49. Границы виртуальных локальных сетей.
Даже если считать виртуальными разделенные VLAN сети, то они все равно нуждаются в маршрутизаторе, который будет перенаправлять трафик между виртуальными сетями. Маршрутизация в пределах виртуальной сети (intra-VLAN) может быть достигнута при помощи традиционных средств контроля трафика, т.е. благодаря маршрутизатору и списку контроля доступа ACL (Access Control List). Поставщики высокотехнологичных коммутаторов, в частности Cisco, предлагают в составе своих продуктов аппаратные модули, реализующие высокоскоростную маршрутизацию внутренних VLAN-пакетов средствами самого коммутатора. Например, высококачественные коммутаторы Cisco Catalyst поддерживают функцию многоуровневой коммутации MLS (Multilayer Switching), которая реализуется при помощи специальных карт расширения, обладающих возможностями виртуальных маршрутизаторов и способных маршрутизировать трафик между виртуальными сетями. MLS также поддерживает списки контроля доступа, которые можно использовать для управления трафиком, пересекающем границы виртуальных сетей.
Поскольку виртуальные локальные сети подразумевают создание изолированных широковещательных доменов, то для реализации зон безопасности в представленном ранее примере можно использовать виртуальные сети, основанные на одном единственном коммутаторе. Как и в случае обычных локальных сетей, в основу контролируемой передачи пакетов через границы подсети положены маршрутизаторы (или их MLS-эквиваленты) и брандмауэры. Во время реализации всего вышеописанного на практике необходимо убедиться, что управляющий виртуальными сетями коммутатор не позволит взломщику "перепрыгнуть" границы виртуальных сетей и тем самым избежать контроля со стороны маршрутизатора и/или брандмауэра.
Пересечение границ виртуальных локальных сетей.
Согласно со стандартом IEEE 802.1q, проходящие через VLAN-коммутаторы Ethernet-кадры относятся к той виртуальной сети, чей заголовок тега (tag header) указан в кадре сразу же за полем аппаратного МАС-адреса. Такой способ задания меток кадров применяется в случае наличия в сети логически связанных (trunked) между собой коммутаторов, которые функционируют как одно целое устройство, управляющее множеством виртуальных сетей. Тег-заголовок кадра определен в стандарте 802.1q и несет информацию о породившей его виртуальной сети, приписывая тем самым свою принадлежность к конкретной VLAN.
При определенных условиях существует реальная возможность подделать пользовательские кадры стандарта 802.1q, которые коммутатор перенаправляет указанному адресату (VLAN), минуя 3-ий уровень сетевой модели OSI, хотя обычно механизм маршрутизации этого уровня все же принимает участие в организации внутри сетевых соединений. В частности, коммутаторы Cisco Catalyst 2900 обнаруживают в своей работе уязвимость к подобным атакам в отношении реализованных на их основе логически связанных коммутаторов. Но чтобы данная атака имела успех, взломщик должен обладать доступом к активному логическому порту. Другими словами, взломщик способен взломать Ethernet-кадры, предназначенные для произвольной виртуальной сети, за счет подключения к виртуальной сети, содержащей логически связанные порты.
Это был только один тип атаки на коммутатор, который позволяет взломщику "перепрыгнуть" через несколько виртуальных сетей и, тем самым, избежать ограничении доступа на маршрутизирующем устройстве. Описанная в предыдущем параграфе дыра была тщательно изучена, в результате чего появились специальные рекомендации по снижению риска за счет особой настройки логически связанных портов. Но с учетом многогранности применения виртуальных сетей вполне существует вероятность наличия множества неизвестных доселе подобных дыр.
Главная причина, побуждающая скептически относится к будущему виртуальных сетей в плане усиления зон безопасности, заключается в том, что виртуальные сети разрабатывались для оптимизации сетевого быстродействия, но не для обеспечения безопасности как таковой. Поэтому неудивительно, что регулярное издание специального бюллетеня Cisco, посвященного вопросам безопасности, рекомендует не использовать межсетевые виртуальные соединения для усиления безопасности подсети: "Вероятность срабатывания человеческого фактора, помноженная на то, что протоколы реализации виртуальных сетей разрабатывались без учета вопросов сетевой безопасности, делает их использование при работе с важной информацией нецелесообразным".
Часто очень трудно побороть соблазн использования виртуальных сетей для представления зон безопасности. Особенно в случае наличия в сети высокотехнологичных коммутаторов, которые позволяют создавать новые виртуальные подсети при помощи незначительных изменений своей конфигурации. Если все же решиться на использование виртуальных сетей, то необходимо в обязательном порядке учитывать вероятность взлома такой инфраструктуры на 1-ом и/или 2-ом уровнях сетевой модели OSI. Отсюда следует, что если необходимо создать сетевое окружение с высокой степенью безопасности, нужно пользоваться исключительно "честными", а не виртуальными коммутаторами для реализации каждого сетевого сегмента. Путем такого коренного отказа от виртуальных сетей удается физически гарантировать неспособность взломщика устанавливать межсетевые соединения в обход маршрутизатора. В случае же применения одного-единственного коммутатора, разделенного на виртуальные составляющие, не приходится волноваться на счет сложности или запутанности сетевых настроек, но зато приходится поволноваться за то, что в результате коммутатор будет игнорировать заданные ограничения межсетевого доступа.
- 1. Понятие информационной безопасности
- 2. Важность и сложность проблемы информационной безопасности
- 3. Основные составляющие информационной безопасности
- 4. Категории информационной безопасности
- 5. Требования к политике безопасности в рамках iso
- 6. Общие сведения о стандартах серии iso 27000
- Разработчики международных стандартов
- Русские переводы международных стандартов
- 7. Iso 15408 - Общие критерии оценки безопасности информационных технологий
- 8. Iso 18028 - Международные стандарты сетевой безопасности серии
- Iso/iec 18028-1:2006 Информационные технологии. Методы обеспечения безопасности. Сетевая ит безопасность. Управление сетевой безопасностью.
- Iso/iec 18028-5:2006 Информационные технологии. Методы обеспечения безопасности. Защита сетевых взаимодействий при помощи Виртуальных Частных Сетей
- 9. Российские стандарты гост
- 10. Модель сетевого взаимодействия
- 11. Модель безопасности информационной системы
- 12. Классификация криптоалгоритмов
- 13. Алгоритмы симметричного шифрования
- 14. Криптоанализ
- Дифференциальный и линейный криптоанализ
- 15. Используемые критерии при разработке алгоритмов
- 16. Сеть Фейштеля
- 17. Алгоритм des Принципы разработки
- Проблемы des
- 18. Алгоритм idea
- Принципы разработки
- Криптографическая стойкость
- 21. Создание случайных чисел
- 22. Требования к случайным числам
- Случайность
- Непредсказуемость
- Источники случайных чисел
- Генераторы псевдослучайных чисел
- Криптографически созданные случайные числа
- Циклическое шифрование
- Режим Output Feedback des
- Генератор псевдослучайных чисел ansi x9.17
- 23. Разработка Advanced Encryption Standard (aes) Обзор процесса разработки aes
- Обзор финалистов
- Критерий оценки
- Запасной алгоритм
- Общая безопасность
- 25. Основные способы использования алгоритмов с открытым ключом
- Алгоритм rsa
- 27. Алгоритм обмена ключа Диффи-Хеллмана
- 28. Транспортное кодирование
- 29. Архивация
- Требования к хэш-функциям
- 31. Цифровая подпись Требования к цифровой подписи
- Прямая и арбитражная цифровые подписи
- 32. Симметричное шифрование, арбитр видит сообщение:
- 33. Симметричное шифрование, арбитр не видит сообщение:
- 34. Шифрование открытым ключом, арбитр не видит сообщение:
- 35. Стандарт цифровой подписи dss
- Подход dss
- 36. Отечественный стандарт цифровой подписи гост 3410
- 37. Алгоритмы распределения ключей с использованием третьей доверенной стороны Понятие мастер-ключа
- 38. Протоколы аутентификации
- Взаимная аутентификация
- 39. Элементы проектирования защиты сетевого периметра.
- 40. Брандмауэр и маршрутизатор.
- 41. Брандмауэр и виртуальная частная сеть.
- 42. Многоуровневые брандмауэры.
- 43. Прокси-брандмауэры.
- 44.Типы прокси.
- 46.Недостатки прокси-брандмауэров.
- 48. Виртуальные локальные сети.
- 49. Границы виртуальных локальных сетей.
- 50. Частные виртуальные локальные сети.
- 51. Виртуальные частные сети.
- 52. Основы построения виртуальной частной сети.
- 53. Основы методологии виртуальных частных сетей.
- 54. Туннелирование.
- 55. Защита хоста.
- 56. Компьютерные вирусы
- Структура и классификация компьютерных вирусов
- 2.3.3. Механизмы вирусной атаки
- 58. Протокол ррр рар
- 59. Протокол ррр chap
- 60. Протокол ррр еар
- 68. Виртуального удаленного доступа
- 69. Сервис Директории и Служб Имен
- 70. По и информационная безопасность
- 71. Комплексная система безопасности. Классификация информационных объектов