Протоколы канального уровня: FrameRelay, Token Ring, FDDI, PPP. Безопасность канального уровня. Атаки на канальном уровне сети. Роль коммутаторов в безопасности канального уровня

Протоколы канального уровня: FrameRelay, Token Ring, FDDI, PPP. Безопасность канального уровня. Атаки на канальном уровне сети. Роль коммутаторов в безопасности канального уровня

План лекции

• Введение в канальный уровень модели OSI
• Протоколы канального уровня: Frame Relay, Token Ring, FDDI, PPP
• Безопасность на канальном уровне
• Атаки на канальном уровне и методы противодействия
• Роль коммутаторов в обеспечении безопасности
• Практические аспекты и современные тенденции

1. Введение в канальный уровень модели OSI

Канальный уровень (Data Link Layer, уровень 2 модели OSI) отвечает за передачу данных между соседними узлами сети, обеспечивая надежную доставку кадров, управление доступом к среде передачи, обнаружение и исправление ошибок. Основные функции включают:

• Инкапсуляция  данных в кадры с добавлением заголовков и концевиков.
• Адресация  с использованием MAC-адресов.
• Обнаружение и коррекция ошибок  (например, с помощью CRC).
• Управление доступом к среде  (MAC) в разделяемых средах.

1. Введение в канальный уровень модели OSI

Канальный уровень делится на два подуровня:

• LLC (Logical Link Control)  — обеспечивает связь с сетевым уровнем.
• MAC (Media Access Control)  — управляет доступом к физической среде.

2. Протоколы канального уровня

2.1. Frame Relay

• Технология : Frame Relay — это протокол пакетной коммутации, используемый в WAN для соединения локальных сетей. Он работает на канальном уровне и обеспечивает эффективную передачу данных с переменной длиной кадров.
• Особенности : Использует виртуальные каналы (PVC и SVC), не обеспечивает коррекцию ошибок (это возлагается на higher-level protocols). Высокая скорость передачи за счет минимальной избыточности.
• Безопасность : Изначально не имеет встроенных механизмов шифрования. Защита обеспечивается за счет инкапсуляции в IPSec или MPLS VPN

2.2. Token Ring

• Технология : Разработан IBM в 1980-х годах. Использует детерминистический метод доступа к среде через передачу токена по логическому кольцу. Скорости: 4 Мбит/с и 16 Мбит/с.
• Принцип работы : Станция может передавать данные только при наличии токена. Это предотвращает коллизии и обеспечивает предсказуемую задержку.
• Безопасность : Риски включают "поддельный токен" или несанкционированное изменение приоритета. В современных сетях вытеснен Ethernet.

2.3. FDDI (Fiber Distributed Data Interface)

• Технология : Стандарт для передачи данных по оптоволоконным каналам на расстояния до 200 км. Скорость: 100 Мбит/с. Использует двойное кольцо (основное и резервное) для отказоустойчивости.
• Доступ к среде : Похож на Token Ring, но с возможностью одновременной передачи нескольких кадров в кольце.
• Безопасность : Уязвим к физическому вмешательству в оптоволокно. Требует защиты физической инфраструктуры.

2.4. PPP (Point-to-Point Protocol)

• Технология : Протокол для установления прямой связи между двумя узлами. Широко используется в dial-up, DSL и VPN. Поддерживает различные протоколы сетевого уровня (IP, IPX и др.).
• Компоненты :

• LCP (Link Control Protocol)  — для установки, настройки и тестирования соединения. NCP (Network Control Protocol)  — для настройки сетевых протоколов.
• LCP (Link Control Protocol)  — для установки, настройки и тестирования соединения.
• NCP (Network Control Protocol)  — для настройки сетевых протоколов.
• Безопасность : Поддерживает аутентификацию через  PAP  (пароль передается в открытом виде) и  CHAP  (использует challenge-response с хэшированием). Может работать поверх IPSec для шифрования.

Таблица: Сравнение протоколов канального уровня

Протокол

Скорость

Frame Relay

Топология

До 44 Мбит/с

Token Ring

Метод доступа

4/16 Мбит/с

Меш или звезда

FDDI

PPP

100 Мбит/с

Кольцо

Пакетная коммутация

Применение

Токен

Зависит от носителя

WAN

Двойное кольцо

LAN (устаревшее)

Токен

Точка-точка

-

Магистральные сети

Dial-up, DSL, VPN

3. Безопасность на канальном уровне

Безопасность на канальном уровне часто недооценивается, но ее нарушение может привести к перехвату трафика, отказам в обслуживании и несанкционированному доступу. Ключевые аспекты:

• Аутентификация : Проверка подлинности участников соединения (например, с помощью CHAP в PPP).
• Шифрование : Защита конфиденциальности данных. Реализуется через протоколы like MACsec (IEEE 802.1AE) для Ethernet.
• Контроль целостности : Обнаружение изменений в кадрах с помощью CRC и хэшей.
• Управление доступом : Ограничение доступа к портам коммутаторов на основе MAC-адресов (Port Security).

4. Атаки на канальном уровне и методы противодействия

4.1. Типы атак

• ARP Spoofing/Poisoning : Злоумышленник рассылает ложные ARP-сообщения, чтобы связать свой MAC-адрес с IP-адресом жертвы. Это позволяет перехватывать трафик (man-in-the-middle)  4 .
• MAC-флудинг : Атака на коммутаторы, где злоумышленник генерирует множество кадров с поддельными MAC-адресами. Это переполняет таблицу MAC-адресов коммутатора, переводя его в режим хаба и позволяя прослушивать трафик.
• VLAN Hopping : Используя double-tagging, атакующий может отправить трафик в другой VLAN, обходя сегментацию.
• STP Manipulation : Атака на Spanning Tree Protocol для изменения топологии сети и перехвата трафика.
• Перехват данных : Физическое подключение к кабелю или использование инструментов like Wireshark для захвата кадров.

4.2. Методы противодействия

• Защита от ARP Spoofing : Использование статических ARP-записей, динамический ARP-инспектинг (DAI) на коммутаторах.
• Защита от MAC-флудинга : Port Security (ограничение числа MAC-адресов на порту), использование 802.1X для аутентификации.
• Защита VLAN : Отключение неиспользуемых портов, правильная настройка native VLAN, отключение DTP на портах.
• Защита STP : Root Guard, BPDU Guard на коммутаторах.
• Шифрование : Использование VPN (IPSec) или MACsec для защиты данных на канальном уровне.

5. Роль коммутаторов в обеспечении безопасности

Коммутаторы (уровень 2) являются ключевыми элементами безопасности в LAN. Их функции безопасности включают:

• Port Security : Ограничивает количество подключаемых MAC-адресов на порту, блокирует порт при нарушении.
• ACL (Access Control Lists) : Фильтрация трафика на основе MAC-адресов (MAC ACL).
• DHCP Snooping : Защита от поддельных DHCP-серверов путем валидации DHCP-сообщений.
• Dynamic ARP Inspection (DAI) : Проверка ARP-пакетов на соответствие доверенной базе DHCP snooping.
• IEEE 802.1X : Аутентификация устройств перед предоставлением доступа к сети. Использует RADIUS-сервер для проверки учетных данных.
• VLAN Segmentation : Изоляция трафика между VLANами, что ограничивает распространение атак.
• Private VLANs : Дальнейшая сегментация внутри VLAN для ограничения связи между узлами.

Таблица: Функции безопасности коммутаторов

Функция

Описание

Port Security

Защита от

Блокировка порта при превышении числа MAC-адресов

DHCP Snooping

Фильтрация DHCP-сообщений, создание доверенных и недоверенных портов

MAC-флудинг

Dynamic ARP Inspection

802.1X

DHCP-атаки

Проверка ARP-пакетов на основе доверенных записей

Аутентификация устройств перед доступом к сети

ARP Spoofing

VLAN Segmentation

Несанкционированный доступ

Логическая изоляция сетевых сегментов

Снижение рисков атак

6. Практические аспекты и современные тенденции

• Переход к Zero Trust : Принцип "никогда не доверяй, всегда проверяй" актуален и для канального уровня. Это включает строгую аутентификацию устройств и микросегментацию.
• MACsec (IEEE 802.1AE) : Стандарт для сквозного шифрования на канальном уровне в Ethernet-сетях. Обеспечивает конфиденциальность и целостность кадров.
• Cloud Security : С развитием облачных технологий защита канального уровня становится ответственностью провайдера (например, в AWS или Azure).
• Важность физической безопасности : Защита коммутаторов и кабелей от физического доступа — основа безопасности канального уровня.

Заключение

• Безопасность на канальном уровне является критически важным элементом общей стратегии защиты сети. Понимание протоколов (Frame Relay, Token Ring, FDDI, PPP), их уязвимостей и методов атак позволяет администраторам правильно настраивать оборудование (особенно коммутаторы) для минимизации рисков. Современные тенденции, такие как Zero Trust и MACsec усиливают защиту, но требуют глубоких знаний и постоянного обновления навыков.

Вопросы для самоконтроля :

• Чем метод доступа в Token Ring отличается от CSMA/CD в Ethernet?
• Какие механизмы аутентификации поддерживаются в PPP и какой из них более безопасен?
• Как коммутатор может предотвратить ARP Spoofing?
• Почему VLAN Segmentation является важным инструментом безопасности?
• Как принцип Zero Trust применяется на канальном уровне?