Sieci LAN, szczególnie te bardziej rozbudowane, zazwyczaj składają się z co najmniej dwóch warstw modelu hierarchicznego - dostępu, dystrybucji oraz rdzenia. W tym artykule skupimy się na tej pierwszej, czyli warstwie dostępu. Jest ona najważniejsza z punktu widzenia bezpieczeństwa całej sieci lokalnej, gdyż to w niej następuje przyłączanie się nowych klientów i urządzeń do sieci. Urządzeniami aktywnymi odpowiadającymi za możliwość podłączenia się do sieci są w tym przypadku przełączniki sieciowe. To do nich podłączamy urządzenia brzegowe, takie jak: komputery, punkty dostępowe (AP), telefony IP, kamery IP, sprzęt biurowy. W tej warstwie realizowane są polityki bezpieczeństwa mające na celu zapewnić dostęp do sieci lokalnej lub jej konkretnego segmentu, tylko tym urządzeniom, które będą w jakimś stopniu przez nas zweryfikowane i zatwierdzone.


Nie chcemy, aby do naszej sieci lokalnej dostęp miały wszystkie podłączane urządzenia bez możliwości kontroli i ewentualnych metod autentykacji. Oczywiście staramy się, aby to administratorzy sieci mieli jedynie dostęp fizyczny do switchy i możliwość podłączania nowych urządzeń, natomiast najczęściej oddajemy użytkownikom sieci do dyspozycji port/y na naszych przełącznikach, czy to w formie gniazdek RJ45 w ścianach czy tzw. floorboxach.

Bez zastosowania różnego rodzaju mechanizmów bezpieczeństwa na portach przełącznika narażamy się na możliwość wpuszczenia do sieci lokalnej nieuprawnionych użytkowników, mogących dokonać różnego rodzaju ataków od strony wewnętrznej, w sposób niezamierzony lub jako atak celowy.

Skutkiem takich działań może być całkowita blokada sieci LAN, np. w przypadku wykonania fizycznej pętli, czego skutkiem będzie burza ramek Ethernet, blokująca całą sieć wraz z jej urządzeniami aktywnymi, czyli infrastrukturą aktywną (przełączniki, punkty dostępowe, serwery, itp.). Może to być również blokada działania serwera/ów DHCP w sieci, co spowoduje brak dostępu do sieci LAN dla podłączanych użytkowników. W końcu skutkować to może atakiem typu spoofing, mającym na celu podszycie się pod innego użytkownika sieci lokalnej w celu przechwycenia danych wrażliwych organizacji.

Tego typu zagrożenia - jeśli nie wdrożymy odpowiednich zabezpieczeń w warstwie dostępowej - są bardzo łatwe do wywołania. Ich skutki często są trudne do zdiagnozowania i usunięcia w działającej produkcyjnie sieci lokalnej, powodują długie przestoje pracy sieci oraz narażają organizację na bardzo duże straty.


Odpowiedzią na powyższe zagrożenia są mechanizmy bezpieczeństwa na przełącznikach brzegowych sieci lokalnej. W zależności od serii przełączników dysponujemy różnym wachlarzem możliwości od prostych mechanizmów takich jak Port Security, Loopback Detection czy Traffic Segmentation w serii DGS-1100, przez bardziej zaawansowane jak np. DHCP Snooping, DHCP Server Screening, Storm Control, DoS attack prevention w serii DGS-1210, czy w końcu takie rozwiązania jak IP-MAC-Port binding (IMPB), ARP Spoofing Prevention, Dynamic ARP Inspection, IP Source Guard, 802.1X, bądź rozbudowane listy ACL w przełącznikach serii DGS-1510 czy DGS-1520.

To, jaki przełącznik wybierzemy, wpłynie zatem na bezpieczeństwo naszej sieci w sposób bezpośredni.


Skupmy się zatem na kilku głównych zagrożeniach i metodach ich zapobiegania.

Jednym z trudniejszych do wykrycia, a zarazem bardzo łatwym do wywołania, jest problem pętli sieciowej w topologii fizycznej. Pętla w warstwie L2 bez dodatkowych mechanizmów ochronnych samoczynnie nie zostanie zidentyfikowana i usunięta z sieci. Ponadto w większych sieciach jej wykrycie jest trudne i czasochłonne. Wystarczy zwykła niefrasobliwość, błędna dokumentacja sieci lub nierozważne działania użytkowników sieci, aby wywołać mechanizm pętli.

Jej skutkiem jest całkowity przestój pracy sieci zarówno po stronie klientów, jak i urządzeń aktywnych przełączników. Może powodować również brak komunikacji IP ze wszystkimi urządzeniami w danym segmencie sieci, a także z samymi przełącznikami w celu diagnostyki. Efektem tego będzie najczęściej konieczność fizycznego odłączania kabli do momentu, aż zobaczymy, że problem ustał.


Możemy jednak zabezpieczyć się na taką okoliczność korzystając z prostego mechanizmu zwanego Loopback Detection, który po włączeniu na portach przełącznika (klienckich) będzie w sposób ciągły monitorował, czy na żadnym z portów nie występuje zapętlony ruch.

Jeśli taki ruch zostanie wykryty, switch automatycznie odłączy ten port, czego skutkiem będzie zachowanie ciągłości pracy całej sieci oraz powiadomienie administratora o takim wydarzeniu. Mechanizm ten jest bardzo prosty w samej konfiguracji i działaniu w przeciwieństwie do takich procesów jak protokół Spannig Tree. Jest idealnym rozwiązaniem do portów klienckich, natomiast na portach Uplink możemy dalej korzystać z rozwiązań takich jak STP, RSTP, czy ERPS.


Kolejnym zagrożeniem, którego chcemy uniknąć, są ataki typu Spoofing, a więc podszywanie się pod innych użytkowników sieci. Mogą być przeprowadzane na protokół ARP, DHCP czy IP. Skutkować to może np. przechwyceniem danych w naszej sieci, udawanie serwera DHCP dla naszych klientów czy bramy domyślnej lub serwerów DNS.

Aby zapobiegnąć takim niebezpieczeństwom, musimy kontrolować, kto do naszej sieci się dostaje, co jest podłączane i czy takie parametry jak adres MAC, adres IP, numer portu są właściwe dla danego klienta. Taka weryfikacja może być przeprowadzana już w momencie podłączenie urządzenia do portu przełącznika, zanim nastąpi jakakolwiek komunikacja na tym porcie. Jednym z takich mechanizmów jest IMPB (IP-MAC-Port Binding), który weryfikuje czy kombinacja parametrów MAC, IP, numer portu jest zgodna z bazą danych zbudowaną przez przełącznik w oparciu o komunikację DHCP lub statyczne wpisy administratora. Jeśli na którymś z portów przełącznik wykryje niepoprawny adres MAC, IP lub numer portu, klient ten zostanie odcięty od dostępu do sieci, a administrator powiadomiony o taki zdarzeniu. Ponadto dodatkowe mechanizmy IPSG oraz DAI będą na bieżąco monitorować komunikacje ARP oraz IP i w przypadku wykrycia podszycia się pod innego użytkownika sieci poprzez protokół ARP lub IP, taka komunikacja również zostanie zablokowana.

Jeśli natomiast chcemy jako administratorzy utrzymywać bazę centralną użytkowników naszej sieci na zewnętrznym serwerze i wymagać od nich logowania się do sieci indywidualnymi parami użytkownik/hasło, jak również w sposób dynamiczny przydzielać informacje o Vlanie, listach ACL to możemy skorzystać z protokołu 802.1X, który w sposób skuteczny i bezpieczny pozwoli nam na pełną autentykację oraz autoryzację użytkowników naszej sieci.


To zaledwie kilka z możliwości bezpieczeństwa, jakie dają nam przełączniki D-Link, posiadające cały wachlarz mechanizmów czyniących naszą sieci lokalną bezpieczną, wydają i odporną na próby ataków.