Differences

This shows you the differences between two versions of the page.

--- wiki:site:cisco:ccnp:switch:17 [2018/01/23 09:45]
root
+++ — (current)
@@ Line 1: / Line 1: @@
-====== Securing VLAN Trunks ======
-===== Switch Spoofing =====
-  * Jsou-li porty v defaultním nastavení (DTP auto), útočník může se switchem vyjednat trunk a tím má přístup do všech VLAN.
-{{:wiki:site:cisco:ccnp:switch:17-2.png}}
-Doporučuje se všechny end-user porty nastavit natvrdo jako access:
-  * Switch(config)# **interface** //type mod/num//
-  * Switch(config-if)# **switchport access vlan** //vlan-id//
-  * Switch(config-if)# **switchport mode access**
-Nevyužité porty => shutdown
-===== VLAN Hopping =====
-Útočník může pomocí dvojitě tagovaného rámce poslat tento rámec mimo svou VLAN bez použití routeru.
-Podmínky útoku:
-  * Útočník je připojen k access portu
-  * Na switchi je alespoň jeden 802.1Q trunk
-  * Útočníkův port je ve VLANě, která se trunkem přenáší jako nativní
-{{:wiki:site:cisco:ccnp:switch:17-3.png}}
-Prevence:
-  * Nastavit na trunku nevyužitou (falešnou) VLAN jako nativní
-  * Tuto nativní VLAN na trunku zakázat
-<code>
-Switch(config)# vlan 800
-Switch(config-vlan)# name bogus_native
-Switch(config-vlan)# exit
-Switch(config)# interface gigabitethernet 1/1
-Switch(config-if)# switchport trunk encapsulation dot1q
-Switch(config-if)# switchport trunk native vlan 800
-Switch(config-if)# switchport trunk allowed vlan remove 800
-Switch(config-if)# switchport mode trunk
-</code>
-CDP, PAgP, DTP - i přes to, že je nativní VLAN zakázána, tyto protokoly fungují dále
-  * Další variantou je tagovat i nativní VLAN:
-<code>Switch(config)# vlan dot1q tag native</code>

wiki.lkaplan.cz

User Tools

Site Tools

Differences

Page Tools