Zapnutí Port Security na portu:

• Switch(config-if)# switchport port-security

Nastavení max.počtu povolených MAC adres na portu:
1-1024, Defaultně 1

• Switch(config-if)# switchport port-security maximum num

Na switchi je def. zapnuto MAC address sticky, tzn. switch se naučí nastavený počet MAC adres, které pozdeji akceptuje. Tyto adresy mohou být z listu vyřazeny po určité době nečinosti (def.si switch adresy pamatuje pořád).

Statické nastavení povolené MAC adresy:

• Switch(config-if)# switchport port-security mac-address aaaa.bbbb.cccc

Pokud je nastaveno méně statických adres než je nastavené maximum, zbylé adresy se nastaví dynamicky.

Nastavení události při zjištění nepovolené MAC:

• Switch(config-if)# switchport port-security violation {shutdown | restrict | protect}

• shutdown - port okamžitě přejde do Errdisable stavu, nahozen musí být ručně nebo pomocí Errdisable recovery
• restrict - port zůstane up, rámce s nepovolenou MAC jsou zahazovány a počítá je counter, může být odeslána SNMP/Syslog zpráva
• protect - port zůstane up, nepovolené rámce jsou zahazovány, nic se nezaznamenává

Příklad Syslog zprávy:

Jun  3 17:18:41.888 EDT: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation
  occurred, caused by MAC address 0000.5e00.0101 on port GigabitEthernet0/11.

Vyčištění listu MAC adres portu:

• Switch# clear port-security dynamic [address mac-addr | interface type mod/num]

Příklad Syslog zpr. v režimu shutdown:

Jun  3 17:14:19.018 EDT: %PM-4-ERR_DISABLE: psecure-violation error detected on
  Gi0/11, putting Gi0/11 in err-disable state
Jun  3 17:14:19.022 EDT: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation
  occurred, caused by MAC address 0003.a089.efc5 on port GigabitEthernet0/11.
Jun  3 17:14:20.022 EDT: %LINEPROTO-5-UPDOWN: Line protocol on Interface Gigabit
  Ethernet0/11, changed state to down
Jun  3 17:14:21.023 EDT: %LINK-3-UPDOWN: Interface GigabitEthernet0/11, changed
  state   to down

Switch# show port-security interface gigabitethernet 0/11

Switch# show port-security interface gigabitethernet 0/11
Port Security                : Enabled
Port Status                  : Secure-shutdown
Violation Mode               : Shutdown
Aging Time                   : 0 mins
Aging Type                   : Absolute
SecureStatic Address Aging   : Disabled
Maximum MAC Addresses        : 1
Total MAC Addresses          : 0
Configured MAC Addresses     : 0
Sticky MAC Addresses         : 0
Last Source Address          : 0003.a089.efc5
Security Violation Count     : 1
Switch#

Switch# show interfaces status err-disabled

Switch# show interfaces status err-disabled
Port       Name                 Status       Reason
Gi0/11    Test port            err-disabled psecure-violation
Switch#
TIP
When a port is moved to the errdisable state, you must either manually cycle it
or configure the switch to automatically re-enable ports after a prescribed delay.
To manually cycle a port and return it to service, use the following commands:
Switch(config)# interface Gi 0/11
Switch(config-if)# shutdown
Switch(config-if)# no shutdown

• Kombinace AAA Authentikace a port-security
• Založeno na IEEE 802.1x
• PC i switch musí podporovat EAPOL
• EAPOL = Extensible Authentication Protocol Over LANs, Layer 2 protokol
• Pro 802.1x je podporován pouze RADIUS (Remote Acces Dial-In User Service)

• Je-li 802.1x zapnuto na PC a na switchi ne, PC komunikuje normálně
• Je-li 802.1x zapnuto na switchi a na PC ne, port switche zůstane v unauthorized stavu a na PC neforwarduje žádný provoz, jediný možný provoz je 802.1x EAPOL

• Po přihlášení uživatele je vše ok
• Port přejde do unauthorized stavu po odhlášení uživatele nebo po vypršení session (pak se musí uživatel znovu přihlásit)

Ordered List ItemZapnutí AAA na switchi:

• Switch(config)# aaa new-model

Definování externích RADIUS serverů:

• Switch(config)# radius-server host {hostname | ip-address} [key string]

Nastavení auth. metody pro 802.1x:

• Switch(config)# aaa authentication dot1x default group radius

Zapnutí 802.1x na switchi:

• Switch(config)# dot1x system-auth-control

Zapnutí 802.1x na portu:

• Switch(config)# interface type mod/num
• Switch(config-if)# dot1x port-control {force-authorized | force-unauthorized | auto}
• force-authorized - port nevyžaduje žádnou authentikaci, kdokoli se může připojit, (defaultní stav)
• force-unauthorized - port nikdy nikoho neautorizuje ⇒ nikdo se nemůže připojit
• auto - Pokud klient podporuje 802.1x a authentikuje se, může komunikovat

Povolení více uživatelů na portu:

• Switch(config-if)# dot1x host-mode multi-host

• Switch# show dot1x all

Útočníkovým cílem bývá stát se man in the middle

Má zabránit připojení falešného DHCP serveru, který by mohl způsobit útok man in the middle, podstrčením IP adresy útočníka jako výchozí brány nebo DNS serveru. Porty switche jsou rozděleny na trusted a untrusted. Pravý DHCP server je připojen k trusted portu, uživatelé k untrusted portům. Switch zachtává všechny DHCP requesty z untrusted portů. Jakmile je na untrusted portu zachcena zpr. “DHCP reply”, je zahozena a port přejde do stavu Errdisable. DHCP snooping udržuje databázi přiřazení adres (MAC-IP-Lease time-atd.).
Je-li na untrusted portu zachycen DHCP request, switch k němu přiřadí svou MAC+id portu v option 82, pak je req. forwardován k DHCP serveru. Option 82 poskytuje více informací o původci DHCP požadavku.

Zapnutí DHCP Snoopingu na switchi + určení dotčených VLAN:

• Switch(config)# ip dhcp snooping
• Switch(config)# ip dhcp snooping vlan vlan-id [vlan-id]

Po zapnutí Snoopingu jsou všechny porty def. untrusted.
Nastavení trusted portu:

• Switch(config)# interface type mod/num
• Switch(config-if)# ip dhcp snooping trust

Nastavení limitu DHCP zpráv / sec na untrusted portu:

• Switch(config)# interface type mod/num
• Switch(config-if)# ip dhcp snooping limit rate 1-2048

Zap./Vyp. DHCP option-82 (def.zapnuto):

• Switch(config)# [no] ip dhcp snooping information option

• Switch# show ip dhcp snooping [binding]

Switch# show ip dhcp snooping
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
104
Insertion of option 82 is enabled
Interface                      Trusted     Rate limit (pps)
------------------------       -------     ----------------
FastEthernet0/35               no          3
FastEthernet0/36               no          3
GigabitEthernet0/1             yes         unlimited
Switch#

Slouží k ochraně před IP spoofing útoky, tzn. útočník uvádí falešnou zdrojovou IP adresu. Může použít IP nějakého uživatele nebo nepoužitou IP daného subnetu. Většinou se tohoto využívá v případě DoS útoků, k zamaskování zdroje tohoto útoku.

Switch musí mít možnost zjistit která MAC adr. náleží ke které IP adr. Využívá DHCP snooping databáze a statických IP source binding záznamů.

Pakety přicházejcí na port mohou být testovány jednou z možností:

1. Zdrojová IP se musí rovnat IP adr. v DHCP snooping databázi nebo statickému záznamu, k fitrování provozu je automaticky vytvořen dynamický ACL a aplikován na interface.
2. Zdrojová MAC se musí rovnat MAC zjištěné DHCP snoopingem, na portu je použito port-security

Pokud adresa nesouhlasí je paket zahozen. Pro Source Guard je třeba nejdřív zapnout DHCP Snooping, popř. Port-Security, chceme-li kontrolovat zdrojové MAC adresy.

Pro hosty se statickou IP je možno vložit záznam IP Source Binding ručně:

• Switch(config)# ip source binding mac-address vlan vlan-id ip-address interface type mod/num

Zapnutí Source Guardu na int.:

• Switch(config)# interface type mod/num
• Switch(config-if)# ip verify source [port-security]
  • ip verify source ⇒ prověřuje se jen zdrojová IP adresa
  • ip verify source port-security ⇒ prověřuje se zdrojová IP i MAC adresa

Source Guard status:

• Switch# show ip verify source [interface type mod/num]

Výpis stat./dyn. záznamů z DHCP Snooping databáze:

• Switch# show ip source bindng [ip-address] [mac-address] [dhcp-snooping | static] [interface type mod/num] [vlan vlan-id]

Útočník může pomocí zprávy “ARP reply” ve které uvede např. IP adresu brány a svou MAC adresu, přesměrovat provoz na sebe a stát se man in the middle. Tomuto útoku se říká “ARP poisoning” nebo “ARP spoofing”. Cisco switche k prevenci tohoto útoku používají DAI - Dynamic ARP Inspection. DAI funguje podbně jako DHCP Snooping, dělí porty na trusted a untrusted. Na trusted portech se nic neprověřuje - ideální pro trunk do jiného switche, kde na access portech probíhá také DAI. Na untrusted portech probíhá kontrola IP a MAC adresy v ARP reply na základě staticky zadaných informací nebo pomocí DHCP Snooping databáze. Pokud dojde k nesrovnalosti, je ARP reply zahozen a je vygenerována log zpráva.

Zapnutí DAI:

• Switch(config)# ip arp inspection vlan vlan-range

Defaultně jsou po zapnutí všechny porty untrusted. Nastavení Trusted portu:

• Switch(config)# interface type mod/num
• Switch(config-if)# ip arp inspection trust

Pro hosty se statickou IP je třeba vytvořit ACL, který definuje povolené MAC-IP kombinace.:

• Switch(config)# arp access-list acl-name
• Switch(config-acl)# permit ip host sender-ip mac host sender-mac [log]
• [Opakujte předchozí příkaz kolikrát je třeba]
• Switch(config-acl)# exit

Aplikace ACL na DAI:

• Switch(config)# ip arp inspection filter arp-acl-name vlan vlan-range [static]

ARP replies jsou zachytávány a vyhodnocovány dle ACL, pokud v ACL není nalezena shoda, přejde se k vyhodnocení dle DHCP Snooping databáze. Avšak, je-li ACL aplikován an DAI s parametrem static, vyhodnocení proběhne jen na zákl. ACL.

Def. jsou vyhodnocována jen pole s adresami v ARP reply, skutečné adresy v ethernetovém rámci vyhodnocovány nejsou. Zapnutí vyhodnocování i skutečných adres v rámci:

• Switch(config)# ip arp inspection validate {[src-mac] [dst-mac] [ip]}
  • src-mac - porovnává src.MAC v ethernetovém rámci se src.MAC v ARP reply
  • dst-mac - porovnává dst.MAC v ethernetovém rámci s dst.MAC v ARP reply
  • ip - porovnává src.IP v ARP requestech s dst.IP v ARP replies
  • musí být zvolena alespoň jedna metoda

• Switch# show ip arp inspection

• Kde to je možné používat enable secret, používá silnější šifrování než obyč. enable password.
• Pro centrální správu použít AAA server
• Nakonec použít service password-encryption - i když je šifra slabá, je to lepší než nic

• Varování nežádoucích osob, že zde nemají co dělat
• Nikdy v baneru zbytečně neprozrazovat informace o síti (prvku)

• Ideální je ho vypnout, příkaz no ip http server v globálním konf.módu
• Když už ho nechat zaplý, tak alespoň jako HTTPS, příkaz ip http secure server namísto obyč. ip http server v glob.konf.módu
• Posílit bezpečnost lze pomocí ACL povolujícím jen určité zdrojové adresy

Switch(config)# ip http secure server
Switch(config)# access-list 1 permit 10.100.50.0 0.0.0.255
Switch(config)# ip http access-class 1

• I přes to, že je zabezpečena fyzická bezpečnost prvků, je dobré konzolové porty zabezpečit stejně jako VTY linky.

• Vždy nastavit authentikaci všem VTY. Výpis všech VTY: show user all
• Popř. použít ACL povolující jen určité zdrojové adresy

Switch(config)# access-list 10 permit 192.168.199.10
Switch(config)# access-list 10 permit 192.168.201.100
Switch(config)# line vty 0 15
Switch(config-line)# access-class 10 in

• Používat SSH kde je to jen možné
• Používat nejvyšší podporovanou verzi, pokud možno SSH v2 (v1 a v1.5 mají jisté nedostatky)

• Zakázat jakýkoliv Read-Write přístup, tzn. vše kde je příkaz: snmp-server community string RW
• Používat jen RO Read-only přístup
• Omezit přístup pomocí ACL na konkrétní zdroj. adresy

• Ideálně shutdown
• Nastavit port switchport mode access a popř. jej přiřadit do nějaké “nesmyslné” VLANy

Použití makra switchport host:

Switch(config)# interface fastethernet 1/0/1
Switch(config-if)# switchport host
switchport mode will be set to access
spanning-tree portfast will be enabled
channel group will be disabled
Switch(config-if)#

• Útočník může posílat falešná BPDU
• Zapnout na access portech bpdu-guard

• Defaultně se šíří CDP všemi porty switche každých 60s
• CDP zbytečně prozrazuje moc informací
• Na access portech je dobré jej vypnout no cdp enable
• POZOR na portech, kde je IP telefon, musí zůstat CDP zapnuté. Z telefonu do PC se už nešíří.