ネットワーク セキュリティ - データ リンク層セキュリティ プロトコル

開発 2023-05-17 06:57:33 訪問数: null

508de614799f4b4d945f07869f1d1417.gif

  • 著者について: クラウド コンピューティング ネットワークの運用保守担当者。ネットワークと運用保守の技術と乾物を日々共有しています。 

  •  座右の銘:頭を下げて道を急ぎ、礼儀正しく

  • 個人ホームページ:Netdouのホームページ

目次

 

序文

1. データリンク層セキュリティプロトコルの概要

1. データリンクのセキュリティ

2. LANデータリンク層プロトコル

1. リンク ローカル エリア ネットワーク (LAN)

 2. 広域ネットワーク (WAN)

3. IEEE802 LAN データリンク層プロトコル

(1) データリンク層には Logical Link Control (LLC) が含まれます

 (2) メディア アクセス コントロール (MAC) サブレイヤ

 (3) IEEE802.3 MACデータフォーマット

4. LAN データリンク層プロトコルのセキュリティ問題

(1) 共有イーサネットでのリスニングの問題

(2) スイッチドイーサネットにおける ARP ブロードキャストの問題

 

序文

この章では、データリンク層のセキュリティプロトコルについて説明します。

1. データリンク層セキュリティプロトコルの概要

通信の各層には独自のセキュリティ問題があり、ネットワーク セキュリティの問題は、さまざまな弱点に応じて複数のプロトコル層で対処する必要があります。セキュリティの観点から見ると、データリンク層 (第 2 プロトコル層) の通信リンクは弱いリンクです。

この章では、データリンク層に関連するセキュリティ問題に焦点を当てます。

3e22738983224845800ab18262750a6d.png

1. データリンクのセキュリティ

データ リンク層セキュリティとは、データ リンク内のノード間で安全にデータを交換することを指します。それは次の 2 つの側面で表れます。

  • (1) データの機密性。データ交換時のデータの不正な盗聴を防止します。
  • (2) データの完全性。データ交換時にデータが不正に改ざんされることを防ぎます。

データ交換プロセスにおけるデータの機密性と完全性は主に暗号化によって実現されます。つまり、両当事者は一貫した暗号化アルゴリズムを使用してデータの機密性と鍵交換アルゴリズムについて交渉し、データ交換プロセス中に合意に達する必要があります。 、通信当事者は、データの機密性と完全性を確保するために、合意に基づいてデータの暗号化とデータ認証の処理を実行する必要があります。

2333d5b797b04b68a9e8181d173bb6b1.png データリンク層セキュリティプロトコルは、データリンク層プロトコルのセキュリティを強化するものであり、データリンク層をベースにセキュリティアルゴリズムのネゴシエーションやデータの暗号化・復号化処理の機能や処理を追加するものである。

2. LANデータリンク層プロトコル

データリンク層は主に、ネットワークセグメントまたはメディアセグメント上のノード間の通信のためのデータ伝送サービスを提供します。データリンク層は、データリンクのエラー処理およびフロー制御機能を提供し、信頼性の低いデータリンクを信頼性の高いデータリンクに変換し、データフレームの送受信を同時に完了し、ネットワーク層に次の機能を提供します。データとプロセスを送信します。

さまざまなネットワーク規模に応じて、データリンク層のプロトコルは 2 つのカテゴリに分類できます。

1. リンク ローカル エリア ネットワーク (LAN)


LAN (LAN) のデータリンク層プロトコルは、主にローカル エリア ネットワーク (L.AN) リンクを介してローカル ノードを相互に接続し、データ通信を実現します。

561608ddba394ae59797457047b47d1c.png

 2. 広域ネットワーク (WAN)

ワイド エリア ネットワーク (WAN) のデータ リンク層プロトコル。主にワイド エリア ネットワークを介したリモート ノード間のデータ通信を実現します。

75132bde975043bcb079824d3a3b7fba.png

 異なる物理リンクのデータリンク層プロトコルは異なります。

ローカルリンクのデータリンク層プロトコルは、通常、IEEE802 LANプロトコル標準を採用します。

WAN リンクのデータリンク層プロトコルは主にポイントツーポイント プロトコル (PPP) を採用します。

3. IEEE802 LAN データリンク層プロトコル

IEEE802 仕様は、ネットワーク カードが伝送媒体 (光ケーブル、ツイスト ペア、無線など) にアクセスする方法、および伝送媒体上でデータを送信する方法を定義し、ネットワーク間の接続の確立、維持、削除方法も定義します。情報を伝達する装置。 

0f987c0ff2d54d419c13ac4877cf3d22.png

 IEEE802 標準に準拠した製品には、ネットワーク カード、ブリッジ、ルーター、およびローカル ネットワークの構築に使用されるその他のコンポーネントが含まれます。

データリンク層には、論理リンク制御(LLC)サブ層と媒体アクセス制御(MAC)サブ層が含まれます。

(1) データリンク層には Logical Link Control (LLC) が含まれます

論理リンク制御 (LLC) は、LAN におけるデータリンク層の上位層部分であり、論理リンク制御プロトコルは IEEE 802.2 で定義されています。ユーザーのデータ リンク サービスは、LLC サブレイヤを通じてネットワーク層に統合インターフェイスを提供します。

141ddc3c6ca84b629791be1847b7c30d.png

 (2) メディア アクセス コントロール (MAC) サブレイヤ

媒体アクセス制御(Medium Access Control)はMACと呼ばれます。これは、ローカル エリア ネットワークで共有チャネルの使用に競合がある場合に、チャネルの使用権をどのように割り当てるかという問題を解決するためです。

MAC サブレイヤの主な機能は伝送媒体へのアクセス制御であり、以下の 2 つの基本機能を備えています。

  • (1) データのカプセル化。送信前のフレーム結合と受信中および受信後のフレーム分析/エラー検出を含みます。
  • (2) フレーム送信の初期化と送信障害の回復を含むメディア アクセス制御。

 (3) IEEE802.3 MACデータフォーマット

  • f551b87e15b542a9ba943dbb15daa50e.png(1) プリアンブル - 7 バイト。フィールド内の 1 と 0 は互換的に使用され、受信局はこのフィールドを通じてインポートされたフレームを知り、このフィールドは物理層フレームの受信部分を同期して受信し、ビットストリームを先頭にする方法を提供します。 
  • (2) フレーム開始デリミタ - 1 バイト。このフィールドでは、1 と 0 が交互に使用され、最後は 2 つの連続する 1 で、次のビットが宛先アドレスを使用した再利用バイトの再利用ビットであることを示します。
  • (3) 宛先アドレス - 6 バイト。このフィールドは、フレームを受信する必要があるステーションを識別するために使用されます。
  • (4) 送信元アドレス - 6 バイト。このフィールドは、フレームを送信したステーションを識別するために使用されます。
  •   (5) 長さ/タイプ (Length/Type) - 2 バイト。オプションのフォーマットを使用してフレーム構造を形成する場合、このフィールドは、フレーム データ フィールドに含まれる MAC クライアント データのサイズとフレーム タイプ ID の両方を示します。
  • (6)データ(Data)は、r(46n1500)バイトの任意の値列の集合である。合計フレーム サイズは少なくとも 64 バイトです。
  • (7) フレーム チェック シーケンス (Frame Check Sequence) - 4 バイト。このシーケンスには、送信 MAC によって生成され、破損したフレームをチェックするために受信 MAC によって計算される 32 ビットの巡回冗長検査 (CRC) 値が含まれています。

4. LAN データリンク層プロトコルのセキュリティ問題

コミュニケーションの各層には、それぞれ固有の問題が存在します。データリンク層(第 2 層)の通信接続は比較的弱いリンクであり、主なセキュリティ問題は以下のとおりです。

(1) 共有イーサネットでのリスニングの問題

共有イーサネットではブロードキャストにより通信が行われます。理論的には、同じブロードキャスト ドメイン内のすべてのホストが、物理メディア上で送信されるデータ パケットにアクセスできます。

ただし、通常の状況では、ネットワーク ホストは、自身のハードウェア アドレスと一致するデータ フレームと、すべてのホストに送信されるブロードキャスト フレームの 2 種類のデータ フレームのみを受信して​​応答する必要があります。

4601cd5bcbc0491382626f44f0ace806.png

 実際のシステムでは、データの送受信はネットワーク カードによって行われ、各イーサネット カードはグローバルに固有のイーサネット アドレスを持ちます。これは 48 ビットの 2 進数であり、イーサネット カードにはデータ パケット フィルタが組み込まれており、通信目的として自身のネットワーク カードの MAC アドレスを持つデータ パケットとブロードキャスト データ パケットを受信し、それ以外のすべてを破棄するために使用されます。無関係なデータ パケット CPU が無関係なパケットに対して不必要な処理を行わないようにするために、通常の状況ではイーサネット カードがこのように動作します。

6fc03e7dce644abba552bd520d8f9052.png この動作モードでは、イーサネット カードは、受信したデータ パケットのうち、このマシンに関連する部分のみを上向きに送信します。ただし、データ パケット フィルタはプログラミングによって無効にすることができ、無効にすると、ネットワーク カードは受信したすべてのデータ パケットを上向きに通過させ、上位層のソフトウェアがイーサネット上の他のコンピュータ間の通信を監視できるようになります。無差別モードです。ほとんどのネットワーク カードはプロミスキャス モードをサポートしているため、通常のネットワーク カードをネットワーク プローブとして使用できます。

1dbe95a63d1048b1828c22a3a6edde96.png

 ネットワークリスニングの実装は非常に簡単です。これはネットワーク管理者にとっては便利である一方で、一般のユーザーはネットワーク通信を簡単に傍受できるため、ユーザーのデータ通信の機密性にとって大きな脅威となります。

(2) スイッチドイーサネットにおける ARP ブロードキャストの問題

イーサネット カードのプロミスキャス動作モードに加えて、スイッチド イーサネットでのモニタリングの実装では、ARP リダイレクション テクノロジも利用されます。

fac5f41c57c74d0d969e8a231b65b230.png

 ARP (Address Resolution Protocol) は、TCP/IP プロトコル スタックの基本プロトコルの 1 つです。ARP は、32 ビット IP アドレスをイーサネットの 48 ビット ハードウェア アドレス (MAC アドレス) にマッピングするために使用されるアドレス解決サービスを提供し、パケットをイーサネット フレームにカプセル化して送信できるようにします。一方、ARP の主な機能は、上位層の IP アドレスを下位層の物理アドレスにバインドすることです。

e280de4c9d884cc7b629ebc339a480fd.png ARPプロトコルは効率的なデータリンク層プロトコルではありますが、LANプロトコルとしてはホスト間の相互信頼に基づいているため、一定のセキュリティリスクが存在します。

  • (1) ホストアドレスマッピングテーブルはキャッシュに基づいて動的に更新されます。これは ARP プロトコルの特徴であり、セキュリティ問題の 1 つでもあります。ホスト間の通常の MAC アドレス更新には時間制限があるため、攻撃されたホスト上のアドレス キャッシュが次の更新前に変更されると、偽造される可能性があります。
  • (2) ARP リクエストがブロードキャストされます。この問題は避けられず、ホストは通信相手の MAC アドレスを知らないからこそ、ARP ブロードキャスト要求を実行する必要があります。このようにして、攻撃者は ARP 応答を偽造し、ブロードキャスターが本当に通信したいマシンと競合することができます。また、サブネット内のホストが MAC アドレス キャッシュを更新するタイミングを決定して、スプーフィングの最大時間を決定することもできます。
  • (3) ARP 応答パケットは任意に送信できます。ARP プロトコルはステートレスであり、リクエストがなくてもホストは応答でき、応答が有効である限り、応答パケットを受信したホストは応答パケットの内容に応じて無条件にローカル キャッシュをリフレッシュできます。
  • (4) ARP 応答には認証は必要ありません。ARPプロトコルはLANのプロトコルですが、設計当初は伝送効率を考慮してデータリンク層でのセキュリティ対策は行われていませんでした。ARP プロトコルを使用して MAC を交換する場合、認証は必要なく、LAN から ARP 応答パケットを受信する限り、ローカル キャッシュ内の MAC/IP ペアを更新します。

 作成は簡単ではありません、注意してください、いいね、収集、ありがとう~   


 

 

おすすめ

転載: blog.csdn.net/yj11290301/article/details/129162206
おすすめ
大規模な言語モデルに基づくオープンソースのナレッジベースの質問と回答システムである MaxKB GitHub Star の数が 5,000 を超えました。
ランキング
短线选股的一种方法
Javaクライアントでのユーバーのリズムワークフローで睡眠時間をキャンセルし、再スケジュール
CALIPSOデータバッチダウンロード方式
LeetCode アルゴリズム再帰クラス - ソードはオファー 26 を参照します。 ツリーの部分構造
HTMLのインポート外部CSS、JavaScriptの論文
PostgreSQL 13.1、12.5、11.10、10.15、9.6.20、および9.5.24がリリースされました
アップルは、エラーメッセージがポテトに接続されていた実行する方法ポテトポテトショーをダウンロードすることができません
あなたは空腹で突然電話を切っていますか?これはテクノロジーの裏側ですか、それともテスト用の銃ですか?
VIMエディタのヒント
動的計画法の最長共通部分列(LCS)
アーカイブ
もっと
2024-05-13(8)
2024-05-12(27)
2024-05-11(31)
2024-05-10(33)
2024-05-09(30)
2024-05-08(18)
2024-05-07(34)
2024-05-06(6)
2024-05-05(0)
2024-05-04(18)

コードワールド

© 2018 codetd.com