Политика безопасности уровня распределения

Уровень распределения является основным уровнем для осуществления политики безопасности доступа. На этом уровне происходит объявление правильных маршрутов, бло­кирование трафика определенного типа и ограничение объема данных, посылаемых на магистральный уровень.

Четкая политика на уровне распределения гарантирует, что ненужный трафик или неправильные маршруты не бу­дут распространяться на уровень магистрали. Осуществля­ется эта политика с помощью средств операционной систе­мы коммутаторов данного уровня и определяет следующие аспекты:

— определение пакетов пользователей, которые могут пере­даваться другим виртуальным сетям; соответствующее ранжирование достигается применением списков досту­па к конкретным портам, чтобы пропускать или уни­чтожать определенные пакеты данных;

— определение маршрутов, доступных магистральным коммутаторам согласно спискам распределения;

— определение сетевых служб, которые будут использо­ваться во всей сети, например DNS и DHCP.

На уровне распределения политика безопасности сети реа­лизуется с помощью следующих средств:

— списков доступа;

— ограничения доступа через управляющие програм­мы эмуляции терминала (Telnet, SSH, HyperTerminal) к управляющей консоли устройства;

— конфигурирования пользователей и паролей'на физиче­ских устройствах;

— ограничения доступа к средствам ОС коммутаторов с помощью уровней привилегий;

— обеспечения безопасности доступа к порту коммутатора.

Последние четыре способа могут быть реализованы на

уровне распределения и на уровне доступа. Более подробно рассмотрим их реализацию именно на уровне доступа, где они применяются чаще всего.

Список доступа — это список условий, задаваемый сред­ствами ОС сетевого устройства, которые управляют доступом к коммутатору или маршрутизатору. Списки доступа для про­токолов IP, AppleTalk или IPX управляют доступом к различ­ным сегментам сети. После того как список доступа создан, он может применяться на входящем или исходящем интерфейсе. Все, что не включено в список, — запрещено.

Фильтрация пакетов осуществляется сравнением значений их полей. Полученная из пакета информация (адрес источника и адрес получателя) сравнивается со значениями в списке до­ступа. Если зафиксировано совпадение, список в установлен­ном порядке разрешает или запрещает передачу данных. Если обнаруживается запрет на передачу, то на порт отправителя пакета посылается сообщение ICMP о запрещении доступа.

Список доступа обрабатывается в порядке его задания. Как только найдено совпадение, обработка списка прекращается.

Например, в ОС IOS Cisco есть два типа списков доступа: стандартный и расширенный. Оба типа разрешают или запре­щают что-либо на основании определенных критериев.

Стандартный список доступа дает разрешение или накла­дывает запрет на передачу пакетов при использовании только адреса источника. Расширенный список доступа позволяет фильтровать пакеты на основании адреса источника, адреса получателя, типа протокола, приложения или номера порта транспортного протокола TCP.

Тип списка доступа определяется назначенным ему номе­ром. В документации ОС производителя коммуникационного оборудования указываются разрешенные соответствия типов списков доступа номерам списков.

Команды расширенных списков доступа IP (IP указыва­ет на все типы протоколов TCP/IP) более сложны, чем ко­манды стандартных списков, и содержат намного больше опций. АС может с помощью команды записи информации в журнал протоколировать информацию о всех пакетах, кото­рые соответствуют списку доступа. Включение этой функции потребляет ресурсы процессора, поэтому ее необходимо ис­пользовать только в целях поиска неисправностей.

Списки доступа создаются различными способами. Как только они созданы, можно распространить их применение на порты различных типов с помощью соответствующих команд. Управляя таблицами маршрутизации, можно огра­ничить размер таблиц в сетевых устройствах. Это позволит коммутаторам более быстро обрабатывать данные, не давать пользователям подключаться к сетям, к которым нет стати­ческих маршрутов или маршрутов по умолчанию, и поддер­живать целостность информации маршрутизации.