Warstwa fizyczna, łącza danych Zadania 1. Z wykorzystaniem okablowania prostego oraz koncentratora lub przełącznika należy zorganizować dwie sieci lokalne obejmujące odpowiednio dwie połowy klasy laboratoryjnej. W obrębie jednej grupy należy skonfigurować interfejsy sieciowe nadając im adresy z rodziny 192.168.1.0/24, drugiej połowie z rodziny 192.168.2.0/24. Poprawność konfiguracji należy wykazać wykorzystując polecenie ping. 2. Należy podjąć próbę podsłuchania ruchu generowanego w sieci z wykorzystaniem koncentratora oraz przełącznika. Jaka część ruchu jest widoczna w jednym i w drugim przypadku? Jak wytłumaczyć zaistniałą sytuację? 3. Po zbadaniu osiągalności kilku komputerów sieci lokalnej za pomocą narzędzia ping, należy przeanalizować wpisy w tablicy ARP. O czym świadczy dynamiczny typ wpisu? Po wyczyszczeniu tablicy ARP zbadaj kiedy pojawiają się nowe wpisy? 4. Za pomocą sniffera należy prześledzić dialog ARP między dwoma stacjami i odpowiedzieć na poniższe pytania: 1. Jak nazywają się komunikaty w trakcie dialogu ARP? 2. Jaka jest kolejność pól adresowych MAC - źródłowego oraz docelowego (Source oraz Destination)? Jak wytłumaczyć celowość powyższego rozwiązania? 3. Czy po dokonaniu statycznego wpisu do tablicy ARP, powyższy dialog występuje nadal? 5. Połącz ze sobą obydwie sieci (192.168.1.0/24 i 192.168.2.0/24) łącząc obydwa przełączniki. Czy widoczne są wszystkie komputery w laboratorium? Jak wytłumaczyć taką sytuację? 6. Dokonując odpowiedniej modyfikacji maski podsieci należy wydzielić podsieć w rozpatrywanej sieci lokalnej w taki sposób, aby komputery z rodziny 192.168.1.0 oraz 192.168.2.0 wzajemnie się widziały. Poprawność konfiguracji należy wykazać pingujac pozostałe komputery. 7. Po zestawieniu pętli fizycznej na przełączniku i wygenerowaniu komunikatu broadcastowego należy zaobserwować dowolnym programem sniffującym zjawisko burzy broadcastów (broadcast storm). Czym można wytłumaczyć zaistniałą sytuację? 8. Skonfiguruj bramę dla tej sieci, udostępniając połączenie z Internetem. Urządzenia warstwy fizycznej Urządzenia warstwy fizycznej stanowią grupę urządzeń transmisyjnych nie dokonujących analizy przesyłanych danych. Ich podstawowym zadaniem jest retransmisja danych pozyskanych na jednym z portów komunikacyjnych na wszystkie pozostałe. Warstwa fizyczna definiująca niskopoziomowe standardy komunikacyjne w aspektach mechanicznym, elektrycznym, funkcjonalnym, umożliwia jedynie (re-) transmisję strumienia bitów w różnych standardach. Urządzenia pracujące w tej warstwie stanowią więc podstawowe realizacje elementów agregujących (koncentratory), retransmitujących (wzmacniaki) oraz konwertujących (konwertery). Elementy agregujące tej warstwy mogą dokonywać wzmocnienia sygnału (koncentratory aktywne, wymagają zasilania) bądź też dokonywać jedynie retransmisji bez wzmocnienia sygnału (koncentratory pasywne). Z uwagi na własności i zadania definiowane w tej warstwie, urządzenia te umożliwiają również konwersje sygnału z jednego standardu na inny. Wszystkie urządzenia warstwy pierwszej rozszerzają domenę kolizyjną i rozgłoszeniową, stąd ich stosowanie winno być szczególnie przemyślane już podczas projektowania sieci komunikacyjnej. Z uwagi na fakt, że wszystkie urządzenia warstwy fizycznej działają rozgłoszeniowo, dane transmitowane przez jedną ze stacji, docierają do wszystkich pozostałych, ich odrzucenie następuje dopiero lokalnie, w obrębie karty sieciowej, po sprawdzeniu danych adresata (stąd możliwe jest Źródło: wiki.kis.p.lodz.pl 1
przestawienie trybu pracy karty sieciowej na ignorujący w/w mechanizm sprawdzający, tzw. tryb promiscuous). Wzmacniak (ang. repeater) jest urządzeniem, którego podstawowym zadaniem jest regeneracja sygnałów w sieci. Regeneracja, realizowana w drodze wzmocnienia umożliwia wydłużenie rozmiarów sieci. Brak analizy wzmacnianych danych sprawia, że wzmocnieniu podlega zarówno sygnał informacji, jak i niesione wraz z nim zakłócenia. Koncentrator (ang. HUB) jest urządzeniem, którego podstawową funkcją jest retransmisja sygnału otrzymanego na jednym porcie na wszystkie pozostałe porty, umożliwiając utworzenie topologii gwiazdy. Wyróżnia się koncentratory aktywne oraz pasywne. Konwerter (ang. converter, transceiver) jest urządzeniem umożliwiającym konwersję standardu transmitowanego sygnału (Ethernet UTP - Ethernet FO). Urządzenia warstwy łącza danych Rys. 1. Mosty sieciowe Rys. 2. Tablica przełączania mostu Rys. 3. Przełączniki sieciowe Rys. 4. Tablica przełączania switcha Rys. 5. Mikrosegmentacja Źródło: wiki.kis.p.lodz.pl 2
Rys. 6. Różnorodność adapterów sieciowych Rys. 7. Interfejsy sieciowe routera Cisco Urządzenia warstwy łącza danych stanowią grupę urządzeń transmisyjnych dokonujących analizy danych na podstawie adresów fizycznych zawartych w nagłówkach ramek. Dokonują segmentacji sieci przepuszczając jedynie ruch dedykowany pomiędzy segmentami. Decyzje o przepuszczaniu ruchu podejmowane są w oparciu o reguły przełączania zawarte w tablicach przełączania definiujące mapowania pomiędzy adresami fizycznymi stacji przyłączonych a numerami portów wyjściowych. Praca mostu bądź przełącznika może zachodzić w kilku trybach, zarówno w najwolniejszym, aczkolwiek najbardziej bezpiecznym - Store and forward, przesyłającym ramki dopiero po ich całkowitym otrzymaniu, co umożliwia kontrolę błędów, jak również w trybie Cut and through transmitującym ramki już po otrzymaniu kilku pierwszych bajtów nagłówka (ułożenie pól adresowych nagłówka nie jest bezcelowe - początkowy adres celu, a następnie źródła). Urządzenia warstwy drugiej umożliwiają podział domeny kolizyjnej, choć nadal nie separują ruchu rozgłoszeniowego. Most (ang. Bridge) jest urządzeniem łączącym segmenty sieci, podejmującym inteligentne decyzje o przepuszczaniu sygnałów lub nie do pozostałych segmentów sieci. Urządzenie rozdziela ruch w segmentach i filtruje pakiety na podstawie adresów MAC, przepuszczając tylko pasujące, umożliwia pracę z różnymi protokołami. Zastosowanie mostu jest przezroczyste dla warstw wyższych - filtracja ruchu w sieci odbywa się tylko na podstawie adresów fizycznych MAC, a nie protokołów. Sterowanie wybiórcze ruchem w sieci odbywa się na podstawie tablicy adresów fizycznych budowanej przez urządzenie (wpisy w tablicy zawierają adres MAC oraz identyfikator segmentu sieci --> adres + lokalizacja, rys. 1). Po otrzymaniu pakietu, bridge porównuje adres docelowy MAC zawarty w pakiecie z własną tablicą adresów. Jeśli adres docelowy leży w tym samym segmencie, pakiet nie jest forwardowany do pozostałych segmentów, jeśli natomiast adres docelowy leży w innym segmencie niż adres nadawcy, podejmowana jest decyzja o forwardowaniu. Jeśli most nie zna adresu fizycznego stacji docelowej, rozsyła dane rozgłoszeniowo. Otrzymawszy odpowiedź, uzupełnia swoją tablicę przełączania. W przypadku, gdy ruch międzysegmentowy jest duży, mosty wprowadzają opóźnienia. Przełacznik (ang. Switch) - urządzenie sieciowe służące redukcji zbędnego ruchu sieciowego, dokonujące podstawowych operacji przełączania (forwardowanie ramki na określony port wyjściowy) oraz budowania i zarządzania tabelami przełączeń (rys. 4). Switche łączą segmenty sieci LAN w topologii gwiazdy używając adresów fizycznych MAC jako kryterium decyzji o przesłaniu ramki do konkretnego segmentu, operując ze znacznie większymi prędkościami niż mosty. Przełączniki umożliwiają komunikację równoległą wielu użytkowników w dedykowanych segmentach domen bezkolizyjnych (mikrosegmentacja, rys. 5) zestawianych w sposób stały. Umożliwia to maksymalizację wykorzystania łącza. Jednocześnie zapewnia efektywność ekonomiczną poprzez możliwość wykorzystania istniejącego okablowania, prostotę i efektywność zarządzania siecią. Karta sieciowa (ang. Network Interface Card) - karta rozszerzająca montowana na płycie głównej, umożliwiająca podłączenie do sieci komunikacyjnej. Karty sieciowe różnią się typem w zależności od Źródło: wiki.kis.p.lodz.pl 3
technologii (Ethernet, FDDI, Token Ring,...), przyłączami (UTP, STP, kabel koncentryczny, FO,...), magistralą wewnętrzną oraz zewnętrzną. Adresacja fizyczna Definicja 1 Adres MAC (Medium Access Control) jest adresem fizycznym nadawanym urządzeniu przez producenta i obowiązującym w obrębie mechanizmów warstwy drugiej modelu ISO / OSI. Jest to adres unikatowy, stanowiący identyfikator 48-bitowy, w którym zawarta jest informacja dotycząca producenta (pierwsze 24 bity) oraz samego układu (kolejne 24). Rys. 8. Program Packetyzer - nagłówki warstwy drugiej i trzeciej Rys. 9 Podmiana adresów MAC podczas kolejnych hopów na trasie pakietu Rys. 10 Narzędzie ipconfig Adres MAC pozwala na lokalizację komputera podczas komunikacji w jednym segmencie sieci i ulega zmianie przy każdym kolejnym przekazaniu pakietu (rys. 9). W przypadku, gdy docelowy komputer nie Źródło: wiki.kis.p.lodz.pl 4
znajduje się w określonym segmencie sieci, docelowy adres MAC pakietu jest ustawiany na domyślną bramę sieci (o ile konfiguracja uwzględnia routing na zewnątrz sieci i trasa jest znana). Adresacja fizyczna jest mechanizmem płaskim, nie uwzgledniającym hierarchizacji, stąd niemożliwa jest jej adaptacja jako mechanizmu adresacji globalnej (każdy węzeł w sieci musiałby znać wszelkie trasy do możliwych urządzeń). Adres fizyczny możliwy jest do sprawdzenia za pomocą polecenia ipconfig (rys.10), ifconfig. Niektórzy producenci umożliwiają modyfikację adresów MAC poprzez odpowiedni software konfiguracyjny (BIOS,...). Protokół ARP Definicja 1 ARP (Address Resolution Protocol) jest protokołem komunikacyjnym przekształcania adresów logicznych IP (ustalanych autorytarnie przez administratora) na fizyczne, 48-bitowe adresy fizyczne MAC w obrębie jednego segmentu sieci lokalnej. Specyfikacja ARP zawarta jest w [RFC 826]. Funkcjonowanie ARP Adresacja fizyczna wykorzystywana jest w obrębie jednego segmentu sieci lokalnej i zachodzi w warstwie łącza danych. Mechanizm pozyskiwania adresu MAC na podstawie adresu IP hosta, z którym ma zachodzić komunikacja reguluje protokół ARP. Powiązania między adresami logicznymi a fizycznymi przechowywane są w tablicy ARP. Jeśli wpis dotyczący konkretnego hosta nie występuje, konieczne jest odpytanie go o adres fizyczny. Rys. 11. Działanie protokołu ARP Zapytanie o adres fizyczny hosta docelowego (ARP Request, rys. 12) transmitowane jest przez stację źródłową w sposób rozgłoszeniowy. Stacja docelowa, otrzymawszy w/w zapytanie odpowiada ramką ARP Reply z ustawionym własnym adresem fizycznym (rys. 13). Źródło: wiki.kis.p.lodz.pl 5
Rys. 12. ARP Request Rys. 13. ARP Reply Po otrzymaniu odpowiedzi, dane umieszczane są w tablicy powiązań adresów logicznych z fizycznymi (tablicy ARP, rys. 14). Przechowywane wpisy mogą mieć charakter dynamiczny (usuwane po upływie określonego czasu), jak również statyczny. W przypadku wpisów statycznych nie występuje dialog ARP Request - ARP Reply. Rys. 14. Przykładowa tablica ARP Źródło: wiki.kis.p.lodz.pl 6
Ramka ARP Budowa ramki ARP: HTYPE (Hardware type) typ sieci (Ethernet - 0x0001) PTYPE (Protocol type) typ protokołu (IP - 0x0800) HLEN (Hardware length) długość adresu fizycznego (w bajtach) PLEN (Protocol length) długość adresu zależnego od protokołu (w bajtach) OPER (Operation) operacja (zapytanie - 0x0001, odpowiedź - 0x0002) SHA (Sender Hardware Address) adres fizyczny nadawcy SPA (Sender Protocol Address) adres logiczny (zależny od protokołu) nadawcy THA (Target Hardware Address) adres fizyczny odbiorcy TPA (Target Protocol Address) adres logiczny (zależny od protokołu) odbiorcy Słabości ARP Rys. 15. Ramka ARP Mechanizm ARP zakłada, iż zapytanie o adres fizyczny określonej stacji transmitowane jest broadcastowo. Oznacza to, iż odbierze go każda stacja w obrębie pojedynczego segmentu sieci (domeny rozgłoszeniowej). Odbiorca po otrzymaniu w/w komunikatu odpowiada ramką zawierającą jego adres fizyczny. Jeśli nadejdzie więcej niż jedna ramka ARP Reply, jest ona ignorowana. Powyższa sytuacja stanowi podstawę metody ataków sieciowych przeprowadzanych w obrębie warstwy drugiej, tzw. ARP spoofing. ARP spoofing jest bardzo skuteczną metodą ataku bazującą na modyfikacji. Atak nie dotyczy urządzeń pośrednich (agregujących), lecz samej ofiary, gdyż funkcjonowanie ataku opiera się o systemowy bufor przypisań adresów MAC przez protokół ARP intruz staje się pośrednikiem w komunikacji między dwoma stacjami. Rys. 16. Przykładowy atak man in the middle Źródło: wiki.kis.p.lodz.pl 7