Автоматизація доступу до каналів комп'ютерних мереж
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
іомоста забезпечуючі тунелирование і криптографічний захист передаваних повідомлень, що приймаються.
10. Адміністратор повинен контролювати доступ до радіомодемів, радіомостів і станцій, оснащених радіоадаптерами з боку вузлів компютерної мережі підприємства. Одін з можливих способів контролю - використання міжмережевого екрану.
4.3.2 Авторизація доступу на канальному рівні організації компютерних мереж
Забезпечення безпеки розділення середовища передачі комунікаційними засобами канального рівня. Протоколи і стандарти цього рівня описують процедури перевірки доступності середовища передачі і коректності передачі даних. Здійснення контролю доступності середовища необхідне оскільки специфікації фізичного рівня не враховують те, що в деяких мережах лінії звязку можуть розділяється між декількома взаємодіючими вузлами і фізичне середовище передачі може бути зайнята. Переважна більшість компютерних мереж побудована на основі технологій Ethernet, Fast Ethernet і Gigabit Ethernet. Алгоритм визначення доступності середовища для всіх технологій однаковий і заснований на постійному прослуховуванні середовища передачі всіма підключеними до неї вузлами. Ця особливість використовується зловмисниками для організації різних видів атак на компютерні мережі. Навіть за умови дотримання рекомендацій щодо виключення розділення середовища передачі зловмисник може здійснити прослуховування трафіку між довільно вибраною парою вузлів компютерної мережі. Причому використання простих комутаторів не є серйозною перешкодою для зловмисника. Твердження про повну захищеність мереж, побудованих на основі топології фізичних звязків зірка і оснащених простими комутаторами, є серйозною помилкою. Далі ми розглянемо недоліки застосування простих комутаторів як засоби забезпечення інформаційного обміну в компютерних мережах на канальному рівні.
Процес передачі інформації від одного вузла (А) до іншого (Б) через простій комутатор відбувається поетапно і дані передаються блоками. Розмір блоків визначений стандартом канального рівня. Блок даних, яким оперує протокол канального рівня, називається кадром. Припустимо, що передавальний вузол (А) визначив доступність середовища і початків передачу. У першому передаваному кадрі буде широкомовний запит до всіх вузлів мережі про пошук вузла з необхідним мережевою адресою. Цей запит містить апаратна адреса вузла відправника (А) і його мережева адреса (в даному випадку мова йде про IP як протоколі мережевого рівня). Відмітимо, що комутатор відповідно до вимог специфікацій канального рівня зобовязаний передати цей широкомовний запит всім підключеним до його портів вузлам. Звернемо увагу також на те, що в нашій компютерній мережі виконана вимога про виключення розділення середовища передачі між двома вузлами, і кожен вузол підключений безпосередньо до свого порту комутатора. Проте, незважаючи, на виконання даної рекомендації, зловмисник отримає широкомовний запит вузла (А), оскільки вузол його (зловмисника може) опинитися шуканим. Таким чином, зловмисник отримуватиме нарівні зі всіма останніми широкомовні запити на дозвіл мережевих адрес. Накопичуючи відомості з широкомовних запитів, зловмисник матиме уявлення про мережеву активність всіх вузлів. Тобто про те - хто, і в який час і з ким намагався почати інформаційний обмін. За допомогою цієї нескладної техніки зловмисник може визначити апаратні і мережеві адреси вузлів що є серверами або маршрутизаторами. Кількість запитів на дозвіл мережевої адреси сервера або маршрутизатора буде на декілька порядків вище, ніж звичайній робочій станції. Сформувавши таким чином відомість мережевої активності і карту мережі з адресами передбачуваних серверів і маршрутизаторів, зловмисник може відразу приступити до реалізації атак відмови в доступі до цих вузлів. Відмітимо при цьому, що в процесі збору широкомовних пакетів зловмисник не проявляв ніякої мережевої активності, тобто залишався невидимим для всіх вузлів мережі окрім простого комутатора, до порту якого він підключений.
Розглянемо, що відбувається після того, як вузол призначення (Б) отримав кадр із запитом на дозвіл своєї мережевої адреси. Згідно вимог специфікацій канального рівня, вузол, що отримав широкомовний кадр, що містить запит на дозвіл своєї мережевої адреси, зобовязаний передати відправникові цього кадру відповідь, що містить власні мережеву і апаратну адреси. Відповідь вузла (Б) буде вже не широкомовною, а адресованою вузлу (А). Комутатор, зобовязаний транслювати відповідь вузла (Б) тільки на той порт, до якого підключений вузол (А). Таким чином, кадр канального рівня, що містить відповідь вузла (Б) вже ніяк не потрапить до зловмисника. Це пояснюється тим, що середовище передачі, використовуване для підключення зловмисника до комутатора, буде вільне у момент передачі відповіді. Після отримання кадру з відповіддю, вузол (А) дізнається апаратна (MAC) адреса вузла (Б) і зможе почати передачу пакетів мережевого рівня на аресу вузла (Б). Подальші аспекти взаємодії вузлів знаходяться поза компетенцією протоколів канального рівня. Завдання протоколу канального рівня вважається за виконане, якщо що обмінюються даними вузли знають апаратні адреси один одного і можуть інкапсулювати мережеві пакети в кадри канального рівня, що ідентифікуються комутатором по MAC-адресам вузлів.
Уразливість системи дозволу мережевих адрес, описаної вище (у IP-сетях ця система називається ARP