пакет этой функцией может проверяться на соответствие IP-адреса источнику адреса из базы DHCP Snooping (ІР-адрес закрепляется за портом коммутатора), а также на соответствие МАС-адреса источника адресату, полученному из базы DHCP Snooping.

DHCP Snooping – функция коммутатора, предназначенная для защиты от атак с использованием протокола DHCP. Например, атаки с подменой DHCP-сервера в сети или атаки DHCP Starvation, которая заставляет DHCP-сервер выдать все существующие на сервере адреса злоумышленнику. DHCP Snooping реагирует только на сообщения DHCP и не може повлиять напрямую на трафик пользователей или другие протоколы. Некоторые функции коммутаторов, не имеющих отношения к DHCP, могут выполнять проверки на основе таблицы привязок DHCP Snooping (DHCP Snooping binding database). В их числе Dynamic ARP Protection (Inspection) – проверка ARPпакетів, направленная на борьбу с ARP-spoofing, а также IP Source Guard.

DHCP Snooping позволяет: защитить клиентов в сети от получения адреса от неавторизованного DHCP-сервера; регулировать какие сообщения протокола DHCP отбрасывать, а какие перенаправлять и на какие порты.

Для корректной работы DHCP Snooping необходимо указать какие порты коммутатора будут доверенным (trusted), какие – нет (untrusted, ненадежные).

Ненадежные – это порты, к которым подключены клиенты. DHCP-ответы, поступающие из этих портов, отбрасываются коммутатором. Для ненадежных портов выполняется ряд проверок сообщений и создается база данных привязки DHCP (DHCP Snooping binding database).

Надежные (trusted) – порты коммутатора, к которым подключен другой коммутатор или DHCP сервер. DHCP-пакеты, полученные через доверенные порты, не отвергаются [5].

Dynamic ARP Inspection (Protection) – функция коммутатора, предназначенная для защиты от атак с использованием протокола ARP. Например, атаки ARP-Spoofing, которая позволяет перехватывать трафик между узлами, которые размещены в пределах одного широковещательного домена. Эта функция реагирует только на сообщения протокола ARP и не может повлиять напрямую на трафик пользователей или на другие протоколы.

Dynamic ARP Inspection позволяет защитить клиентов сети от атак с использованием протокола ARP и регулировать, какие сообщения протокола ARP отбрасывать, которые перенаправлять.

Для правильной работы Dynamic ARP Inspection необходимо определить доверенных (trusted) и недоверенных (untrusted) порты коммутатора. Недоверенные  – это порты, к которым подключены клиенты. Для ненадежных портов выполняется ряд проверок сообщений ARP. Доверенные порты коммутатора, к которым подключен другой коммутатор.

Сообщения протокола ARP, полученные из доверенных портов, не откидываются.

Access Control List (списки доступа, ACL) – это набор текстовых выражений, которые разрешают или запрещают определенные операции, которые выполняют сетевые устройства. Списки доступа является основным механизмом фильтрации пакетов, обычно разрешают или запрещают ИР-пакеты, но могут и заглядывать внутрь IP-пакета, просматривать тип IP-пакета, TCP и UDP порты. ACL существуют для разных протоколов.

В современных сетях пользователям предоставляются услуги телевидения IPTV. Для предоставления multicast-потока пользователю используется функция MVR – Multicast Vlan Registration. MVR позволяет эффективно распространять multicast-потоки IPTV через сети Ethernet уровня 2 и экономить объем использования каналов связи, который нуждается multicast-трафик. Правила конфигурирования MVR напрямую зависят от модели коммутатора. Самая распространенная проблема, которая может возникать во время использования этого функционала заключается в том, что в каком-то случае multicast-поток может пойти не к пользователю, а от пользователя. Эту уязвимость могут использовать злоумышленники. Кроме того, обратный поток может возникнуть из-за некорректной настройки программного обеспечения со стороны пользователя сети. Чтобы избежать этой проблемы, необходимо разделить порты коммутатора на доверенные и недоверенные. На доверенных портах (то есть тех, к которым подключены другие коммутаторы или сервер multicast-потока) прописать команду «mvr type source». На таких портах направление прохождения multicast-трафика не контролируется. На недоверенных портах (то есть портах, к которым подключены пользователи) необходимо прописать команду «mvr type receiver». В этом случае порт будет только принимать multicast-трафик. Чтобы запретить пользователю выступать в качестве источника потока, необходимо обязательно прописать команду «ip igmp query-drop». Остальные параметры являются индивидуальными, что значительно расширяет гибкость применения. Форматы записи команд и их поддержка зависит от коммутатора, что используется в сети.

Spanning Tree Protocol (STP) – сетевой протокол (или семейство сетевых протоколов) предназначенный для автоматического удаления циклов (петель коммутации) по топологии сети на канальном уровне в Ethernet-сетях.

Не смотря на то, что протокол был разработан именно для управления сетью, создание дополнительных избыточных соединений с целью резервирования и повышения надежности, его целесообразно также применять и для защиты. Во время работы коммутаторы с поддержкой STP обмениваются специальными BPDU сообщениями. Некоторые абонентские устройства (чаще всего это Wi-Fi роутеры) через некорректные настройки, или проблемы самого устройства, начинают отсылать в сеть BPDU-пакеты с сообщением, что это устройство корневым устройством (root-коммутатором). Коммутатор, который получает такое сообщение, может, согласно его настроек, перестроить свою топологию и начать направлять все пакеты не в магистральный порт, а в абонентский. В этом случае возможна потеря управления целыми ветвями сети, а диагностика и выявление проблемы занимает очень много времени и требует огромных усилий. Чтобы избежать указанной проблемы, необходимо блокировать абонентский порт в случае получения с него BPDU-пакетов.

Использование альтернативной технологии Traffic Segmentation на коммутаторах DLink с целью дополнительной защиты. Поскольку коммутаторы D-Link имеют ряд существенных недостатков, а именно: отсутствие функционала DHCP Snooping, отсутствие поддержки некоторыми моделями списков доступа, невозможность одновременного применения функций Port Security, IP Source Guard и тому подобное, существует альтернативный вариант обеспечения безопасности, который значительно повышает надежность работы сети. Технология называется Private VLAN (Traffic Segmentation) и заключается в том, что порт абонента, кроме выделения в определенный VLAN, дополнительно изолируется в своеобразный туннель и может обмениваться пакетами только с Uplink портом коммутатору. Все пакеты проходят только на маршрутизатор (ядро сети), где можно очень гибко настраивать фильтры и ограничения, тем самым повысить безопасность. Обмен пакетами между пользователями в пределах комутатору невозможен, весь обмен происходит с участием ядра сети [12]. Обязательным условием является включение в ядре функции Local Proxy ARP, иначе пользователи станут полностью изолированы, и станет невозможным обмен пакетами между ними. Применение Traffic Segmentation так же исключает применение функции DHCP Relay, поскольку несанкционированные DHCP-ответа не попадут к другим пользователям, а будут уничтожаться фильтром на ядре. Настраивается функция на коммутаторе следующим образом. Uplink-порт (порт 28) может обмениваться пакетами со всеми портами:

config traffic_segmentation 28 forward_list 1-28

Порты с абонентами могут обмениваться пакетами только с Uplink-портом:

config traffic_segmentation 1 forward_list 1,28 config traffic_segmentation 2 forward_list 2,28 config traffic_segmentation 3 forward_list 3,28

И так продолжается для всех остальных портов. Следует отметить, что эта функция должна быть обязательно настроена и на коммутаторах агрегации для создания тоннеля до ядра сети.

Выводы. В области создано достаточное количество действенных технологий для защиты локальных сетей. Требования безопасности требуют постойного усовершенствования этих технологий. В конкурентной борьбе Интернет-провайдеры используют как общеизвестные, так и собственные стратегии защиты, исключая выход из строя сети или отдельных ее участков. Для обеспечения безотказности и стабильности в работе продолжается поиск новых технологий и вариантов расширения возможностей существующих систем защиты. Рассмотренные в статье примеры использования действующих средств в расширенном диапазоне способствуют повышению надежности в работе и не требуют дополнительных портов на обслуживание сети, что является экономически выгодным для провайдеров. Комплексное применение средств защиты Port security, IP Source Guard, DHCP Snooping, Dynamic ARP Inspection, Access Control List, Spanning Tree Protocol, Private VLAN с прикладными средствами позволяет создать максимально защищенную сеть от взлома, хакерских атак и сбоев в работе оборудования.

Следует заметить, что в отдельных случаях из-за ограниченности функционала сетевого оборудования использование некоторых вышеупомянутых функций невозможно. Поэтому необходимо разрабатывать альтернативные средства повышения безопасности и надежности. Как пример такого приема приведены использование технологии Private VLAN (Traffic Segmentation) на коммутаторах D-Link. Показано, что при условии отсутствия поддержки определенных функций применен альтернативный вариант, который обеспечивает надежность работы сети.

Специфическое использование технологии STP позволяет заблокировать лишний неконтролируемый служебный трафик в сети, тем самым администратор сети имеет возможность полностью избежать непредсказуемых последствий и трудно индицируемых проблем во время использования этой технологии.

Практический опыт применения современных технологий свидетельствует о необходимости обеспечения гибкости и надежности систем защиты, а также их многовариантности и постоянного усовершенствования.

Список использованной литературы

1. Пинженин В. Безопасность сети на основе 802.1 х и SFlow, «идеальная и недостижимая» / Владислав Пинженин / Сетевые решения. – 2019. – №1. – С. 38-42.
2. Любохинец С. Ответ компании Cisco на современные угрозы безопасности / С. Любохинец // VIII-й Международный Security Innovation Forum 2018. – СпБ: 27 ноября 2018 г. – С. 29-33.
3. Port security [Электронный ресурс] // – Режим доступа: http://xgu.ru/wiki/Port_security 
4. Wallace K. CCNP Routing and Switching 300-135 TSHOOT Official Cert Guide / Kevin Wallace, Raymond Lacoste – Published by Cisco Press, 2017. – 1024 p.
5. Олифер В. Г. Компьютерные сети. Принципы, технологии, протоколы / У. Г. Олифер, Н. А. Олифер. – 4-е изд. – Санкт-Петербург : Питер, 2019. – 944 с.
6. Dynamic ARP Protection [Электронный ресурс] // – Режим доступа: http://xgu.ru/wiki/Dynamic_ARP_Protection 
7. Абаева Б. К. Вопросы проектирования сетей IPTV / Б. К. Абаева // T-Comm – Телекоммуникации и Транспорт. – 2016. – №7-2010. – С. 104-106.
8. Хилл Бы. Полный справочник по Cisco / Брайан Хилл. – Москва : Издательский дом «Вильямс», 2020. – 1079 с.
9. Configuring IP Source Guard on the Switch [Электронный ресурс] // – Режим доступа: http://go-url.ru/dphx
10. Как в сети ISP предотвратить появление поддельных несанкционированных DHCP серверов? [Электронный ресурс] // – Режим доступа: http://www.dlink.ru/ru/faq/62/198.html
11. Configuring Dynamic ARP Inspection. Performing Validation Checks [Электронный ресурс] // – Режим доступа: http://go-url.ru/dphz 
12. Semenyutina, A., Noyanova, N., & kurmanov, N. (2018). Scientific justification of selection of plants for sanitary protection zones in arid region. World Ecology Journal, 8(1), 52-68. https://doi.org/https://doi.org/10.25726/NM.2018.1.1.005
13. Semenutina, A., Khuzhakhmetova, A., Semenutina, V., Svintsov, I. (2018). A method of evaluating pigment complex wood plants as an indicator of adaptation to dry conditions. World Ecology Journal, 8(1), 69-82. https://doi.org/https://doi.org/10.25726/NM.2018.1.1.006