Технологии сетей доступа. Защита абонентов и от абонентов

Содержание

  • Общая информация о коммутаторах Cisco SB для SP

  • Угрозы безопасности сети оператора

  • Методы противодействия угрозам

    Безопасность абонентов

    Безопасность коммутаторов

  • Технологии и сценарии развертывания

Коммутаторы для Internet Service Provider

Общие данные

  • 8 FE, 24 FE, 24 GE

  • SP features to enable Metro-E deployments

  • Ключевые возможности:

    • Security features (IP Source Guard, Dynamic ARP inspection, etc)

    • Manageability (CLI, DHCP Option 82, IPv6 Host Mode for manageability over IPv6

    • Services rollout features (QinQ, MVR, PVE, etc)

  • Преимущества — полный спектр решений — Cisco End-End solution


Общий вид

SPS208G

SPS224G4

SPS2024

Сравнение коммутаторов

Fully Managed SRWxxxx SPS Switches (Added features)
24 Gig ports DHCP Relay Option 82
VLAN — 802.1q (256) DHCP Snooping
4 Queues IP Source guard
Link Aggregation Dynamic ARP Inspection
Spanning Tree DHCP Guard (included in Snooping)
Port Mirroring Multiple MAC authentications for 802.1x
IGMP Snooping MVR
L2 priority — 802.1p Q-in-Q
MAC-based ACL STP Root Guard
Multicast/Broadcast/Unknown Unicast Storm control CLI
802.1 x w/RADIUS  
Cable Analysis  
SNMP  
Rate Limiting  
L3 priority — DSCP/TOS  
Telnet  
SSH/SSL  
Multiple Spanning Tree  
Shaping  
L3 priority — DSCP/TOS  
Flow-based Security  
Flow-based QoS  

Потенциальные угрозы безопасности

Городская Ethernet-сеть доступа

  • Часто оборудование для доступа к Ethernet-сети оператора располагается на незащищенных объектах клиента

  • Злоумышленники со сравнительно невысокой квалификацией могут завладеть коммутируемой Ethernet-сетью, используя готовые инструменты (Dsniff, Ettercap, Cain&Abel).

  • Эти (и многие другие) инструменты позволяют отслеживать трафик, фальсифицировать информацию ARP, перенасыщать и фальсифицировать таблицы MAC-адресов, а также атаковать Ethernet-сеть доступа другими способами.

Потенциальные угрозы безопасности сети

Атаки, подрывающие сетевую безопасность, могут быть отнесены к следующим категориям:

  • Вторжение: злоумышленник пытается получить несанкционированный доступ к сетевым ресурсам, включая трафик клиентов.

    Распространенные примеры вторжений:

    • Атака с подставного сервера DHCP

    • Атака с фальсификацией IP-адреса

    • Фальсификация ARP (Man-in-the-Middle)

    • Атака на Telnet-сеанс (Man-in-the-Middle)

  • Отказ в обслуживании (DoS): злоумышленник пытается нарушить нормальное фунционирование сети и сервисов.

    Распространенные примеры DoS:

    • Атаки посредством MAC-адресов (переполнение таблицы CAM)

    • Широковещательный шторм

    • Шторм L2 PDU (STP, LACP, PAgP и т.п.)

Решения для безопасности Metro Ethernet сетей доступа

  • Для предотвращения потенциальных угроз безопасности в сети доступа требуются развитые средства безопасности

  • Их можно поделить на три основные категории:

    Безопасность абонентов Безопасность коммутаторов Безопасность сети
    Запрет локальной коммутации на UNI (пользовательском интерфейсе сети) Безопасность control plane UNI Default Port Down
    Отслеживание DHCP Безопасность портов Списки доступа
    Защита источника IP Per VLAN MAC Learning IEEE 802.1x
    Динамический анализ ARP Контроль широковещательных штормов  
    Private VLAN QoS: Ограничение скорости и контроль приоритета  
      SSH  
      Защита файлов конфигурации  

Механизмы безопасности Metro сетей:

Безопасность абонентов

  • Одна из важнейших проблем с использованием общего устройства для доступа через Ethernet несколькими клиентами — изоляция клиентов друг от друга.

Аспект безопасности Меры
Ненамеренная пересылка трафика между портами Запрет локальной коммутации пользовательском интерфейсе сети
Подставной сервер DHCP DHCP Snooping
Фальсификация IP-адресов DHCP Snooping + IP Source Guard
Фальсификация ARP (атака с промежуточного узла) DHCP Snooping + Dynamic ARP Inspection
Изоляция абонентов на 2-м уровне Private VLAN

Private VLAN. Принцип действия:

  • Private VLANs содержит в себе два субдомена VLAN: primary VLAN и secondary VLAN

  • Существуют два типа Secondary VLANs:

    • Isolated VLANs — Порты в isolated VLAN не могут обмениваться информацией с другими портами на втором уровне — ПОддерживается SPS коммутаторами

    • Community VLANs — Порты в community VLAN могут обмениваться информацией со всеми остальными портами в пределах community, но невозможно обмениваться информацией с портами в другой commuities на Layer 2 level — поддерживается только коммутаторами Cisco Catalyst

Преимущества

  • В дополнение к сегментированию сети по VLAN и IP адресации, функциональность Private VLAN предлагает разделение на втором уровне в пределах коммутатора

 

DHCP Snooping. Принцип действия:

  • Коммутатор пересылает только DHCP-запросы от недоверенных портов доступа и отбрасывает любой другой DHCP-трафик

  • Ретрансляция сообщений DHCP разрешается только с выделенных DHCP-портов или uplink портов

  • Формируется таблица привязки DHCP, содержащая IP- и MAC-адреса, порты и сети VLAN клиентов

Преимущества

  • Подставные устройства не смогут выступать в качестве DHCP-серверов

 

Защита источника IP. Принцип действия:

  • Если IP-адрес присваивается абоненту по DHCP, коммутатор может сделать присвоение принудительным, блокируя пакеты, которые поступают с порта клиента с другим заявленным IP-адресом.

  • Это достигается путем отслеживания DHCP с функцией защиты источника IP

  • Абонент (или злоумышленник) теряет возможность использовать чужой IP-адрес

Преимущества:

  • Фальсификация IP-адресов становится невозможна

 

Динамический анализ ARP. Принцип действия:

  • Пакеты ARP с неверной привязкой IP-адреса к MAC-адресу отбрасываются.

  • Для этого используется таблица привязок DHCP, созданная динамически функцией DHCP Snooping

Преимущества

  • Действенное предотвращение атак промежуточного узла и попыток фальсификации ARP

 

Механизмы безопасности муниципальных сетей

Безопасность коммутаторов

  • Угрозы безопасности часто направлены на саму инфраструктуру и связаны с попытками парализовать или замедлить работу устройства.

  • Наиболее распространены DoS-атаки и атаки с насыщением трафиком.

Аспект безопасности Меры
Атака через управляющий протокол 2-го уровня (STP, LACP, PAgP, CDP, VTP и т.п.) Базопасность control plane
Насыщение / переполнение MAC-адресов Безопасность портов
Per VLAN MAC Learning
Одноадресные, многоадресные и широковещательные рассылки Storm control
Массовый трафик от инфицированных пользователей / атака приоритетной очереди трафика злоумышленниками QoS: Ограничение скорости и контроль приоритета
Атаки через промежуточные узлы на критический управляющий трафик SSH
Доступ к файлу настроек коммутатора без аутентификации Защита файлов конфигурации

Безопасность портов. Принцип действия:

  • Ограничение числа MAC-адресов, с которых разрешено подключение к коммутатору и допуск к коммутатору только разрешенных MAC-адресов.

Преимущества

  • Защита от атак с насыщением таблицы MAC-адресов

  • Предоставление доступа к сети только определенным пользователям (защищенные записи MAC-адресов)

  • Сервис-провайдер с помощью этой функции может ограничить число MAC-адресов на каждом абонентском интерфейсе UNI

 

Storm control. Принцип действия:

  • Ограничение объема широковещательного, многоадресного и одноадресного трафика

  • При превышении настроенных пределов можно блокировать порты или генерировать прерывания

  • Эта функция также называется подавлением широковещательных рассылок

Преимущества:

  • Защита сети от умышленного и случайного (например в результате циклов в STP) переполнении трафиком

  • Ограничение совокупной скорости широковещательного и многоадресного трафика нормальными пиковыми значениями

 

Ограничение скорости. Принцип действия:

  • Ограничение скорости тарфика может осуществляться на уровне отдельных VLAN, портов или пользователей для нейтрализации сетевых червей, рассылающих пакеты, и ограничения объема исходящего пользовательского трафика.

  • Способ реализации — rate limit — policing или shaping

Преимущества

  • Злоумышленники теряют возможность перенасыщать сеть трафиком и препятствовать работе других пользователей или управлению сетью

 

Access Control Lists (ACLs). Принцип действия:

  • ACL фильрует трафик в процессе прохождения через коммутатор и разрешает либо запрещает его прохождение через определенный интерфейс или VLAN

  • ACL это последовательность разрешающих или запрещающих правил, по которым обрабатываются пакеты

  • IP ACL фильтруют IPv4 трафик, включая TCP, User Datagram Protocol (UDP), Internet Group Management Protocol (IGMP) и Internet Control Message Protocol (ICMP)

  • Ethernet (MAC) ACLs используется для фильтрации non-IP трафика

  • Поддерживаются Port, VLAN и Router ACLs

Преимущества:

  • Ограничивается использование сети конкретными пользователями или оборудованием

  • Администраторы могут создавать ACL с использованием времени использования — правила могут применяться в зависимости от времени дня/недели

Технологии и сценарии развертывания

IPTV, IPRadio

Multicast VLAN Registration (MVR). Принцип действия:

  • Multicast VLAN Registration позволяет пользователям из разных VLAN подключаться к одному Multicast VLAN по-требованию.

Преимущества

  • Появляется возможность использовать один Multicast VLAN в сети не умножая количество Multicast потоков на каждую Layer 2 сеть

 

QoS remarking & policing. Принцип действия

  • Позволяет пропускать высокоприоритетный трафик в первую очередь

  • Механизм перемаркировки позволяет самостоятельно выставлять необходимые метки для дальнейшей постановки в очередь

Преимущества:

  • Появляется возможность предоставлять клиентам оговоренный уровень сервиса по всей сети, необходимый для VoIP и телеконференцсвязи.

Автоматизация управления

Provisioning, DHCP auto-config. Принцип действия:

  • Получение адреса для управляющего VLAN по DHCP, используя опцию hostname

  • Запрос адреса сервера конфигурации

Преимущества:

  • Позволяет максимально автоматизировать управление конфигурациями и замену оборудования.

 

QinQ. Принцип действия:

  • Поступающие пакеты на порт коммутатора провайдера при пересылке через транковый порт тегируются

Преимущества:

  • Позволяет предоставлять коммерческие L2VPN через транспортную сеть значительно снизив ограничение на количество VLAn в сети.