Мрежовите модели ни помагат да разберем „положението на земята“, когато става въпрос за защита на мрежата. В нашето пътуване през рамката за свързване на отворени системи (OSI) стигнахме до последната спирка в медийната група, мрежовия слой OSI.
Не забравяйте, че стигнахме дотук чрез OSI слоя за връзка с данни или „как“ преминават нулите и единиците. В
минало участие в тази серия
, обсъдихме колко е важно да гарантираме, че тази връзка е защитена чрез криптиране, деактивиране на портове и други начини за отказ на достъп.
Сега мрежовият слой на OSI е мястото, където гумата наистина започва да излиза на пътя. Пакетите данни вече пътуват. Мислете за това по следния начин: слоят на връзката за данни е от възел до възел, докато мрежовият слой е от мрежа до мрежа и дори чрез мрежи. Ключът към работата на този слой е рутерът.
Какво е OSI Network Layer?
Можете също да мислите за мрежовия слой като за водач и оператор на трафик. Той казва на всички пакети данни къде да отидат. След като данните постъпят в мрежовия слой на OSI, се добавя адрес на интернет протокол (IP). Сега пакетът данни знае къде да отиде. А рутерите са това, което следи и управлява целия трафик. Има различни начини за управление на трафика, известни също като протоколи, като IPv4 и IPv6. Без мрежовия слой нулите и единиците не могат да стигнат никъде.
Заплахи за киберсигурността на мрежовия слой на OSI
Злонамерените участници могат да атакуват мрежовия слой чрез претоварване на мрежата, спуфинг и снифинг. Нека започнем с претоварване на мрежа. Нападателят може да направи това чрез атаки за отказ на услуга (DoS), като например ping flood. Когато нападателят знае кои IP адреси са свързани с целева мрежа, той ще изпрати протокол за интернет контролно съобщение ping — или ехо — многократно, за да претовари частта или цялата мрежа. Това означава, че нападателят може да атакува a
единична крайна точка
или рутер, за да прекъснете цялата комуникация.
Друг метод за атака е IP spoofing. Често използван за разпределени DoS атаки (DDoS), нападателят ще промени IP адреса на източника в заглавката. IP spoofing вече е почти стандарт за DDoS комплекти злонамерен софтуер.
Накрая, нападателите могат да повлияят на мрежовия слой на OSI чрез подслушване на IP и порт. Снифирането на IP и порт позволява на атакуващия да извърши разузнаване и да научи повече за потребителя чрез анализ на пакети. Ако връзката не е защитена (помислете за криптиране), злонамерен играч може да открадне ценна информация.
С други думи, не е твърде необичайно да видите атаки тип човек по средата да се случват на ниво OSI мрежов слой.
Използване на защитни стени в мрежовия слой на OSI
За да предотвратите тези атаки, използвайте
защитни стени
е критично. Използването на защитна стена в наши дни обаче е почти дадено
бъдещото използване на защитни стени подлежи на дебат
за сметка на
нови технологии за сигурност в облака
. Освен това не се изненадвайте, ако защитната стена се претовари по време на тези видове атаки.
По подобен начин техника на защитна стена, която може да намали риска, е филтрирането на пакети. Тази техника позволява на входящите пакети да преминават само въз основа на IP адресите и протоколите на източника и местоназначението. И накрая, разгледайте друга свързана техника, наречена анти-спуфинг. Защитната стена ще блокира пакет, ако IP адресът е грешен, фалшифициран или подправен по друг начин. Всичко по-горе изглежда сравнително лесно, но конфигурацията е от решаващо значение за успеха.
Следващата спирка от пътуването
Взети заедно, първите три OSI слоя — физически, слой за връзка с данни и мрежов слой — съставляват „медийната“ част на OSI модела. В следващата част ще разгледаме първия от слоевете „хост“, транспортния слой.