Útočníkovým cílem bývá stát se man in the middle

Má zabránit připojení falešného DHCP serveru, který by mohl způsobit útok man in the middle, podstrčením IP adresy útočníka jako výchozí brány nebo DNS serveru. Porty switche jsou rozděleny na trusted a untrusted. Pravý DHCP server je připojen k trusted portu, uživatelé k untrusted portům. Switch zachtává všechny DHCP requesty z untrusted portů. Jakmile je na untrusted portu zachcena zpr. “DHCP reply”, je zahozena a port přejde do stavu Errdisable. DHCP snooping udržuje databázi přiřazení adres (MAC-IP-Lease time-atd.).
Je-li na untrusted portu zachycen DHCP request, switch k němu přiřadí svou MAC+id portu v option 82, pak je req. forwardován k DHCP serveru. Option 82 poskytuje více informací o původci DHCP požadavku.

Zapnutí DHCP Snoopingu na switchi + určení dotčených VLAN:

• Switch(config)# ip dhcp snooping
• Switch(config)# ip dhcp snooping vlan vlan-id [vlan-id]

Po zapnutí Snoopingu jsou všechny porty def. untrusted.
Nastavení trusted portu:

• Switch(config)# interface type mod/num
• Switch(config-if)# ip dhcp snooping trust

Nastavení limitu DHCP zpráv / sec na untrusted portu:

• Switch(config)# interface type mod/num
• Switch(config-if)# ip dhcp snooping limit rate 1-2048

Zap./Vyp. DHCP option-82 (def.zapnuto):

• Switch(config)# [no] ip dhcp snooping information option

• Switch# show ip dhcp snooping [binding]

Switch# show ip dhcp snooping
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
104
Insertion of option 82 is enabled
Interface                      Trusted     Rate limit (pps)
------------------------       -------     ----------------
FastEthernet0/35               no          3
FastEthernet0/36               no          3
GigabitEthernet0/1             yes         unlimited
Switch#

Slouží k ochraně před IP spoofing útoky, tzn. útočník uvádí falešnou zdrojovou IP adresu. Může použít IP nějakého uživatele nebo nepoužitou IP daného subnetu. Většinou se tohoto využívá v případě DoS útoků, k zamaskování zdroje tohoto útoku.

Switch musí mít možnost zjistit která MAC adr. náleží ke které IP adr. Využívá DHCP snooping databáze a statických IP source binding záznamů.

Pakety přicházejcí na port mohou být testovány jednou z možností:

1. Zdrojová IP se musí rovnat IP adr. v DHCP snooping databázi nebo statickému záznamu, k fitrování provozu je automaticky vytvořen dynamický ACL a aplikován na interface.
2. Zdrojová MAC se musí rovnat MAC zjištěné DHCP snoopingem, na portu je použito port-security

Pokud adresa nesouhlasí je paket zahozen. Pro Source Guard je třeba nejdřív zapnout DHCP Snooping, popř. Port-Security, chceme-li kontrolovat zdrojové MAC adresy.

Pro hosty se statickou IP je možno vložit záznam IP Source Binding ručně:

• Switch(config)# ip source binding mac-address vlan vlan-id ip-address interface type mod/num

Zapnutí Source Guardu na int.:

• Switch(config)# interface type mod/num
• Switch(config-if)# ip verify source [port-security]
  • ip verify source ⇒ prověřuje se jen zdrojová IP adresa
  • ip verify source port-security ⇒ prověřuje se zdrojová IP i MAC adresa

Source Guard status:

• Switch# show ip verify source [interface type mod/num]

Výpis stat./dyn. záznamů z DHCP Snooping databáze:

• Switch# show ip source bindng [ip-address] [mac-address] [dhcp-snooping | static] [interface type mod/num] [vlan vlan-id]

Útočník může pomocí zprávy “ARP reply” ve které uvede např. IP adresu brány a svou MAC adresu, přesměrovat provoz na sebe a stát se man in the middle. Tomuto útoku se říká “ARP poisoning” nebo “ARP spoofing”. Cisco switche k prevenci tohoto útoku používají DAI - Dynamic ARP Inspection. DAI funguje podbně jako DHCP Snooping, dělí porty na trusted a untrusted. Na trusted portech se nic neprověřuje - ideální pro trunk do jiného switche, kde na access portech probíhá také DAI. Na untrusted portech probíhá kontrola IP a MAC adresy v ARP reply na základě staticky zadaných informací nebo pomocí DHCP Snooping databáze. Pokud dojde k nesrovnalosti, je ARP reply zahozen a je vygenerována log zpráva.

Zapnutí DAI:

• Switch(config)# ip arp inspection vlan vlan-range

Defaultně jsou po zapnutí všechny porty untrusted. Nastavení Trusted portu:

• Switch(config)# interface type mod/num
• Switch(config-if)# ip arp inspection trust

Pro hosty se statickou IP je třeba vytvořit ACL, který definuje povolené MAC-IP kombinace.:

• Switch(config)# arp access-list acl-name
• Switch(config-acl)# permit ip host sender-ip mac host sender-mac [log]
• [Opakujte předchozí příkaz kolikrát je třeba]
• Switch(config-acl)# exit

Aplikace ACL na DAI:

• Switch(config)# ip arp inspection filter arp-acl-name vlan vlan-range [static]

ARP replies jsou zachytávány a vyhodnocovány dle ACL, pokud v ACL není nalezena shoda, přejde se k vyhodnocení dle DHCP Snooping databáze. Avšak, je-li ACL aplikován an DAI s parametrem static, vyhodnocení proběhne jen na zákl. ACL.

Def. jsou vyhodnocována jen pole s adresami v ARP reply, skutečné adresy v ethernetovém rámci vyhodnocovány nejsou. Zapnutí vyhodnocování i skutečných adres v rámci:

• Switch(config)# ip arp inspection validate {[src-mac] [dst-mac] [ip]}
  • src-mac - porovnává src.MAC v ethernetovém rámci se src.MAC v ARP reply
  • dst-mac - porovnává dst.MAC v ethernetovém rámci s dst.MAC v ARP reply
  • ip - porovnává src.IP v ARP requestech s dst.IP v ARP replies
  • musí být zvolena alespoň jedna metoda

• Switch# show ip arp inspection

• Kde to je možné používat enable secret, používá silnější šifrování než obyč. enable password.
• Pro centrální správu použít AAA server
• Nakonec použít service password-encryption - i když je šifra slabá, je to lepší než nic

• Varování nežádoucích osob, že zde nemají co dělat
• Nikdy v baneru zbytečně neprozrazovat informace o síti (prvku)

• Ideální je ho vypnout, příkaz no ip http server v globálním konf.módu
• Když už ho nechat zaplý, tak alespoň jako HTTPS, příkaz ip http secure server namísto obyč. ip http server v glob.konf.módu
• Posílit bezpečnost lze pomocí ACL povolujícím jen určité zdrojové adresy

Switch(config)# ip http secure server
Switch(config)# access-list 1 permit 10.100.50.0 0.0.0.255
Switch(config)# ip http access-class 1

• I přes to, že je zabezpečena fyzická bezpečnost prvků, je dobré konzolové porty zabezpečit stejně jako VTY linky.

• Vždy nastavit authentikaci všem VTY. Výpis všech VTY: show user all
• Popř. použít ACL povolující jen určité zdrojové adresy

Switch(config)# access-list 10 permit 192.168.199.10
Switch(config)# access-list 10 permit 192.168.201.100
Switch(config)# line vty 0 15
Switch(config-line)# access-class 10 in

• Používat SSH kde je to jen možné
• Používat nejvyšší podporovanou verzi, pokud možno SSH v2 (v1 a v1.5 mají jisté nedostatky)

• Zakázat jakýkoliv Read-Write přístup, tzn. vše kde je příkaz: snmp-server community string RW
• Používat jen RO Read-only přístup
• Omezit přístup pomocí ACL na konkrétní zdroj. adresy

• Ideálně shutdown
• Nastavit port switchport mode access a popř. jej přiřadit do nějaké “nesmyslné” VLANy

Použití makra switchport host:

Switch(config)# interface fastethernet 1/0/1
Switch(config-if)# switchport host
switchport mode will be set to access
spanning-tree portfast will be enabled
channel group will be disabled
Switch(config-if)#

• Útočník může posílat falešná BPDU
• Zapnout na access portech bpdu-guard

• Defaultně se šíří CDP všemi porty switche každých 60s
• CDP zbytečně prozrazuje moc informací
• Na access portech je dobré jej vypnout no cdp enable
• POZOR na portech, kde je IP telefon, musí zůstat CDP zapnuté. Z telefonu do PC se už nešíří.