دوره های آموزشی آکادمی پی وی لرن (پروژه محور و ویژه بازار کار)



  • ۴
  • شهریور

جلسه ۰۵-۰۲ : لایه Data Link – امنیت شبکه

  • دسته‌بندی‌ها :
جلسه ۰۵-۰۲ : لایه Data Link – امنیت شبکه
    • جزئیات
    • نوع محتواآموزشی

      مقدمه

      با دوره ی آموزش امنیت شبکه (Network Security) از وبسایت پی وی لرن همراه هستیم.
      در قسمت قبل شایع ترین حملات به لایه پیوند داده از جمله حمله  ARP Spoofing ، حمله MAC Flooding ، Port Stealing و حملات DHCP رو مورد بررسی قرار دادیم. در مورد امنیت لایه Data Link و حملات به لایه Data Link باید گفت که غیر از این حملات، حملات دیگری نیز به این لایه وجود دارد که در این قسمت بررسی خواهیم نمود و همچنین راه های جلوگیری از این حملات رو خواهیم داشت. پس برای بررسی حملات به لایه پیوند داده و راه های جلوگیری از این حملات با پی وی لرن همراه باشید.

      امنیت لایه Data Link – امنیت شبکه

      حملات به لایه Data Link

      علاوه بر حملات رایج بیان شده در جلسه ی قبل، حملات دیگری مانند پخش مبتنی بر

      Layer 2-based broadcasting, Denial of Service (DoS), MAC cloning نیز وجود دارد.

      در حمله broadcasting ، مهاجم پاسخ های جعلی ARP را برای میزبان های شبکه ارسال می کند. این پاسخ های ARP آدرس MAC دروازه پیش فرض را به آدرس broadcasting تنظیم می کند. این باعث می شود همه ترافیک های خروجی برای broadcast، قادر به اسنیف توسط حمله کننده ای که در همان اترنت قرار دارد، باشد.

      این نوع حمله بر ظرفیت شبکه نیز تأثیر می گذارد.

      در حملات DoS مبتنی بر Layer 2 ، مهاجم کش ARP میزبان در شبکه را با آدرس های MAC ی که وجود ندارد به روز می کند. قرار است آدرس MAC هر کارت رابط شبکه در یک شبکه منحصر به فرد باشد. با این حال ، با فعال کردن MAC clone، به راحتی قابل تغییر است. مهاجم از طریق حمله DoS میزبان هدف را غیرفعال می کند و سپس از آدرس های IP و MAC میزبان مورد نظر استفاده می کند.

      مهاجم حملات را انجام می دهد تا حملات سطح بالاتری را انجام دهد و امنیت اطلاعات مسافر در شبکه را به خطر بیندازد. او می تواند تمام فریم ها را رهگیری کند و قادر به خواندن داده های فریم باشد. مهاجم می تواند به عنوان مرد میانی عمل کند و داده ها را تغییر دهد یا به سادگی فریم منتهی به DoS را دراپ کند. او می تواند session در حال اجرا را بین میزبان مورد نظز و سایر دستگاه ها ربوده و به طور کلی اطلاعات نادرست را برقرار نماید.

      امنیت Ethernet LAN

      ما در بخش قبلی در مورد حملات گسترده شناخته شده ای در Data Link Layer بحث کردیم.

      روش های مختلفی برای کاهش این نوع حملات ایجاد شده است.

      برخی از روش های مهم عبارتند از:

      Port Security

      این یک ویژگی امنیتی لایه ۲ است که در سوئیچ های هوشمند اترنت موجود است. این روش شامل اتصال یک پورت فیزیکی سوئیچ به آدرس یا آدرس های خاص MAC است. هر کس می تواند به سادگی با اتصال میزبان به یکی از پورت های سوئیچ موجود، به یک شبکه نا امن دسترسی پیدا کند.

      اما ، Port Security می تواند امنیت دسترسی به لایه ۲ را تضمین کند.

       

      Port Security - حملات به لایه Data Link

      Port Security – حملات به لایه Data Link

      به طور پیش فرض ، Port Security تعداد آدرس های MAC ورودی را به یکی محدود می کند. با این وجود می تواند بیش از یک میزبان مجاز از طریق پیکربندی آن پورت متصل شود. آدرس های مجاز MAC در هر رابط می توانند به صورت استاتیک تنظیم شوند. یک جایگزین مناسب برای فعال کردن یادگیری آدرس مک “sticky” است که در آن آدرس های MAC بصورت پویا توسط پورت سوئیچ یاد گرفته می شوند تا این که به حداکثر حد مجاز پورت برسد.

      برای اطمینان از امنیت ، واکنش نسبت به تغییر آدرس MAC مشخص شده در پورت یا آدرس های اضافی موجود در درگاه به روش های مختلفی قابل کنترل است. این پورت را می توان برای خاموش یا مسدود کردن آدرس های MAC که بیش از حد مشخص است، تنظیم کرد.

      بهترین کار توصیه شده خاموش کردن پورت است. Port Security مانع از وقوع MAC flooding و cloning می شود.

      DHCP Snooping

      دیدیم که DHCP spoofing حمله ای است که در آن حمله کننده درخواست های DHCP از میزبان روی شبکه را می شنود و قبل از پاسخ DHCP مجاز به میزبان، پاسخ های جعلی DHCP را پاسخ می دهد.

      DHCP snooping می تواند از بروز چنین حملاتی جلوگیری کند. DHCP snooping یک ویژگی سوئیچ است. سوئیچ را می توان پیکربندی کرد تا مشخص شود کدام درگاه سوئیچ می تواند به درخواست های DHCP پاسخ دهد. پورت های سوئیچ به عنوان پورت های قابل اعتماد یا غیر قابل اعتماد شناخته می شوند.

       

      DHCP Snooping - حملات به لایه Data Link - امنیت لایه Data Link

      DHCP Snooping – حملات به لایه Data Link – امنیت لایه Data Link

      فقط پورت هایی که به یک سرور DHCP مجاز وصل می شوند ، به عنوان “trusted – قابل اعتماد” پیکربندی شده اند و مجاز به ارسال انواع پیام های DHCP هستند.

      همه درگاه های دیگر روی سوئیچ غیر قابل اعتماد هستند و فقط می توانند درخواست DHCP ارسال کنند.

      اگر پاسخ DHCP در درگاه غیر قابل اعتماد مشاهده شود ، پورت خاموش می شود.

      جلوگیری از ARP Spoofing

      روش port security می تواند از بروز سیل و حملات کلونینگ MAC جلوگیری کند. با این حال، از ARP Spoofing جلوگیری نمی کند. port security آدرس منبع MAC را در هدر فریم تأیید می کند ، اما فریم های ARP شامل یک فیلد MAC source اضافی در بار داده هستند و هاست از این فیلد برای پر کردن ARP cache خود استفاده می کند.

      برخی از روش های جلوگیری از ARP spoofing به شرح زیر ذکر شده است.

      Static ARP – یکی از اقدامات پیشنهادی استفاده از ورودی های ARP استاتیک در جدول ARP هاست است.

      ورودی Static ARP ورودی های دائمی در ARP cache است.

      با این حال، این روش غیر عملی است.

      همچنین، اجازه استفاده از برخی پروتکل های (Dynamic Host Configuration Protocol (DHCP را نمی دهد

      زیرا Static ARP باید برای همه میزبان های موجود در شبکه لایه ۲ استفاده شود.

      سیستم تشخیص نفوذ (Intrusion Detection System) – روش دفاعی استفاده از (Intrusion Detection System (IDS است که برای شناسایی مقادیر زیاد ترافیک ARP تنظیم شده است. با این حال ، IDS مستعد گزارش مثبت کاذب ( false positives) است.

      Dynamic ARP Inspection – این روش برای جلوگیری از ARP spoofing شبیه به DHCP snooping است. از پورت های قابل اعتماد و غیر قابل اعتماد استفاده می کند. پاسخ های ARP فقط به switch interface در پورت های قابل اعتماد، اجازه می دهند. اگر پاسخ ARP به سوئیچ پورت غیر قابل اعتماد بیاید، محتویات بسته پاسخ ARP با جدول اتصال DHCP مقایسه می شود تا صحت آن را بررسی کنید.

      اگر پاسخ ARP معتبر نباشد، پاسخ ARP از بین می رود و درگاه غیرفعال می شود.

      این بخش از امنیت لایه Data Link و انواع حملات به لایه Data Link رو به پایان می رسونیم و در جلسات آینده به ادامه ی موضوع می پردازیم.

      کلام پایانی

      دوستان ممنون از همراهیتون.

      در قسمت دوم امنیت لایه Data Link یا پیوند داده از مباحث امنیت شبکه، حملات به لایه Data Link و انواع حملات به این لایه و راه های جلوگیری از این حملات از جمله روش Port Security، روش های جلوگیری از ARP spoofing و DHCP Snooping و غیره رو مورد بررسی قرار دادیم.

      مبحث امنیت لایه Data Link و امنیت شبکه رو در جلسات بعد ادامه خواهیم داد.

      با ما از وب سایت پی وی لرن همراه باشین.

      QR:  جلسه ۰۵-۰۲ : لایه Data Link – امنیت شبکه
      به اشتراک بگذارید