Cuprins
De ce securitate la nivel de LAN ?
Vulnerabiliti n reeaua local
Atacuri i msuri de prevenire
De ce securitate la nivel de LAN ?
99% din porturile de retea ale companiilor sunt deschise
In mod obisnuit, orice laptop se poate conecta pe unul din aceste porturi
si obtine acces in retea
Studiul anual facut de CIS/FBI 2011 (Computer Crime and Security
Survey, arata ca cel putin 45,6% din au suferit un atac la nivelul
sistemului informaional.
La nivelul anului 2006 peste 50% din atacuri veneau din iteriorul reelei.
Of the approximately half of respondents who experienced at least one security
incident last year,
fully 45.6 percent of them reported theyd been the subjects of at least one targeted
attack.
When asked what actions were taken following a security incident, 18.1 percent of
respondents
stated that they notified individuals whose personal information was breached and 15.9
percent
stated that they provided new security services to users or customers.
De ce securitate la nivel de LAN ?
Efectul Domino daca un nivel este compromis, toate comunicatiile sunt
compromise
Gradul de securitate al intregului sistem de comunicatii este cel mult
egal cu al celui mai nesigur nivel
Nivelul 2 (LAN) poate fi foarte vulnerabil
Modelul TCP/IP
Atac IP Spoofing
Atacatorul transmite pachete cu adresa IP sursa incorecta
Indiferent cui ii este adresat pachetul, atacatorul nu va primi niciodata un
raspuns.
de tip DoS).
Pentru a functiona este necesar ca VLAN-ul nativ dintre cele doua
switch-uri sa fie acelasi cu cel de pe portul pe care se afla atacatorul.
Securitatea VLAN-urilor Recomandri
Nu folositi VLAN 1 deloc (nu se poate dezactiva, dar nu alocati porturi in
acest VLAN).
Dezactivati porturile nefolosite si alocati-le unui VLAN nefolosit (altul
decat VLAN 1).
Dezactivati auto-trunking ul pe toate porturile (DTP Off).
Configurati explicit trunking ul (DTP On) acolo unde este necesar
(intre switch-uri, pe conexiunea spre un server, router, firewall).
Nu transportati decat VLAN-urile necesare, pe porturile de tip Trunk
Evitati folosirea VLAN-urilor campus wide.
Daca se poate, nu folositi VLAN-uri native pe porturile Trunk (toate
frame-urile vor fi marcate); daca nu, ID-ul VLAN-ului nativ sa fie diferit de
cel al VLAN-urilor in care sunt alocate porturi utilizatorilor.
Administrarea switch-urilor
Poate prezenta cele mai mari vulnerabilitati, toate tehnicile de protectie
mentionate anterior sunt nefolositoare, att timp ct un atacator poate
obtine acces prin telnet/ssh la consola administrativa, putandu-le dezactiva
sau manevra.
Cele mai multe din protocoalele utilizate pentru administrarea obisnuita a
retelei sunt nesigure (http, telnet, ftp, tftp, snmp v1/v2, syslog, etc).
Folositi variantele sigure ale acestor protocoale, daca sunt disponibile
(https, ssh, sftp, scp, snmp v3, etc);
daca nu, folositi administrarea Out-Of-Band (OOB) crearea unul VLAN
dedicat administrarii de retea.
Daca nici administrarea OOB nu este posibila, atunci folositi mecanismele
de limitare a accesului in sens administrativ, disponibile pe switch (liste de
control al accesului).