Bezpieczeństwo warstwy 2 sieci: tablica bezpieczeństwa MAC, wiązanie ARP i kontrola dostępu na poziomie adresów fizycznych. Fundamentalna ochrona przed ARP spoofing i nieautoryzowanym dostępem.
Większość zabezpieczeń sieciowych koncentruje się na warstwie 3 (IP) i wyżej. Tymczasem ataki na warstwę 2 (Ethernet) mogą obejść wszystkie te zabezpieczenia, dając atakującemu pełną kontrolę nad ruchem sieciowym. Kontrola dostępu do sieci na poziomie warstwy 2 wpisuje się w wymagania KSC/NIS2 dotyczące wdrożenia środków technicznych ograniczających nieautoryzowany dostęp.
Warstwa 2 modelu OSI (warstwa łącza danych) operuje na adresach MAC i protokole ARP (Address Resolution Protocol). To właśnie ARP tłumaczy adresy IP na adresy fizyczne kart sieciowych. Problem polega na tym, że protokół ARP nie posiada żadnych wbudowanych mechanizmów uwierzytelniania - każde urządzenie w sieci może ogłosić, że posiada dowolny adres IP, fałszując odpowiedzi ARP. Zagrożenie to dotyczy zarówno sieci ISP, jak i sieci firmowych i instytucjonalnych, gdzie nieautoryzowany dostęp na styku WAN-LAN może prowadzić do wycieku poufnych danych.
ARP spoofing (znany też jako ARP poisoning) polega na wysyłaniu fałszywych komunikatów ARP, które wiążą adres MAC atakującego z adresem IP ofiary (np. bramy domyślnej). W efekcie cały ruch sieciowy przechodzi przez komputer atakującego, umożliwiając podsłuch (man-in-the-middle), modyfikację danych, kradzież haseł i przejęcie sesji. W sieci ISP, gdzie setki klientów współdzielą infrastrukturę, ale także w sieci korporacyjnej z tysiącami pracowników, taki atak może mieć katastrofalne skutki. MAC flooding to z kolei atak polegający na zalewaniu przełącznika tysiącami fałszywych adresów MAC, co przepełnia jego tablicę CAM i zmusza go do pracy w trybie hub - rozgłaszając wszystkie ramki do wszystkich portów.
Kontrolowana lista dozwolonych adresów MAC przypisanych do każdego klienta. Tylko autoryzowane urządzenia uzyskują dostęp do sieci.
Statyczne wiązanie adresów IP z adresami MAC zapobiegające fałszowaniu odpowiedzi ARP przez nieautoryzowane urządzenia.
Wielopoziomowa ochrona na poziomie ramek Ethernet - walidacja źródłowych adresów MAC, kontrola broadcast i filtracja.
Wykrywanie prób fałszowania ARP poprzez monitorowanie zmian w tablicy ARP i alertowanie o podejrzanych aktywności.
Tylko urządzenia z zarejestrowanym adresem MAC mogą komunikować się w sieci. Nieznane MAC-i są automatycznie odrzucane.
Automatyczne i ręczne wiązanie adresów MAC z adresami IP klientów. Pełna historia przypisań z audytem zmian.
FiQs integruje bezpieczeństwo warstwy 2 bezpośrednio z systemem zarządzania klientami, zapewniając automatyczne wiązanie IP-MAC i ochronę przed atakami na warstwę łącza danych.
W systemie FiQs każdy klient posiada dedykowane pole MAC w swoim profilu (jedno z 18 pól konfiguracyjnych). Po wpisaniu adresu MAC, system automatycznie tworzy statyczne wiązanie ARP między adresem IP a adresem MAC klienta. Oznacza to, że nawet jeśli ktoś spróbuje podszyć się pod adres IP innego klienta, ruch nie zostanie przekazany, ponieważ adres MAC nie będzie zgodny z zarejestrowanym.
Moduł ARP Table Viewer prezentuje aktualny stan tablicy ARP systemu z możliwością wykrywania konfliktów IP. Administrator widzi wszystkie aktywne wiązania IP-MAC, może porównać je z zarejestrowanymi adresami klientów i natychmiast zidentyfikować nieautoryzowane urządzenia lub próby podszywania się. System automatycznie wykrywa sytuacje, gdy dwa różne adresy MAC próbują korzystać z tego samego adresu IP.
W połączeniu z modułem LAN Scanner, FiQs umożliwia odkrywanie nowych urządzeń w sieci i porównywanie ich z listą zarejestrowanych użytkowników. Urządzenia bez przypisanego adresu MAC w systemie są oznaczane jako potencjalnie nieautoryzowane, co pozwala administratorowi szybko reagować na próby nieautoryzowanego dostępu do sieci. W środowisku firmowym lub kampusowym FiQs może kontrolować dostęp per VLAN, pełniąc rolę routera wewnętrznego z pełnym logowaniem ruchu.
Sprawdź INTRUX FiQs w akcji. Przetestuj panel administracyjny na żywo lub skontaktuj się z nami, aby omówić Twoje potrzeby.