Sieć przewodowa zawsze będzie znacznie bezpieczniejsza niż sieć Wi-Fi, po prostu dlatego, że wymaga fizycznego dostępu, a dzięki Wi-Fi możesz znajdować się kilkadziesiąt metrów od punktu dostępowego i móc się połączyć. Nie powinniśmy jednak wierzyć, że przewodowe sieci LAN są odporne na wszelkiego rodzaju ataki, ponieważ prawda jest taka, że zapominamy o dużym problemie: Ochrona portu Ethernet , zarówno z tego, z czego obecnie korzystamy, jak iz czego nie korzystamy. ten
Jakie jest ryzyko pozostawienia odsłoniętych portów Ethernet bez ochrony?
Głównym niebezpieczeństwem jest to, że każdy może podłączyć się do tego portu. Wyobraź sobie, że w szpitalu jesteśmy pacjentem lub po prostu gościem i podłączamy port RJ-45 do poczekalni. To może dać nam natychmiastowy dostęp do Twojej sieci LAN, a następnie, w zależności od konfiguracji tego portu, możemy uzyskać dostęp do innych komputerów w sieci LAN, a nawet do sieci zarządzania, jeśli nie podejmiesz żadnych środków bezpieczeństwa.
Ważne jest, aby gniazda sieciowe RJ-45 znajdowały się we właściwej pozycji, a nie np. w poczekalni czy na środku przejścia, gdzie każdy może się z Tobą połączyć. Często firmy reformują się i zapominają o modyfikacji lub anulowaniu starych portów Ethernet, które nie są już używane lub pozostawione w miejscach, które nie muszą być podłączane. Każdy intruz, nawet pracownik lub klient, może wykorzystać tę naturalną lukę w zabezpieczeniach do ataku lub kradzieży danych firmy.
Wchodząc do sieci lokalnej, moglibyśmy przeprowadzić dużą liczbę ataków na sieci danych, takich jak fałszerstwo ARP, nieuczciwa instalacja serwera DHCP, naruszenie DNS, skanowanie portów Nmap w celu późniejszego wykorzystania luk w różnych usługach itp.
Jak chronić odsłonięte porty Ethernet
Jeżeli ze względu na infrastrukturę sieciową w niektórych przypadkach konieczne jest istnienie tych złączy Ethernet, to w celu połączenia różnych urządzeń musimy odpowiednio zabezpieczyć te porty.
Wyłącz drzwi przełącznikiem lub użyj programu alarmowego
Jako pierwszą opcję, jeśli spędzasz dużo czasu bez korzystania z tych odsłoniętych portów Ethernet, lepiej wyłącz port przełącznika W dezaktywacja Właśnie powiedziałem port, żeby nikt nie mógł się połączyć. Inną opcją jest to, że jeśli łączymy się tylko w określonym czasie, to jest przełączniki, które pozwalają nam zaprogramować aktywację i dezaktywację portów zgodnie z ustalonym przez nas harmonogramem, dzięki czemu skrócimy czas ekspozycji. W ten sposób rozumiemy, że bez względu na to, jak naturalnie łączą się z portem, nie mają połączenia sieciowego. Jeśli Twój router lub przełącznik nie umożliwia tej opcji, możesz również odłączyć kabel od przełącznika lub routera, chociaż nie jest to idealny wybór dla firm.
Utwórz określoną i nieużywaną sieć VLAN, zastosuj ją do tych portów jako dostęp
Kolejne bardzo skuteczne rozwiązanie, jeśli nie jesteśmy zainteresowani wyłączaniem portu, ale chcemy, jeśli ktoś się z nim łączy, nie może się komunikować utwórz określoną sieć VLAN dla tych portów aby ustawić porty w trybie dostępu z tą siecią VLAN, a ta sieć VLAN izoluje ją i nie używa jej na poziomie L3. To sprawia, że każdy, kto się łączy, wierzy, że ma połączenie, które będzie miał, ale nie będzie mógł uzyskać dostępu do naszej sieci, dlatego upewniamy się, że jest ono bezpieczne. Aby zrozumieć, że tworzenie sieci VLAN przypomina tworzenie innej sieci przewodowej w naszej sieci, której nie można zobaczyć w innych sieciach, a zatem jest niewidoczna i niezależna od innych sieci.
Prywatna sieć LAN i ustaw porty jako izolowane
Inną opcją, jaką mamy w odniesieniu do sieci VLAN, jest możliwość konfiguracji prywatnych sieci VLAN. Tylko wysokiej jakości przełączniki L2+ i przełączniki L3 mają tę opcję. Ta funkcja oparta na sieci VLAN pozwoli nam tworzyć określone sieci VLAN, aby całkowicie automatycznie odizolować wszystkich klientów od siebie, po prostu tworząc VLAN typu „Isolated VLAN”. W ten sposób, jeśli urządzenie się z nim połączy, nie będzie mogło komunikować się z innymi urządzeniami w tej samej izolowanej sieci VLAN, mimo że komunikuje się z portem Promiscous, więc musisz je odpowiednio zabezpieczyć.
W RedesZone przeanalizowaliśmy niektóre przełączniki L3, które mają tę ważną funkcję bezpieczeństwa, na przykład Przełączniki D-Link DGS-3130 ORAZ D-Link DGS-3630 ten
Bezpieczeństwo portu
Jeśli nasz przełącznik jest zarządzalny, jesteśmy pewni, że będzie miał nieznaną wielu użytkownikom opcję Port-Security, opcję oprogramowania, która pozwala nam włączyć zabezpieczenia portów na przełączniku. Jeśli z niego skorzystamy, zazwyczaj będziemy mieli do wyboru następujące opcje, które możemy skonfigurować:
- Włącz zabezpieczenia : Dzięki tej opcji włączamy zabezpieczenie portu, zawsze jest domyślnie wyłączone.
- Identyfikator adresu MAC : Użyj tej opcji, aby wprowadzić adres MAC, który będzie miał dostęp tylko do tego portu lub dynamicznie poznać adres MAC za pomocą przełącznika i wprowadzić go do autoryzowanej bazy danych MAC. Jeśli planujesz używać funkcji Sitcky, ponieważ Twoja sieć jest zbyt duża i nie chcesz wprowadzać adresów MAC przez MAC na przełączniku, musisz sprawdzić swoje środowisko fizyczne, aby żaden sprzęt nie został rozpoznany.
- Numer MAC A: Ta opcja pozwala nam powiedzieć, ile adresów MAC można podłączyć do tego portu, zwykle 1 do 128 adresów MAC jest dozwolonych dla jednego portu. Przydatnym przykładem byłoby: mamy pomieszczenie, w którym różne osoby w grupie mogą siedzieć tam, gdzie chcą, mamy gniazdo sieciowe RJ-45 i podłączamy niesterowalny przełącznik, możemy aktywować maksymalną liczbę grup, z których mogą korzystać, w innymi słowy, jeśli dziesięć osób korzysta z dziesięciu komputerów, wprowadzimy maksymalną wartość dziesięciu (plus MAC podłączonego przełącznika), aby nikt poza członkami grupy nie mógł się połączyć.
- Naruszenie bezpieczeństwa : Ta opcja pozwala określić, co przełącznik powinien zrobić, jeśli ktoś podłączy komputer do portu sieciowego, a ten komputer nie jest autoryzowany do użytku przez adres MAC. Jeśli tak się stanie, pozwala nam to skonfigurować przełącznik do normalnej pracy na trzy różne sposoby:
- Funkcja ochrony : Ta opcja blokuje ruch do tego nieznanego adresu MAC, tzn. odrzuca cały ruch generowany przez urządzenie. W tym trybie administrator nie jest powiadamiany o problemie lub próbie włamania.
- Funkcja ograniczenia : sposób „Restriction” działa identycznie jak w poprzedniej operacji, tzn. blokuje ruch generowany przez nieautoryzowany adres MAC, ale także wysyła powiadomienie do administratora poprzez protokół SNMP, zapisując dodatkowo do logu przełącznika.
- Funkcja zatrzymania : Ta funkcja powoduje, że jeśli wykryje, że adres MAC jest podłączony do portu i nie jest dozwolony, port zostanie automatycznie zamknięty ze względów bezpieczeństwa. Ta opcja jest bardzo ciekawa, ponieważ w zależności od konfiguracji przełącznika wymusi na administratorze ręczne podniesienie portu, dzięki czemu i tak będzie wiedział, co się stało.
Uwierzytelnianie przy użyciu 802.1X
Innym środkiem bezpieczeństwa, który można wdrożyć na poziomie okablowania sieci LAN, jest to, że wszystkie podłączone komputery klienckie muszą być uwierzytelniane na serwerze RADIUS przy użyciu protokołu 802.1X, który obejmuje wiele zarządzanych przełączników. Chociaż ten protokół nie szyfruje komunikacji Ethernet, pozwoli nam zażądać dodatkowego uwierzytelnienia z tych portów Ethernet, jeśli komputer spróbuje się połączyć i nie wprowadzi poprawnie poświadczeń, po prostu zostanie mu odmówiony dostęp do sieci, więc chroń Cię.
Zdecydowana większość producentów uwzględnia wszystkie te środki bezpieczeństwa w przełącznikach high-tech, ponieważ dziś są one absolutnie fundamentalne. Zalecamy dostęp do naszej sekcji Analiza przełączniki gdzie można znaleźć dużą liczbę przeanalizowanych modeli i zobaczyć szczegółowo wszystkie funkcje bezpieczeństwa.
Jak zauważyłeś, konieczne jest podjęcie niezbędnych środków bezpieczeństwa w celu ochrony naszej sieci przewodowej, ponieważ chociaż wymagany jest fizyczny dostęp, w wielu przypadkach są odsłonięte porty Ethernet, do których każdy może się podłączyć. Dzięki środkom bezpieczeństwa, które są zintegrowane w zarządzanych przełącznikach, będziemy mogli złagodzić fakt, że ktoś nie może połączyć się z korporacyjną siecią LAN.