Differences

This shows you the differences between two versions of the page.

--- wiki:site:cisco:ccnp:switch:16 [2018/01/23 09:50]
root [Port Security]
+++ — (current)
@@ Line 1: / Line 1: @@
-====== Port Security ======
-Zapnutí Port Security na portu:
-  * Switch(config-if)# **switchport port-security**
-Nastavení max.počtu povolených MAC adres na portu:\\
--1024, Defaultně 1
-  * Switch(config-if)# **switchport port-security maximum** //num//
-Na switchi je def. zapnuto //MAC address sticky//, tzn. switch se naučí nastavený počet MAC adres, které pozdeji akceptuje. Tyto adresy mohou být z listu vyřazeny po určité době nečinosti (def.si switch adresy pamatuje pořád).
-Statické nastavení povolené MAC adresy:
-  * Switch(config-if)# **switchport port-security mac-address** //aaaa.bbbb.cccc//
-Pokud je nastaveno méně statických adres než je nastavené maximum, zbylé adresy se nastaví dynamicky.
-Nastavení události při zjištění nepovolené MAC:
-  * Switch(config-if)# **switchport port-security violation {shutdown | restrict | protect}**
-  * **shutdown** - port okamžitě přejde do //Errdisable// stavu, nahozen musí být ručně nebo pomocí Errdisable recovery
-  * **restrict** - port zůstane up, rámce s nepovolenou MAC jsou zahazovány a počítá je counter, může být odeslána SNMP/Syslog zpráva
-  * **protect** - port zůstane up, nepovolené rámce jsou zahazovány, nic se nezaznamenává
-Příklad Syslog zprávy:
-<code>
-Jun  3 17:18:41.888 EDT: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation
-  occurred, caused by MAC address 0000.5e00.0101 on port GigabitEthernet0/11.
-</code>
-Vyčištění listu MAC adres portu:
-  * Switch# **clear port-security dynamic [address** //mac-addr// **| interface** //type mod/num//**]**
-Příklad Syslog zpr. v režimu //shutdown//:
-<code>
-Jun  3 17:14:19.018 EDT: %PM-4-ERR_DISABLE: psecure-violation error detected on
-  Gi0/11, putting Gi0/11 in err-disable state
-Jun  3 17:14:19.022 EDT: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation
-  occurred, caused by MAC address 0003.a089.efc5 on port GigabitEthernet0/11.
-Jun  3 17:14:20.022 EDT: %LINEPROTO-5-UPDOWN: Line protocol on Interface Gigabit
-  Ethernet0/11, changed state to down
-Jun  3 17:14:21.023 EDT: %LINK-3-UPDOWN: Interface GigabitEthernet0/11, changed
-  state   to down
-</code>
-Switch# **show port-security interface gigabitethernet 0/11**
-<code>
-Switch# show port-security interface gigabitethernet 0/11
-Port Security                : Enabled
-Port Status                  : Secure-shutdown
-Violation Mode               : Shutdown
-Aging Time                   : 0 mins
-Aging Type                   : Absolute
-SecureStatic Address Aging   : Disabled
-Maximum MAC Addresses        : 1
-Total MAC Addresses          : 0
-Configured MAC Addresses     : 0
-Sticky MAC Addresses         : 0
-Last Source Address          : 0003.a089.efc5
-Security Violation Count     : 1
-Switch#
-</code>
-Switch# **show interfaces status err-disabled**
-<code>
-Switch# show interfaces status err-disabled
-Port       Name                 Status       Reason
-Gi0/11    Test port            err-disabled psecure-violation
-Switch#
-TIP
-When a port is moved to the errdisable state, you must either manually cycle it
-or configure the switch to automatically re-enable ports after a prescribed delay.
-To manually cycle a port and return it to service, use the following commands:
-Switch(config)# interface Gi 0/11
-Switch(config-if)# shutdown
-Switch(config-if)# no shutdown
-</code>
-====== Port-Based Authentication ======
-  * Kombinace AAA Authentikace a port-security
-  * Založeno na IEEE 802.1x
-  * PC i switch musí podporovat EAPOL
-  * **EAPOL** = Extensible Authentication Protocol Over LANs, Layer 2 protokol
-  * Pro 802.1x je podporován pouze RADIUS (Remote Acces Dial-In User Service)
-  * Je-li 802.1x zapnuto na PC a na switchi ne, PC komunikuje normálně
-  * Je-li 802.1x zapnuto na switchi a na PC ne, port switche zůstane v unauthorized stavu a na PC neforwarduje žádný provoz, jediný možný provoz je 802.1x EAPOL
-  * Po přihlášení uživatele je vše ok
-  * Port přejde do unauthorized stavu po odhlášení uživatele nebo po vypršení session (pak se musí uživatel znovu přihlásit)
-===== Konfigurace 802.1x =====
-Ordered List ItemZapnutí AAA na switchi:
-  * Switch(config)# **aaa new-model**
-Definování externích RADIUS serverů:
-  * Switch(config)# **radius-server host** //{hostname | ip-address}// [**key** //string//]
-Nastavení auth. metody pro 802.1x:
-  * Switch(config)# **aaa authentication dot1x default group radius**
-Zapnutí 802.1x na switchi:
-  * Switch(config)# **dot1x system-auth-control**
-Zapnutí 802.1x na portu:
-  * Switch(config)# **interface** //type mod/num//
-  * Switch(config-if)# **dot1x port-control {force-authorized | force-unauthorized | auto}**
-    * **force-authorized** - port nevyžaduje žádnou authentikaci, kdokoli se může připojit, (defaultní stav)
-    * **force-unauthorized** - port nikdy nikoho neautorizuje => nikdo se nemůže připojit
-    * **auto** - Pokud klient podporuje 802.1x a authentikuje se, může komunikovat
-Povolení více uživatelů na portu:
-  * Switch(config-if)# **dot1x host-mode multi-host**
-  * Switch# **show dot1x all**
-====== Prevence Spoofing útoků ======
-Útočníkovým cílem bývá stát se //man in the middle//
-===== DHCP Snooping =====
-Má zabránit připojení falešného DHCP serveru, který by mohl způsobit útok man in the middle, podstrčením IP adresy útočníka jako výchozí brány nebo DNS serveru. Porty switche jsou rozděleny na **trusted** a **untrusted**. Pravý DHCP server je připojen k trusted portu, uživatelé k untrusted portům. Switch zachtává všechny DHCP requesty z untrusted portů. Jakmile je na untrusted portu zachcena zpr. "DHCP reply", je zahozena a port přejde do stavu Errdisable. DHCP snooping udržuje databázi přiřazení adres (MAC-IP-Lease time-atd.).\\
-Je-li na untrusted portu zachycen DHCP request, switch k němu přiřadí svou MAC+id portu v option 82, pak je req. forwardován k DHCP serveru. Option 82 poskytuje více informací o původci DHCP požadavku.
-Zapnutí DHCP Snoopingu na switchi + určení dotčených VLAN:
-  * Switch(config)# **ip dhcp snooping**
-  * Switch(config)# **ip dhcp snooping vlan** //vlan-id [vlan-id]//
-Po zapnutí Snoopingu jsou všechny porty def. untrusted.\\
-Nastavení trusted portu:
-  * Switch(config)# **interface** //type mod/num//
-  * Switch(config-if)# **ip dhcp snooping trust**
-Nastavení limitu DHCP zpráv / sec na untrusted portu:
-  * Switch(config)# **interface** //type mod/num//
-  * Switch(config-if)# **ip dhcp snooping limit rate** //1-2048//
-Zap./Vyp. DHCP option-82 (def.zapnuto):
-  * Switch(config)# **[no] ip dhcp snooping information option**
-  * Switch# **show ip dhcp snooping [binding]**
-<code>
-Switch# show ip dhcp snooping
-Switch DHCP snooping is enabled
-DHCP snooping is configured on following VLANs:
-Insertion of option 82 is enabled
-Interface                      Trusted     Rate limit (pps)
-------------------------       -------     ----------------
-FastEthernet0/35               no          3
-FastEthernet0/36               no          3
-GigabitEthernet0/1             yes         unlimited
-Switch#
-</code>
-===== IP Source Guard =====
-Slouží k ochraně před IP spoofing útoky, tzn. útočník uvádí falešnou zdrojovou IP adresu. Může použít IP nějakého uživatele nebo nepoužitou IP daného subnetu. Většinou se tohoto využívá v případě DoS útoků, k zamaskování zdroje tohoto útoku.
-Switch musí mít možnost zjistit která MAC adr. náleží ke které IP adr.
-Využívá DHCP snooping databáze a statických IP source binding záznamů.
-Pakety přicházejcí na port mohou být testovány jednou z možností:
-  - Zdrojová IP se musí rovnat IP adr. v DHCP snooping databázi nebo statickému záznamu, k fitrování provozu je automaticky vytvořen dynamický ACL a aplikován na interface.
-  - Zdrojová MAC se musí rovnat MAC zjištěné DHCP snoopingem, na portu je použito port-security
-Pokud adresa nesouhlasí je paket zahozen. Pro Source Guard je třeba nejdřív zapnout DHCP Snooping, popř. Port-Security, chceme-li kontrolovat zdrojové MAC adresy.
-Pro hosty se statickou IP je možno vložit záznam IP Source Binding ručně:
-  * Switch(config)# **ip source binding** //mac-address// **vlan** //vlan-id ip-address// **interface** //type mod/num//
-Zapnutí Source Guardu na int.:
-  * Switch(config)# **interface** //type mod/num//
-  * Switch(config-if)# **ip verify source [port-security]**
-    * //ip verify source => prověřuje se jen zdrojová IP adresa//
-    * //ip verify source port-security => prověřuje se zdrojová IP i MAC adresa//
-Source Guard status:
-  * Switch# **show ip verify source [interface** //type mod/num//**]**
-Výpis stat./dyn. záznamů z DHCP Snooping databáze:
-  * Switch# **show ip source bindng** //[ip-address] [mac-address]// **[dhcp-snooping | static] [interface** //type mod/num//**] [vlan** //vlan-id//**]**
-===== Dynamic ARP Inspection =====
-Útočník může pomocí zprávy "ARP reply" ve které uvede např. IP adresu brány a **svou** MAC adresu, přesměrovat provoz na sebe a stát se //man in the middle//. Tomuto útoku se říká "ARP poisoning" nebo "ARP spoofing". Cisco switche k prevenci tohoto útoku používají **DAI** - Dynamic ARP Inspection. DAI funguje podbně jako DHCP Snooping, dělí porty na trusted a untrusted. Na trusted portech se nic neprověřuje - ideální pro trunk do jiného switche, kde na access portech probíhá také DAI. Na untrusted portech probíhá kontrola IP a MAC adresy v ARP reply na základě staticky zadaných informací nebo pomocí DHCP Snooping databáze. Pokud dojde k nesrovnalosti, je ARP reply zahozen a je vygenerována log zpráva.
-Zapnutí DAI:
-  * Switch(config)# **ip arp inspection vlan** //vlan-range//
-Defaultně jsou po zapnutí všechny porty untrusted. Nastavení Trusted portu:
-  * Switch(config)# **interface** //type mod/num//
-  * Switch(config-if)# **ip arp inspection trust**
-Pro hosty se statickou IP je třeba vytvořit ACL, který definuje povolené MAC-IP kombinace.:
-  * Switch(config)# **arp access-list** //acl-name//
-  * Switch(config-acl)# **permit ip host** //sender-ip// **mac host** //sender-mac// **[log]**
-  * //[Opakujte předchozí příkaz kolikrát je třeba]//
-  * Switch(config-acl)# **exit**
-Aplikace ACL na DAI:
-  * Switch(config)# **ip arp inspection filter** //arp-acl-name// **vlan** //vlan-range// **[static]**
-ARP replies jsou zachytávány a vyhodnocovány dle ACL, pokud v ACL není nalezena shoda, přejde se k vyhodnocení dle DHCP Snooping databáze. Avšak, je-li ACL aplikován an DAI s parametrem **static**, vyhodnocení proběhne jen na zákl. ACL.
-Def. jsou vyhodnocována jen pole s adresami v ARP reply, skutečné adresy v ethernetovém rámci vyhodnocovány nejsou. Zapnutí vyhodnocování i skutečných adres v rámci:
-  * Switch(config)# **ip arp inspection validate {[src-mac] [dst-mac] [ip]}**
-    * **src-mac** - porovnává src.MAC v ethernetovém rámci se src.MAC v ARP reply
-    * **dst-mac** - porovnává dst.MAC v ethernetovém rámci s dst.MAC v ARP reply
-    * **ip** - porovnává src.IP v ARP requestech s dst.IP v ARP replies
-    * //musí být zvolena alespoň jedna metoda//
-  * Switch# **show ip arp inspection**
-====== Best Practices zabezpečení switchů ======
-===== Konfigurace bezpečných(šifrovaných) hesel =====
-  * Kde to je možné používat **enable secret**, používá silnější šifrování než obyč. enable password.
-  * Pro centrální správu použít AAA server
-  * Nakonec použít **service password-encryption** - i když je šifra slabá, je to lepší než nic
-===== Použití systémových bannerů =====
-  * Varování nežádoucích osob, že zde nemají co dělat
-  * Nikdy v baneru zbytečně neprozrazovat informace o síti (prvku)
-===== Zabezpečení WEBového rozhraní =====
-  * Ideální je ho vypnout, příkaz **no ip http server** v globálním konf.módu
-  * Když už ho nechat zaplý, tak alespoň jako HTTPS, příkaz **ip http secure server** namísto obyč. **ip http server** v glob.konf.módu
-  * Posílit bezpečnost lze pomocí ACL povolujícím jen určité zdrojové adresy
-<code>
-Switch(config)# ip http secure server
-Switch(config)# access-list 1 permit 10.100.50.0 0.0.0.255
-Switch(config)# ip http access-class 1
-</code>
-===== Zabezpečení konzole =====
-  * I přes to, že je zabezpečena fyzická bezpečnost prvků, je dobré konzolové porty zabezpečit stejně jako VTY linky.
-===== Zabezpečení VTY =====
-  * Vždy nastavit authentikaci všem VTY. Výpis všech VTY: **show user all**
-  * Popř. použít ACL povolující jen určité zdrojové adresy
-<code>
-Switch(config)# access-list 10 permit 192.168.199.10
-Switch(config)# access-list 10 permit 192.168.201.100
-Switch(config)# line vty 0 15
-Switch(config-line)# access-class 10 in
-</code>
-===== Použití SSH kde to jde =====
-  * Používat SSH kde je to jen možné
-  * Používat nejvyšší podporovanou verzi, pokud možno SSH v2 (v1 a v1.5 mají jisté nedostatky)
-===== Zabezpečení SNMP přístupu =====
-  * Zakázat jakýkoliv Read-Write přístup, tzn. vše kde je příkaz: **snmp-server community** //string// **RW**
-  * Používat jen RO Read-only přístup
-  * Omezit přístup pomocí ACL na konkrétní zdroj. adresy
-===== Zabezpečení volných portů =====
-  * Ideálně **shutdown**
-  * Nastavit port **switchport mode access** a popř. jej přiřadit do nějaké "nesmyslné" VLANy
-Použití makra **switchport host**:
-<code>
-Switch(config)# interface fastethernet 1/0/1
-Switch(config-if)# switchport host
-switchport mode will be set to access
-spanning-tree portfast will be enabled
-channel group will be disabled
-Switch(config-if)#
-</code>
-===== Zabezpečení STP =====
-  * Útočník může posílat falešná BPDU
-  * Zapnout na access portech **bpdu-guard**
-===== Zabezpečení CDP =====
-  * Defaultně se šíří CDP všemi porty switche každých 60s
-  * CDP zbytečně prozrazuje moc informací
-  * Na access portech je dobré jej vypnout **no cdp enable**
-  * POZOR na portech, kde je IP telefon, musí zůstat CDP zapnuté. Z telefonu do PC se už nešíří.

wiki.lkaplan.cz

User Tools

Site Tools

Differences

Page Tools