На связи Игорь Гиркин, архитектор систем информационной безопасности компании «Гарда».
Обратиться к теме данной статьи меня подтолкнуло потрясающее событие во время недавнего выступления. Уже несколько лет я рассказываю про продукт Гарда NDR (количество выступлений с темой NTA/NDR успешно перевалило за сотню). На том семинаре я, как обычно, акцентировал внимание аудитории на необходимости использования аналитики NDR для латерального трафика (грубо говоря, трафика внутри VLAN), поскольку иных средств сетевой безопасности в этом сегменте зачастую нет. И вдруг из зала реплика: «Можно использовать private VLAN для ограничения латерального трафика и, следовательно, снизить остроту проблемы». Громом среди ясного неба было не обретение нового знания (private VLAN я знаю и теоретически, и практически) — неожиданностью стало то, что впервые за долгое время появился человек, который вспомнил о наличии у сетевого коммутатора встроенных механизмов для обеспечения информационной безопасности.
Раньше от сетевого устройства требовалось лишь одно: быстро и без потерь передавать пакеты. Сегодня эти времена остались в прошлом. Современный коммутатор — это важное звено периметра безопасности, находящееся на первой линии обороны. Используя его только для коммутации трафика, вы упускаете мощный инструмент для отражения угроз.
В этой статье я рассмотрю, какие механизмы защиты встроены в современные L2/L3-коммутаторы и как их правильно применять для обеспечения сетевой безопасности.
«Железная» защита сети
Ключевой элемент внутри коммутаторов — специализированная микросхема ASIC для обработки пакетов данных, позволяющая без снижения скорости передачи информаци�� производить необходимые манипуляции с трафиком. Мировые производители микросхем давно превратили свои ASIC из простых движков для пересылки в сложные процессоры безопасности. Аппаратное ускорение коммутаторов — ключ к тому, чтобы функции ИБ не «съедали» всю производительность.
Далее разберу основные, встроенные в коммутатор функции, которые помогают обеспечивать сетевую безопасность, не нагружая при этом сеть.
Access Control Lists (ACL), или списки доступа. Здесь речь идет не о простых фильтрах. Современные чипы позволяют применять сложные политики, обрабатывающие пакеты на скорости линии, без задержек. Эта функция позволяет обеспечивать базовую ИБ-гигиену: сегментацию, блокировку нежелательного трафика, подавление сканирования. Настройка ACL — задача творческая. С одной стороны, ACL присутствуют во всех сетевых устройствах, с другой — работать со списками доступа нужно с особой осторожностью. В противном случае можно заблокировать работу большого сегмента сети или, если вы сетевой администратор, случайно отключить себе удаленный доступ к интерфейсу управления устройством.
Port security. Эта функция отвечает за ограничение изучения новых MAC-адресов на порту коммутатора и не позволяет превратить коммутатор в хаб для перехвата трафика злоумышленником, снижая риск MitM-атаки. Как правило, в рамках настройки функции указывают максимально допустимое количество адресов MAC на порту, которые коммутатор будет запоминать во внутренней таблице коммутации. Чаще всего устанавливают ограничение в два MAC-адреса. Ведь в обычной жизни к пользовательскому порту или порту доступа (access port) вряд ли подключается более двух устройств (редко встречающаяся сегодня конструкция в виде компьютера, подключенного через IP-телефон к коммутатору).
DHCP Snooping, Dynamic ARP Inspection и IP Source Guard — это «святая троица» борьбы с атаками на уровне L2/L3. DHCP Snooping благодаря анализу DHCP-запросов и ответов строит «белую» таблицу доверенных аренд IP-адресов. Dynamic ARP Inspection проверяет соответствие ARP-ответов этой таблице, а IP Source Guard фильтрует трафик с поддельным IP-адресом. Это снижает риск ARP/DHCP-спуфинга и MitM-атак. Перечисленные функции, присутствуя под тем или иным (но схожим) названием у всех производителей, препятствуют появлению в сети DHCP-серверов, которые непреднамеренно могут возникать на серверах или компьютерах пользователей из-за установки новой ОС.
Private VLAN/MUX VLAN. Функция отвечает за ограничение латерального трафика между портами одного или нескольких коммутаторов, находящихся в одном широковещательном домене. Это снижает риски, связанные с этапами разведки и распространения угроз. Как и предыдущие механизмы, данная функция доступна практически в любом коммутаторе независимо от производителя. Однако существуют нюансы. Во-первых, функция может поддерживаться не всеми устройствами линейки производителя. Во-вторых, изоляция прямого взаимодействия портов может работать только в рамках одного коммутатора. Это, конечно, неприятно, но не критично. В обоих случаях на помощь приходят решения класса NDR, которые прекрасно анализируют горизонтальный (латеральный) трафик и могут выявлять прямое взаимодействие между компьютерами пользователя.
IEEE 802.1X — предоставляет расширенную аутентификацию и авторизацию клиента на порту коммутатора (основа архитектуры Zero Trust). Этот стандарт безопасности обеспечивает аутентификацию проводных и беспроводных устройств перед предоставлением доступа к сети. Такой подход позволяет предотвратить несанкционированный доступ путем блокировки порта коммутатора до подтверждения подлинности через RADIUS-сервер. Для проверки учетных данных используются протоколы семейства EAP (включая PEAP, EAP-TLS). Поддержка стандарта реализована подавляющим большинством производителей оборудования, однако необходимо учитывать его наличие в конкретной модели устройства. Кроме того, существуют нюансы, связанные с расширениями 802.1X у конкретных вендоров для подключения устройств, не поддерживающих протоколы EAP.
BPDUGuard, BPDUFilter, RootGuard и ряд смежных технологий. Все они защищают сеть от атак на протокол STP (Spanning Tree Protocol) в разветвленных и сложных топологиях, снижая риски нарушения работы сети и MitM-атак. Хотя такие векторы атак встречаются нечасто, их потенциальный ущерб делает эти механизмы важными элементами защиты. Чаще всего данный набор функций используется для предотвращения инцидентов, вызванных ошибочными действиями персонала. Например, случайного подключения неавторизованного коммутатора, которое приводит к возникновению петель �� сети или штормов.
Control Plane Policy (CoPP) и Storm Control — механизмы аппаратного ограничения скорости широковещательного, многоадресного и неизвестного одноадресного (unknown unicast) трафика. Эти функции позволяют минимизировать риски DDoS/DoS-атак, защищая управляющую плоскость устройства и предотвращая перегрузку каналов связи. С одной стороны, они предотвращают целенаправленные атаки, с другой — служат защитой от ошибочных действий персонала, способных вызвать широковещательный шторм. Механизмы поддерживаются большинством производителей оборудования, однако их наличие и функциональность могут отличаться в зависимости от модели коммутатора.
Железо не панацея, или почему коммутатору нужна помощь
Все-таки целью данной статьи является не представление коммутатора как единственного средства защиты, а демонстрация того, что мы ходим по драгоценной породе, не подозревая об этом. И стоит лишь ковырнуть землю носком ботинка, как в нашей «короне» информационной безопасности появляется искрящийся, далеко не лишний, драгоценный камень. Однако, чтобы правильно распорядиться этой находкой, важно понимать ограничения в работе вышеуказанных механизмов:
Слепота к содержимому. Коммутатор в силу своей архитектуры видит заголовки, а не данные. Поэтому не стоит ждать, что устройство отличит легитимный HTTP-запрос от эксплойта к веб-приложению или обнаружит вирус в передаваемом файле.
Статичность правил безопасности. Большинство ACL и политик не умеют автоматически адаптироваться к новым угрозам, поэтому здесь требуется ручная настройка.
Отсутствие контекста. Коммутатор не знает ничего о бизнес-логике приложений или свежих IoC из Threat Intelligence.
Ограниченная зона ответственности. Устройство защищает только тот сегмент сети, в котором находится.
Аппаратные функции коммутатора создают необходимый базовый уровень защиты, без которого все остальные средства будут захлебываться в потоке нефильтрованного трафика. Однако он только фундамент, а не все здание. Поэтому для более комплексной защиты важно настроить коммутатор на отражение L2/L3-угроз, включив перечисленные в статье функции, делегировать анализ содержимого и контекста системе NDR, а расследование и реагирование доверить платформе SIEM.
И последнее — не стоит забывать и такой важной роли коммутатора, как передача копии трафика (SPAN/RSPAN/ERSPAN/port mirror) и телеметрии (NetFlow, IPFIX, jFlow, NetStream). Поддержка этих протоколов превращает сеть в сенсор, позволяя увидеть, кто с кем общается, какие протоколы используются и где начинаются аномалии. Это «глаза» для систем мониторинга.
