Розглянемо, що відбувається після того, як вузол призначення (Б) отримав кадр із запитом на дозвіл своєї мережевої адреси. Згідно вимог специфікацій канального рівня, вузол, що отримав широкомовний кадр, що містить запит на дозвіл своєї мережевої адреси, зобов'язаний передати відправникові цього кадру відповідь, що містить власні мережеву і апаратну адреси. Відповідь вузла (Б) буде вже не широкомовною, а адресованою вузлу (А). Комутатор, зобов'язаний транслювати відповідь вузла (Б) тільки на той порт, до якого підключений вузол (А). Таким чином, кадр канального рівня, що містить відповідь вузла (Б) вже ніяк не потрапить до зловмисника. Це пояснюється тим, що середовище передачі, використовуване для підключення зловмисника до комутатора, буде вільне у момент передачі відповіді. Після отримання кадру з відповіддю, вузол (А) дізнається апаратна (MAC) адреса вузла (Б) і зможе почати передачу пакетів мережевого рівня на аресу вузла (Б). Подальші аспекти взаємодії вузлів знаходяться поза компетенцією протоколів канального рівня. Завдання протоколу канального рівня вважається за виконане, якщо що обмінюються даними вузли знають апаратні адреси один одного і можуть інкапсулювати мережеві пакети в кадри канального рівня, що ідентифікуються комутатором по MAC-адресам вузлів.
Уразливість системи дозволу мережевих адрес, описаної вище (у IP-сетях ця система називається ARP — Address Resolution Protocol) полягає в тому, що вузол (А) довіряє вмісту кадру з відповіддю. Тобто дані, передані у відповідь на запит про дозвіл мережевої адреси, ніяк не перевіряються і нічим не підтверджуються. Цією уразливістю і скористається зловмисник, охочий підмінити собою вузол (Б) або прослуховувати потік кадрів, передаваних між будь-якими двома вузлами мережі. Відбувається це таким чином. Зловмисник, вузол якого далі позначимо літерою (Х), завчасно визначає апаратну і мережеву адреси вузлів, що атакуються. Потім починає безперервно відправляти на аресу вузла (А) помилкові відповіді з вказівкою мережевої адреси вузла (Б) і апаратної адреси свого вузла (Х). Отримуючи помилкові відповіді вузол (А) перебудовує свою таблицю дозволу мережевих адрес і з цієї миті всі кадри, що відправляються їм на аресу вузла (Б) матимуть в заголовку апаратну адресу вузла зловмисника. Оскільки простий комутатор ухвалює рішення про трансляцію кадру на той або інший порт тільки на підставі апаратної адреси, вказаної в заголовку цього кадру, зловмисник отримуватиме всі повідомлення, адресовані вузлу (Б). Якщо зловмисникові необхідно організувати прослуховування трафіку між вузлами (А) і (Б) він здійснює помилкову розсилку відповідей на аресу обох вузлів і отримані в свою адресу кадри після перегляду і аналізу транслює вузлу, якому вони призначалися.
Описана вище техніка підміни апаратних адрес (у народі відома під англомовною назвою ARP spoofing) не є новою, різні варіанти її реалізації доступні користувачам мережі Інтернет у вигляді готових програм з докладним керівництвом користувача. Проте, практика показує, що в комп'ютерних мережах підприємств продовжується використання дешевих простих комутаторів на відповідальних ділянках при підключенні критично важливих для підприємства вузлів (серверів, маршрутизаторів і так далі). Комп'ютерні мережі, оснащені багатофункціональними керованими комутаторами, часто також залишаються уразливими до подібного роду атакам. У багатьох випадках функції захисту і розмежування доступу до середовища передачі, реалізовані в цих виробах, залишаються незатребуваними у зв'язку з недоліком кваліфікації або недбалістю системних адміністраторів. Крім того, ефективне розмежування доступу засобами канального рівня можливо тільки за умови повної інвентаризації вузлів мережі і формалізації правил взаємодії між ними. На практиці керівництво підприємства неохоче виділяє кошти на проведення подібних робіт, не розуміючи їх важливості для забезпечення захисту комп'ютерної мережі.
Нижче приведені рекомендації, проходження яким дозволяє додатково захистити комп'ютерну мережу підприємства засобами канального рівня.
1. Адміністратор служби безпеці повинен вести інвентаризаційну відомість відповідності апаратних і мережевих адрес всіх вузлів мережі підприємства.
2. Службою безпеці, спільно з відділом інформаційних технологій, має бути розроблена політика захисту комп'ютерної мережі засобами канального рівня, що визначає допустимі маршрути передачі кадрів канального рівня. Розроблена політика повинна забороняти зв'язки типу «один-ко-многим», не обгрунтовані вимогами інформаційної підтримки діяльності підприємства. Політикою також мають бути визначені робочі місця, з яких дозволена конфігурація засобів комутації канального рівня.
3. Засоби комутації канального рівня, використовувані в комп'ютерній мережі підприємства, мають бути такими, що настроюються і забезпечувати розмежування доступу між вузлами мережі відповідно до розробленої політики. Як правило, такі засоби підтримують технологію VLAN, що дозволяє в рамках одного комутатора виділити групи апаратних адрес і сформувати для них правила трансляції кадрів.
4. Адміністратор мережі повинен виконати налаштування підсистеми управління VLAN комутатора, і інших підсистем, необхідних для реалізації розробленої політики захисту. У обов'язку адміністратора входить також відключення невживаних підсистем комутатора.
5. Адміністратор мережі повинен регулярно контролювати відповідність конфігурацій комутаторів розробленій політиці захисту.
6. Адміністратор мережі повинен вести моніторинг мережевої активності користувачів з метою виявлення джерел аномально високої кількості широкомовних запитів.
7. Служба безпеці повинна контролювати регулярність зміни реквізитів авторизації адміністратора в підсистемах управління комутаторами.
8. Служба безпеці повинна контролювати регулярність виконання адміністратором заходів, пов'язаних з моніторингом мережі, здійсненням профілактичних робіт по налаштуванню комутаторів, а також створенням резервних копій конфігурацій комутаторів.
9. Служба безпеці повинна забезпечити строгий контроль доступу в приміщення, в яких розташовані комутатори і робочі станції, з яких дозволено управління комутаторами. На рис. 4.3 приведений приклад формалізованої політики захисту комп'ютерної мережі засобами канального рівня.
Рис. 4.3. Приклад формалізованого запису політики захисту комп'ютерної мережі засобами канального рівня.
В центрі схеми знаходиться керований комутатор, що забезпечує реалізацію правил політики безпеки. Атрибути комутатора перераховані у верхній частині блоку, а його операції (функції) в нижней. Вузли мережі згруповані за функціональною ознакою. Приклад запису правил фільтрації трафіку керованим комутатором приведений з права у відповідній нотації.
4.3.3 Авторизація доступу на мережевому рівні організації комп’ютерних мереж
Використання в комп'ютерній мережі протоколів мережевого рівня є необхідною умовою для забезпечення взаємодії між вузлами мереж з різними канальними протоколами. Мережеві протоколи дозволяють подолати обмеження, що накладаються специфікаціями канального рівня. Наприклад, дозволяють об'єднати комп'ютерну мережу підприємства з мережею інтернет-провайдера з використанням телефонних мереж загального користування. Зробити це тільки засобами канальних протоколів досить складно. Крім того, об'єднання двох різних за призначенням мереж з використанням мостів украй негативно позначається на рівні захищеності об'єднуваних мереж. В більшості випадків адміністратор і служба безпеці підприємства не можуть повністю проинвентаризировать вузли мережі, що підключається, і, отже, формалізувати правила обміну кадрами канального рівня.
Другий важливий аспект використання протоколів мережевого рівня — це розмежування доступу до ресурсів усередині мережі підприємства, що використовує тільки один стандарт канального рівня. Використання для цієї мети протоколів мережевого рівня вельми ефективно навіть для мереж, побудованих з використанням тільки одного стандарту канального рівня. Проблема сумісності в таких мережах не актуальна, і тому корисні властивості мережевих протоколів можна використовувати для захисту від дії на мережу зловмисника. Однією з таких властивостей є використання протоколами мережевого рівня роздільної схеми адресації мережі (тобто групи комп'ютерів) і окремо узятого вузла цієї групи. Зокрема адреса протоколу мережевого рівня IP складається з двох частин — номера мережі, і номера вузла. При цьому максимально можлива кількість вузлів в мережі або її адресний простір визначається значенням мережевої маски або (раніше, до введення безкласової маршрутизації CIDR) класом мережі.
Дану особливість адресації можуть використовувати як адміністратор мережі, так і зловмисник. Одним із завдань адміністратора мережі і співробітників служби безпеці є захист адресного простору мережі від можливості його використання зловмисником. Частково цю функцію виконують механізми маршрутизації, реалізовані модулями протоколу мережевого рівня. Тобто здійснення обміну між вузлами мереж з різними номерами неможливе без попереднього налаштування локальних таблиць маршрутизації вузлів цих мереж, або без внесення змін до конфігурації маршрутизатора, що здійснює обмін пакетами (пакетом називається блок даних, з яким працює протокол мережевого рівня).
Проте майже завжди в адресному просторі мережі залишається частина адрес, не зайнятих зараз і тому доступних для експлуатації зловмисником. Це пояснюється форматом представлення номера мережі і номера вузла IP-протокола. Кількість вузлів в мережі — це завжди 2n, тобто 4,8,16,32,64 і так далі Реальна ж кількість вузлів не буває такою. Крім того, адміністратор завжди прагне зарезервувати адресний простір для нових вузлів. Саме цей резерв може і буде використаний зловмисником для здійснення атак на функціонуючі вузли комп'ютерної мережі.