Rețele

Este importanta securitatea la nivelul legaturii d date ? de ce ?

Integrarea securitatii in comunicatia end to end a unei retele este importanta pentru securizarea datelor. In primul rand un switch poate fi transformat intr`un hub, Cum? Pai un switch lucreaza trimitand pachetele pe porturile spre care sunt destinate insa orice switch are un numar limitat de sloturi pentru a stoca asocierile MAC - IP. Daca toate aceste sloturi se umplu, switchul sterge asocierile vechi. Atunci nu mai poate stoca asocierile pentru ca nu mai poate invata altele noi, va trimite pe toate porturile pachetele venite de la o adresa neinregistrata. Acest lucru se poate evita configurand switch block unicast pe porturile switchului.

Cum poate un router sa isi formeze o imagine despre intreaga topologie?

Un dispozitiv care dorește să vorbească / acceseze Internetul (sau orice rețea) trebuie să aibă o adresă IP. Adresa IP servește ca identitate a dispozitivului în rețea.

Adresele IP, totuși, nu există pe insule. În schimb, adresele IP există în grupuri cunoscute sub numele de Rețele, Rețele locale sau Subretele sau o mulțime de nume similare.

Motivul pentru care acest lucru este important este că, dacă nu este cazul, un Router ar trebui să cunoască locația fiecărei adrese IP din lume. Care în IPv4, înseamnă 4.2 ~ miliarde de "rute" diferite. Fiind capabil să organizați adrese IP în grupuri, înseamnă că router-ele nu trebuie să învețe URMA ca multe rute.

Ca atare, oricând orice dispozitiv este configurat cu o adresă IP, trebuie să fie configurat și cu o mască de subrețea. Masca de subrețea va servi pentru a spune dispozitivului cât de multe alte adrese IP se află în cadrul grupării (sau rețelei). Acest lucru este realizat prin procesul numit Subnetting - puteți citi mai multe despre acest proces aici.

De exemplu, un dispozitiv configurat cu adresa IP 10.1.1.30 și Subnet Mask 255.255.255.0 va cunoaște intrinsec dimensiunea rețelei sale care conține fiecare adresă IP în intervalul 10.1.1.0 până la 10.1.1.255.

Un router configurat cu aceeași adresă IP ar funcționa în același mod și, de asemenea, cunoaște în mod intrinsec dimensiunea rețelei la care este conectată direct. Ceea ce va indica apoi Router-ului ce rețea este conectată direct.

Dacă un router are mai multe interfețe, va repeta același proces pentru fiecare interfață, până când va cunoaște TOATE rețelele la care este conectată direct.

Acestea fiind spuse, există mult mai multe pentru toate acestea decât ceea ce a fost rezumat mai sus. Dar am vrut să mă concentrez asupra răspunsului la întrebarea dvs. Pentru mai multe informații, vă recomand să citiți prin această serie de articole care descrie modul în care pachetele se deplasează printr-o rețea și în special articolul care analizează modul în care un Router trasează pachetele. Când ați făcut acest lucru, puteți vedea totul legat împreună în acest videoclip.

De ce ACL-urile maresc securitatea retelei?

ACL-urile sunt de mai multe tipuri. Printre aceste tipuri se numara ACL antispoofing care permit doar trecerea pachetelor care au IP-uri sursa autorizate. Orice trafic de la o sursa neautorizata este blocat la intrarea in retea.

Care este cea mai simpla metoda de atac asupra protocolului FTP si cum poate fi prevenita aceasta ?

Cel mai simplu mod de a ataca un server ftp este de a ne loga ca user anonim si sa avem acces de tip read-only la fisiere. Daca avem noroc, se poate ca accesul ca user anonim sa ofere privelegii de read/write al fisierelor. De asemenea putem utiliza tooluri de sniffing al traficului pentru a putea obtine credentiale.

VLAN-urile sunt retele logice care nu sunt legate de o anumita locatie fizica. Prin folosirea VLANurilor

o retea mare poate fi segmentata, astfel incat traficul de tip broadcast sa fie limitat per vlan, in

conditiile in care un membru al unui vlan poate comunica direct, la nivel de switch (L2) doar cu un

alt membru al aceluiasi vlan. Avand in vedere ca un vlan reprezinta o retea in sine, fiecare vlan

trebuie sa reprezinte un subnet separat, iar comunicatia intre vlan-uri se va face prin intermediul

unui router sau a unui switch cu suport de layer 3.

Definitie - un vlan reprezinta o grupare de hosturi/o retea din cadrul aceleasi retele locale fizice

(LAN). Intr-un LAN (infrastructura fizica) exista mai multe VLAN-uri.

Reducerea costurilor - in mod normal, in cazul in care este nevoie de mai multe retele IP,

fiecare retea in parte va avea propriile echipamente de L2 (vezi poza de mai jos);

in cazul vlan-urilor, toate retelele folosesc aceeasi infrastructura fizica comuna; (aceleasi

cabluri/switchuri);

Flexibilitate/Mobilitate - utilizatorii retelei sunt grupati in VLAN-uri care sa reflecte

apartenenta la un anumit compartiment al companiei, sau la o anumita locatie fizica (un

etaj/corp/etc); in cazul in care userul isi schimba locatia, apartenenta acestuia la VLAN-ul din

care face parte se pastreaza; setarile PC-ului nu se schimba, IP-ul ramane acelasi.

Securitate - este mult mai usor de aplicat politica de securitate a companiei in situatia in

care hosturile sunt grupate in functie de scop/departament/locatie; de ex. in cazul unor

hosturi folosite exclusiv pentru acces internet, se creeaza un vlan separat (retea IP separata)

caruia ii sunt aplicate anumite reguli de acces;

Performanta - pentru ca vlan-urile reprezinta retele IP separate, broadcast storm-urile sunt

limitate la intinderea vlan-ului respectiv; un mesaj ARP nu va fi trimis tutoror hosturilor dintr-o

retea, ci doar echipamentelor din cadrul aceluiasi vlan;

Caracteristici VLAN-uri:

- se recomanda sa existe o corespondenta 1 la 1 VLAN - subretea IP;

- switchul mentine pentru fiecare vlan in parte o tabela de MAC-uri; (CAM table)

- traficul dintre vlan-uri se ruteaza; echipamente din vlan-uri diferite nu comunica direct intre

ele la L2, ci doar prin intermediul unui router sau switch de L3;

- fiecare VLAN reprezinta un domeniu de broadcast separat;

- fiecare port la care se conecteaza end-device-uri are asociat un PVID, astfel incat switchul sa

asocieze hostul cu un anumit VLAN