Протокол STP. Методы сетевых атак и защиты.

Кроме того, в зависимости от размеров сети и еще при соблюдениинекоторых условий, порты STP-совместимых устройств, при возникновении атаки данного типа могут никогда не перейти в рабочее состояние.Атаки, связанные с локализованным отказом в обслуживании.Атакующий может инициировать отказ в обслуживании не по всей сети, а лишь на некотором ее участке. Для проведения атаки типа "ложный сервер" проводится изоляция клиента-жертвы от реального сервера. В показанной на рисунке 3 сети серверы подключаются непосредственно или через концентраторы к единому коммутатору, а клиенты - к другому.Рисунок - Схема подключения к сети атакуемой системыДля отключения из рабочего состояния одного из элементов соединения (в рассматриваемом случае - сервера) необходимо, чтобыближайший коммутатор проложил оптимальный путь от второго коммутатора через сервер. В терминологии STP, атакующий должен провести и выиграть выборы назначенного моста сегмента, в котором расположен ложный сервер. В результате атаки коммутаторы "отключают" использующийся в настоящий момент канал, переведя блокировку соответствующих портов, что приводит к нарушению связи между сегментами. Далее атакующий может выдавать определять любое устройство за сервер.Атака посредством созданияфильтра BPDUОсновным назначением протокола STP является предотвращение образования колец. Очевидным методом атаки на системы, использующие данный протокол является образование кольца, отслеживание которого будет невозможнымс использованием средств протокола STP. Это можно реализовать путем организации физического кольца с фильтрацией всех пакетов BPDU. Атака подобного родаможет привести к частичному отказу в обслуживании либо, когда у каналов, образовавших кольцо, разные скорости, к существенномупадению пропускной способности. Атака с помощью моделинезаконного посредникаЦелью атаки подобного типаявляется обеспечение возможности перехвата информации, что при штатном функционировании системы невозможно.Суть атаки данного типас использованием STP предполагает изменение логической структуры сети таким образом, чтобы интересующие сетевые пакетынаправлялись через указанную рабочую станцию. В отличие от примера, рассмотренного на рисунке 3, связанного с частичным отказом в обслуживании, предположим, что рабочая станция злоумышленника имеет две сетевыекарты, одна из которых подключается к клиентскому сегменту, а другая- к серверному. Если посылать соответствующие пакеты BPDU, атакующий открывает выборы назначенного моста для каждого из сегментов и выигрывает их. Таким образом,существующий между коммутаторами канал становится резервным иотключается, и весь направление межсегментного трафика проводится через станцию атакующего. При отсутствии намеренийорганизации отказа в обслуживании для других станций и серверов, атакующий должен обеспечить пересылку трафика. Организация атаки подобного рода является невозможной в сети, работающей с единственным коммутатором, и ее реализация является тривиальной только в том случае, когда злоумышленник подключается одновременно к двум соседним коммутаторам. Если же он связан с коммутаторами, между которыми нет прямого соединения, ему придется подбирать, как минимум, один идентификатор моста, так как STP-совместимые устройства не передают дальше полученные пакеты BPDU, а лишь проводят генерацию на их базе собственных.2.4Методы обнаружения атак и защиты от нихОсновной сложностью при обнаружении атак против систем, использующих STP,является то, что для проведения атак используются стандартные пакеты протокола - C-BPDU, т. е. наличие в сети пакетов протокола STP не предполагает возможность проведения атаки.Другой сложностьюявляется то, что система по обнаружению атак должна иметь ряд неких эмпирических данных об архитектуре сети и ее узлах, в противном случае невозможно отличать пакеты, генерируемые злоумышленниками от обычныхпакетов STP.В силу того, что объектом атаки является топология и работоспособность сети, IDS должна работать с собственным независимым каналом для передачи данных для анализа специалистам по защите информации. Для каждой конкретной сети существует модель, описывающая ее функционирование в рабочем режиме с точки зрения STP. Так, в сетях, в которых отключен протокол STP, возникновение соответствующих пакетов предполагает вероятность попытки атаки. Серия выборов корневого моста и постоянное снижение значения идентификатора моста, либо отсутствие других видов трафика, кроме STP, вероятно предполагает атаку типа "вечные выборы". В сетях, где перечень идентификаторов мостов является фиксированным и известным, появление пакетов BPDU с новыми идентификаторами также, вероятно, предполагает возможность атаки.Эффективное решение по обнаружению сетевых атак на системы, использующие протокол STP,предполагает внедрение адаптивных, самообучающихся систем с использованием технологии нейронных сетей, так как они могут сравнивать текущее состояние сети с режимом ее нормального функционирования. В качестве оценочного параметраможно рассматриватьдолю трафика протокола STP в общем сетевом трафике.Рассмотрим основные способы решения проблем, связанных с сетевыми атаками на протокол STP.Если работа с протоколом STP в сети не является необходимой, данный протокол необходимо отключать на всех поддерживающих его устройствах. Управление дублирующими каналами можно производить с использованием других технологий, например LinkAggregation.Если оборудование имеет функцию индивидуального включения/отключения протокола STP на каждом из портов, STP необходимо отключать на каждом из портов, кроме тех, на которых поддерживаются теги, если они имеют связи с другим сетевым оборудованием, но не с пользовательскими сегментами. Также, необходимо проводить сегментирование STP, т.е. работать с несколькими деревьями STP. В частности, если сегменты сети (офисы) связаны между собой с использованием одного канала глобальной сети, функционал протокола STP на данном канале необходимо отключить.При проведении настройки сетевого оборудования входящие в идентификатор моста поля приоритета необходимо задавать минимальными (что повышает вероятность выиграть выборы). Это снижает шансы злоумышленника проводить атаки на корневой мост при проведении атаки.Если приоритетной является доступность сервисов, а конфиденциальность передаваемыхданных обеспечивается с помощью протоколов верхних уровней, то в случае наличия в оборудовании функций, аналогичных STP, их необходимо активировать - это позволит предотвратить атаки, связанныес отказом в обслуживании. ЗаключениеВ рамках данной работы проведен анализ функционирования систем, использующих протокол STP. Проведен анализ алгоритмов реализации данного протокола, определены основные преимущества и недостатки.Показано, что протокол STP основывается на выборах коммутатора верхнего уровня на основе минимального MAC-адреса. Процесс запуска сети при использовании протокола STP связан с некоторыми временными затратами, связанными с проведением выборов и анализом пакетов BDPU. Данная организация системы предполагает наличия ряда уязвимостей, связанных с возможностью внедрения подложных пакетов BDPU, в которых указаны несуществующие в сети МАС-адреса.Проведение сетевых атак на системы, использующие STP, предполагает вероятность отказа в обслуживании, недоступности сетевых ресурсов, регулировку направления трафика, снижение пропускной способности.В рамках данной работы определены меры по анализу сетевого трафика, обнаружению атак и защиты от них.Список использованных источниковБоттЭд, Зихерт Карл. Обеспечение сетевой безопасности в ОС WindowsServer 2008. – М.: Эком, 2010. - 944 c.Бройдо В. Л., Ильина О. П. Вычислительные системы, сети и телекоммуникации. – М.: Радио и связь, 2011. - 560 c.Венделева М.А. Сетевые технологии в ИС предприятий. - М.: Юрайт, 2013. - 462 c.Ги, К. Введение в локальные вычислительные сети; М.: Радио и связь - Москва, 2011. - 176 c.Гольдштейн Б. С. Протоколы сетевого доступа. Том 2; СПб.: БХВ-Петербург, 2009. - 288 c.Горнец, Н.Н. ЭВМ и периферийные устройства. Компьютеры и вычислительные системы. М.: ДМК Пресс, 2015. - 184 c.Епанешников А. М., Епанешников В. А. Проектирование локальных вычислительных сетей; М.: Диалог-МИФИ, 2013. - 224 c.Карпова И.П. Сетевые базы данных. - СПб.: Питер, 2013. - 240 c.Колбин Р. В. Организация глобальных и локальных сетей. М.: Бином. Лаборатория знаний, 2011. - 815c.Котов Г.В. Расчет затрат на проектирование ЛВС. М.: Наука, 2011. - 224 c.Кульгин М.В. Коммутация и маршрутизация IP - трафика.— М.: Компьютер-пресс, 2015. - 99с.Ларионов А.М.; Майоров С.А.; Новиков, Г.И. Архитектура вычислительных комплексов, систем и сетей. М.: Энергоатомиздат, 2014. - 288 c.