Прозрачная работа VTP (VLAN trunking protocol).
Чтобы пере-
дать через порт трафик нескольких сетей VLAN, порт переводится в
режим транка. По умолчанию в транке разрешены все сети VLAN.
Для передачи данных через соответствующую сеть VLAN в транке
необходимо, чтобы сеть VLAN была активной. Активной сеть VLAN
становится тогда, когда она создана на коммутаторе. В то время как
использование VLAN транкингового протокола может быть выгодным
в корпоративной среде, это создает угрозы ИБ для поставщиков услуг,
потому что протокол VTP допускает динамическое определение сети
VLAN. Эту функцию необходимо отключить на сетевом оборудовании
для большей безопасности. Протокол VTP является проприетарным
протоколом компании Cisco, в связи с чем он реализуется на оборудо-
вании только этой компании [9].
Ограничение MAC-адресов и безопасность портов.
Оборудова-
ние может быть сконфигурировано так, чтобы разрешить доступ для
предопределенного максимального количества MAC-адресов. Это по-
могает предотвратить переполнение таблицы памяти CAM-адресов
(Content Addressable Memory Table). Коммутатор имеет CAM-таблицу
(в ней содержится “привязка”, какие MAC-адреса на каком порту при-
нимаются), обычно связанной с атаками переполнения. Оборудование
должно выполнять операции по определению допустимого максимума
следующим образом:
•
защищенный режим — отбрасывание пакетов от неизвестных
исходных адресов, пока администратор не удалит достаточное
число безопасных MAC-адресов и их число станет ниже макси-
мального значения;
•
режим ограничения — отбрасывание пакетов от неизвестных ис-
ходных адресов, пока администратор не удалит достаточное чи-
сло безопасных MAC-адресов, чтобы их число стало ниже мак-
симального значения, и вызывает операцию Security Violation
вместо инкремента;
•
режим завершения работы — отключение незаконного порта и
генерация SNMP-прерывания, однако это требует ручное вме-
шательство администратора для восстановления работы [9].
Угрозы безопасности сети VPLS на абонентском участке CE–
PE и механизм его защиты.
Источниками угроз ИБ на этом участке
является возможность пользователя VPLS обманным способом по-
лучить легитимные адреса пользователей других сетей VPLS. Еще
один источник — угроза “человек посередине” для открытых данных
кадров Ethernet. При реализации этих угроз на абонентском участ-
ке между граничными маршрутизаторами пользователя и провайдера
CE–PE возможны следующие последствия: передача кадра пользовате-
лю перехваченного адреса; прием кадра пользователя перехваченного
52 ISSN 0236-3933. Вестник МГТУ им. Н.Э. Баумана. Сер. “Приборостроение”. 2015. № 1