Виртуальные локальные сети

7.4. Безопасность сетей VLAN

В исходном состоянии все порты коммутаторов Cisco приписаны к сети VLAN 1, которая по умолчанию является сетью Ethernet. Для повышения информационной безопасности необходимо все порты пользователей приписать к сетям отличным от VLAN 1, неиспользуемые порты выключить или присоединить к неиспользуемой сети (unused - "черная дыра").

Для удаленного доступа к коммутатору конфигурируется виртуальный интерфейс SVI, который должен быть приписан к VLAN, номер которой отличается от VLAN1. На коммутаторе необходимо сконфигурировать протокол SSH, который обеспечивает обмен зашифрованными данными.

Через транковые порты коммутатора передаются сообщения нескольких VLAN. Поэтому хакеры часто проводят атаки доступа через транковые соединения. Сеть native VLAN, которой по умолчанию является VLAN1 и трафик которой передается нетегированным, представляет хорошую возможность для несанкционированного доступа. Поэтому в качестве native обычно назначают сеть с номером отличным от VLAN 1, например:

Sw_A(config-if)#switchport trunk native vlan 15
  

Атаки переходов (VLAN hopping) позволяют сети хакера видеть трафик атакуемой сети. При этом хакер может либо подменить коммутатор (switch spoofing), либо использовать двойное тегирование (double tagging), чтобы получить доступ к атакуемой сети.

Автоматическая настройка магистрального канала по умолчанию предполагает, что порт настроен на динамический автоматический режим (switchport mode dynamic auto), что дает возможность атаки переходов. При спуфинг-атаке хакер создает транковый канал с атакуемым коммутатором, имитируя сообщения 802.1Q и протокола DTP и получая доступ к сетям VLAN, назначенным на интерфейс. Для снижения риска атаки рекомендуется отключать протокол DTP, транковые каналы настраивать вручную только на тех портах, где это необходимо, неиспользуемые порты выключать.

Принцип атаки с двойным тегированием заключается в том, что хакер формирует кадр, в который вставляет две метки (два тега). Первая (внешняя) метка совпадает с native VLAN транкового порта, поэтому коммутатор считает, что кадр получен на транковый порт. Коммутатор удаляет первую внешнюю метку и не проверяет вторую (внутреннюю) метку. Кадр заново не тегируется, поскольку относится к native VLAN, и пересылается из всех портов native VLAN. Когда кадр попадает в следующий коммутатор, то анализируется вторая метка, в которой указана атакуемая сеть. Данный вид атаки реализуется только в случае, если хакер подключен к сети native VLAN транкового порта. Поэтому сеть native VLAN транковых портов должна отличаться от пользовательских сетей.

Таким образом, автоматическая настройка по умолчанию магистрального канала открывает хакеру возможность атаки переходов.

При передаче трафика между портами коммутатора, например, между узлами 1 и 2 ( рис. 7.11), узел 3 при определенных условиях может видеть трафик соседних устройств. Для предотвращения этого создают защищенные порты, обмен данными между которыми запрещен при любой пересылке (одноадресной, многоадресной, широковещательной). Например, в схеме рис. 7.11 можно сформировать защищенные порты F0/1 и F0/3, между которыми пересылка данных будет запрещена. Следует отметить, что в этом случае защита похожа на создание списков доступа, но реализуется на уровне 2 модели OSI. При этом создается так называемая граничная частная сеть (Private VLAN - PVLAN).

Рис. 7.11. Передача трафика между портами коммутатора

Обмен данными между защищенным и незащищенным портами производится в обычном режиме. То есть обмен данными между защищенным и незащищенным портом разрешен, например, между узлами 1 и 2, а также между узлами 2 и 3.

Защищенные порты конфигурируются вручную. Для создания защищенного порта используется следующая команда:

Switch(config)#int f0/1
Switch(config-if)#switchport protected
  

Для отмены этого режима используется команда no switchport protected. Проверку конфигурации можно провести по команде show int f0/1 switchport.