دوره های آموزشی آکادمی پی وی لرن (پروژه محور و ویژه بازار کار)



  • ۴
  • شهریور

جلسه ۰۵-۰۳ : لایه Data Link – امنیت شبکه

  • دسته‌بندی‌ها :
جلسه ۰۵-۰۳ : لایه Data Link – امنیت شبکه
    • جزئیات
    • نوع محتواآموزشی

      مقدمه

      با دوره ی آموزش امنیت شبکه (Network Security) از وبسایت پی وی لرن همراه هستیم.
      در این قسمت از امنیت لایه پیوند داده، امنیت Spanning Tree Protocol و جلوگیری از حملات در STP رو به همراه Virtual Local Area Network بررسی خواهیم نمود. همراه با ما باشین.

      لایه Data Link – امنیت شبکه

      در ابتدا امنیت Spanning Tree Protocol رو خواهیم داشت.

      امنیت Spanning Tree Protocol

      (Spanning Tree Protocol (STP یک پروتکل مدیریت layer 2 link است. هدف اصلی STP اطمینان از عدم وجود حلقه های جریان داده در هنگامی که شبکه دارای مسیرهای اضافی است، می باشد. به طور کلی ، مسیرهای اضافی ساخته می شوند تا قابلیت اطمینان به شبکه را فراهم کنند. اما آن ها می توانند حلقه های مهلکی ایجاد کنند که می تواند منجر به حمله DoS در شبکه شود.

      امنیت Spanning Tree Protocol رو ادامه می دهیم.

      Spanning Tree Protocol

      به منظور فراهم کردن افزونگی مسیر مورد نظر و همچنین برای جلوگیری از وضعیت حلقه، STP درختی را تعریف می کند که تمام سوئیچ ها در یک شبکه را قرار گرفته است. STP لینک های داده های افزایشی خاص را به حالت بلاک ( blocked state) مجبور می کند و پیوندهای دیگر را در حالت forwarding قرار می دهد.

      اگر پیوندی در حالت forwarding خراب شود ، STP شبکه را مجدداً پیكربندی می كند و با فعال كردن مسیر آماده به کار مناسب ، مسیر داده را دوباره تعریف می كند. STP روی bridge و switche مستقر در شبکه اجرا می شود.

      کلیه سوئیچ ها برای انتخاب root switch و برای پیکربندی بعدی شبکه اطلاعات را تبادل می کنند. (Bridge Protocol Data Units (BPDU این اطلاعات را حمل می کنند. از طریق تبادل BPDU ، تمام سوئیچ های موجود در شبکه یک root bridge/switch را انتخاب می کنند که به کانون شبکه تبدیل می شود و لینک های blocked و forwarded را کنترل می کند.

      حمله به STP

      Root Bridge. این یکی از مخرب ترین نوع حمله در لایه ۲ است.

      به طور پیش فرض ، یک سوئیچ LAN هر BPDU را که از سوئیچ همسایه ارسال می شود ، با ارزش اسمی می گیرد.

      اتفاقاً STP قابل اعتماد ، بدون وضعیت است و هیچ مکانیسم احراز هویتی را در اختیار شما قرار نمی دهد.

      root attack. هنگامی که در حالت حمله root قرار دارید ، سوئیچ حمله کننده هر ۲ ثانیه BPDU را با همان اولویت به عنوان root bridge فعلی ، اما با یک آدرس MAC کمی عددی پایین می فرستد، که پیروزی خود را در روند انتخاب root-bridge تضمین می کند. سوئیچ مهاجم می تواند با عدم درستی acknowledging سایر سوئیچ ها BPDU flooding را ایجاد کند یا با قرار دادن سوئیچ ها به پردازش بیش از حد BPDUS، حمله DoS را انجام دهد.

      DoS با استفاده از Flood of Configuration BPDU. سوئیچ حمله کننده سعی نمی کند که به عنوان ریشه از آن استفاده کند. در عوض ، تعداد زیادی BPDU در ثانیه تولید می کند که منجر به استفاده بسیار زیاد از CPU روی سوئیچ ها می شود.

      در بخش بعد جلوگیری از حملات در STP رو داریم.

      جلوگیری از حملات در STP رو در ادامه داریم.

      جلوگیری از حملات در STP

      خوشبختانه ، اقدامات متقابل برای حمله ریشه ساده و سر راست است.

      دو ویژگی در شکست حمله تصاحب ریشه کمک می کند.

      Root Guard

      Root Guard ، پورت های سوئیچ را محدود می کند که از طریق آن می توان مذاکره root bridge را انجام داد. اگر یک پورت “root-guard-enabled” بتواند BPDU هایی را دریافت کند که برتر از آن هستند که root bridge ارسال می کند ، آن گاه این پورت به حالت

      root-inconsistent منتقل می شود و هیچ گونه ترافیک اطلاعاتی در آن پورت منتقل نمی شود. Root guard بهترین حالت به سمت پورت هایی است که به سوئیچ هایی وصل می شوند که انتظار نمی رود آن ها را به عنوان root bridge تصرف کنند.

      (دستوريست كه از طريق آن اينترفيس هايي كه نيازي نيست از آن ها اعلام root بودن انجام شود بلاک خواهند شد)

      BPDU-Guard

      این یعنی BPDU-Guard برای محافظت از شبکه از مشکلی که ممکن است در اثر دریافت BPDU ها در پورت های دسترسی ایجاد شود ، استفاده می شود.

      این ها پورت هایی هستند که نباید آن ها را دریافت کرد. BPDU-Guard از قرار دادن rogue switch توسط یک مهاجم جلوگیری شود.

      (دستوريست كه از طريق آن اينترفيس هايي كه انتظار نداريم پكت bpdu از آن ها دريافت كنيم را بلاک مي كنيم)

      امنیت Virtual LAN

      در شبکه های محلی ، گاهی اوقات (Virtual Local Area Networks (VLAN به عنوان یک اقدام امنیتی برای محدود کردن تعداد میزبان مستعد به حمله لایه ۲ تنظیم می شوند. VLAN مرزهای شبکه را ایجاد می کند، که (broadcast (ARP, DHCP از آن عبور نمی کند.

      Virtual Local Area Network

      شبکه ای که دارای سوئیچ های پشتیبانی کننده از قابلیت های VLAN است،

      می تواند برای تعریف چندین VLAN بر روی یک زیرساخت شبکه LAN فیزیکی تنظیم شود.

       

      Virtual Local Area Network

      Virtual Local Area Network

      شکل رایج VLAN یک VLAN مبتنی بر پورت است.

      در این ساختار VLAN ، پورت های سوئیچ با استفاده از نرم افزار مدیریت سوئیچ به VLAN گروه بندی می شوند.

      بنابراین یک سوئیچ فیزیکی منفرد می تواند به عنوان چند سوئیچ مجازی عمل کند.

      به کار گیری VLAN باعث انزوا در ترافیک می شود. این، broadcast بزرگ لایه ۲ شبکه را تقسیم می کند

      و بنابراین دامنه حملاتی مانند ARP / DHCP Spoofing را کاهش می دهد.

      فریم های داده یک VLAN می توانند از / به درون پورت های متعلق به فقط VLAN منتقل شوند.

      ارسال فریم بین دو VLAN از طریق مسیریابی انجام می شود.

      VLAN ها عموماً چندین سوئیچ دارند که در شکل بالا نشان داده شده است. لینک بین trunk port ها دارای فریم های VLAN های تعریف شده از سوئیچ های فیزیکی متعدد را حمل می کند. از این رو ، فریم های VLAN که بین سوئیچ ها فوروارد می شوند ، نمی توانند فریم های فرمت IEEE 802.1 Ethernet باشند. از آن جایی که این فزیم ها به همان لینک فیزیکی حرکت می کنند ، اکنون آن ها نیاز به حمل اطلاعات VLAN ID دارند. پروتکل IEEE 802.1Q فیلد های هدر اضافی را به فریم های اترنت ساده ارسال شده بین

      trunk port ها اضافه / حذف می کند.

       

      لایه Data Link - امنیت شبکه

      لایه Data Link – امنیت شبکه

      هنگامی که فیلد فوروارد، دو فیلد IP آدرس (IP 0x8100 (> 1500 باشد ،

      فریم به عنوان فریم ۸۰۲٫۱Q مشخص می شود.

      مقدار ۲ بایت (Tag Protocol Identifier (TPI، برابر با ۰۰-۸۱ است.

      فیلد TCI شامل اطلاعات اولویت (priority information) سه بیتی ،

      (Drop eligible indicator (DEI یک بیتی و VLAN ID دوازده بیتی است.

      این فیلد ها دارای priority field سه بیتی و فیلد DEI مربوط به VLAN ها نیست.

      از بیت های اولویت (Priority bits) برای ارائه کیفیت خدمات استفاده می شود.

      هنگامی که یک فریم به هیچ VLAN تعلق ندارد ، یک id پیش فرض VLAN وجود دارد که فریم با آن در ارتباط است.

       

      در این بخش امنیت Spanning Tree Protocol و جلوگیری از حملات در STP رو بررسی کردیم.

      کلام پایانی

      در این قسمت از آموزش های امنیت شبکه و بخش امنیت لایه پیوند داده، امنیت Spanning Tree Protocol و جلوگیری از حملات در STP رو داشتیم.

      و دیدیم که چگونه می شود دامنه حملاتی مانند ARP / DHCP Spoofing را کاهش داد.

      در جلسات بعد نیز مبحث امنیت لایه پیوند داده رو ادامه خواهیم داد.

      با پی وی لرن همراه باشید.

      QR:  جلسه ۰۵-۰۳ : لایه Data Link – امنیت شبکه
      به اشتراک بگذارید