Manapság már annyi hálózati kütyü található mindenhol, hogy az otthoni környezetben egy kisebb öt vagy nyolc portos switch már nem is elegendő. Viszont minél több a hálózati végpont, annál több az ajtó a behatolók számára, amin be lehet „sétálni” pláne, ha még nyitva is hagyjuk.
Nézzük meg a fenti példát, valaki fertőzött eszközt visz be egy szállodába, vagy maga a támadó sétál be. Az egyszerű switchek nem szűrik és nem is ellenőrzik az adatforgalmat csak átengedik. Így akár közvetlenül a router, tűzfal, szerver, beléptető és kamera-rendszer vagy bármelyik egyéb hálózati eszköz támadhatóvá válik.
Rendszerint két célja van a támadásoknak.
1
Az egyik cél a hálózat működésének a megbénítása. (DoS)
2
A másik gyakori, az adatlopás.
különböző hálózati támadások kivédésére.
A Zyxel XGS2210-28HP PoE switch vagy a nem PoE változata a Zyxel XGS2210-28 switch kifejezetten ilyen feladatokra lett tervezve.
A nem használt port kikapcsolása a legegyszerűbb módja az ilyen jellegű támadások megelőzésének. Persze ez nem mindig kivitelezhető, mert gyakori, hogy bizonyos időközönkét cserélődnek az eszközök. A MAC és IP címek szűrése is jó lehet, de nem nyújt teljes körű védelmet, mert könnyű hamisítani a címeket.
Sokkal jobb megoldás a port alapú hitelesítés és forgalom szabályozás. A szabad végpontra csatlakoztatott eszköz, például egy laptop, nemhogy internet, de még hálózati hozzáférést sem kap, amíg nem hitelesíti magát a hálózaton. Ezt úgy ismerjük, hogy 802.1x szabvány, a RADIUS szerver hitelesít, az adatokat pedig a switch közvetíti. Ha a switch nem kap megerősítést a szervertől akkor a csatlakoztatott eszközt egyszerűen kizárja a forgalomból.
Szinte minden hálózati eszköz támogatja ezt hitelesítést, így könnyedén kizárhatók a trükközők. Egy nem hitelesített eszközből, mondjuk egy CCTV kamerából kihúzom az ethernet kábelt akkor bejuthatok a hálózatba. De ha a kamera is kontroll alatt van, tehát hitelesíti magát, akkor hiába próbálkozok ezzel a módszerrel.
A legjobb megoldást mindig az nyújtja, ha többféle védelmi funkciót is használunk.
A DHCP Snooping például véd az úgynevezett „Rogue (gazember)” DHCP szerverektől, ez a beékelődéses támadások egyik tipikus formája. Hatékony védelmet tud nyújtani a switch az elárasztásos támadások ellen is.
A menedzselhető switchek beruházás szempontjából mindenképp magasabb költségeket jelentenek, de megtérülés szempontjából viszont, akár megfizethetetlen értéket is képviselhetnek.
Ne felejtsd el!
Az adatok értéke, mindig annak ér a legtöbbet, akitől ellopták!
Védd a hálózatod a belső támadásoktól is, ne csak kívülről!