<p>
Omawianie zabezpieczeń portów, rozpoczniemy od najprostszej czynności
jaką możemy wykonać. Jeśli intruz będzie w zasiegu dostępnego gniazda
- Ethernet, może sprawdzić czy jest ono aktywne. Jeśli tak, to może
+ <em>Ethernet</em>, może sprawdzić czy jest ono aktywne. Jeśli tak, to
+ może
udać mu się uzyskać dostęp do sieci. Dlatego czasami najprostrze
rowiązania są najlepsze. Zatem może warto
<strong>wyłączyć nieużywane porty</strong> administracyjnie. Wydając
<p>
Przejść do konfiguracji wiecej niż jednego portu możemy poprzez
użycie polecenia <code class="code-inline">int range</code> podając
- zakres portów lub też ich listę jeśli porty są nie pokolei. Oczywiście
- możemy mieszać ze sobą ter rodzaj parametrów.
+ zakres portów lub też ich listę jeśli porty są nie po kolei. Oczywiście
+ możemy mieszać ze sobą ten rodzaj parametrów.
</p>
<pre class="code-block">
S1(config)#int range fa0/1-24
wyłącza zasilanie na portach przełącznika.
</p>
<p>
- Poza dostęp do sieci, możemy również chcieć zabezpieczyć nasz
+ Poza dostępem do sieci, możemy również chcieć zabezpieczyć nasz
przełącznik, aby nigdy nie udało się zrobić z koncentratora. Z
poprzedniego rodziału wiemy jak tego dokonać. Zabezpieczenia portów
obejmują możliwość wskazania ilość adresów MAC, których przełącznik
- może się nauczyć, w jaki sposób ma się ich uczyć, na podstawie czego
- ma stwiedzić, że adres w tablicy uleg przedawnieniu czy co zrobić
+ może się nauczyć, w jaki sposób ma się ich uczyć, kiedy i jaki sposób
+ adres w tablicy ulega przedawnieniu czy co zrobić
w przypadku naruszenia zasad zabezpieczeń portów.
</p>
<p>
protokoł DTP, natomiast porty znajdują się w domyślnym stanie
<em>dynamic auto</em>. Zabezpieczenia portu wymagają, aby port był
portem dostępowym, więc przez uruchomienieniem zabezpieczeńm portów
- musimy przełączyć w tryb dostępu:
+ musimy przełączyć port w tryb dostępu:
</p>
<pre class="code-block">
#Domyślnie:
<p>
Reguły narzucone przez uruchomienie zabezpieczeń portu to, ustawienie
trybu naruszenia na najbardziej restrykcyjny oraz ustawienie ilości
- adresów MAC do nauczenia się dla tego portu to 1.
+ adresów MAC do nauczenia się dla tego portu na 1.
</p>
<pre class="code-block">
S1#show port-security interface fa0/1
<p>
Zabezpieczenia portów pozwalają na określenie okresu ważności dla
bezpiecznych adresów (Przypisanych statycznie lub nauczonych w ramach
- dynamicznej nauki, zgodniej z okreslonym limitem). Mamy dwa rodzaje
+ dynamicznej nauki, zgodnie z określonym limitem). Mamy dwa rodzaje
przedawnienia (okresu ważności):
</p>
<ul>
<li><strong><em>Absolute</em></strong> (ang. bezwględy) - adresy MAC są
- usuwane po upłynięciu podanym okresie czasu.</li>
+ usuwane po upłynięciu podanego okresu czasu.</li>
<li><strong><em>Inactivity</em></strong> (ang. nieaktywność) - adresy
MAC są usuwane po upłynięciu podanego okresu czasu nieaktywności.</li>
</ul>
określa rodzaj przedawnienia dla portu.</li>
</ul>
<p>
- Dla przykładu ustawiłem na porcie 2 czas przedawnienia 10 minut dla
- nieaktywnych hostów.
+ Dla przykładu ustawiłem na porcie 2 czas przedawnienia 10 minut
+ nieaktywności interfejsu.
</p>
<pre class="code-block">
S1(config)#int fa0/2
S1(config-if)#switchport port-security aging type inactivity
</pre>
<p>
- W momencie gdy dojdzie do przekroczenia zasad skonfigurownych na porcie,
+ W momencie gdy dojdzie do przekroczenia zasad skonfigurownych na porcie
występuje naruszenie, może mieć one różne skutki. Od zaprzestania
transmisji dla nieznanych adresów na czas potrzebny do usunięcia
nadmiarowych adresów MAC do
komunikat do <em>Syslog</em>. Licznik naruszeń jest zwiększany</li>
<li><strong>restrict</strong> - Ten tryb powoduje zaprzestanie
transmisji dla nieznaych adresów do momentu usunięcia namiarowych
- pozycji. Porty nie są wyłączane Licznik naruszeń jest zwiększany oraz
- wysłane są komunikaty <em>syslog</em></li>
+ pozycji. Porty nie są wyłączane. Licznik naruszeń jest zwiększany
+ oraz wysłane są komunikaty <em>syslog</em></li>
<li><strong>protect</strong> - działa na takiej samej zasadzie jak
<em>restrict</em>, przyczym żadne logi nie są wysłane oraz nie jest
- zwiększany licznik naruszeń. Jest najmnie bezpieczny z trybów.<li>
+ zwiększany licznik naruszeń. Jest najmniej bezpieczny z trybów.<li>
</ul>
<p>
Do ustawienie trybu wybierany wykorzystywane jest polecenie
- <em>violation</em>, zabezpieczeń portów.
+ <strong>violation</strong>, zabezpieczeń portów.
</p>
<pre class="code-block">
S1(config)#int fa0/2
</p>
<h2 id="2.11.2.limitvlanattacks">2.11.2. Ograniczanie ataków na sieci VLAN</h2>
<p>
- Ataki na sieci VLAN omawiane była dwa: atak z przeskokiem, gdzie
+ Ataki na sieci VLAN omawiane były dwa: atak z przeskokiem, gdzie
atakującemu udawało się wynegocjować łącze <em>trunk</em> i uzyskać
dostęp do innych VLAN-ów, niż ten do którego należy jego gniazdo.
Drugim atakiem był atak podwójnego znakowania, gdzie atakujący tworzył
<code class="code-inline">switchport mode access</code></li>
<li>Nie używane porty należy umieść w innym VLAN-ie niż domyślny.</li>
<li>Na portach przeznaczonych jako <em>trunk</em>, tryb ten włączamy
- ręcznie, przy użyciu polecenia
- <code class="code-inline">switchport mode trunk</code></li>
+ jest ręcznie przy użyciu polecenia
+ <code class="code-inline">switchport mode trunk</code>.</li>
<li>Wyłączamy autonegocjacje DTP na portach <em>trunk</em>, za pomocą
polecenia: <code class="code-inline">switchport nonegotiate</code>.</li>
<li>Zmieniamy natwyną sieć VLAN dla łączy <em>trunk</em>, przy użyciu
</p>
<h2 id="2.11.3.limitingdhcpattacks">2.11.3. Ograniczanie ataków na DHCP</h2>
<p>
- Znamy dwa ataki wobec usługi DHPC, pierwsza z znich jest zagłodzenie -
+ Znamy dwa ataki wobec usługi DHCP, pierwsza z znich jest zagłodzenie -
tj. wyczerpanie puli przez atakującego. Ochroną przed tego typu
działaniem jest ustawienie limitu zapytań do DHCP na portach
niezaufanych (innych niż te, z których będzie przychodzić odpowiedź
<li>Włączamy <em>DHCP Snooping</em> za pomocą polecenia
<code class="code-inline">ip dhcp snooping</code> w konfiguracji
globalnej</li>
- <li>Porty z odpowiedzią DHCP uznajemy za zafane za pomocą polecenia:
+ <li>Porty z odpowiedzią DHCP uznajemy za zaufane za pomocą polecenia:
<code class="code-inline">ip dhcp snooping trust</code>.</li>
<li>Na portach niezaufanych ustawiamy limit zapytań do DHCP - liczbę
odebranych komunikatów DHCP DISCOVER na sekundę. Dokonujemy tego
<ul>
<li>Nie przykazywanie nieprawidłowych lub gratisowych odpowiedzi ARP
do innych portów w tej samej sieci VLAN.</li>
- <li>Przechwytywanie wszystkichj żądań i odpowiedzi ARP na niezaufanych
+ <li>Przechwytywanie wszystkich żądań i odpowiedzi ARP na niezaufanych
portach.</li>
<li>Sprawdzenie każdego przechwyconego pakietu pod kątem prawidłowego
powiązania IP do MAC.</li>
- <li>Odrzucanie i rejestrowanie odpowiedzi ARP, posiadające nie
+ <li>Odrzucanie i rejestrowanie odpowiedzi ARP, posiadające
nieprawdziwe informacje, aby zapobiec zatruciu ARP.</li>
<li>Przełączenie interfejsu w stan <em>error-disabled</em>, jeśli
skonfigurowana w DAI liczba pakietów ARP zostanie przekroczona.</li>
<p>
Mechanim DAI może zostać również skonfigurowany w taki sposób aby
weryfikował adresy przekazywane we wiadomości ARP z adresami zawartymi
- w nagłówku ramki <em>Ethernet</em>. Do wyboru mamy takie warunki jak
+ w nagłówku ramki <em>Ethernet</em>. Do wyboru mamy takie warunki jak:
</p>
<ul>
<li><strong>Docelowy MAC</strong> - porównanie docelowego adresu MAC
<p>
<em>PortFast</em> przyspiesza stan gotowości portu o przesyłania
danych. Port przenoszony jest natychmiast ze stanu blokowania w stan
- przekaywania. <em>PortFast</em> jest przeznaczony dla użytkowników
+ przekazywania. <em>PortFast</em> jest przeznaczony dla użytkowników
końcowych i tylko dla nich powinien być stosowany. <em>BPDU Guard</em>
jest mechanizm zabezpieczającym przed pojawieniem się komunikatów BPDU
na niepożądanych portach. Jeśli taki komunikat się pojawi przy
switches and bridges as they may create temporary bridging loops.
</pre>
<p>
- Aby sprawdzić konfigurację <em>PortFast</em> możemy użyci polecenia
+ Aby sprawdzić konfigurację <em>PortFast</em> możemy użyć polecenia
<code class="code-inline">show spanning-tree summary</code>. Poniżej
znajduje się wynik jego działania:
</p>
S1(config)#errdisable recovery cause psecure-violation
</pre>
<p>
- Domyślnym okresem karencji jest 300 sekund = 5 minut. Stan
+ Domyślnym okresem karencji jest 300 sekund = 5 minut. Konfigurację
automatycznego podnoszenia portu ze stanu <em>error-disabled</em>
możemy sprawdzić (w tym i okres karencji) za pomocą polecenia
<code class="code-inline">show errdisable recovery</code>
Timer interval: 300 seconds
</pre>
+ <h2 id="2.11.6.turnoffcdp">2.11.6. Wyłączenie protokołu CDP</h2>
+ <p>
+ Jeśli chcielibyś uchronić nasze urządzenia przez pozyskiwaniem z nich
+ danych, które można wykorzystać do ataków (przed rozpoznaniem). To
+ dobrym pomysłem jest wyłącznie protokołu CDP oraz LLDP. Te protokoły
+ możemy wyłączyć globalnie lub dla poszczególnych interfejsów.
+ </p>
+ <ul>
+ <li>Wyłącznie globalne CDP i LLDP -
+ <code class="code-inline">no cdp run</code> i
+ <code class="code-inline">no lldp run</code>.</li>
+ <li>Wyłącznie na interfejsie -
+ <code class="code-inline">no cdp enable</code> i
+ <code class="code-inline">no lldp transmit</code>,
+ <code class="code-inline">no lldp receive</code>.</li>
+ </ul>
+ <p>
+ Ponowne włączenie tych protokołów wymaga użycia tych samych poleceń,
+ ale bez słowa <code class="code-inline">no</code> na początku.
+ </p>
<h2 id="ch11summary">Podsumowanie</h2>
<p>
- W tym rodziale dowiedzieliśmy się możemy skonfigurować Cisco IOS na
+ W tym rodziale dowiedzieliśmy się jak możemy skonfigurować Cisco IOS na
przełącznikach, aby zapobiec atakom z poznanym w 10 rozdziale.
Poznaliśmy zabezpieczenia portów oraz metody ochrony przez atakami na
sieci VLAN, DHCP, ARP oraz STP.
projects / mmdev.git / commitdiff