PBS. Wykład Zabezpieczenie przełączników i dostępu do sieci LAN

Transkrypt

1 PBS Wykład 7 1. Zabezpieczenie przełączników i dostępu do sieci LAN mgr inż. Roman Krzeszewski mgr inż. Artur Sierszeń mgr inż. Łukasz Sturgulewski Procesy Bezpieczeństwa Sieciowego 1

2 Cele nauczania VLAN Trunking Inter-VLAN routing Potr-security

3 Idea VLAN

4 Segmentacja sieci LAN Segmentacja znacznie zmniejsza przeciążenie sieci w ramach poszczególnych segmentów. Procesy Bezpieczeństwa Sieciowego 4

5 Segmentacja sieci LAN za pomocą mostów Procesy Bezpieczeństwa Sieciowego 5

6 Segmentacja sieci LAN za pomocą routerów Procesy Bezpieczeństwa Sieciowego 6

7 Segmentacja sieci LAN za pomocą przełączników Procesy Bezpieczeństwa Sieciowego 7

8 Podstawy przełączania w sieciach LAN Procesy Bezpieczeństwa Sieciowego 8

9 Działanie przełącznika LAN Procesy Bezpieczeństwa Sieciowego 9

10 Opóźnienie przełącznika Ethernet Procesy Bezpieczeństwa Sieciowego 10

11 Przełączanie w warstwie 2 Procesy Bezpieczeństwa Sieciowego 11

12 Przełączanie w warstwie 3 Procesy Bezpieczeństwa Sieciowego 12

13 Przełączanie symetryczne Procesy Bezpieczeństwa Sieciowego 13

14 Przełączanie asymetryczne Procesy Bezpieczeństwa Sieciowego 14

15 Buforowanie w pamięci Buforowanie w oparciu o porty W przypadku buforowania opartego na portach ramki są przechowywane w kolejkach powiązanych z konkretnymi portami przychodzącymi. Buforowanie w pamięci współużytkowanej Powoduje umieszczanie wszystkich ramek we wspólnym buforze pamięci, z którego korzystają wszystkie porty przełącznika. Wymagana przez dany port ilość pamięci buforu jest przydzielana dynamicznie. Procesy Bezpieczeństwa Sieciowego 15

16 Dwie metody przełączania Procesy Bezpieczeństwa Sieciowego 16

17 Store-and-forward Procesy Bezpieczeństwa Sieciowego 17

18 Cut-through Procesy Bezpieczeństwa Sieciowego 18

19 Tryby transmisji ramek Procesy Bezpieczeństwa Sieciowego 19

20 Przełącznik sieciowy korzystający z pamięci CAM Procesy Bezpieczeństwa Sieciowego 20

21 Jak przełączniki i mosty filtrują ramki Procesy Bezpieczeństwa Sieciowego 21

22 Microsegmentation of the Network W celu zmniejszenia domeny kolizyjnej w sieci przełączniki stosują mikrosegmentację". Odbywa się to poprzez utworzenie dedykowanych segmentów sieci, czyli połączeń typu punkt-punkt". Przełącznik łączy w sobie te segmenty w sieć wirtualną. Procesy Bezpieczeństwa Sieciowego 22

23 Wstęp do technologii VLAN VLAN polega na logicznym grupowaniu za pomocą switch a sieciowego urządzeń sieciowych oraz użytkowników sieci LAN pod kątem sprawowanej funkcji, miejsca funkcjonowania czy też wykorzystywanej aplikacji Procesy Bezpieczeństwa Sieciowego 23

24 Wstęp do technologii VLAN Historia technologii VLAN TRENDY Ewolucja VLAN Inteligentne VLAN VLAN w sieciach kampusowych Pojedynczy switch Procesy Bezpieczeństwa Sieciowego 24

25 Wstęp do technologii VLAN W sieciach LAN, które wykorzystują przełączniki ( switche ), technologia VLAN jest tanim i efektywnym sposobem grupowania użytkowników danej sieci w wirtualne grupy robocze w odniesieniu do ich fizycznej lokalizacji w tej sieci. Procesy Bezpieczeństwa Sieciowego 25

26 Wstęp do technologii VLAN VLAN pracuje w warstwie drugiej oraz trzeciej modelu OSI. Warstwy modelu OSI Aplikacji Prezentacji Sesji Transportu Sieci Łącza danych fizyczna VLAN Procesy Bezpieczeństwa Sieciowego 26

27 Segmentacja VLAN a tradycyjna segmentacja Segmentacja tradycyjna Segmentacja VLAN hub 3 switch 3 Piętro 3 hub 2 switch 2 Piętro 2 ROUTER ROUTER switch 1 Piętro 1 hub 1 Procesy Bezpieczeństwa Sieciowego 27

28 Segmentacja VLAN a tradycyjna segmentacja typowe sieci LAN są skonfigurowane w odniesieniu do fizycznej infrastruktury sieciowej, do której są przyłączone użytkownicy w tradycyjnej segmentacji pogrupowani są w odniesieniu do ich fizycznej lokalizacji w sieci, w relacji do koncentratora do którego są przyłączeni grupowanie użytkowników uzależnione jest również od układu instalacji sieciowej w budynku urządzeniem realizującym segmentację jest router Procesy Bezpieczeństwa Sieciowego 28

29 Segmentacja VLAN a tradycyjna segmentacja Konfiguracja VLAN realizowana jest przez oprogramowanie switcha Technologia VLAN nie jest standardem sieciowym i wymaga wsparcia ze strony producentów sprzętu sieciowego. Komunikacja pomiędzy VLAN ami jest realizowana poprzez routing w warstwie sieci modelu OSI VLAN dostarcza mechanizmy kontroli rozgłaszania sieciowego VLAN może zwiększyć bezpieczeństwo w sieci poprzez zdefiniowanie : które elementy sieci mogą się ze sobą komunikować Procesy Bezpieczeństwa Sieciowego 29

30 Rola routerów w VLAN Switche VLAN przejmują realizacje pewnych mechanizmów zarządzania siecią od routerów Routery w sieciach VLAN zapewniają połączenia pomiędzy różnymi sieciami VLAN Routery zapewniają również komunikację z innymi tradycyjnie podzielonymi częściami sieci ( segmentacja tradycyjna ) Integracja routerów zewnętrznych i architektury switching u za pomoca wysokowydajnych sieci szkieletowych. Procesy Bezpieczeństwa Sieciowego 30

31 Switching i filtrowanie w VLAN Switche VLAN są urządzeniami wyposażonymi w inteligentne mechanizmy służące do podejmowania decyzji odnośnie filtrowania i przekazywania dalej ramek. Decyzje te bazują na metrykach VLAN zdefiniowanych przez administratorów sieci Najbardziej popularnymi z podejść dla celów logicznego grupowania w segmenty VLAN są filtrowanie ramek oraz identyfikacja ramek ( frame tagging ) Bazując na zestawie zasad zdefiniowanych przez administratora obydwie techniki określają gdzie ma być ramka wysłana, czy ma być filtrowana lub rozgłaszana w sieci Procesy Bezpieczeństwa Sieciowego 31

32 Switching i filtrowanie w VLAN Filtrowanie ramek sprawdza szczegółowe informację o każdej ramce. Filtrowanie odbywa się za pomocą danych z tablicy filtrowania, która jest tworzona dla każdego switcha. Switch podczas procesu filtrowania porównuje informacje o ramce z wpisami w tablicy filtrowania i podejmuje właściwą akcję. Procesy Bezpieczeństwa Sieciowego 32

33 Switching i filtrowanie w VLAN Filtrowanie ramek Switche dzielą między sobą tablicę adresową Sieć szkieletowa Analogia do protokołów routingu Procesy Bezpieczeństwa Sieciowego 33

34 Switching i filtrowanie w VLAN Identyfikacja ramek ( frame tagging ) - w procesie tym każdej ramce nadawany jest identyfikator. Identyfikatory przypisuje administrator switcha i są one umieszczone w nagłówkach ramek. Decyzja o przyjęciu bądź odrzuceniu ramki jest podejmowana przez switch po odczytaniu identyfikatora. Po zidentyfikowaniu ramki switch usuwa identyfikator i wysyła ramkę do punktu przeznaczenia. Procesy Bezpieczeństwa Sieciowego 34

35 Switching i filtrowanie w VLAN Identyfikacja ramek ( frame tagging ) Procesy Bezpieczeństwa Sieciowego 35

36 Różne konfiguracje VLAN VLAN jest złożony z sieci przełączanej ( switched network ), która jest podzielona na logiczne segmenty w odniesieniu do funkcji, zespołów projektowych i apikacji. Każdy port w switchu przypisany jest do VLAN Przypisywanie portów switcha opiera się na trzech różnych metodach implementacji tej procedury Procesy Bezpieczeństwa Sieciowego 36

37 Różne konfiguracje VLAN Port-Centric VLAN Static VLAN Dynamic VLAN Procesy Bezpieczeństwa Sieciowego 37

38 Różne konfiguracje VLAN Port-Centric VLAN Port-Centric VLAN - w konfiguracji Port-Centric wszystkie końcówki sieciowe podłączone do tego samego VLAN mają ten sam identyfikator VLAN ID. warstwa sieci warstwa łącza danych Produkcja VLAN Marketing VLAN Sprzedaż VLAN warstwa fizyczna podłączone końcówki sieciowe piętro 1 piętro 2 piętro 3 Procesy Bezpieczeństwa Sieciowego 38

39 Różne konfiguracje VLAN Port-Centric VLAN Cechy konfiguracji typu Port-Centric użytkownicy sieci przypisani sa do portów switcha łatwość administracji VLAN zwiększone bezpieczeństwo przesyłania danych pomiędzy różnymi VLAN pakiety nie wydostają się do innych domen Procesy Bezpieczeństwa Sieciowego 39

40 Różne konfiguracje VLAN Static VLAN Static VLAN - w konfiguracji Static VLAN wszystkie końcówki sieciowe są statycznie przypisane do VLAN stacja zarządzająca Procesy Bezpieczeństwa Sieciowego 40

41 Różne konfiguracje VLAN Static VLAN Cechy konfiguracji typu Static VLAN porty statycznie przypisane do VLAN zmiany konfiguracji następują poprzez stację zarządzającą łatwa do konfigurowania i monitorowania zapewnia bezpieczeństwo w sieci Procesy Bezpieczeństwa Sieciowego 41

42 Różne konfiguracje VLAN Dynamic VLAN Dynamic VLAN - w konfiguracji Dynamic VLAN przypisania wszystkich końcówek sieciowych są automatycznie wyznaczane na podstawie adresów MAC, IP lub typu protokołu Nowa końcówka sieciowa MAC adres sprawdzany w bazie danych Serwer konfiguracji VLAN Procesy Bezpieczeństwa Sieciowego 42

43 Zalety sieci VLAN Łatwo przenosić stacje robocze w sieci LAN Łatwo dodawać stacje robocze do sieci LAN Łatwo zmieniać konfigurację sieci LAN Łatwo nadzorować ruch w sieci Zwiększyć bezpieczeństwo Procesy Bezpieczeństwa Sieciowego 43

44 Komunikacja pomiędzy VLANami Procesy Bezpieczeństwa Sieciowego 44

45 Typy VLAN-ów Procesy Bezpieczeństwa Sieciowego 45

46 Konfiguracja Łącza pomiędzy VLAN Procesy Bezpieczeństwa Sieciowego 46

47 Połączenie pomiędzy przełącznikami Procesy Bezpieczeństwa Sieciowego 47

48 Procesy Bezpieczeństwa Sieciowego 48

49 Procesy Bezpieczeństwa Sieciowego 49

50 Równoczesne transmisje w przewodniku Procesy Bezpieczeństwa Sieciowego 50

51 Sieci VLAN typu end-to-end Procesy Bezpieczeństwa Sieciowego 51

52 Statyczny VLAN Procesy Bezpieczeństwa Sieciowego 52

53 Weryfikowanie konfiguracji sieci VLAN Procesy Bezpieczeństwa Sieciowego 53

54 Weryfikowanie konfiguracji sieci VLAN Procesy Bezpieczeństwa Sieciowego 54

55 Różne konfiguracje VLAN Dynamic VLAN Cechy konfiguracji typu Dynamic VLAN dynamiczne przypisywanie portów na podstawie kilku parametrów sieciowych ( MAC, IP, potokoły ) automatyczna konfiguracja portów na podstawie konfiguracji VLAN małe nakłady pracy administratora sieci Procesy Bezpieczeństwa Sieciowego 55

56 Kontrola domen rozgłoszeniowych VLAN w połączeniu z routerami potrafi kontrolować i wyznaczać domeny rozgłoszeniowe. Domena rozgłoszeniowa 1 Domena rozgłoszeniowa 2 Procesy Bezpieczeństwa Sieciowego 56

57 Korzyści z zastosowania VLAN Korzyści z wykorzystywania VLAN wykorzystanie istniejących już urządzeń sieciowych (koncentratory) elastyczność w tworzeniu grup logicznych oraz w podłączaniu do nich użytkowników sieci łatwość administracji zwiększają możliwości współdzielenia łącza oraz zasobów pomiędzy użytkowników sieci Procesy Bezpieczeństwa Sieciowego 57

58 Konfigurowanie ustawień dotyczących bezpieczeństwa portu Procesy Bezpieczeństwa Sieciowego 58

59 Procesy Bezpieczeństwa Sieciowego 59

60 Procesy Bezpieczeństwa Sieciowego Wykład 7 KONIEC Procesy Bezpieczeństwa Sieciowego 60