Кратко и по делу.
OSI (модель из $7$ слоёв) — назначение слоя, примеры реальных уязвимостей/атак и практические меры защиты для развёртывания сети в учебном корпусе.
1) Физический слой (Physical)
- Функция: передача битов по среде (кабель, оптика, радиоканал).
- Уязвимости/атаки: перехват/подслушивание кабеля, разрывы/физические повреждения, радиопомехи и джамминг Wi‑Fi, незапланированный доступ к сетевым розеткам.
- Защита: физический контроль и запираемые стойки, маркировка кабелей, экранирование/оптика, резервирование каналов, ограничение доступа к розеткам, использование защитных кожухов и мониторинга уровня сигнала, охрана и видеонаблюдение.
2) Канальный слой (Data Link)
- Функция: передача фреймов в одной физической сети; MAC-адресация, коммутация, VLAN.
- Уязвимости/атаки: ARP spoofing/poisoning (MITM), MAC spoofing, VLAN hopping, CAM table overflow (switch flooding), кража кадров в беспроводной сети.
- Защита: управляемые коммутаторы, порт‑безопасность (port security, статические MAC/лимиты), 802.1X (EAP) для аутентификации на уровне L2, DHCP snooping, Dynamic ARP Inspection, Private VLANs, отключение ненужных портов, сегментация трафика по VLAN, защищённый Wi‑Fi (WPA3‑Enterprise).
3) Сетевой слой (Network, IP)
- Функция: маршрутизация пакетов между сетями (IP), фрагментация, ICMP.
- Уязвимости/атаки: IP‑спуфинг, маршрутные атаки/манипуляции, ICMP‑flood/Smurf, фрагментационные атаки, неправильная маршрутизация, DNS‑spoofing (см. ниже).
- Защита: фильтрация входящего/исходящего трафика (ACL на роутерах), anti‑spoofing (uRPF), маршрутизаторы с безопасными конфигурациями, контроль ICMP, сегментация сети, надёжные DNS (DNSSEC, защищённые рекурсоры), регулярное обновление сетевого ПО.
4) Транспортный слой (Transport, TCP/UDP)
- Функция: надёжная/ненадёжная доставка, управление сеансами (TCP, UDP, SCTP).
- Уязвимости/атаки: TCP SYN flood (DDoS), UDP flood, порт‑сканирование, session hijacking, blind TCP RST, использование уязвимых портов (Telnet $23$, SSH $22$ при слабых ключах/паролях).
- Защита: stateful firewall, SYN‑cookies, rate limiting, IDS/IPS, ограничение открытых сервисов, применение VPN и SSH вместо небезопасных протоколов, использование фильтрации по белым спискам, контроль сетевых сессий и таймаутов.
5) Сессионный слой (Session)
- Функция: управление сеансами/сессиями между приложениями (установка, поддержание, завершение).
- Уязвимости/атаки: перехват и угон сессий, атаки восстановления/повторного воспроизведения (replay).
- Защита: использование защищённых протоколов с проверкой целостности и таймстампами, токены с коротким сроком действия, TLS/SSL и корректная конфигурация сессий, защита от CSRF, secure cookie flags.
6) Представительный слой (Presentation)
- Функция: кодирование/шифрование/форматы данных (шифрование, сжатие, преобразование).
- Уязвимости/атаки: уязвимости в реализации TLS/SSL (старые версии, слабые шифры, Heartbleed‑подобные баги), атаки на сериализацию/десериализацию.
- Защита: обязательный TLS $>=1.2$ или $1.3$, отключение старых протоколов/шифров, обновление библиотек криптографии, защита от уязвимостей парсинга и десериализации, HSTS.
7) Прикладной слой (Application)
- Функция: интерфейсы и протоколы приложений (HTTP, SMTP, DNS, SMB, RDP и т.д.).
- Уязвимости/атаки: XSS, SQL‑инъекции, RCE в веб‑приложениях, уязвимости в почтовых серверах (phishing, спуфинг), DNS‑poisoning, SMB/Netlogon эксплойты, распространение вредоносного ПО.
- Защита: регулярное сканирование и патч‑менеджмент, WAF, ограничение привилегий, применение принципа минимальных прав, защита почты (SPF, DKIM, DMARC), безопасная разработка (OWASP), аудит и тестирование приложений, антифишинговые меры и обучение пользователей.
Стек TCP/IP (обычно $4$ слоя) — сопоставление и рекомендации
- Link (связь): соответствует физическому + канальному уровням OSI. Уязвимости/защита те же: 802.1X, port security, защитный Wi‑Fi, физконтроль.
- Internet (сеть): соответствует сетевому уровню. Уязвимости/защита: IP‑фильтрация, uRPF, защищённый DNS.
- Transport (транспорт): соответствует транспортному уровню. Уязвимости/защита: SYN‑cookies, TLS поверх TCP, UDP‑фильтры, контроль портов.
- Application (приложения): соответствует сеансовому/представительному/прикладному. Уязвимости/защита: TLS, WAF, правильная разработка и конфигурация сервисов.
Практические рекомендации при развёртывании сети в учебном корпусе (сводный план)
- Сегментация и изоляция: отдельные VLAN для учебных залов, админсети, гостевой Wi‑Fi; меж‑VLAN ACL.
- Аутентификация и контроль доступа: 802.1X + RADIUS, централизованная авторизация пользователей (AD/LDAP), сетевой доступ по правилам (NAC), управление гостевым доступом (каптивный портал).
- Защита Wi‑Fi: WPA3‑Enterprise или WPA2‑Enterprise с RADIUS, раздельные SSID для персонала/студентов/гостей, радиопланирование, скрытие административных точек доступа.
- Оборудование и конфигурации: управляемые коммутаторы/маршрутизаторы, отключение ненужных сервисов, secure‑by‑default конфигурации, регулярные обновления прошивок.
- Фаерволы и фильтрация: периметральные и межсегментные firewall, stateful inspection, NAT и DMZ для публичных сервисов, белые списки для критичных сервисов.
- IDS/IPS и мониторинг: сетевой мониторинг, SIEM для корреляции логов, алармы на аномалии, регулярные обзоры логов.
- Анти‑DDoS и QoS: rate limiting, удалённые/облачные anti‑DDoS сервисы для критичных публичных сервисов, QoS для приоритезации учебного трафика.
- Обновления и управление уязвимостями: регулярные сканы, патч‑менеджмент, план реагирования на инциденты.
- Безопасность приложений и сервисов: HTTPS (TLS $>=1.2$), HSTS, WAF для веб‑ресурсов, безопасные конфигурации SSH, отключение Telnet/FTP, использование SFTP/FTPS.
- Обучение и процессы: политика BYOD, инструкции для сотрудников и студентов, тренинги по фишингу, резервные копии и планы восстановления.
- Физическая безопасность и инвентаризация: контроль доступа в серверные, уплотнение розеток, учёт оборудования, UPS и защита электропитания.
Короткое резюме: нужно комбинировать меры на всех уровнях (физическом, сетевом, прикладном) — сегментация, аутентификация (802.1X/WPA3), фильтрация и мониторинг, обновления и безопасная конфигурация сервисов, обучение пользователей. Это минимизирует риски при эксплуатации сети в учебном корпусе.