ЖУРНАЛ «СТА» 4/2016

функциональность позволит вовремя обнаружить слабые места в обороне ещё до того, как ими воспользуется зло- умышленник. Грамотно используя отчёт о состоя- нии системы безопасности, админи- стратор сети (специалист по информа- ционной безопасности) может вовремя провести нужные настройки и устра- нить выявленные недостатки. П РЕДОТВРАЩЕНИЕ АТАК НА ПРОТОКОЛ DHCP DHCP-серверы (Dynamic Host Con- figuration Protocol — протокол динами- ческой настройки узла) предназначены для автоматического распределения па- раметров сети, таких как IP-адреса, по сетевым устройствам. Далее приведён ограниченный список типичных видов атак на сеть, основанных на манипуля- циях с протоколом DHCP. ● Подмена DHCP-сервера, добавление в сеть ещё одного сервера DHCP, рас- пределяющего ложные IP-адреса. ● DHCP Exhaustion Attack, или DHCP Starvation – получение злоумышлен- ником всех доступных на текущий момент IP-адресов в рамках подсети, достигается путём присвоения всего пула IP-адресов ложным MAC-адре- сам, имитированным злоумышлен- ником. Впоследствии вновь подклю- чаемые устройства не могут получить адреса, выдаётся отказ в обслужива- нии. Далее злоумышленник включа- ет в сеть подменный DHCP-сервер, которому и достаются легальные уст- ройства сети. ● Перехват IP-адреса устройства, уже зарегистрированного в сети. Противостоять этим атакам можно следующим образом: ● принимать пакеты от DHCP-сервера, подключённого только к доверенно- му порту; ● сравнивать физический адрес устрой- ства, записанный в таблицу DHCP- сервера, с MAC-адресом отправителя пакета; ● сравнить данные из запросов на по- лучение IP-адреса с недоверенного порта с данными таблицы соответ- ствия параметров соединения (Bin- dings table). В таблице Bindings table задаются со- ответствия между MAC- и IP-адресами устройств сети. В случае перехвата зло- умышленником IP-адреса таблица по- кажет, что MAC-адрес подключённого устройства изменился, перехватчик вы- даёт себя за легальное устройство, а в систему аварийного оповещения будет выдан сигнал тревоги. Некоторые управляемые сетевые коммутаторы обладают собственными механизмами защиты от подмены или перехвата IP-адреса. Например, неко- торые коммутаторы Hirschmann с опе- рационной системой HiOS версии L2A имеет функцию IP Source Guard. Суть её работы в следующем. Когда комму- татор получает пакет на недоверенный порт, его параметры сравниваются с за- несёнными в таблицу Bindings table. Ес- ли IP- и/или MAC-адрес отправителя не соответствует установленному для данного порта, пакет блокируется. П РИМЕНЕНИЕ СПИСКОВ ДОСТУПА ACL Списки доступа ACL (Access Control List) используются в коммутаторах и маршрутизаторах для обеспечения из- бирательного доступа и контроля над трафиком. Они позволяют фильтровать пакеты протокола IPv4 в соответствии с рядом параметров: ● IP-адрес получателя и отправителя пакета; ● MAC-адрес получателя и отправите- ля пакета; ● порт получателя и отправителя; ● используемый протокол. Перечисленные критерии фильтра- ции используются как межсетевыми эк- ранами (рис. 9), так и управляемыми коммутаторами. Однако между этими устройствами есть существенное отли- чие: только в межсетевых экранах при- меняется технология SPI (Stateful Packet Inspection – анализ пакетов с отслежи- ванием состояния). Суть данной технологии в том, что для анализа и фильтрации трафика, пе- редаваемого в текущий момент време- ни, используется информация, полу- ченная в ходе предыдущих циклов об- мена данными. Например, будет иметь значение, какое устройство выступило инициатором цикла обмена по опреде- лённому протоколу, какое устройство передавало данные последним и какое отклонило пакет из-за ошибки. В отличие от коммутатора с ACL, ана- лизирующего пакет в режиме реально- го времени, межсетевой экран владеет более полной картиной информацион- ного обмена, позволяющей более эф- фективно определять допустимость той или иной транзакции. Таким образом, списки ACL – это лишь один из элементов мозаики под названием «сетевая безопасность» и ни- 98 СТА 4/2016 АППА РАТ НЫЕ С Р Е ДС Т В А / С Е Т Е ВОЕ ОБОР УДОВ АНИЕ www.cta.ru Рис. 8. Пример отчёта о состоянии настроек безопасности сетевых устройств в пакете Industrial HiVision Рис. 7. Специальное ПО для комплексного мониторинга и администрирования сети Hirschmann Industrial HiVision