Zyxel Layer 3 switchek, a biztonság záloga a hálózatban

Zyxel Layer 3 switchek, a biztonság záloga a hálózatban

Manapság már annyi hálózati kütyü található mindenhol, hogy az otthoni környezetben egy kisebb öt vagy nyolc portos switch már nem is elegendő. Viszont minél több a hálózati végpont, annál több az ajtó a behatolók számára, amin be lehet „sétálni” pláne, ha még nyitva is hagyjuk.

Nézzük meg a fenti példát, valaki fertőzött eszközt visz be egy szállodába, vagy maga a támadó sétál be. Az egyszerű switchek nem szűrik és nem is ellenőrzik az adatforgalmat csak átengedik. Így akár közvetlenül a router, tűzfal, szerver, beléptető és kamera-rendszer vagy bármelyik egyéb hálózati eszköz támadhatóvá válik.

Rendszerint két célja van a támadásoknak.

1

Az egyik cél a hálózat működésének a megbénítása. (DoS)

2

A másik gyakori, az adatlopás.

A menedzselhető switchek többféle hatékony megoldást is kínálnak a különböző hálózati támadások kivédésére.

Zyxel XGS2210-28HP PoE switch vagy a nem PoE változata a Zyxel XGS2210-28 switch kifejezetten ilyen feladatokra lett tervezve.

A nem használt port kikapcsolása a legegyszerűbb módja az ilyen jellegű támadások megelőzésének. Persze ez nem mindig kivitelezhető, mert gyakori, hogy bizonyos időközönkét cserélődnek az eszközök. A MAC és IP címek szűrése is jó lehet, de nem nyújt teljes körű védelmet, mert könnyű hamisítani a címeket.

Sokkal jobb megoldás a port alapú hitelesítés és forgalom szabályozás. A szabad végpontra csatlakoztatott eszköz, például egy laptop, nemhogy internet, de még hálózati hozzáférést sem kap, amíg nem hitelesíti magát a hálózaton. Ezt úgy ismerjük, hogy 802.1x szabvány, a RADIUS szerver hitelesít, az adatokat pedig a switch közvetíti. Ha a switch nem kap megerősítést a szervertől akkor a csatlakoztatott eszközt egyszerűen kizárja a forgalomból.

Szinte minden hálózati eszköz támogatja ezt hitelesítést, így könnyedén kizárhatók a trükközők. Egy nem hitelesített eszközből, mondjuk egy CCTV kamerából kihúzom az ethernet kábelt akkor bejuthatok a hálózatba. De ha a kamera is kontroll alatt van, tehát hitelesíti magát, akkor hiába próbálkozok ezzel a módszerrel.

A legjobb megoldást mindig az nyújtja, ha többféle védelmi funkciót is használunk.

DHCP Snooping például véd az úgynevezett „Rogue (gazember)” DHCP szerverektől, ez a beékelődéses támadások egyik tipikus formája. Hatékony védelmet tud nyújtani a switch az elárasztásos támadások ellen is.

A menedzselhető switchek beruházás szempontjából mindenképp magasabb költségeket jelentenek, de megtérülés szempontjából viszont, akár megfizethetetlen értéket is képviselhetnek.

Ne felejtsd el!

Az adatok értéke, mindig annak ér a legtöbbet, akitől ellopták!
Védd a hálózatod a belső támadásoktól is, ne csak kívülről!