Security
.pdf
Виртуальные частные сети: IPSec
IP HDR |
Data |
Transport Mode |
|
IP HDR ESP HDR |
Data |
Encrypted
Authenticated
ESP ESP
Trailer Auth
Tunnel Mode |
|
New IP HDR ESP HDR IP HDR |
Data |
Encrypted
Authenticated
ESP ESP
Trailer Auth
ESP – туннельный и транспортный режим
Резюме по применению режимов IPSec*
Протокол – ESP (AH)
Режим – туннельный (транспортный)
Способ обмена ключами – IKE (ручной)
Режим IKE – main (aggressive)
Длина ключа DH – group 5 (group 2, group 1)
Протокол аутентификации – SHA1 (MD5)
Метод аутентификации – Certificate (Pre-shared Key) Шифрование – AES (Twofish, 3DES, Blowfish, CAST, DES, RC4)
*Параметры указаны в порядке снижения уровня безопасности
Виртуальные частные сети - VPN
Обеспечение безопасности в локальных сетях
•Сегментирование сети при помощи
технологий Virtual LAN или Traffic Segmentation с целью разделения доступа к ресурсам.
L2/3/4 ACL (Списки Контроля Доступа)
Коммутаторы D-Link обеспечивают работу СКД с расширенным функционалом, что помогает администратору следить за доступом и работой сетевых приложений. Работа списков контроля доступа реализована аппаратно, и не влияет на общую производительность устройства.
Фильтрация пакетов в СКД может быть основана на следующей информации:
üSwitch port
üMAC/ IP address
üEthernet type/ Protocol type
üVLAN
ü802.1p/ DSCP
üTCP/ UDP port [application type]
üPacket payload [application content]
|
|
• ACL сканируют |
|
ICMP |
MSBLAST |
||
содержание пакетов для |
|||
|
|
||
|
|
||
|
|
выявления атак, и.т.п. |
|
SQL |
SQL Slammer |
||
|
|
|
•Инфицированные ПК
•Сторонние ТД
•Хакеры, и.т.д.
Online Game Virus Infection
Unauthorized Application
Сетевой трафик
• Интеллектуальные функции коммутаторов D-Link позволяют
эффективно предотвращать распространение стороннего трафика
Port Security
Позволяет коммутатору контролировать количество ПК, которым разрешено подключение к заданному порту. Также возможно разрешить доступ в сеть только для зарегистрированных компьютеров.
Port Security |
Установка ограничения в 4 подключенных ПК |
|
4 |
5 |
Невозможно получить доступ |
|
|
3 |
Превышено к-во |
|
НЕЗАРЕГИСТРИРОВАННОМУ ! |
|
допущенных ПК, отказано |
|
2 |
в доступе ! |
|
|
|
1
MAC-IP-Port Binding
Позволяет на коммутаторе жёстко указать, что определённому MAC адресу всегда должен соответствовать определённый IP адрес, иначе трафик от такого хоста блокируется
DHCP Snooping
При получении клиентом IP адреса от DHCP сервера, коммутатор запоминает этот адрес и привязывает на соответствующем порту. Доступ с других адресов на этом порту запрещается.
MAC Notification
Позволяет уведомить системного администратора в случае смены MAC адреса на порту коммутатора
Протокол 802.1x
Стандарт IEEE 802.1x – протокол для аутентификации пользователей, предназначенный как для проводных, так и для беспроводных локальных сетей. Предполагается, что в ближайшее время он станет стандартом де-факто в подобного рода сетях. Клиентская часть протокола 802.1x включена в ОС MS Windows XP, Windows 2000. Для многих других ОС также реализовано и предлагается аналогичное ПО.
Реализация в продуктах D-Link
v Port-based 802.1x: пользователи должны быть аутентифицированы, прежде чем
получить доступ в сеть. Коммутатор разблокирует порт, только в случае успешной
аутентификации клиента.
v MAC-based 802.1x: Коммутатор способен производить аутентификацию на основе MAC-адреса адаптера ЛВС рабочей станции.
Username Password |
|
|
|||
-------------- |
-------------- |
|
|
|
|
Crowley |
mygoca-ah |
|
|
||
Anderson |
busy2 |
|
|
||
Shinglin |
4wireless |
|
|
||
|
|
|
|
|
|
|
|
|
|
|
802.1x Auth Request |
|
|
Radius |
|
||
|
|
|
|
||
|
Username: Crowley |
||||
|
|
|
|
|
|
Radius Server |
Password: *********** |
||||
Аутентификация на основе WEB
Web-Based Authentication (WAC)
2. Коммутатор определяет тип пакетов – HTTP |
|
|
и отправляет пользователю страничку |
Internet |
|
с запросом имени пользователя и пароля |
||
|
1. Пользователь хочет зайти
на WEB-сайт Yahoo Клиент - PC1 Клиент - PC2 Клиент - PC3
Перед прохождением процесса аутентификации коммутатор блокирует все HTTP-пакеты
Если нужна аутентификация по имени пользователя/паролю, и пользователь не хочет использовать 802.1x аутентификацию
(например, клиентское ПО 802.1x не предустановлено на PC).
2. Коммутатор определяет МАС адрес пользователя и посылает запрос на RADIUS сервер или в локальную базу данных
Аутентификация на основе МАС МАС-Based Authentication
Internet
1. Пользователь хочет зайти
на WEB-сайт Yahoo Клиент - PC1 Клиент - PC2 Клиент - PC3
Перед прохождением процесса аутентификации коммутатор блокирует весь трафик
ARP Spoofing prevention ARP inspection
Функции ARP Spoofing prevention и ARP Inspection предназначены для предотвращения атак типа ARP Spoofing