wiki:site:cisco:ccnp:switch:16
Differences
This shows you the differences between two versions of the page.
| Both sides previous revision Previous revision Next revision | Previous revision | ||
|
wiki:site:cisco:ccnp:switch:16 [2018/01/23 10:03] root |
— (current) | ||
|---|---|---|---|
| Line 1: | Line 1: | ||
| - | |||
| - | |||
| - | ====== Prevence Spoofing útoků ====== | ||
| - | Útočníkovým cílem bývá stát se //man in the middle// | ||
| - | |||
| - | ===== IP Source Guard ===== | ||
| - | Slouží k ochraně před IP spoofing útoky, tzn. útočník uvádí falešnou zdrojovou IP adresu. Může použít IP nějakého uživatele nebo nepoužitou IP daného subnetu. Většinou se tohoto využívá v případě DoS útoků, k zamaskování zdroje tohoto útoku. | ||
| - | |||
| - | Switch musí mít možnost zjistit která MAC adr. náleží ke které IP adr. | ||
| - | Využívá DHCP snooping databáze a statických IP source binding záznamů. | ||
| - | |||
| - | Pakety přicházejcí na port mohou být testovány jednou z možností: | ||
| - | - Zdrojová IP se musí rovnat IP adr. v DHCP snooping databázi nebo statickému záznamu, k fitrování provozu je automaticky vytvořen dynamický ACL a aplikován na interface. | ||
| - | - Zdrojová MAC se musí rovnat MAC zjištěné DHCP snoopingem, na portu je použito port-security | ||
| - | Pokud adresa nesouhlasí je paket zahozen. Pro Source Guard je třeba nejdřív zapnout DHCP Snooping, popř. Port-Security, | ||
| - | |||
| - | Pro hosty se statickou IP je možno vložit záznam IP Source Binding ručně: | ||
| - | * Switch(config)# | ||
| - | Zapnutí Source Guardu na int.: | ||
| - | * Switch(config)# | ||
| - | * Switch(config-if)# | ||
| - | * //ip verify source => prověřuje se jen zdrojová IP adresa// | ||
| - | * //ip verify source port-security => prověřuje se zdrojová IP i MAC adresa// | ||
| - | Source Guard status: | ||
| - | * Switch# **show ip verify source [interface** //type mod/ | ||
| - | Výpis stat./dyn. záznamů z DHCP Snooping databáze: | ||
| - | * Switch# **show ip source bindng** // | ||
| - | |||
| - | |||
| - | ====== Best Practices zabezpečení switchů ====== | ||
| - | ===== Konfigurace bezpečných(šifrovaných) hesel ===== | ||
| - | * Kde to je možné používat **enable secret**, používá silnější šifrování než obyč. enable password. | ||
| - | * Pro centrální správu použít AAA server | ||
| - | * Nakonec použít **service password-encryption** - i když je šifra slabá, je to lepší než nic | ||
| - | ===== Použití systémových bannerů ===== | ||
| - | * Varování nežádoucích osob, že zde nemají co dělat | ||
| - | * Nikdy v baneru zbytečně neprozrazovat informace o síti (prvku) | ||
| - | |||
| - | ===== Zabezpečení WEBového rozhraní ===== | ||
| - | * Ideální je ho vypnout, příkaz **no ip http server** v globálním konf.módu | ||
| - | * Když už ho nechat zaplý, tak alespoň jako HTTPS, příkaz **ip http secure server** namísto obyč. **ip http server** v glob.konf.módu | ||
| - | * Posílit bezpečnost lze pomocí ACL povolujícím jen určité zdrojové adresy | ||
| - | < | ||
| - | Switch(config)# | ||
| - | Switch(config)# | ||
| - | Switch(config)# | ||
| - | </ | ||
| - | |||
| - | ===== Zabezpečení konzole ===== | ||
| - | * I přes to, že je zabezpečena fyzická bezpečnost prvků, je dobré konzolové porty zabezpečit stejně jako VTY linky. | ||
| - | |||
| - | ===== Zabezpečení VTY ===== | ||
| - | * Vždy nastavit authentikaci všem VTY. Výpis všech VTY: **show user all** | ||
| - | * Popř. použít ACL povolující jen určité zdrojové adresy | ||
| - | < | ||
| - | Switch(config)# | ||
| - | Switch(config)# | ||
| - | Switch(config)# | ||
| - | Switch(config-line)# | ||
| - | </ | ||
| - | |||
| - | ===== Použití SSH kde to jde ===== | ||
| - | * Používat SSH kde je to jen možné | ||
| - | * Používat nejvyšší podporovanou verzi, pokud možno SSH v2 (v1 a v1.5 mají jisté nedostatky) | ||
| - | |||
| - | ===== Zabezpečení SNMP přístupu ===== | ||
| - | * Zakázat jakýkoliv Read-Write přístup, tzn. vše kde je příkaz: **snmp-server community** //string// **RW** | ||
| - | * Používat jen RO Read-only přístup | ||
| - | * Omezit přístup pomocí ACL na konkrétní zdroj. adresy | ||
| - | |||
| - | ===== Zabezpečení volných portů ===== | ||
| - | * Ideálně **shutdown** | ||
| - | * Nastavit port **switchport mode access** a popř. jej přiřadit do nějaké " | ||
| - | Použití makra **switchport host**: | ||
| - | < | ||
| - | Switch(config)# | ||
| - | Switch(config-if)# | ||
| - | switchport mode will be set to access | ||
| - | spanning-tree portfast will be enabled | ||
| - | channel group will be disabled | ||
| - | Switch(config-if)# | ||
| - | </ | ||
| - | |||
| - | ===== Zabezpečení STP ===== | ||
| - | * Útočník může posílat falešná BPDU | ||
| - | * Zapnout na access portech **bpdu-guard** | ||
| - | |||
| - | ===== Zabezpečení CDP ===== | ||
| - | * Defaultně se šíří CDP všemi porty switche každých 60s | ||
| - | * CDP zbytečně prozrazuje moc informací | ||
| - | * Na access portech je dobré jej vypnout **no cdp enable** | ||
| - | * POZOR na portech, kde je IP telefon, musí zůstat CDP zapnuté. Z telefonu do PC se už nešíří. | ||
wiki/site/cisco/ccnp/switch/16.1516698205.txt.gz · Last modified: 2018/01/23 10:03 by root
Page Tools
