Ограничение доступа к сети
Port Security и таблица фильтрации коммутатора
В коммутаторах, помимо стандартной функции динамического построения таблицы MAC-адресов на основе адресов входящих пакетов, реализована функция настройки статической таблицы MAC-адресов. Это позволяет в полной мере контролировать прохождение пакетов через коммутатор, блокируя доступ к сети компьютерам с неизвестными коммутатору МАС-адресами.
Во-первых, можно заблокировать дальнейшее обновление таблицы коммутатора – если конфигурация вашей сети более не изменяется, вы блокируете таблицу MAC-адресов, и т.о. коммутатор будет просто отбрасывать все пакеты, которые поступают с неизвестного адреса.
Во-вторых, можно вручную привязать определенный MAC-адрес к порту коммутатора, и тем самым коммутатор будет постоянно хранить соответствие MAC-адрес-порт, даже при длительной неактивности устройства или при перегрузках сети.
Коммутаторы имеют возможность настроить таблицу фильтрации MAC-адресов, указав MAC-адрес устройства, и входящие и исходящие пакеты с указанным адресом будут ими отбрасываться.
Таким образом, используя вышеперечисленные функции или их комбинации, можно обеспечить защиту сети от несанкционированного доступа. Например, если привязать MAC-адреса рабочих станций сети (при условии, что структура сети не изменится в течение определенного времени) к портам коммутатора, а затем заблокировать таблицу коммутатора, можно запретить прохождение пакетов от неизвестных адресов. Данная функция оказывается весьма полезной при построении домовых сетей, сетей провайдера Интернет и локальных сетей с повышенным требованием по безопасности, т.к. исключает доступ незарегистрированных рабочих станций. Подделка MAC-адреса, хотя и возможна, но остается более трудной задачей, чем подделка IP-адреса, следовательно, вы можете обеспечить весьма приемлемый уровень безопасности.
Сегментация трафика
Функция сегментации трафика позволяет настраивать порты таким образом, чтобы они были изолированы друг от друга, но при этом имели доступ к разделяемым портам, используемым для подключения серверов и магистрали сети провайдера. Данная функция может быть использована при построении сетей провайдеров.
Протокол IEEE 802.1x
Протокол IEEE 802.1х определяет доступ на основе модели Клиент/Сервер и протокол аутентификации, который не позволяет неавторизованным устройствам подключаться к локальной сети через порты коммутатора. Сервер аутентификации (Remote Authentication in Dial-In User Service, RADIUS) проверяет права доступа каждого клиента, подключаемого к порту коммутатора прежде, чем разрешить доступ к любому из сервисов, предоставляемых коммутатором или локальной сетью.
До тех пор, пока клиент не будет аутентифицирован, управление доступом протокола 802.1х позволит только трафику протокола Extensible Authentication Protocol over LAN (EAPOL) проходить через порт, к которому подключен клиент. После успешной аутентификации, обычный трафик может передаваться через порт. При 802.1х аутентификации на основе портов, устройства в сети выполняют определенные роли:
Клиент – Это рабочая станция, которая запрашивает доступ к локальной сети и сервисам коммутатора и отвечает на запросы от коммутатора. На рабочей станции должно быть установлено клиентское программное обеспечение для 802.1x (встроено в современные сетевые операционные системы, например в ОС Microsoft Windows).
Сервер аутентификации – выполняет фактическую аутентификацию клиента. Сервер аутентификации проверяет подлинность клиента и информирует коммутатор предоставлять или нет клиенту доступ к локальной сети. Во время процедуры аутентификации коммутатор работает как прокси-сервер, поэтому сервис аутентификации прозрачен для клиента.
Коммутатор (также называется аутентификатор (authenticator)) – управляет физическим доступом к сети, основываясь на статусе аутентификации клиента. Коммутатор работает как посредник между клиентом и сервером аутентификации, получая запрос на проверку подлинности от клиента, проверяя данную информацию при помощи сервера аутентификации, и пересылая ответ клиенту. Коммутатор включает клиент RADIUS, который отвечает за инкапсуляцию и деинкапсуляцию кадров EAP и взаимодействие с сервером аутентификации.
Инициировать процесс аутентификации может или коммутатор или клиент.
Клиент инициирует аутентификацию, посылая кадр EAPOL-start, который вынуждает коммутатор отправить ему запрос на идентификацию. Когда клиент отправляет ЕАР – ответ со своей идентификацией, коммутатор начинает играть роль посредника, предающего кадры ЕАР между клиентом и сервером аутентификации до успешной или неуспешной аутентификации. Если аутентификация завершилась успешно, порт коммутатора становится авторизованным.
Аутентификация 802.1х может быть выполнена как на основе МАС-адресов, так и на основе портов:
При аутентификации 802.1x на основе MAC-адресов сервер проверяет не только имя пользователя/пароль, но и максимальное количество MAC-адресов, доступных для работы. Если предел достигнут, то он блокирует новый MAC-адрес.
При аутентификации 802.1x на основе портов, после того, как порт был авторизован, любой пользователь, подключенный к порту, может получить доступ к локальной сети.
Когда клиент завершает сеанс работы, он посылает сообщение EAPOL-logoff, переводящее порт коммутатора в неавторизованное состояние. Если состояние канала связи порта переходит из активного в неактивное, порт также возвращается в неавторизованное состояние.
Ограничения аутентификации 802.1х на основе портов: протокол 802.1х не поддерживает агрегированные каналы.
Списки управления доступом (Access Control Lists, ACL)
Списки управления доступом (Access Control Lists) обеспечивают ограничение прохождения трафика через коммутатор. Профили доступа указывают коммутатору, какие виды пакетов принимать, а какие – отвергать. Прием пакетов или отказ в приеме основывается на определенных признаках, таких как адрес источника, адрес приемника или адрес порта.
Профиль управления доступом дает возможность управлять трафиком и просматривать определенные пакеты, применяя списки доступа (ACL) на всех интерфейсах коммутатора.
В коммутаторах существует два основных типа профилей управления доступом: Ethernet и IP. Фильтрация в этих типах профилей может выполняться на основе МАС-адресов источника и приемника, VLAN, IP-адресов, номеров портов.
Профили доступа работают последовательно, в порядке возрастания их номеров (Profile ID). Пакет проверяется на соответствие условиям, указанным в профилях доступа, начиная с первого профиля. Если профиль подходит, пакет или принимается или отбрасывается и дальше не проверяется. Если не один профиль не подходит, применяется политика по умолчанию.
- Информационные сети
- Содержание
- Часть I. Общие принципы построения вычислительных сетей
- Основные понятия вычислительных сетей
- Эволюция вычислительных систем
- Понятие и основные компоненты сети.
- Преимущества использования сетей.
- Основные вопросы построения сетей.
- Топология физических связей сети.
- Организация совместного использования линий связи.
- Адресация компьютеров.
- Структуризация сети.
- Организация вычислений в сети.
- Классификация компьютерных сетей.
- По территориальному признаку, то есть по величине территории, которую покрывает сеть (локальные и глобальные сети).
- По масштабу производственного подразделения, в пределах которого действует сеть (сети отделов, кампусов и корпораций).
- По наличию выделенного сервера.
- Характеристики вычислительных сетей.
- Производительность.
- Надежность и безопасность.
- Расширяемость и масштабируемость.
- Прозрачность.
- Поддержка разных видов трафика.
- Многоуровневый подход к описанию средств сетевого взаимодействия.
- Сообщение как единица информации в сети.
- Эталонная модель взаимодействия открытых систем (эмвос) osi.
- Уровни модели osi.
- Стандартные стеки коммуникационных протоколов.
- Основы передачи дискретных данных.
- Линии связи.
- Типы линий связи.
- Аппаратура линий связи.
- Передача с установлением соединения и без установления соединения.
- Обнаружение и коррекция ошибок.
- Компрессия данных.
- Методы коммутации.
- Коммутация каналов.
- Коммутация пакетов.
- Коммутация сообщений.
- Построение локальных сетей по стандартам физического и канального уровня.
- Протоколы и стандарты канального уровня локальных сетей.
- Раздел 802.2 определяет подуровень управления логическим каналом llc.
- Технология Ethernet (ieee 802.3).
- Общая характеристика технология Ethernet.
- Метод доступа csma/cd.
- Спецификации физической среды Ethernet.
- Технология Fast Ethernet (ieee 802.3u).
- Технология Gigabit Ethernet (ieee 802.3ab, ieee 802.3z).
- Технология 10 Gigabit Ethernet (ieee 802.3ae).
- Технология Token Ring (ieee 802.5).
- Общая характеристика технологии.
- Маркерный метод доступа к разделяемой среде.
- Физический уровень технологии Token Ring.
- Технология fddi.
- Общая характеристика технологии.
- Особенности метода доступа.
- Физический уровень технологии fddi.
- Технология беспроводных локальных сетей (ieee 802.11).
- Обзор стандартов wlan.
- Режимы функционирования беспроводных сетей.
- Физические топологии беспроводных сетей.
- Архитектура беспроводной сети.
- Структурообразующее оборудование локальной сети.
- Структурированная кабельная система локальной сети.
- Сетевые адаптеры.
- Повторители и концентраторы.
- Логическая структуризация сети.
- Причины логической структуризации.
- Алгоритм моста.
- Коммутаторы локальных сетей
- Общие понятия
- Методы коммутации
- Архитектура коммутаторов
- Дополнительные функции коммутаторов
- Виртуальные локальные сети
- Vlan на базе портов
- Vlan на базе mac-адресов
- Vlan на базе меток – стандарт 802.1q
- Алгоритм покрывающего дерева Spanning Tree
- Агрегирование портов и создание высокоскоростных сетевых магистралей
- Обеспечение качества обслуживания (QoS)
- Ограничение доступа к сети
- Сетевой уровень как средство построения больших сетей.
- Объединение сетей на основе протоколов сетевого уровня.
- Ограничения сетей, объединенных на основе протоколов канального уровня.
- Принципы объединения сетей на основе протоколов сетевого уровня. Понятие составной сети.
- Понятие маршрутизатора, принципы маршрутизации.
- Принципы маршрутизации.
- Функции маршрутизатора.
- Коммутация третьего уровня.
- Глобальные компьютерные сети.
- Основные понятие глобальной сети.
- Структура глобальной сети.
- Типы глобальных сетей.
- Глобальные связи на основе выделенных линий.
- Аналоговые выделенные линии.
- Цифровые выделенные линии.
- Глобальные сети с коммутацией каналов.
- Аналоговые телефонные сети.
- Цифровые телефонные сети.
- Isdn – сети с интегральными услугами.
- Глобальные сети с коммутацией пакетов.
- Принцип коммутации пакетов с использованием техники виртуальных каналов.
- Сети х.25.
- Сети Frame Relay.
- Технология atm.
- Удаленный доступ к сети.
- Средства управления сетями.
- Системы управления сетями.
- Мониторинг и анализ локальных сетей.