Kuinka suojata kytkimet ja tukiasemat paikallisverkossa kyberhyökkäysten estämiseksi

Kun meillä on koti- tai ammattiverkko hallittavilla kytkimillä ja WiFi on erittäin tärkeää tarjota verkolle tarvittava suojaus tulevien asiakkaiden mahdollisten hyökkäysten välttämiseksi tai lieventämiseksi, olivatpa ne sitten langallisia tai langattomia asiakkaita. Tänään tässä artikkelissa aiomme puhua turvatoimenpiteistä, joita voit tehdä verkon suojaamiseksi, kytkimien ja myös WiFi -tukiasemien määrittämiseksi tietyllä tavalla, jotta verkko olisi mahdollisimman suojattu.

Paikallisen verkon yleiset määritykset

Kun puhumme edistyneestä kotiverkosta tai ammattiverkosta, on välttämätöntä, että sinulla on segmentointi oikein VLAN -verkkojen avulla . On ehdottoman välttämätöntä, että sinulla on reititin / palomuuri joka tukee tällä hetkellä käytössä olevaa 802.1Q -standardia sisältäviä VLAN -verkkoja, tämän VLAN -tuen ansiosta voimme määrittää kullekin VLAN -verkolle oman aliverkon ja sallia tai kieltää pääsyn eri VLAN -verkkojen välillä. .

Suojaa kytkimet ja tukiasemat paikallisverkossa

Erittäin suositeltava käytäntö verkon parhaan mahdollisen suojauksen saamiseksi on sinulla on erityinen aliverkko ja VLAN eri laitteiden hallintaan paikallisverkosta, eli kytkimistä, WiFi -tukiasemista ja ohjaimesta WiFi ohjelmiston tai laitteiston avulla. Kaikki eri verkkolaitteiden hallinta, hallinto ja valvonta on sisällytettävä tähän VLAN -verkkoon.

VLAN -tuella varustettujen reitittimien / palomuurien ansiosta se voidaan konfiguroida estämään muiden VLAN -verkkojen pääsy tähän hallinta -VLAN -verkkoon, jotta kukaan ei voi käyttää eri laitteiden web -määritysvalikkoa, pääsy ei myöskään ole sallittua. SSH: n kautta tai suorita tyypillinen ping. Toisin sanoen kaikki viestintä muista aliverkkoista, kuten "markkinointi", "vieraat", "työntekijät", ei voi käyttää tätä tiettyä VLAN -verkkoa.

Oletuksena kaikissa tietokoneissa (reitittimet, kytkimet ja tukiasemat) VLAN ID 1 on hallinnan ja hallinnoinnin VLAN, tätä VLAN -tunnusta suositellaan muuttamaan sitä turvallisuuden vuoksi ja ottamaan käyttöön tai estämään vastaavat kulunvalvonta -luettelot. Jos esimerkiksi käytämme ammattimaista reititintä, kuten DSR-1000AC, voimme määrittää haluamamme VLAN-tunnuksen ja käyttää tiettyä aliverkkoa, muiden kytkimien on oltava tässä aliverkossa.

Kuvitellaanpa, että luomme VLAN ID 10: n reitittimelle / palomuurille ja myös kytkimille hallintaan. Reitittimessä tai palomuurissa meidän on luotava tämä VLAN -tunnus ja välitettävä kaikki VLAN -liitännät "trunk" -tilassa olevan käyttöliittymän kautta, toisin sanoen VLAN -tunnisteilla, jotta kytkin "ymmärtää" eri VLAN -verkot, jotka välitämme sille.

Hallinta -VLAN -verkon kokoonpano kytkimissä tai tunnetaan myös nimellä ”Management VLAN” määritetään useilla tavoilla:

  • Meillä on erityinen ”Management VLAN” -valikko, jossa valitsemme VLAN -verkon, jossa haluamme hallinnan tapahtuvan. Kytkimeen syöttämämme yksityisen IP -osoitteen on oltava hallinta -VLAN 10: n alueella tai käytettävä DHCP -asiakasta IP -osoitteen saamiseksi automaattisesti.
  • Jos meillä on kytkin, jossa on L3 -toiminnot, meidän on luotava «IPv4 -liitäntä» VLAN -tunnuksella 10 ja annettava yksityinen IP -osoite hallinnan VLAN 10 -alueella tai käytettävä DHCP -asiakasta IP -osoitteen saamiseksi automaattisesti.

Olemme esimerkiksi käyttäneet tällä kertaa D-Link DGS-3130-30TS -kytkintä, kuten huomaat, eri VLAN-verkot on määritetty ja portit 25 ja 26 "merkittyinä":

”IPv4 -käyttöliittymä” -osiossa luomme uuden käyttöliittymän haluamallamme VLAN -tunnuksella, asetamme IP -osoitteen hallinnolle ja tällä hetkellä voimme hallita tätä laitetta vain tämän VLAN -verkon kautta ja tällä IP -osoitteella .

Yksinkertaisimmissa "älykkäissä" kytkimissä, kuten D-Linkin DGS-1210-sarjassa, meillä on myös tämä toiminto, jossa on samanlaisia ​​vaihtoehtoja. Tässä tapauksessa se ei salli meidän poistaa käyttöliittymän oletus -VLAN -verkkoa, mutta voimme poistaa hallinnon käytöstä, joten olisimme samassa tilanteessa. Kuten näette, tässä tapauksessa voimme myös rekisteröidä halutun VLAN -verkon hallintaan, itse asiassa sen avulla voimme rekisteröidä jopa 4 IP -rajapintaa tähän älykkääseen kytkimeen.

Tämä on ensimmäinen askel verkkoturvan määrittämiseen oikein, verkon segmentointi oikein aliverkkoihin erilaisilla käyttöoikeuksilla palomuurin kulunvalvontaluetteloiden tai -sääntöjen ansiosta. Nyt katsomme, mihin turvatoimiin voimme ryhtyä hallittavissa olevissa kytkimissä.

Hallittavien kytkimien kokoonpanot

Hallinnoidut kytkimet ovat vastuussa suuren määrän hyökkäysten pysäyttämisestä, jotka voivat vaarantaa verkkoja. On erittäin tärkeää määrittää nämä laitteet oikein ja parhaalla mahdollisella suojauksella mahdollisten ongelmien välttämiseksi tulevaisuudessa. On olemassa lukuisia hyökkäyksiä, joiden tarkoituksena on ohittaa turvatoimet, aiomme selittää tärkeimmät hyökkäykset ja kuinka voimme lieventää niitä riittävästi.

Ensimmäinen asia, joka pitää mielessä, on käyttää vahvat käyttäjätiedot kytkimessä eli hallintasalasana on riittävän pitkä ja monimutkainen, jotta vältetään raa'an voiman tai sanakirjahyökkäysten aiheuttamat ongelmat, mutta jos ne tehdään oikein, asiakkailla ei ole kommunikaatiota hallintasivuston kanssa. Toinen tärkeä turvatoimi on kyky luoda muita käyttäjätietoja, joilla on eri käyttöoikeustasot , jotta kaikki verkonvalvojat eivät kirjaudu sisään järjestelmänvalvojana (pääkäyttäjä). Lopuksi olisi suositeltavaa ottaa hallinnan käyttöön HTTPS: n kautta Jos haluat käyttää pisteestä pisteeseen -salausta selaimesta kytkimeen, lisäksi, jos aiot siirtyä hallintoon komentojen kautta, on täysin välttämätöntä Ota SSH käyttöön Telnetin sijaan , jälkimmäinen ei tarjoa mitään suojaustyyppiä.

Hallitse portteja ja kanavia

On olemassa hyökkäys nimeltä Switch Spoofing, jonka tarkoituksena on neuvotella runkoverkkoista automaattisesti, ottaa vastaan ​​kaikkien kytkimessä rekisteröimiemme VLAN -verkkojen liikenne, tällä tavoin hyökkääjä voi saada pääsyn eri virtuaaliverkkojen kaikkeen liikenteeseen ( VLAN). Tämän hyökkäyksen lieventämiseksi on välttämätöntä:

  • Poista käytöstä kytkinportit, joita ei käytetä.
  • Älä neuvottele rungoista automaattisesti.
  • Portit, jotka eivät ole runkoverkkoja, määritä ne nimenomaan ACCESSiksi.

On olemassa toinen hyökkäys nimeltä Double Tagging, joka sallii tietojen lähettämisen VLAN -verkkoon, joka ei ole todella käytettävissä. Tämän hyökkäyksen välttämiseksi suositellaan seuraavaa:

  • Portit, jotka eivät ole käytössä, määrittävät ne nimenomaan ACCESS -käyttöoikeudeksi ja kytkimessä luotuun VLAN -verkkoon, jolla ei ole todellista käyttöä (esimerkiksi VLAN 999).

Näillä perussuosituksilla vältetään suuri määrä mahdollisia hyökkäyksiä.

Portin suojaus

Satama-Turvallisuus suojausominaisuus on vastuussa tietokoneiden hallinnasta, jotka muodostavat yhteyden kytkimen tiettyyn fyysiseen rajapintaan ja mahdollistavat seuraavat asiat:

  • Rajoita tähän porttiin yhdistettävien MAC -osoitteiden määrää.
  • Sallitaan vain sallittujen luettelossa olevat MAC -osoitteet.

Port-Security on vastuussa portin suojaamisesta. Lisäksi meillä on useita rikkomuskäytäntöjä, jos MAC-osoitteiden lukumäärä ylittyy tai väärä MAC-osoite yhdistetään:

  • Sammutus: portti voidaan sulkea automaattisesti, ja järjestelmänvalvojan on sammutettava se manuaalisesti tai odotettava tietty aika, kunnes se palautuu itsestään. Vaihteesta riippuen meillä on enemmän tai vähemmän vaihtoehtoja.
  • Rajoita (rajoitettu): sovelletun käytännön rikkoneen MAC -osoitteen liikenne estetään, lisää rikkomuslaskuria varmistaakseen, mitä satamassa on tapahtunut.
  • Suojaa (suojattu): sovelletun käytännön rikkoneen MAC -osoitteen liikenne estetään, se ei lisää laskuria.

Se on yleensä oletuksena "sammutus" -tilassa.

Käytätkö Spanning-Treea kytkimissäsi?

Jos käytät Spanning-Tree-protokollaa silmukoiden välttämiseksi L2-tasolla, on erittäin suositeltavaa, että määrität portit oikein, jotta tietoverkkorikollinen ei pääse juurikytkimeksi ja välittäisi kaiken verkkoliikenteen sen kautta. Erityiset kokoonpanot, jotka sinun on tehtävä näiden hyökkäysten lieventämiseksi, joita voimme tehdä, ovat:

  • Aktivoi bpduguard -toiminto : tämä toiminto estää STP -kehyksen vastaanottamisen tietyllä portilla, se estää kehykset automaattisesti. Tämä on tehtävä muissa kuin runkoporteissa, muuten estetään portti.
  • Ota juurisuojaus käyttöön : Tämä ominaisuus estää uuden laitteen tulemasta verkon pää- tai pääkytkimeksi. Jos vastaanotetaan kehys, joka osoittaa, että kytkin tulee juuriksi, jos tämä toiminto on aktivoitu portissa, se estää kehykset automaattisesti ja jättää ne huomiotta.

Tämä turvatoimenpide on varsin tärkeä, mutta jos et käytä Spanning-Treea (tai RSTP: tä, MSTP), sinun ei tarvitse tehdä mitään asetuksia.

DHCP snooping

Haitallinen käyttäjä voi luoda organisaatiossamme kelvottoman DHCP -palvelimen ja tarjota IP -osoitteen erilaisille langallisille ja jopa langattomille asiakkaille. Tämän lieventämiseksi on ehdottoman välttämätöntä ottaa käyttöön DHCP Snooping -toiminto, joka on yksi tärkeimmistä kytkinten suojausominaisuuksista.

DHCP Snoopingin avulla voit suodattaa "epäluotettavat" DHCP -viestit rakentamalla ja ylläpitämällä taulukon laillisista DHCP Snooping -yhteyksistä. "Epäluotettava" viesti on DHCP -viesti, joka vastaanotetaan verkosta verkon tai palomuurin ulkopuolelta ja joka voi olla osa hyökkäystä omaa verkkoa vastaan. DHCP Snooping Association -taulukko sisältää laillisen DHCP -palvelimen MAC -osoitteet, IP -osoitteet, vuokra -ajan ja saapuvan käyttöliittymän.

Voitaisiin sanoa, että DHCP Snooping on kuin palomuuri epäluotettavien isäntien ja DHCP -palvelimien välillä, tällä tavalla, jos epäluotettava isäntä lähettää DHCP Discovery -viestin, sen annetaan kulkea, mutta vastaavat viestit eivät pääse läpi . DHCP -palvelin, kuten DHCP Offer ja DHCP Ack. Kytkimen määritysvaihtoehdoista riippuen DHCP Snooping voidaan konfiguroida yleisesti kytkimellä ja DHCP Snooping voidaan määrittää myös VLAN -verkkoa kohden. Kun kytkin on käytössä, kytkin toimii Layer 2 -sillana sieppaamalla kaikki DHCP -viestit, joita asiakas ei saa lähettää.

Edellisestä kuvasta näet, että verkossa on epäluotettavia asiakkaita, oletusarvoisesti kaikki portit ovat "epäluotettavia", kun DHCP -salauksenpoisto on käytössä. Kun asiakastietokone lähettää DHCPDISCOVER -viestin ja DHCP Snooping on käytössä, Switch lähettää DHCP -yleislähetysviestin vain "luotettuihin" portteihin ja estää kaikki DHCP -TARJOUKSET tai ACK epäluotettavat. Kun määrität DHCP Snooping -kytkimen, määrität kytkimen erottamaan "epäluotettavat" ja "luotetut" käyttöliittymät.

Anti -ARP -huijaus

Kytkimet sisältävät myös turvatoimia, joilla estetään ARP -huijaushyökkäykset tai tunnetaan myös nimellä ARP -myrkytys. Tällä tavalla, jos rekisteröimme ”IP, MAC ja portti” -yhdistelmän reitittimeen, tietoverkkorikollinen ei voi pettää uhria oletusyhdyskäytävällä (reitittimellä) verkkoliikenteen kaappaamiseksi. On erittäin tärkeää rekisteröidä tähän osioon kaikki yhdyskäytävät tai kriittiset laitteet, jotka meillä on verkossa, kuten palvelimet, sillä tavalla he eivät pysty suorittamaan ARP -huijaushyökkäystä.

Kun olemme nähneet tärkeimmät turvatoimenpiteet, jotka meidän on toteutettava hallittavassa kytkimessä, puhumme muista erittäin mielenkiintoisista toimenpiteistä.

Muut turvatoimet

Hallittavissa kytkimissä on muita turvatoimenpiteitä, jotka estävät muita hyökkäyksiä verkkoihin. Alla kerromme lyhyesti, mistä ne koostuvat:

  • DoS-hyökkäysten ehkäisy : kytkimien avulla voit määrittää kaikki porttisi havaitsemaan mahdolliset DoS -hyökkäykset, joilla on suuri liikenne ja hyvin erityinen liikenne. Voimme esimerkiksi välttää muun muassa Land Attack-, TCP Xmasscan-, TCP Null-Scan- tai TCP SYNFIN -hyökkäyksiä. Kytkimestä riippuen meillä on joitakin hyökkäyksiä tai muita niiden välttämiseksi.
  • Myrskyn hallinta : tämän turvatoimenpiteen tavoitteena on estää langallinen asiakas lähettämästä paljon yksilähetys-, monilähetys- tai yleislähetysliikennettä. Tämän tyyppinen hyökkäys pyrkii estämään tai romahtamaan verkon, kytkin huolehtii sen estämisestä.
  • Liikenteen segmentointi : olemme aiemmin sanoneet, että voimme segmentoida verkon erilaisiin VLAN -verkkoihin aliverkkojen avulla. Jos haluamme eristää laitteen tietystä portista ja esimerkiksi VLAN 20: n toisesta laitteesta samalla kytkimellä, joka on myös VLAN 20: ssä, voimme määrittää liikenteen segmentoinnin viestinnän välttämiseksi.

Muita kehittyneempiä kokoonpanoja, jotka voimme suorittaa, on todentaa jokainen langallinen asiakas RADIUS- tai TACACS -palvelimella käyttämällä 802.1X -protokollaa . Tämän protokollan avulla voimme todentaa kytkimeen kytkeytyvät kiinteät asiakkaat, jos he eivät pysty todentamaan automaattisesti, kaikki sen tuottama liikenne evätään. Se on yksi parhaista turvatoimista, jotka voimme määrittää kytkimessä, koska sen avulla voimme todentaa asiakkaita.

Kun olemme nähneet kytkinten tärkeimmät turvatoimenpiteet, katsomme, mitä turvatoimia voimme asettaa WiFi -tukiasemiin.

Määritykset tukiasemissa

Suojausmääritykset WiFi -tukiasemissa, jotta asiakkaat eivät voi käyttää niitä, ovat yksinkertaisia, jos olemme oikein segmentoinut verkon VLAN -verkkoihin . Yleensä ohjelmistot tai laitteistot käyttävät WiFi -ohjaimia, jotta ne voivat ohjata keskitetysti kymmeniä WiFi -tukiasemia, nämä WiFi -ohjaimet sijaitsevat aina hallintaverkossa, koska he vastaavat tämän aliverkon WiFi -tukiasemien hallinnasta. .

Alla olevassa esimerkissä olemme käyttäneet Nuclias Connect -laitetta DNH-100: ssa, joka sijaitsee VLAN 10: ssä, joka on hallinnan VLAN. Kuten näette, VLAN -kokoonpano osoittaa sen "Mgmt" -portti on VLAN 10: ssä ja on "merkitty" , aivan kuten muutkin VLAN -verkot, jotka vastaanotamme LAN -portin kautta, joten kaikki WiFi -yhteyspisteet vastaanottavat kaikki VLAN -verkot kytkimestä oikein.

Tässä tapauksessa WiFi -verkkoja vastaavat VLAN -verkot ovat "Untag", muuten langattomat asiakkaat eivät pysty muodostamaan yhteyttä oikein. Loppukäyttäjille (WiFi -asiakkaat, tulostimet, tietokoneet jne.) Kaikkien VLAN -verkkojen on aina oltava "Untag", elleivät he osaa "ymmärtää" 802.1Q: ta kuten NAS -palvelimet.

Kun olemme segmentoineet tukiasemat oikein niiden sisäiseen hallintaverkkoon ja asiakkaiden VLAN -verkkoihin, meidän on myös tehtävä se suojata pääsy eri tukiasemiin vastaavalla käyttäjätunnuksella ja salasanalla . "Laiteasetukset" -osiossa meidän on asetettava "järjestelmänvalvojan" käyttäjätunnus ja vankka salasana, tämä on salasana, jolla pääset kaikkien keskitetysti hallitsemiemme WiFi -tukiasemien hallintasivustoon.

Voimme myös aktivoi vai ei konsolin pääsyä WiFi -tukiasemiin , jos et käytä lainkaan konsolin käyttöoikeutta, on suositeltavaa poistaa se käytöstä turvallisuussyistä. Kaikki palvelut, joita ei käytetä, on parasta poistaa käytöstä. Tietysti sinun on aina valittava SSH eikä koskaan Telnet, koska jälkimmäinen on turvaton protokolla.

Periaatteessa sinulla ei pitäisi olla pääsyä hallintaverkon ulkopuolisiin WiFi -tukiasemiin, joten tärkeintä on varmistaa, että tukiasemien hallintaan ei pääse myöskään asiakkaan verkkojen kautta verkon tai SSH: n kautta. . Muut määritysvaihtoehdot, jotka voimme tehdä tukiasemissa, riippuvat WiFi -verkkojen vaatimuksista, kuten SSID: t, jotka rekisteröidään vastaavalla todennuksella, jos haluamme kaappaajaportaalin, jos haluamme ottaa WLAN -osion käyttöön estää WiFi -asiakkaita kommunikoimasta keskenään jne.

Kuten olette nähneet, meidän on toteutettava joukko turvatoimia sekä kytkimissä että WiFi -tukiasemissa koko verkon ja myös asiakkaiden turvallisuuden ylläpitämiseksi.