ані про загрози для безпеки комутаторів і про пом'якшення цих загроз поширені набагато менше, ніж аналогічні дані для маршрутизаторів. Більшість міркувань, наведених у попередньому розділі для маршрутизаторів, годяться і для комутаторів. Крім того, у випадку з комутаторами ви повинні вживати такі запобіжні заходи:
Якщо порт не повинен підключатися до Транки, то параметри транкових сполук на ньому мають не встановлюватися в положення "auto", а відключатися (off). В результаті хост не зможе стати транкових портом і отримувати трафік, який зазвичай надходить на такий порт. p align="justify"> Переконайтеся в тому, що транкові порти використовують унікальний номер VLAN (віртуальної локальної мережі), який не використовується ні в якому іншому місці цього комутатора. В результаті пакети, що мають мітку з тим же номером, будуть передаватися в іншу мережу VLAN тільки через пристрій
Об'єднайте всі порти комутатора в мережу VLAN, яка не має виходу на Рівень 3. Буде ще краще, якщо ви взагалі вимкніть усі порти, які реально не використовуються. В результаті хакери не зможуть підключатися до таких портів і через них отримувати доступ до інших мережевих ресурсів. p align="justify"> Намагайтеся не використовувати технологію VLAN в якості єдиного способу захисту доступу між двома подсетями. Постійно присутня ймовірність помилок, а також той факт, що мережі VLAN і протоколи маркування VLAN розроблялися без урахування вимог безпеки, - все це не дозволяє рекомендувати застосування цих технологій в чутливій середовищі. Якщо ви все-таки використовуєте мережі VLAN в захищеній середовищі, зверніть особливу увагу на зміни і рекомендації, перераховані вище. p align="justify"> В існуючій мережі VLAN додатковий захист для деяких мережевих додатків можуть дати віртуальні приватні локальні мережі (private VLAN). Основний принцип їх роботи полягає в тому, що вони обмежують число портів, яким дозволяється зв'язуватися з іншими портами в межах однієї і тієї ж мережі VLAN. Порти, які відносяться до певної спільноти, можуть повідомлятися тільки з іншими портами того ж співтовариства і портами загального доступу (promiscuous ports). Порти загального доступу можуть зв'язуватися з будь-яким портом. Це дозволяє мінімізувати збиток від хакерського проникнення на один з вузлів. Розглянемо як приклад стандартний мережевий сегмент, що складається з web-сервера, сервера FTP і сервера доменних імен (DNS). Якщо хакер проник на сервер DNS, для роботи з двома іншими серверами йому вже не потрібно долати міжмережевий екран. Але якщо у вас є віртуальні локальні приватні мережі, то в разі проникнення хакера на одну із систем вона не зможе зв'язуватися з іншими системами. Єдиними цілями для хакера залишаються хости, що знаходяться по інший бік брандмауера. p align="justify"> Мета - хости
Хост є найбільш вірогідною метою хакерської атаки. Крім того, хост створює найскладніші проблеми для...