De två föregående avsnitten fokuserade på säkerhet för slutpunkter. I detta avsnitt kommer du att fortsätta utforska hur man skyddar ett LAN, med särskild inriktning på ramarna i datalänkskiktet (Lager 2) och hur dessa hanteras av switchar.
Kom ihåg att OSI-referensmodellen är indelad i sju lager som fungerar oberoende av varandra. Figuren visar funktionen hos varje lager och de kärnelement som kan utnyttjas.
Nätverksadministratörer implementerar rutinmässigt säkerhetslösningar för att skydda de övre nätverkslagren, från Lager 3 till Lager 7. De använder tekniker som VPN, brandväggar och IPS-enheter för detta ändamål. Om dock Lager 2 blir komprometterat påverkas även alla högre lager. Till exempel, om en angripare med tillgång till det interna nätverket skulle avlyssna trafiken på Lager 2, skulle säkerhetsåtgärderna på de högre nivåerna bli verkningslösa. Angriparen kunde då orsaka omfattande skador på LAN-infrastrukturen på Lager 2.
Kategorier av switch-attacker
Säkerheten är bara så stark som den svagaste länken i systemet, och ofta betraktas Lager 2 som just denna svaga länk. Detta eftersom LAN historiskt sett oftast har hanterats av en enda organisation. Tidigare fanns en implicit tillit till alla personer och enheter som kopplades till LAN. Idag, med införandet av BYOD (Bring Your Own Device) och mer avancerade angreppsmetoder, har våra LAN blivit allt mer utsatta för säkerhetshot. Därför är det viktigt att nätverkssäkerhetsexperter inte bara skyddar nätverkslagren 3 till 7, utan även aktivt arbetar för att säkra Lager 2 i LAN-infrastrukturen.
Lager 2 attacker
Attacker mot Lager 2 LAN-infrastrukturen beskrivs i tabellen nedan och diskuteras mer ingående senare i denna modul.
| Kategori | Exempel |
|---|---|
| MAC-tabellattacker | Inkluderar attacker genom MAC-adressöversvämning. |
| VLAN-attacker | Inkluderar VLAN hopping och VLAN double-tagging attacker. Inkluderar även attacker mellan enheter på samma VLAN. |
| DHCP-attacker | Inkluderar DHCP starvation och DHCP spoofing attacker. |
| ARP-attacker | Inkluderar ARP spoofing och ARP poisoning attacker. |
| Address Spoofing | Inkluderar spoofing av MAC-adresser och IP-adresser. |
| STP-attacker | Inkluderar manipulering av Spanning Tree Protocol. |
Mitigering av Lager 2-attacker
Tabellen ger en översikt över Cisco-lösningar för att hjälpa till att mildra attacker mot Lager 2.
| Lösning | Beskrivning |
|---|---|
| Port Security | Förhindrar många typer av attacker inklusive MAC address flooding och DHCP starvation attacker. |
| DHCP Snooping | Förhindrar DHCP-starvation och DHCP-spoofing attacker. |
| Dynamic ARP Inspection (DAI) | Förhindrar ARP spoofing och ARP poisoning attacker.. |
| IP Source Guard (IPSG) | Förhindrar spoofing av MAC- och IP-adresser. |
För att öka effektiviteten av säkerhetsåtgärderna på Lager 2, är det avgörande att också säkra hanteringsprotokollen. Många vanliga hanteringsprotokoll, såsom Syslog, Simple Network Management Protocol (SNMP), Trivial File Transfer Protocol (TFTP), telnet och File Transfer Protocol (FTP), är kända för att vara osäkra. Därför är det viktigt att följa dessa rekommenderade strategier för att stärka säkerheten:
- Använd alltid säkra varianter av dessa protokoll såsom SSH, Secure Copy Protocol (SCP), Secure FTP (SFTP) och Secure Socket Layer/Transport Layer Security (SSL/TLS).
- Överväg att använda ett out-of-band nätverk för hantering av enheter.
- Använd en dedikerad hanterings-VLAN där endast hanteringstrafik förekommer.
- Använd ACLs (Access Control Lists) för att filtrera oönskad åtkomst.