Útočníkovým cílem bývá stát se man in the middle

Slouží k ochraně před IP spoofing útoky, tzn. útočník uvádí falešnou zdrojovou IP adresu. Může použít IP nějakého uživatele nebo nepoužitou IP daného subnetu. Většinou se tohoto využívá v případě DoS útoků, k zamaskování zdroje tohoto útoku.

Switch musí mít možnost zjistit která MAC adr. náleží ke které IP adr. Využívá DHCP snooping databáze a statických IP source binding záznamů.

Pakety přicházejcí na port mohou být testovány jednou z možností:

1. Zdrojová IP se musí rovnat IP adr. v DHCP snooping databázi nebo statickému záznamu, k fitrování provozu je automaticky vytvořen dynamický ACL a aplikován na interface.
2. Zdrojová MAC se musí rovnat MAC zjištěné DHCP snoopingem, na portu je použito port-security

Pokud adresa nesouhlasí je paket zahozen. Pro Source Guard je třeba nejdřív zapnout DHCP Snooping, popř. Port-Security, chceme-li kontrolovat zdrojové MAC adresy.

Pro hosty se statickou IP je možno vložit záznam IP Source Binding ručně:

• Switch(config)# ip source binding mac-address vlan vlan-id ip-address interface type mod/num

Zapnutí Source Guardu na int.:

• Switch(config)# interface type mod/num
• Switch(config-if)# ip verify source [port-security]
  • ip verify source ⇒ prověřuje se jen zdrojová IP adresa
  • ip verify source port-security ⇒ prověřuje se zdrojová IP i MAC adresa

Source Guard status:

• Switch# show ip verify source [interface type mod/num]

Výpis stat./dyn. záznamů z DHCP Snooping databáze:

• Switch# show ip source bindng [ip-address] [mac-address] [dhcp-snooping | static] [interface type mod/num] [vlan vlan-id]

• Kde to je možné používat enable secret, používá silnější šifrování než obyč. enable password.
• Pro centrální správu použít AAA server
• Nakonec použít service password-encryption - i když je šifra slabá, je to lepší než nic

• Varování nežádoucích osob, že zde nemají co dělat
• Nikdy v baneru zbytečně neprozrazovat informace o síti (prvku)

• Ideální je ho vypnout, příkaz no ip http server v globálním konf.módu
• Když už ho nechat zaplý, tak alespoň jako HTTPS, příkaz ip http secure server namísto obyč. ip http server v glob.konf.módu
• Posílit bezpečnost lze pomocí ACL povolujícím jen určité zdrojové adresy

Switch(config)# ip http secure server
Switch(config)# access-list 1 permit 10.100.50.0 0.0.0.255
Switch(config)# ip http access-class 1

• I přes to, že je zabezpečena fyzická bezpečnost prvků, je dobré konzolové porty zabezpečit stejně jako VTY linky.

• Vždy nastavit authentikaci všem VTY. Výpis všech VTY: show user all
• Popř. použít ACL povolující jen určité zdrojové adresy

Switch(config)# access-list 10 permit 192.168.199.10
Switch(config)# access-list 10 permit 192.168.201.100
Switch(config)# line vty 0 15
Switch(config-line)# access-class 10 in

• Používat SSH kde je to jen možné
• Používat nejvyšší podporovanou verzi, pokud možno SSH v2 (v1 a v1.5 mají jisté nedostatky)

• Zakázat jakýkoliv Read-Write přístup, tzn. vše kde je příkaz: snmp-server community string RW
• Používat jen RO Read-only přístup
• Omezit přístup pomocí ACL na konkrétní zdroj. adresy

• Ideálně shutdown
• Nastavit port switchport mode access a popř. jej přiřadit do nějaké “nesmyslné” VLANy

Použití makra switchport host:

Switch(config)# interface fastethernet 1/0/1
Switch(config-if)# switchport host
switchport mode will be set to access
spanning-tree portfast will be enabled
channel group will be disabled
Switch(config-if)#

• Útočník může posílat falešná BPDU
• Zapnout na access portech bpdu-guard

• Defaultně se šíří CDP všemi porty switche každých 60s
• CDP zbytečně prozrazuje moc informací
• Na access portech je dobré jej vypnout no cdp enable
• POZOR na portech, kde je IP telefon, musí zůstat CDP zapnuté. Z telefonu do PC se už nešíří.