Версии SIM

Существуют следующие версии SIM: 1.0, 1.5 и 1.6. Ниже они будут рассмотрены в сравнении.

Версии 1.0 и 1.5

Версия SIMvl .5 предлагает следующие улучшения по сравнению с версией 1.0:

· Возможность сохранения списка всех коммутаторов-участников в энергонезависимой памяти командного коммутатора. В версии SIMvl.0 командный коммутатор не имел возможности сохранять информацию о коммутаторах-участниках в своей памяти.

· Следовательно, если коммутатор-участник перегружался, он принимал статус коммутатора CaS. В версии SIMvl.5, если информация о коммутаторе-участнике была сохранена в памяти командного коммутатора, то после перезагрузки коммутатору участнику автоматически присваивался статус MS. Если же перегружается командный коммутатор, то он заново собирает информацию о топологии сети.

· Возможность отображения информации о магистральных группах (trunks) в топологической карте сети. В версии SIMvl .0 отображалась только пропускная способность порта вне зависимости от его принадлежности к магистральной группе. Версия SIMvl .5 показывает пропускную способность всей магистральной группы, а не порта. Когда организована магистральная группа, на топологической карте отражается множество линий.

· Меньший размер программного обеспечения.

· Поддержка масштабирования топологической карты при просмотре через web-браузер.

· Поддержка нескольких конфигурационных загрузочных файлов

Версии 1.5 и 1.6

Несмотря на улучшения по сравнению с предыдущей версией версия SIMvl.5 имеет несколько недостатков, связанных с безопасностью. Большинство подобных недостатков связаны с передачей пакетов без возможности их шифрования. Таким образом, версия SIMvl .6 призвана улучшить безопасность технологии SIM путём добавления механизмов шифрования/дешифрования. Существует обратная совместимость версий 1.6 и 1.5.

Формат пакета

Ниже (рисунок 43) приведён формат пакета для версии 1.6. Данный формат пакета применим для пакетов обнаружения (Discovery Packets), пакетов отчёта (Report Packets), пакетов поддержки (Maintence Packets), конфигурационных пакетов (Configuration Packets) и пакетов перенаправления (Redirection Packets) и не применим для пакетов построения топологии (Topology Packets). Также стоит отметить, что, когда устройство, не поддерживающее шифрование, получает зашифрованный пакет, то данное устройство будет отбрасывать пакеты обнаружения и отчётов.

Рисунок 43.

 

Назначение полей в пакете формата secure то же самое, что в пакете формата unsecure, за исключением следующих полей:

• Version - версия пакета SIM. Версия пакета представленного формата - 0x02.

• Reserved - длина этого поля меняется от 5 до 4 байт. Значение поля всегда составляет 0x00.

• Secure Algorithm - алгоритм шифрования:

o 0x00 - отсутствует;

o 0x01 - внутренний алгоритм D-Link (XOR);

o 0x01 ... OxFF - зарезервировано для дальнейшего использования.

• Payload - полезная зашифрованная нагрузка.

Операции SIMvl .6

Операции SIM версии 1.6 разделены на три уровня (этапа):

* Collection - сбор информации;

* Maintenance - поддержка;

* Managment - управление.

Этап сбора информации (Collection Stage)

На данном этапе командный коммутатор CS периодически рассылает пакеты отчёта Report (как зашифрованные, так и нет) коммутатором-кандидатам CaS, а кандидаты с той же периодичностью рассылают пакеты обнаружения Discovery. Пакеты Report/Discovery с поддержкой механизма безопасности будут зашифрованы алгоритмом по умолчанию. Дополнительно некоторая информация о механизмах безопасности включается в полезную нагрузку. Это данные о максимальных и предпочитаемых уровнях безопасности, которые поддерживает устройство.

 

Следующая диаграмма (рисунок 44) иллюстрирует операции, производимые коммутатором CS после получения данных от коммутаторов CaS:

1. Коммутатор CaS посылает одновременно два Discovery-пакета (один зашифрованный, другой - нет).

2. Когда коммутатор CS получает незашифрованный пакет, он ждёт 20 секунд до получения зашифрованного Discovery-пакета. Если в течение данного интервала времени зашифрованный пакет будет получен, то командный коммутатор определит коммутатор CaS как коммутатор, поддерживающий механизмы безопасности. Иначе коммутатор CaS будет определён как коммутатор, не поддерживающий механизмы безопасности.

3. Далее информация о коммутаторе CaS будет записана в базу данных коммутаторов CaS.

Рисунок 44.

 

Этап поддержки (Maintenance Stage)

После обмена Discovery/Report-пакетами наступает этап поддержки. Следующий рисунок 45 показывает операции, выполняемые в командном коммутаторе, по добавлению и конфигурированию коммутаторов CaS как членов его SIM-группы и операции, выполняемые в коммутаторе CaS, по получению команды для присоединения к SIM-группе.

Рисунок 45.

 

Этап управления

Назначение данного этапа перевести коммутатора-кандидата в роль коммутатораучастника (MS). Новый коммутатор MS примет и последует методу обмена информацией, установленном на данном этапе, для взаимодействия с остальными коммутаторами участниками и командным коммутатором своей группы.

Взаимодействия в топологии SIM

Взаимодействие между коммутаторами в топологии SIM могут осуществляться в 5 различных режимах (в зависимости от того, поддерживает ли командный коммутатор механизмы безопасности или нет):

1. Когда командный коммутатор не поддерживает механизмы безопасности, всё взаимодействие между ним и остальными участниками группы происходит без применения шифрования. Возможные режимы обмена для данного случая показаны на рисунке 46.

Рисунок 46.

 

2. Когда все коммутаторы группы (CS, MSs, CaSs) поддерживают механизмы безопасности, все взаимодействия между ними производятся только в безопасном режиме. Данная концепция проиллюстрирована в режиме 1 (Mode #1) на рисунке 47. Остальные режимы иллюстрируют ситуации, когда тот или иной член группы не поддерживает механизмы безопасности.

Рисунок 47.

 

II. Технологии обеспечения безопасности передачи данных в сетях Ethernet

1. Ограничение количества управляющих компьютеров

Современные коммутаторы позволяют задать конкретные компьютеры (IP-адреса), с которых будет происходить настройка данных коммутаторов по Web- или Telnet- инерфейсам или через протокол SNMP. Попьдка прочих компьютеров подключиться к коммутаторам для управления ими будет отклонена.

2. Настройка безопасности индивидуального порта

Данная функция позволяет:

• заблокировать дальнейшее обновление таблицы коммутатора - если конфигурирование Вашей сети больше не изменятся, Вы блокируете таблицу коммутации, и коммутатор будет просто отбрасывать все пакеты, которые поступают с неизвестных адресов. Причём данное действие можно выбрать для конкретных портов. При этом записи в таблице коммутации не будут удаляться по тайм-ауту;

• задать максимальное количество МАС-адресов для привязки к конкретному порту.

3. Фильтрация МАС-адресов

Дополнительно можно настроить коммутатор так, чтобы он не принимал пакеты с определенным МАС-адресом (как получателя, так и отправителя). Для этого служит таблица фильтрации трафика (Filtering Table). Фактически данная таблица является «чёрным списком». После получения пакета коммутатор считывает оба аппаратных адреса, как получателя, так и отправителя. Если хотя бы один из них содержится в таблице фильтрации, то пакет отбрасывается.

4. Технология фильтрации IP-MAC Binding

Основное назначение данной технологии - это ограничить доступ к коммутатору определённого количества компьютеров. Для этого индивидуально для каждого желаемого порта создаётся таблица соответствия IP- и МАС-адресов. Далее коммутатор будет пропускать только пакеты с указанными МАС-адресами и только в том случае, если истинно соответствие IP- и МАС-адреса.

Существенные отличия данной технологии от технологии фильтрации МАС-адресов:

• фильтрация работает на всех портах, а в данной технологии можно настраивать каждый порт в отдельности;

• фильтрация содержит «чёрный» список, то есть работает по принципу: не пропускать те пакеты, МАС-адреса которых содержатся в таблице фильтрации. Данная технология, наоборот, содержит «белый» список, то есть пропускает только те пакеты, МАС-адреса которых содержатся в созданных списках;

• в отличие от фильтрации технология IP-MAC Binding проверяет не только МАС-адрес источника пакета, но и его IP-адрес.

5. Списки контроля доступа (Access Control Lists)

Списки контроля доступа обеспечивают ограничение прохождения трафика через коммутатор. Фактически технология ACL реализует на коммутаторах 3-го уровня полноценный фильтр пакетов. Приём пакетов или отказ в приёме основывается на определённых признаках, которые содержит пакет:

· IP- и МАС-адреса источника и приёмника;

· номер VLAN;

· номер порта TCP или UDP;

· тип ICMP-сообщения.

Ключевым понятием в данной технологии является понятие профиля доступа - это набор признаков, который содержит пакет, с определёнными значениями. Каждый профиль доступ имеет свой уникальный номер в пределах коммутатора. Пример профилей доступа:

1: <VLAN = Yes, Source MAC = 00-01-08-DE-FA-10, Destination MAC = 00-01-07-DE-FA-10>
2 <VLAN = Yes, Source IP = 192.168.3.1, Destination IP = 192.168.10.2, TCP port = Yes>

Помимо приведенных примеров существуют также контекстно-зависимые профили. Основное отличие контекстно-зависимых профилей от всех остальных заключается в том, что в них признаки задаются смещением относительно начала кадра Ethernet. Например, чтобы указать МАС-адрес источника пакета в контекстно-зависимом профиле необходимо указать смещение Offset = 6 байтам и далее значение МАС-адреса, так как данный адрес располагается в заголовке кадра Ethernet с 7 по 12 байт включительно.

Профиль является всего лишь образцом (некоторым эталоном), на основе которого создаются правила. Правила представляют собой профиль, заполненный конкретными значениями признаков и содержащий действие, которое необходимо выполнить над пакетом, если он попадает под эти признаки. Обычно действие - это удалить или продвинуть пакет. Для каждого профиля может быть создано более одного правила. Например, для вышеприведённого профиля с Ю=2 могут быть созданы следующие правила:

Accept: <VLAN = Default, Source IP = 192.168.3.1, Destination IP = 192.168.10.2, TCP port = 514>
Deny: <VLAN = Marketing. SourcelP= 192.168.3.1, Destination IP = 192.168.10.2, TCP port = 8080>

При поступлении пакета на коммутатор профили доступа применяются последовательно, в порядке возрастания их номеров. Пакет проверяется на соответствие условиям, указанным во всех правилах профиля, начиная с первого профиля. Если правило подходит, пакет в соответствие с действием обработки либо принимается, либо отбрасывается и дальше не проверяется. Если пакет не попадает ни под одно правило профиля, то пакет проверяется по правилам следующего профиля. Если не один профиль не подходит, то применяется политика по умолчанию - разрешающая или запрещающая прохождение трафика.

Очень важно правильно расставлять профили и правила внутри профилей потому, что если пакет попадает хотя бы под одно запрещающее правило, то он удаляется из коммутатора и дальше не проверяется на соответствие другим правилам, даже если среди них есть правила, которые могли бы его пропустить дальше.