wiki.lkaplan.cz

User Tools

Site Tools

Trace:
wiki:site:cisco:ccnp:switch:16

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision 		Previous revision
wiki:site:cisco:ccnp:switch:16 [2018/01/23 09:58]
root 		— (current)
Line 1: Line 1:
  
- 
- 
-====== Prevence Spoofing útoků ====== 
-Útočníkovým cílem bývá stát se //man in the middle// 
-===== DHCP Snooping ===== 
-Má zabránit připojení falešného DHCP serveru, který by mohl způsobit útok man in the middle, podstrčením IP adresy útočníka jako výchozí brány nebo DNS serveru. Porty switche jsou rozděleny na **trusted** a **untrusted**. Pravý DHCP server je připojen k trusted portu, uživatelé k untrusted portům. Switch zachtává všechny DHCP requesty z untrusted portů. Jakmile je na untrusted portu zachcena zpr. "DHCP reply", je zahozena a port přejde do stavu Errdisable. DHCP snooping udržuje databázi přiřazení adres (MAC-IP-Lease time-atd.).\\ 
-Je-li na untrusted portu zachycen DHCP request, switch k němu přiřadí svou MAC+id portu v option 82, pak je req. forwardován k DHCP serveru. Option 82 poskytuje více informací o původci DHCP požadavku. 
- 
-Zapnutí DHCP Snoopingu na switchi + určení dotčených VLAN: 
-  * Switch(config)# **ip dhcp snooping** 
-  * Switch(config)# **ip dhcp snooping vlan** //vlan-id [vlan-id]// 
- 
-Po zapnutí Snoopingu jsou všechny porty def. untrusted.\\ 
-Nastavení trusted portu: 
-  * Switch(config)# **interface** //type mod/num// 
-  * Switch(config-if)# **ip dhcp snooping trust** 
-Nastavení limitu DHCP zpráv / sec na untrusted portu: 
-  * Switch(config)# **interface** //type mod/num// 
-  * Switch(config-if)# **ip dhcp snooping limit rate** //1-2048// 
-Zap./Vyp. DHCP option-82 (def.zapnuto): 
-  * Switch(config)# **[no] ip dhcp snooping information option** 
- 
-  * Switch# **show ip dhcp snooping [binding]** 
-<code> 
-Switch# show ip dhcp snooping 
-Switch DHCP snooping is enabled 
-DHCP snooping is configured on following VLANs: 
-104 
-Insertion of option 82 is enabled 
-Interface                      Trusted     Rate limit (pps) 
-------------------------       -------     ---------------- 
-FastEthernet0/35               no          3 
-FastEthernet0/36               no          3 
-GigabitEthernet0/            yes         unlimited 
-Switch# 
- 
-</code> 
- 
- 
-===== IP Source Guard ===== 
-Slouží k ochraně před IP spoofing útoky, tzn. útočník uvádí falešnou zdrojovou IP adresu. Může použít IP nějakého uživatele nebo nepoužitou IP daného subnetu. Většinou se tohoto využívá v případě DoS útoků, k zamaskování zdroje tohoto útoku. 
- 
-Switch musí mít možnost zjistit která MAC adr. náleží ke které IP adr. 
-Využívá DHCP snooping databáze a statických IP source binding záznamů. 
- 
-Pakety přicházejcí na port mohou být testovány jednou z možností: 
-  - Zdrojová IP se musí rovnat IP adr. v DHCP snooping databázi nebo statickému záznamu, k fitrování provozu je automaticky vytvořen dynamický ACL a aplikován na interface. 
-  - Zdrojová MAC se musí rovnat MAC zjištěné DHCP snoopingem, na portu je použito port-security 
-Pokud adresa nesouhlasí je paket zahozen. Pro Source Guard je třeba nejdřív zapnout DHCP Snooping, popř. Port-Security, chceme-li kontrolovat zdrojové MAC adresy. 
- 
-Pro hosty se statickou IP je možno vložit záznam IP Source Binding ručně: 
-  * Switch(config)# **ip source binding** //mac-address// **vlan** //vlan-id ip-address// **interface** //type mod/num// 
-Zapnutí Source Guardu na int.: 
-  * Switch(config)# **interface** //type mod/num// 
-  * Switch(config-if)# **ip verify source [port-security]** 
-    * //ip verify source => prověřuje se jen zdrojová IP adresa// 
-    * //ip verify source port-security => prověřuje se zdrojová IP i MAC adresa// 
-Source Guard status: 
-  * Switch# **show ip verify source [interface** //type mod/num//**]** 
-Výpis stat./dyn. záznamů z DHCP Snooping databáze: 
-  * Switch# **show ip source bindng** //[ip-address] [mac-address]// **[dhcp-snooping | static] [interface** //type mod/num//**] [vlan** //vlan-id//**]**   
- 
-===== Dynamic ARP Inspection ===== 
-Útočník může pomocí zprávy "ARP reply" ve které uvede např. IP adresu brány a **svou** MAC adresu, přesměrovat provoz na sebe a stát se //man in the middle//. Tomuto útoku se říká "ARP poisoning" nebo "ARP spoofing". Cisco switche k prevenci tohoto útoku používají **DAI** - Dynamic ARP Inspection. DAI funguje podbně jako DHCP Snooping, dělí porty na trusted a untrusted. Na trusted portech se nic neprověřuje - ideální pro trunk do jiného switche, kde na access portech probíhá také DAI. Na untrusted portech probíhá kontrola IP a MAC adresy v ARP reply na základě staticky zadaných informací nebo pomocí DHCP Snooping databáze. Pokud dojde k nesrovnalosti, je ARP reply zahozen a je vygenerována log zpráva. 
- 
-Zapnutí DAI: 
-  * Switch(config)# **ip arp inspection vlan** //vlan-range// 
-Defaultně jsou po zapnutí všechny porty untrusted. Nastavení Trusted portu: 
-  * Switch(config)# **interface** //type mod/num// 
-  * Switch(config-if)# **ip arp inspection trust** 
-Pro hosty se statickou IP je třeba vytvořit ACL, který definuje povolené MAC-IP kombinace.: 
-  * Switch(config)# **arp access-list** //acl-name// 
-  * Switch(config-acl)# **permit ip host** //sender-ip// **mac host** //sender-mac// **[log]** 
-  * //[Opakujte předchozí příkaz kolikrát je třeba]// 
-  * Switch(config-acl)# **exit** 
-Aplikace ACL na DAI: 
-  * Switch(config)# **ip arp inspection filter** //arp-acl-name// **vlan** //vlan-range// **[static]** 
- 
-ARP replies jsou zachytávány a vyhodnocovány dle ACL, pokud v ACL není nalezena shoda, přejde se k vyhodnocení dle DHCP Snooping databáze. Avšak, je-li ACL aplikován an DAI s parametrem **static**, vyhodnocení proběhne jen na zákl. ACL. 
- 
-Def. jsou vyhodnocována jen pole s adresami v ARP reply, skutečné adresy v ethernetovém rámci vyhodnocovány nejsou. Zapnutí vyhodnocování i skutečných adres v rámci: 
-  * Switch(config)# **ip arp inspection validate {[src-mac] [dst-mac] [ip]}** 
-    * **src-mac** - porovnává src.MAC v ethernetovém rámci se src.MAC v ARP reply 
-    * **dst-mac** - porovnává dst.MAC v ethernetovém rámci s dst.MAC v ARP reply 
-    * **ip** - porovnává src.IP v ARP requestech s dst.IP v ARP replies 
-    * //musí být zvolena alespoň jedna metoda// 
- 
-  * Switch# **show ip arp inspection** 
- 
-====== Best Practices zabezpečení switchů ====== 
-===== Konfigurace bezpečných(šifrovaných) hesel ===== 
-  * Kde to je možné používat **enable secret**, používá silnější šifrování než obyč. enable password. 
-  * Pro centrální správu použít AAA server 
-  * Nakonec použít **service password-encryption** - i když je šifra slabá, je to lepší než nic 
-===== Použití systémových bannerů ===== 
-  * Varování nežádoucích osob, že zde nemají co dělat 
-  * Nikdy v baneru zbytečně neprozrazovat informace o síti (prvku) 
- 
-===== Zabezpečení WEBového rozhraní ===== 
-  * Ideální je ho vypnout, příkaz **no ip http server** v globálním konf.módu 
-  * Když už ho nechat zaplý, tak alespoň jako HTTPS, příkaz **ip http secure server** namísto obyč. **ip http server** v glob.konf.módu 
-  * Posílit bezpečnost lze pomocí ACL povolujícím jen určité zdrojové adresy 
-<code> 
-Switch(config)# ip http secure server 
-Switch(config)# access-list 1 permit 10.100.50.0 0.0.0.255 
-Switch(config)# ip http access-class 1 
-</code> 
- 
-===== Zabezpečení konzole ===== 
-  * I přes to, že je zabezpečena fyzická bezpečnost prvků, je dobré konzolové porty zabezpečit stejně jako VTY linky. 
- 
-===== Zabezpečení VTY ===== 
-  * Vždy nastavit authentikaci všem VTY. Výpis všech VTY: **show user all** 
-  * Popř. použít ACL povolující jen určité zdrojové adresy 
-<code> 
-Switch(config)# access-list 10 permit 192.168.199.10 
-Switch(config)# access-list 10 permit 192.168.201.100 
-Switch(config)# line vty 0 15 
-Switch(config-line)# access-class 10 in 
-</code> 
- 
-===== Použití SSH kde to jde ===== 
-  * Používat SSH kde je to jen možné 
-  * Používat nejvyšší podporovanou verzi, pokud možno SSH v2 (v1 a v1.5 mají jisté nedostatky) 
- 
-===== Zabezpečení SNMP přístupu ===== 
-  * Zakázat jakýkoliv Read-Write přístup, tzn. vše kde je příkaz: **snmp-server community** //string// **RW** 
-  * Používat jen RO Read-only přístup 
-  * Omezit přístup pomocí ACL na konkrétní zdroj. adresy 
- 
-===== Zabezpečení volných portů ===== 
-  * Ideálně **shutdown** 
-  * Nastavit port **switchport mode access** a popř. jej přiřadit do nějaké "nesmyslné" VLANy 
-Použití makra **switchport host**: 
-<code> 
-Switch(config)# interface fastethernet 1/0/1 
-Switch(config-if)# switchport host 
-switchport mode will be set to access 
-spanning-tree portfast will be enabled 
-channel group will be disabled 
-Switch(config-if)# 
-</code> 
- 
-===== Zabezpečení STP ===== 
-  * Útočník může posílat falešná BPDU 
-  * Zapnout na access portech **bpdu-guard** 
- 
-===== Zabezpečení CDP ===== 
-  * Defaultně se šíří CDP všemi porty switche každých 60s 
-  * CDP zbytečně prozrazuje moc informací 
-  * Na access portech je dobré jej vypnout **no cdp enable** 
-  * POZOR na portech, kde je IP telefon, musí zůstat CDP zapnuté. Z telefonu do PC se už nešíří. 
wiki/site/cisco/ccnp/switch/16.1516697936.txt.gz · Last modified: 2018/01/23 09:58 by root

Page Tools

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki