Протоко́л (др.-греч. πρωτόκολλον; от πρώτος «первый» + κόλλα «клей») изначально — документ, фиксирующий какое-либо событие, факт или договорённость.
Wikipedia
Разберемся в базовых протоколах с стандартах
Группа стандартов Ethernet IEEE 802.3
Для подключения клиентских устройств рекомендуется поддержка следующих стандартов:
IEEE 802.3z (1 Гбит/с);
IEEE 802.3u (100 Мбит/с);
IEEE 802.3 (10 Мбит/с).
Для подключения активного сетевого оборудования между собой рекомендуется поддержка следующих стандартов:
IEEE 802.3z (1 Гбит/с);
IEEE 802.3ae-2002 (10 Гбит/с);
IEEE 802.3ba (40 Гбит/с) — да, время пришло.
Питание по PoE (Power over Ethernet)
Если для подключения оконечных сетевых устройств нужно active PoE, то необходимо предусмотреть коммутаторы доступа с поддержкой нужных стандартов active PoE. Для наглядности ниже таблица по основным характеристиками active PoE:
Стандарт | Мощность на PSE (Power Supply Equipment), Вт | Мощность на PD (Powered Device), Вт |
IEEE 802.3af (PoE) | До 15.4 | До 12,95 |
IEEE 802.3at (PoE+) | До 30 | До 25,5 |
IEEE 802.3bt Type 3 (PoE++) | До 60 | До 51 |
Следует различать две характеристики мощности:
PSE (Power Supply Equipment) — мощность, которую коммутатор готов выдать на порт;
PD (Powered Device) — мощность, которая дойдет до оборудования (с учетом потерь).
VLAN (Virtual Local Area Network)
Не рекомендуется использовать VLAN 1 для передачи пользовательских данных. Рекомендуется использовать диапазон VLAN'ов с 2 по 1000 включительно.
Деление устройств на VLAN'ы рекомендуется выполнять из соображений получения общего сетевого доступа для последующего применения ACL. В большинстве случаев это существенно упростит задачу конфигурирования межсетевого экрана.
Протоколы обмена базой данных VLAN'ов
Протоколы обмена базой данных VLAN'ов рекомендуется отключить. Примеры протоколов обмена базой данных VLAN'ов:
VTP (VLAN Trunk Protocol);
GVRP (Generic VLAN Registra on Protocol).
Саму возможность передачи сообщений протоколов для обмена базой данных VLAN'ов также лучше отключить (использование transparent mode также не рекомендуется, т.к. это создает среду для передачи сообщений данного протокола).
DTP (Dynamic Trunking Protocol)
DTP рекомендуется отключить, тип порта рекомендуется указать явно как access или trunk.
LACP (Link Aggregation Control Protocol)
Для объединения нескольких физических каналов в один логический рекомендуется применять протокол LACP (IEEE 802.3ad) с целью предотвращения возможных L2 петель в сети, которые могут быть вызваны ошибкой конфигурации или коммутации, в случае использования статически заданной агрегации портов.
STP (Spanning Tree Protocol)
Для минимизации использования проприетарных протоколов в сети, рекомендуется применение открытого протокола MSTP (Multiple Spanning Tree Protocol, IEEE 802.1s) с грамотным построением дерева STP. Перечислим основные рекомендации, которые помогут ничего не забыть:
На всех портах типа access рекомендуется включить port edge с двумя целями:
a) Отсутствие лишних сообщений STP TCN в L2 домене при выключении / включении устройства в порт коммутатора;
b) Быстрое включение передачи пользовательских данных при включении устройства в порт коммутатора;
На всех портах типа access рекомендуется включить stp guard root, а также bpdu guard, чтобы при появлении BPDU-пакета порт переходил в состояние error disabled;
На downlink портах коммутаторов ядра распределения рекомендуется включить технологии root guard;
Для настройки портов сторонних подключений, таких как провайдер Интернета, рекомендуется включить фильтрацию BPDU (bpdu lter);
Uplink порты коммутаторов распределения к резервному коммутатору ядра должны быть в роли Alternate;
Нежелательно использование half duplex портов;
На всех trunk портах рекомендуется явно указать тип порта point-to-point, чтобы гарантировать быструю сходимость протокола STP;
Storm-control
Рекомендуется предусмотреть механизм контроля широковещательных (broadcast), многоадресных (multicast) штормов. Максимальный уровень broadcast или multicast трафика рекомендуется выставить на 10 процентов от полосы пропускания интерфейса. При достижении порогового значения будет хорошо, если система как минимум будет отправлять SNMP trap и syslog сообщение.
DHCP snooping
На всех коммутаторах (и на всех VLAN-ах) рекомендуется включить DHCP snooping. Все порты коммутаторов должны быть недоверенными, кроме uplink портов и портов подключения к DHCP серверу.
Dynamic ARP inspection
На всех VLAN'ах, где включен DHCP snooping и нет оконечных сетевых устройств со статическими настройками IP-адресации, рекомендуется включить Dynamic ARP inspection.
Для стабильной работы протокола некоторые производители предусматривают использование FTP или TFTP серверов для резервного хранения базы данных механизма Dynamic ARP inspection. Таким образом, в случае перезагрузки коммутатора оборудование сможет восстановить базу данных из резервной копии на FTP/TFTP сервере.
LLDP (Link Layer Discovery Protocol, IEEE 802.1AB)
Активное сетевое оборудование чаще всего будет поддерживать протокол LLDP, который позволяет сетевым устройствам анонсировать в сеть информацию о себе и о своих возможностях, а также собирать эту информацию о соседних устройствах. Протокол LLDP рекомендуется выключить на портах подключения к сторонним сетевым устройствам, например, к оборудованию оборудованию провайдеров.
Proxy ARP
Proxy ARP (RFC 1027) лучше отключить или использовать осознанно, так как это позволяет не использовать адрес шлюза в сетевых настройках оконечных сетевых устройств, что может дать ложные представление о корректности сетевых настроек. Например, если в сетевых настройках принтера нет адреса шлюза по умолчанию или он некорректный, но Proxy ARP позволит принтеру корректно работать. При замене оборудования или выключении Proxy ARP неправильно настроенные устройства не будут работать корректно.
VRRP (Virtual Router Redundancy Protocol)
Для объединения двух маршрутизаторов в один виртуальный маршрутизатор и назначения общего виртуального IP-адреса, рекомендуется использовать открытый протокол VRRP (RFC 5798).
OSPF (Open Shortest Path First)
Для осуществления обмена IP маршрутами между L3 устройствами сети рекомендуется использовать протокол OSPF (RFC 2328, RFC 5709). Для достижения максимально быстрой сходимости протокола OSPF рекомендуется использование протокола BFD (Bidirectional Forwarding Detection, RFC 5880, RFC 5881) совместно с OSPF. BFD позволяет сократить время обнаружения проблемы на канале до 50 мс.
Для обеспечения безопасности протокола OSPF рекомендуется обеспечить шифрование передаваемых служебных сообщений протокола OSPF методом MD5 или hmac-sha-256 (наиболее приоритетный метод).
Наиболее общие настройки сетевого оборудования
Доступ на активное сетевое оборудование
Для аутентификация на оборудование рекомендуется применение RADIUS сервера. В случае недоступности RADIUS сервера должна применяться локальная аутентификация;
Пароль от локальной учетной записи рекомендуется хранить на оборудовании в зашифрованном виде;
Для подключения к сетевому оборудованию рекомендуется использовать SSHv2, HTTPS, API;
В целях безопасности доступы по HTTP и telnet рекомендуется закрыть;
Порт для подключения по протоколу SSH рекомендуется заменить со стандартного TCP/22 на кастомный TCP/XXXX. Эта мера не так значительна, но мы стараемся использовать все возможности для увеличения времени потенциального взлома;
Для доступа на активное сетевое оборудование рекомендуется предусмотреть ACL (Access- Control List), определяющие адреса устройств, с которых разрешено подключаться к оборудованию;
Типы портов (L2)
Access порт – это порт, который передает и принимает только нетегированные фреймы.
Trunk порт – это порт, который передает и принимает тегированные фреймы, без тега передается и принимается только native VLAN.
Гибридный порт – передает и принимает тегированные и нетегированные фреймы, при этом в качестве нетегированного фрейма можно передавать не native VLAN. Может потребоваться при подключении некоторых типов оконечных устройств, таких как IP-телефоны, точки доступа Wi-Fi (в режиме local switched).
Рекомендации по настройке access и гибридных портов:
port edge;
stp root guard;
stp bpdu guard;
DHCP-snooping untrust;
ARP-inspection (только если устройство получает IP-адрес динамически);
rate-limit (multicast, broadcast);
switch off SNMP trap, SYSLOG;
выключить DTP negotiation;
IEEE 802.1x (при необходимости авторизации);
Port-Security (при необходимости).
Рекомендации по конфигурации trunk портов между коммутаторами
В качестве native VLAN рекомендуется использовать дефолтный VLAN 1;
Рекомендуется включить SNMP trap и логирование SYSLOG (изменение статусов Up, Down);
На всех trunk портах рекомендуется явно указать тип порта point-to-point;
На всех trunk портах рекомендуется разрешить все VLAN'ы, которые используются на коммутаторе.
Рекомендации к конфигурации ACL
Для уменьшения “площади атаки” рекомендуется разработать и внедрить правила ACL между различными сегментами сети. Трафик, не разрешенный в явном виде, рекомендуется блокировать. Для простоты управления и визуализации правил удобно использовать матрицу правил, например:
VLAN-10 | VLAN-20 | VLAN-30 | Internet | |
VLAN-10 | n/a | Rule 1 | Rule 2 | Rule 3 |
VLAN-20 | Rule 1 | n/a | - | - |
VLAN-30 | Rule 2 | - | n/a | Rule 4 |
Паспорта объектов
Для каждого типа оконечного сетевого оборудования, подключаемого к ЛВС, рекомендуется создать паспорт объекта, в котором могут быть отображены требования к правилам межсетевого экрана и поддерживаемые протоколы аутентификации.
Исходящий трафик (устройство Х) | ||||||
Dst. IP | VLAN | Descr. | Transport | Port | Service name | Comment |
10.1.1.1/32 | VLAN_10 | DNS server | UDP | 53 | ВNS | Основной DNS сервер |
… | … | … | … | … | … | … |
Входящий трафик (устройство Х) | ||||||
Src. IP | VLAN | Descr. | Transport | Port | Service name | Comment |
10.1.2.0/24 | VLAN_20 | ПК админа | TCP | 443 | HTTPS | Настройка |
… | … | … | … | … | … | … |
Методы аутентификации (устройство Х) | ||||||
Device | Model | 802.1x | EAP methods | |||
Cisco phone | 3905 | Да | EAP-TLS, PEAP | |||
… | … | … | … | |||
Кратко по вопросам безопасности в форме таблиц
Уязвимости на уровне L2 и технологии защиты
Уязвимость | Тип атаки | Технология защиты | Описание технологии защиты |
Переполнение таблицы МАС адресов коммутатора | Отказ в обслуживании | Система контроля доступа, port security | Только авторизованные устройства / пользователи получают доступ в сеть |
DHCP spoofing – подмена DHCP-сервера для выдачи клиенту ложных данных IP-адресации | Перехват информации, отказ в обслуживании | DHCP snooping | Только доверенные порты будут передавать DHCP Offer и DHCP ACK (пакеты от сервера). Это предотвращает от влияния несанкционированных (мошеннических) DHCP-серверов |
ARP Cache Poisoning (man-in-the middle) – способ организации перехвата пользовательского трафика | Перехват информации, отказ в обслуживании | Dynamic ARP inspection, совместно с DHCP Snooping, только для VLAN'ов, где все устройства получают IP-адрес по DHCP | Проверяет подлинность ARP-сообщения, на основании данных из таблицы DHCP snooping |
Шторм (broadcast, multicast) | Отказ в обслуживании | storm-control | Порт переводится в состояние error-disabled при достижении порогового значения шторма |
Семейство протоколов STP | Отказ в обслуживании, вмешательство в L2 топологию сети | rood guard, bpdu guard, bpdu filter в совокупности с планированием STP-приоритетов коммутаторов | Технологии нацелены на предотвращение вмешательства в топологию L2 |
VLAN hopping | Получение несанкционированного доступа | Отключение протокола DTP, запрет использовать VLAN 1 | Отключение DTP позволит злоумышленнику устанавливать тегированное trunk соединение |
Активное сетевое оборудование | Несанкционированный доступ на оборудование | Использование SSH. Применение RADIUS сервера. Изменение стандартного порта для SSH. ACL с “белым списком” доступа | Протокол SSH позволяет шифровать трафик управления оборудованием. Изменение стандартного порта SSH и применение ACL с “белым списком” добавляют сложности для злоумышленника. |
Неизвестная | Неизвестный | Снижение площади атаки | Правила межсетевого экрана, разрешающие только нужные сервисы, запрещающие все остальное. |
Уязвимости на уровне L3-L7 и технологии защиты
Уязвимость | Тип атаки | Технология защиты | Описание технологии защиты |
Известное вредоносное ПО (есть в базах) | Размещение вредоносного ПО в сети | Anti-virus, anti-malware | Сигнатурный анализ пересылаемых файлов |
Новый вирус (нет в базах) | Размещение вредоносного ПО в сети | SandBox | Проверка подозрительных пересылаемых файлов в “песочнице” |
Известная уязвимость операционных систем | Получение доступа с использованием известной уязвимости ОС | IPS | Сигнатурный анализ сетевого трафика |
Подбор паролей | Brute force | Rate-based IPS | Блокирование сессий, превышающих заданные пороги по частоте событий |
Межсетевой экран | Перехват информации, отказ в обслуживании | Использование SSH Применение RADIUS сервера. Изменение стандартного порта для SSH. ACL с “белым списком” доступа | Протокол SSH позволяет шифровать трафик управления оборудованием. Изменение стандартного порта SSH и применение ACL с “белым списком” позволяет добавить сложности для злоумышленника. |
Неизвестная | Неизвестный | Снижение площади атаки | Правила межсетевого экрана, разрешающие только нужные сервисы, запрещающие все остальное. |
Резюме
Теперь у нас есть базовый набор технологий и вопросов, которые лучше учесть при планировании и построении вендор-независимой и отказоустойчивой ЛВС. В зависимости от бизнеса компании есть наиболее подходящие узкие решения, но мы ведем речь о наиболее общей сети предприятия, которая предоставляет сервис не только для ПК сотрудников. Например, количество ПК сотрудников может быть незначительным, в сравнении с другими системами, такими как телевидение, телефоны, гостевые устройства, копировальная техника, ВКС, аудиовещание, СКУД, противопожарные системы, рекламные системы, разные специализированные системы автоматики и многое-многое другое.
