From: xf0r3m Date: Sun, 22 Sep 2024 09:56:33 +0000 (+0200) Subject: Zakończenie pisania rozdziału 11, moduł 2, kurs Cisco CCNA. Do przeredagowania. X-Git-Url: https://gitweb.morketsmerke.org/?a=commitdiff_plain;h=3dd6ea8ca678c04da2951378fbdd33becad267a9;p=mmdev.git Zakończenie pisania rozdziału 11, moduł 2, kurs Cisco CCNA. Do przeredagowania. --- diff --git a/articles/terminallog/Cisco_-_CCNA.html b/articles/terminallog/Cisco_-_CCNA.html index c757db2..9005999 100755 --- a/articles/terminallog/Cisco_-_CCNA.html +++ b/articles/terminallog/Cisco_-_CCNA.html @@ -9372,7 +9372,385 @@ Max Addresses limit in System (excluding one mac per port) : 8192

Wdrożenie zabezpieczeń portów - scenariusz
Wdrożenie zabezpieczeń portów - zadanie -

+

+

2.11.2. Ograniczanie ataków na sieci VLAN

+

+ Ataki na sieci VLAN omawiane była dwa: atak z przeskokiem, gdzie + atakującemu udawało się wynegocjować łącze trunk i uzyskać + dostęp do innych VLAN-ów, niż ten do którego należy jego gniazdo. + Drugim atakiem był atak podwójnego znakowania, gdzie atakujący tworzył + ramkę z podwójnym znacznikiem, pierwszy zawierał znacznik natywnej + sieci VLAN, a drugi sieci docelowej. +

+

+ Metodą zabezpieczenia się przed tego typu działaniami są kolejno: +

+
    +
  1. Wyłączenie negocjacji DTP na innych portach niż trunk, + przy użyciu polecenia + switchport mode access
    2. +
  2. Nie używane porty należy umieść w innym VLAN-ie niż domyślny.
    3. +
  3. Na portach przeznaczonych jako trunk, tryb ten włączamy + ręcznie, przy użyciu polecenia + switchport mode trunk
    4. +
  4. Wyłączamy autonegocjacje DTP na portach trunk, za pomocą + polecenia: switchport nonegotiate.
    5. +
  5. Zmieniamy natwyną sieć VLAN dla łączy trunk, przy użyciu + polecenia: switchport trunk native vlan X, + gdzie X, oznacza numer sieci VLAN.
    6. +
+
+S1(config)#vlan 1000
+S1(config-vlan)#name UNUSED_PORTS
+S1(config-vlan)#vlan 999
+S1(config-vlan)#name NATIVE
+S1(config-vlan)#exit
+S1(config)#
+S1(config)#int range fa0/3-12
+S1(config-if-range)#switchport mode acces
+S1(config-if-range)#exit
+S1(config)#int range fa0/13-20
+S1(config-if-range)#switchport mode access
+S1(config-if-range)#switchport access vlan 1000
+S1(config-if-range)#shutdown
+S1(config-if-range)#exit
+S1(config)#int fa0/21-24
+S1(config-if-range)#switchport mode trunk
+S1(config-if-range)#switchport nonegotiate 
+S1(config-if-range)#switchport trunk native vlan 999
+S1(config-if-range)#end
+
+

+ Na powyższym przykładzie skonfigurowano wyżej wymienione + zabezpieczenia. Porty 3-12 są portami dostępowymi. Porty 13-20 nie są + obecnie używane. Ostatnie 4 porty są łączami trunk. +

+

2.11.3. Ograniczanie ataków na DHCP

+

+ Znamy dwa ataki wobec usługi DHPC, pierwsza z znich jest zagłodzenie - + tj. wyczerpanie puli przez atakującego. Ochroną przed tego typu + działaniem jest ustawienie limitu zapytań do DHCP na portach + niezaufanych (innych niż te, z których będzie przychodzić odpowiedź + od serwera). Drugim atakiem, jest fałszowanie - atakujący podstawia + swój serwer DHCP. Metodą ochrony przed takim działaniem jest + ustawienie portu zaufanego - z którego będą przychodzić komunikaty + serwera DHCP. Reszta portów będzie domyślnie ustawiana jako + niezaufane. Te metody oferuje mechanizm DHCP Snooping. Kroki + jakie + należy wykonać w celu skonfigurowania tej metody prezentują się + następująco: +

+
    +
  1. Włączamy DHCP Snooping za pomocą polecenia + ip dhcp snooping w konfiguracji + globalnej
    2. +
  2. Porty z odpowiedzią DHCP uznajemy za zafane za pomocą polecenia: + ip dhcp snooping trust.
    3. +
  3. Na portach niezaufanych ustawiamy limit zapytań do DHCP - liczbę + odebranych komunikatów DHCP DISCOVER na sekundę. Dokonujemy tego + za pomocą polecenia: + ip dhcp snooping limit rate X, gdzie + X to liczba zapytań.
    4. +
  4. DHCP Snooping możemy również włączyć dla określonej sieci + VLAN lub dla wielu sieci, wydając w konfiguracji globalnej polecenie: + ip dhcp snooping Y, gdzie + Y to numer/numery sieci VLAN lub ich + zakres.
    5. +
+
+S1#conf t
+S1(config)#ip dhcp snooping
+S1(config)#int g0/1
+S1(config-if)#ip dhcp snooping trust
+S1(config-if)#exit
+S1(config)#int range fa0/1-24
+S1(config-if-range)#ip dhcp snooping limit rate 6
+S1(config-if-range)#exit
+S1(config)#ip dhcp snooping vlan 1000
+
+

+ Na powyższym przykładzie skonfigurowano opcje zabepieczeń przed atakami + na DHCP. W IOS mamy możliwość wyświetlenia informacji o konfiguracji + DHCP Snooping za pomocą polecenia: + show ip dhcp snooping. +

+
+S1#show ip dhcp snooping
+Switch DHCP snooping is enabled
+DHCP snooping is configured on following VLANs:
+1000
+DHCP snooping is operational on following VLANs:
+1000
+DHCP snooping is configured on the following L3 Interfaces:
+
+Insertion of option 82 is enabled
+   circuit-id default format: vlan-mod-port
+   remote-id: ecc8.8212.b200 (MAC)
+Option 82 on untrusted port is not allowed
+Verification of hwaddr field is enabled
+Verification of giaddr field is enabled
+DHCP snooping trust/rate is configured on the following Interfaces:
+
+Interface                  Trusted    Allow option    Rate limit (pps)
+-----------------------    -------    ------------    ----------------   
+FastEthernet0/1            no         no              6         
+  Custom circuit-ids:
+FastEthernet0/2            no         no              6         
+  Custom circuit-ids:
+FastEthernet0/3            no         no              6         
+  Custom circuit-ids:
+FastEthernet0/4            no         no              6         
+  Custom circuit-ids:
+FastEthernet0/5            no         no              6         
+  Custom circuit-ids:
+...
+FastEthernet0/23           no         no              6         
+Interface                  Trusted    Allow option    Rate limit (pps)
+-----------------------    -------    ------------    ----------------   
+  Custom circuit-ids:
+FastEthernet0/24           no         no              6         
+  Custom circuit-ids:
+GigabitEthernet0/1         yes        yes             unlimited
+  Custom circuit-ids:
+
+

2.11.4. Ograniczenie ataków na ARP.

+

+ Ataki ARP są do siebie bardzo podobne. Chodzi o manipulację tablicą + ARP na komputerze ofiary. Pierwszym atakiem jest zatrucie, przez które + ofiara całkowicie traci łączność, ponieważ atakujący odpowiada na jej + żądania losowowymi adresami fizycznymi. Drugim atakiem jest fałszowanie + ataków, przy użyciu pakietu gratisowego ARP. Użycie tego pakietu + wymusza na ofierze, aktualizację wpisu w tablicy ARP, którego dotyczy + ten pakiet. Chronić się przed działania tego typu możemy za pomocą + mechanizmu Dynamic Arp Inspection - DAI. +

+

+ Dynamiczna inspekcja ARP (DAI) wymaga działania mechanizmu + DHCP Snooping, pomaga zapobiegać atakom poprzez: +

+
    +
  • Nie przykazywanie nieprawidłowych lub gratisowych odpowiedzi ARP + do innych portów w tej samej sieci VLAN.
    • +
  • Przechwytywanie wszystkichj żądań i odpowiedzi ARP na niezaufanych + portach.
    • +
  • Sprawdzenie każdego przechwyconego pakietu pod kątem prawidłowego + powiązania IP do MAC.
    • +
  • Odrzucanie i rejestrowanie odpowiedzi ARP, posiadające nie + nieprawdziwe informacje, aby zapobiec zatruciu ARP.
    • +
  • Przełączenie interfejsu w stan error-disabled, jeśli + skonfigurowana w DAI liczba pakietów ARP zostanie przekroczona.
    • +
+

+ W celu wykorzystania mechnizmu DAI, musimy podąrząć zgodnie z poniższymi + wskazówkami: +

+
    +
  1. Włączamy globalnie DHCP Snooping.
    2. +
  2. Włączamy DHCP Snooping dla konkretnej sieci VLAN.
    3. +
  3. Włączamy DAI dla wybranej sieci VLAN.
    4. +
  4. Na koniec konfigurujemy zaufane interfejsy dla + DHCP Snooping i DAI.
    5. +
+
+S1#conf t
+Enter configuration commands, one per line.  End with CNTL/Z.
+S1(config)#ip dhcp snooping
+S1(config)#ip dhcp snooping vlan 1000
+S1(config)#ip arp inspection vlan 1000
+S1(config)#interface fa0/24
+S1(config-if)#ip dhcp snooping trust 
+S1(config-if)#ip arp inspection trust 
+
+

+ Na powyższym urządzeniu włączyłem globalnie DHCP Snooping, + S1(config)#ip dhcp snooping następnie + skonfigurowałem DHCP Snooping oraz DAI dla VLAN-u 1000 - + S1(config)#ip dhcp snooping vlan 1000, + S1(config)#ip arp inspection vlan 1000. + Na koniec skonfigurowałem interfejs fa0/24 + jako zaufany dla DHCP Snooping-u oraz inspekcji ARP. +

+

+ Mechanim DAI może zostać również skonfigurowany w taki sposób aby + weryfikował adresy przekazywane we wiadomości ARP z adresami zawartymi + w nagłówku ramki Ethernet. Do wyboru mamy takie warunki jak +

+
    +
  • Docelowy MAC - porównanie docelowego adresu MAC + w nagłówku ramki z tym we wiadomości ARP.
    • +
  • Źródłowy MAC - porównianie źródłowego adresu MAC + w nagłówku ramki z tym we wiadomości ARP.
    • +
  • Adres IP - sprawdza komunikat pod kątem nie + prawidłowych i nieoczekiwanych adresów IP, takich jak: 0.0.0.0, + 255.255.255.255 czy wszystkich adresów multicastowych.
    • +
+

+ Do ustawiania weryfikacji adresów w ARP służy polecenie: + ip arp inspection validate po czym + podajemy rodzaj sprawdzania adresów. Nic nie stoi na przeszkodzie, aby + ustawić je wszystkie. +

+
+S1#conf t
+Enter configuration commands, one per line.  End with CNTL/Z.
+S1(config)#ip arp inspection validate src-mac dst-mac ip
+
+

+ Od teraz komunikaty ARP, bedą sprawdzane pod kątem poprawności adresów. +

+

2.11.5. Ograniczanie ataków STP

+

+ W przypadku ataków STP, atakujący może podłączyć swoje urządzenie i + wymusić zmianę topologi poprzez wysłanie BPDU z wysokim priorytetem w + BID. Ochroną przed tego typu działaniami jest użycie technologii + PortFast oraz BPDU Guard. +

+

+ PortFast przyspiesza stan gotowości portu o przesyłania + danych. Port przenoszony jest natychmiast ze stanu blokowania w stan + przekaywania. PortFast jest przeznaczony dla użytkowników + końcowych i tylko dla nich powinien być stosowany. BPDU Guard + jest mechanizm zabezpieczającym przed pojawieniem się komunikatów BPDU + na niepożądanych portach. Jeśli taki komunikat się pojawi przy + skonfigurowanym BPDU Guard, taki port zostanie ustawiony w + stan error-disabled.. +

+

+ Konfiguracji PortFast, możemy dokonać na dwa sposoby. + Konfigurować po kolei każdy z portów tak jak przedstawiono to na + poniższym przykładzie. +

+
+S1#conf t
+Enter configuration commands, one per line.  End with CNTL/Z.
+S1(config)#int fa0/4
+S1(config-if)#switchport mode access
+S1(config-if)#spanning-tree portfast
+%Warning: portfast should only be enabled on ports connected to a single
+ host. Connecting hubs, concentrators, switches, bridges, etc... to this
+ interface  when portfast is enabled, can cause temporary bridging loops.
+ Use with CAUTION
+
+%Portfast has been configured on FastEthernet0/4 but will only
+ have effect when the interface is in a non-trunking mode.
+
+

+ Możemy również skonfigurować PortFast domyślnie dla całego + przełącznika. Tak jak na przykładzie: +

+
+S1#conf t
+Enter configuration commands, one per line.  End with CNTL/Z.
+S1(config)#spanning-tree portfast default
+%Warning: this command enables portfast by default on all interfaces. You
+ should now disable portfast explicitly on switched ports leading to hubs,
+ switches and bridges as they may create temporary bridging loops.
+
+

+ Aby sprawdzić konfigurację PortFast możemy użyci polecenia + show spanning-tree summary. Poniżej + znajduje się wynik jego działania: +

+
+S1#show spanning-tree summary 
+Switch is in pvst mode
+Root bridge for: none
+Extended system ID           is enabled
+Portfast Default             is enabled
+PortFast BPDU Guard Default  is disabled
+Portfast BPDU Filter Default is disabled
+Loopguard Default            is disabled
+EtherChannel misconfig guard is enabled
+UplinkFast                   is disabled
+BackboneFast                 is disabled
+Configured Pathcost method used is short
+
+Name                   Blocking Listening Learning Forwarding STP Active
+---------------------- -------- --------- -------- ---------- ----------
+Total                        0         0        0          0          0
+
+

+ Drguim mechanizm do skonfigurowania jest BPDU Guard. Metoda + jest taka sama jak w przypadku PortFast, różnią się tylko + polecenia. +

+
+S1#conf t
+Enter configuration commands, one per line.  End with CNTL/Z.
+S1(config)#int fa0/4
+S1(config-if)#spanning-tree bpduguard enable
+S1(config-if)#exit
+S1(config)#spanning-tree portfast bpduguard default 
+
+

+ Teraz możemy wyświetlić sobie jeszcze raz podsumowanie konfiguracji + STP. +

+
+S1#show spanning-tree summary
+Switch is in pvst mode
+Root bridge for: none
+Extended system ID           is enabled
+Portfast Default             is enabled
+PortFast BPDU Guard Default  is enabled
+Portfast BPDU Filter Default is disabled
+Loopguard Default            is disabled
+EtherChannel misconfig guard is enabled
+UplinkFast                   is disabled
+BackboneFast                 is disabled
+Configured Pathcost method used is short
+
+Name                   Blocking Listening Learning Forwarding STP Active
+---------------------- -------- --------- -------- ---------- ----------
+Total                        0         0        0          0          0
+
+

+ Możemy skonfigurować przełącznik w taki sposób, aby automatycznie + odblokowywał porty w stanie error-disabled. W przypadku + naruszenia BPDU Guard, możemy uruchomić to poleceniem: +

+
+S1(config)#errdisable recovery cause psecure-violation
+
+

+ Domyślnym okresem karencji jest 300 sekund = 5 minut. Stan + automatycznego podnoszenia portu ze stanu error-disabled + możemy sprawdzić (w tym i okres karencji) za pomocą polecenia + show errdisable recovery +

+
+S1#show errdisable recovery 
+ErrDisable Reason            Timer Status
+-----------------            --------------
+arp-inspection               Disabled
+bpduguard                    Disabled
+channel-misconfig            Disabled
+dhcp-rate-limit              Disabled
+dtp-flap                     Disabled
+gbic-invalid                 Disabled
+inline-power                 Disabled
+link-flap                    Disabled
+mac-limit                    Disabled
+loopback                     Disabled
+pagp-flap                    Disabled
+port-mode-failure            Disabled
+psecure-violation            Disabled
+security-violation           Disabled
+sfp-config-mismatch          Disabled
+small-frame                  Disabled
+storm-control                Disabled
+udld                         Disabled
+vmps                         Disabled
+
+Timer interval: 300 seconds
+
+

Podsumowanie

+

+ W tym rodziale dowiedzieliśmy się możemy skonfigurować Cisco IOS na + przełącznikach, aby zapobiec atakom z poznanym w 10 rozdziale. + Poznaliśmy zabezpieczenia portów oraz metody ochrony przez atakami na + sieci VLAN, DHCP, ARP oraz STP. +