Безопасность коммутатора: управление и исполнение

Вопросы безопасности в локальной сети

Базовая система безопасности коммутатора не блокирует вредоносные атаки. Система безопасности — это многоуровневый процесс, требующий непрерывного совершенствования. Чем лучше сетевые специалисты организации осведомлены об угрозах безопасности и возможных последствиях, тем выше уровень защиты. Далее описаны некоторые виды угроз безопасности, однако подробное описание принципов действия атак в рамках этого курса не представлено. Более подробную информацию можно найти в курсах CCNA «Технологии глобальных сетей» и «Информационная безопасность».

Лавинная атака таблицы МАС-адресов

Таблица МАС-адресов коммутатора содержит МАС-адреса, которые связаны с каждым физическим портом и соответствующей VLAN. Когда коммутатор 2-го уровня получает кадр, он ищет в таблице МАС-адресов МАС-адрес назначения. Все модели коммутаторов серии Catalyst используют таблицу МАС-адресов для коммутации 2-го уровня. Когда кадры прибывают на порты коммутатора, МАС-адреса источника регистрируются в таблице МАС-адресов. Если для данного МАС-адреса существует запись, коммутатор пересылает кадр в соответствующий порт. В случае если MAC-адреса нет в таблице МАС-адресов, коммутатор рассылает кадр из каждого порта, кроме того, на котором этот кадр был получен.

Подобное поведение коммутатора в отношении неизвестных MAC-адресов может использоваться для атаки на коммутатор. Данный вид атаки называется переполнением таблицы МАС-адресов. Атаку переполнения таблицы МАС-адресов иногда называют лавинной атакой, а также атакой переполнения таблицы CAM. На рисунках показаны принципы действия этого типа атаки.

На рис. 1 узел Host A отправляет трафик на узел Host B. Коммутатор получает кадры и ищет MAC-адрес назначения в таблице МАС-адресов. Если коммутатор не может найти МАС-адрес назначения в таблице МАС-адресов, то он копирует кадр и рассылает его (широковещательная рассылка) из каждого порта коммутатора, кроме того, на котором он был получен.

На рис. 2 узел Host B получает кадр и отправляет ответ на узел Host A. Таким образом коммутатор узнаёт, что MAC-адрес узла Host B находится в порте 2 и записывает эту информацию в таблицу МАС-адресов.

Узел Host C также получает кадр, направленный от узла Host A на узел Host B, но, поскольку MAC-адресом назначения этого кадра является узел Host B, узел Host C отбрасывает этот кадр.

Как показано на рис. 3, любой кадр, отправленный узлом Host A (или любым другим узлом) на узел Host B, пересылается на порт 2 коммутатора, а не отправляется по широковещательной рассылке из всех портов.

Размер таблиц МАС-адресов ограничен. Лавинные атаки используют это ограничение, забрасывая коммутатор ложными МАС-адресами источника до тех пор, пока таблица МАС-адресов коммутатора не заполнится.

Как показано на рис. 4, злоумышленник на узле Host C может отправлять на коммутатор кадры с несуществующими, случайно сгенерированными МАС-адресами источника и назначения. Коммутатор обновляет таблицу МАС-адресов информацией из фиктивных кадров. Когда таблица МАС-адресов наполняется фиктивными МАС-адресами, коммутатор входит в так называемый режим с пропусканием трафика. В этом режиме коммутатор отправляет все кадры по широковещательной рассылке всем устройствам в сети. В результате злоумышленник может видеть все рассылаемые кадры.

Некоторые средства сетевой атаки могут генерировать до 155 000 записей в таблице МАС-адресов коммутатора в минуту. Максимальный размер таблицы МАС-адресов может различаться в зависимости от коммутатора.

Как показано на рис. 5, до тех пор пока таблица МАС-адресов коммутатора остаётся заполненной, коммутатор передаёт все полученные кадры из каждого порта по широковещательной рассылке. В этом примере кадры, отправленные с узла Host A на узел Host B, также рассылаются из порта 3 коммутатора по широковещательной рассылке и видны злоумышленнику на узле Host C.

Один из способов снизить риск от атаки переполнения таблицы МАС-адресов — настроить функцию безопасности порта.