Download - Switch Security
Switch Security
ในการสำารวจ การกอ“อาชญากรรม และ ละเมดความปลอดภยในคอมพวเตอร ทดำาเนนโดยสถาบน ”Computer Security Institute รวมกบ FBI เมอป 2545 ไดกลาววา • ป 2539 มเปอรเซนตการโจมต
ภายในถง 70 % สวนภายในนอก 30 % โดยมาจาก โมเดม• ป 2545 มเปอรเซนตการโจมต ภายในถง 25% สวนภายในนอก 75 %
= 70%= 30%= 25%= 75%
Introduction to Layer 2 Security
ความปลอดภยในเลเยอร2 ทเปนเลเยอร Data Link ใน OSI Model คอหนงในเจคเลเยอรทออกแบบมาเพอทำางานรวมกน
ถามองในเรองความปลอดภยแลวกถอวาไมคอยดเทาไหร ถามการโจมตทเลเยอรหนงจะไมเปนทรบทราบของเลเยอรอนทเหลอเสมอไปหากมการโจมตเขามาทเลเยอร 2 กอนสวนทเหลอในเครอขายของคณกจะไดผลกระทบในทสด
เพราะฉะนน เครอขายคณจะแขงแกรงหรอไมจงขนอยกบสวนทเปนจดออนทสดกคอทเปนเลเยอร Data Link
Rogue Device
การเขามาของอปกรณแปลกปลอมใน ระบบเครอขายมเขามาหลายรปแบบ เชนการทผใชทำาการเชอมตอกบอปกรณสวตช โดยไมไดรบอนญาต
ซงทำาใหอปกรณททำาการเชอมตอสามารถเขามาในเครอขายได จงทำาใหเกดอนตรายตอขอมลในเครอขายยงไปกวานนแลวอาจจะสงผลกระทบไปยงระบบทเชอมตออยกบสวตช
Rogue Device (cont)
รปท 1 อปกรณแปลกปลอมในระบบเครอขาย
Layer 2 Attacks
การโจมตหรอการปะทะกบอปกรณ เลเยอร 2 โดยทวไปแลวจะแบงเปนตามน
• MAC layer attacks• VLAN attacks
Mac Layer attacks MAC address flooding
ถาม package สงไปหา mac ทไมมใน mac address table มนจะสงออกทก port ยกเวน port ทมนรบเขามา งาย ๆ คอตว switch ราคาแพงจะกลายเปน hub ตวหนงเลย คอ flood mac address มว ๆ ออกมาจน mac address table เตม แลวทำา ให switch กลายเปน hub
เมอขอมลออกจาก Port ทก Port ทำาให เหนขอมลทอาจเปนความลบ ซงแนนอนวาอาจไมเปนผลดกบองคกรหรอบรษท
Mac Layer attacks (Cont)
รปท 3 การโจมตทาง MAC address flooding
Mac Layer attacks (Cont)
รปท 4 การโจมตทาง MAC address flooding
Mac Layer attacks (Cont)
รปท 5 การโจมตทาง MAC address flooding
Mac Layer attacks (Cont)
Possible Solution การแกปญหาคอจำากดจำานวนของ Mac ทเกน
เขตจำากดทกำาหนด แตถาทำาใหประสทธภาพสวตชมคาตำาลง ควรทำาการปด port นนเสย
VLAN attacks
VLAN hopping การโจมตแบบนเกดขนเมอผโจมตภยคกคาม หลอกวาม สวตชอกตวตองการชองสอสารและการโจมตแบบนตองการภาระ Auto เพอให ภารกจสำาเรจ ซงถาสำาเรจจะกลายเปนสวนหนง VLAN ทกแหงทเชอมตอกบสวตชและสามารถรบสงขอมลบน VLAN เหลานได
VLAN attacks (cont)
รปท 6 การโจมตทาง VLAN hopping
VLAN attacks (cont)
Possible Solution การแกปญหาคอการปดชองทางสอสาร
ทกพอรตยกเวนพอรตทจำาเปนตองใชชองทางสอสารจรงๆเทานน
Summary
การรกษาความปลอดภย ทนำาเสนอสำาหรบการโจมตเลเยอร 2 ชวยใหคณปองกนจากการโจมตจากพวก hackerไดคอ MAC attacks, VLAN attacksทคณไดเรยนรถงการใชคณสมบตสวตชเพอลดการโจมตเหลาน ยงกวานนคณยงไดเรยนรสงทงาย สามารถชวยใหเครอขายของคณปลอดภย เชน ความ สามารถ เขาถง สวทชของคณ และ การกำาหนดคาพนฐานเพอใหแนใจวามนจะไมใชการโจมตทงายเกนไปบนเครอขาย