Síťové modely nám pomáhají porozumět „položení země“, pokud jde o ochranu sítě. Na naší cestě rámcem Open Systems Interconnection (OSI) jsme se dostali k poslední zastávce v mediální skupině, síťové vrstvě OSI.
Pamatujte si, že jsme se sem dostali přes vrstvu datového spojení OSI neboli „jak“ procházejí nuly a jedničky. V
minulý záznam v této sérii
, diskutovali jsme o důležitosti zajištění bezpečnosti tohoto odkazu pomocí šifrování, deaktivace portů a dalších způsobů odepření přístupu.
Nyní je síťová vrstva OSI místem, kde guma skutečně začíná dopadat na silnici. Datové pakety nyní cestují. Přemýšlejte o tom takto: vrstva datového spojení je uzel-uzel, zatímco síťová vrstva je síť-síť a dokonce i přes sítě. Klíčem k tomu, aby tato vrstva fungovala, je router.
Co je síťová vrstva OSI?
Síťovou vrstvu si také můžete představit jako průvodce a operátora provozu. Říká všem datovým paketům, kam mají jít. Jakmile data přijdou do síťové vrstvy OSI, přidá se adresa internetového protokolu (IP). Datový paket nyní ví, kam má jít. A právě routery sledují a řídí veškerý provoz. Existují různé způsoby řízení provozu, známé také jako protokoly, jako je IPv4 a IPv6. Bez síťové vrstvy se nuly a jedničky nikam nedostanou.
Kybernetické hrozby pro síťovou vrstvu OSI
Zlomyslní aktéři mohou napadnout síťovou vrstvu přetížením sítě, falšováním a sniffováním. Začněme přetížením sítě. Útočník to může provést prostřednictvím útoků DoS (Denial of Service), jako je například záplava příkazů ping. Když útočník ví, které IP adresy jsou spojeny s cílovou sítí, bude opakovaně posílat internetovou kontrolní zprávu protokolu ping – nebo echo – aby přetížil část nebo celou síť. To znamená, že útočník může zaútočit na a
jeden koncový bod
nebo směrovač k přerušení veškeré komunikace.
Další metodou útoku je IP spoofing. Často se používá pro distribuované útoky DoS (DDoS), útočník změní zdrojovou IP v hlavičce. IP spoofing je nyní téměř standardní pro sady malwaru DDoS.
Útočníci mohou nakonec ovlivnit síťovou vrstvu OSI prostřednictvím IP a portů. IP a port sniffing umožňuje útočníkovi provádět průzkum a dozvědět se více o uživateli prostřednictvím analýzy paketů. Pokud připojení není zabezpečeno (předpokládejme šifrování), může zlomyslný aktér ukrást cenné informace.
Jinými slovy, není příliš neobvyklé vidět útoky typu man-in-the-middle na úrovni síťové vrstvy OSI.
Používání brány firewall v síťové vrstvě OSI
Abyste těmto útokům zabránili, použijte
firewally
je kritický. Využití brány firewall je však v dnešní době do značné míry samozřejmostí
Budoucí použití firewallů je předmětem diskuse
z důvodu
nové technologie cloudového zabezpečení
. Nebuďte také překvapeni, když se firewall během těchto typů útoků přetíží.
Podobně je technika brány firewall, která může snížit riziko, filtrování paketů. Tato technika umožňuje pouze průchod příchozích paketů na základě zdrojové a cílové IP adresy a protokolů. Nakonec se podívejte na další související techniku zvanou anti-spoofing. Firewall zablokuje paket, pokud je IP adresa nesprávná, zfalšovaná nebo jinak podvržená. Vše výše uvedené se zdá být poměrně jednoduché, ale konfigurace je pro úspěch zásadní.
Další zastávka na cestě
První tři vrstvy OSI – fyzická vrstva, vrstva datového spojení a síťová vrstva – společně tvoří „mediální“ část modelu OSI. V dalším díle se podíváme na první z „hostitelských“ vrstev, transportní vrstvu.