From: xf0r3m Date: Fri, 20 Sep 2024 16:03:36 +0000 (+0200) Subject: Zakończnie pisania rozdziału 10. Do przeredagowania. X-Git-Url: https://gitweb.morketsmerke.org/?a=commitdiff_plain;h=3eb9630090805bb9bfd425801777f853a84f90a8;p=mmdev.git Zakończnie pisania rozdziału 10. Do przeredagowania. --- diff --git a/articles/terminallog/Cisco_-_CCNA.html b/articles/terminallog/Cisco_-_CCNA.html index a2f0860..7c2d9bd 100755 --- a/articles/terminallog/Cisco_-_CCNA.html +++ b/articles/terminallog/Cisco_-_CCNA.html @@ -8851,13 +8851,211 @@ R3(config-if)#standby 1 ip 192.168.20.100 Autoryzacja, natomiast określa nam co możemy zrobić w systemie (w tym przypadku, w sieci) - określa ona naszę uprawnienia. Ostatnim czynnikiem jest zapewnienie ewidencjonowania - tj. prowadzenia dziennika zawierającego informacje na temat - uwierzytelnienia oraz autoryzacji w danym systemie. Wprowadzenie tego + tj. zbierania oraz raportowania tego co użytkownik robi w sieci czy + na urządzeniu. + Rozwiązania tego typu mogą dostarczyć informacji potrzebnych do audytu, + czy pomóc przy rozliczeniu. Wprowadzenie tego typu zabezpieczeń spowoduje, że podczas podłączania do sieci - wymagane będzie podanie loginu hasła. Rozwiązania AAA są zastzeżone - przez Cisco, nie mniej jednak instnieje otwarty standard pozwalają - na zrealizowanie tego typu czynności: 802.1X - + wymagane będzie podanie loginu hasła. +

+

+ Innym rodzajem kontroli dostępu do sieci może być standard IEEE 802.1X, + jest to oparty na portach protokół, który pozwala na uwierzytelnianie + oraz autoryzacje + użytkownika w sieci. Decydując się na tego typu rozwiązanie do + dyspozycji będziemy mieć dwie implementacje, takie jak otwarty + RADIUS oraz zastrzeżony przez Cisco + TACACS+. W przypadku 802.1X każdy komputer ma swoją + rolę: +

+ +

2.10.3. Zagrożenia warstwy 2

+

+ Warstwa druga jest poziomem gdzie sygnały elektryczne zaczynają + spotykać się z jakąś logiką. Na tym poziomie możemy już określać + pewne obawy co do bezpieczeństwa transmisji jak i samego połączenia. + Istnieje kilka ataków, które mogą zaistnieć w naszej sieci. Działania + te głównie skupiają się wokół przełącznika, a urządzenia Cisco + posiadają odpowiednie środki zapobiegawcze możliwe do skonfigurowania + na tych urządzenia. +

+ +

+ Oczywiście nasze starania mogą nie być wystarczające szczególnie wtedy + gdy protokoły nie będą wystarczająco zabezpieczone. Zaleca się + porzucenia protokołów nie posiadających żadnych sensownych + zabezpieczeń, na rzecz bezpieczniejszych wersji, korzystających z + warstwy TLS czy wykorzystanie protokołów pochodnych od SSH. Innym + czynnikiem może być wydzielenie odrębnej sieci VLAN dla zarządzania + urządzeniami. +

+

2.10.4. Ataki na sieć LAN

+

+ Pierwszym bardzo prostym atakiem do przeprowadzenia jest atak na + tablicę MAC przełącznika. Polega on na zalewaniu przełącznika ramkami + ze źródłowym losowym adresem MAC, przez co tablica MAC będzie cały + czas się wypełniać. W momencie jej przepełnienia przełącznik zaczyna + się zachowywać jak koncentrator. Takie działanie pozwoli atakującemu + przechwycić ruch sieciowy, który nie jest zaadresowany do niego. +

+

+ Metodami zapobiegawczymi takiego działania jest skonfigurowanie + zabezpieczeń portów (zajmiemy się tym w następnym rozdziale), pozwoli + to ogranicznie nauki adresów na tych portach do podanej konkretnej + wartości. Choćby jednego adresu. +

+

+ Podatność na ataki względem VLAN-ów jest niedopatrzeniem z strony + administratora. Pozostawienie włączonego protokołu DTP, może pozwolić + intruzowi na wymuszenie pomiędzy jego urządzeniami, a przełącznikiem + portu trunk. Jeśli administrator zapomiał o wyłączeniu DTP to + na łączach magistralnych dopuszcza ruch za pewne dla całego zakresu + sieci VLAN. Zatem nic nie stoi na przeszkodzie, aby atakujący mógł + skomunikować z dowolnym hostem w sieci, mimo skonfigurowania sieci + VLAN. Tego typu nazywany jest atak z przeskokiem VLAN. +

+

+ Innym atakiem na sieci VLAN, jest + atak podwójnego tagowania, atakujący znając + identyfikator natywnego VLAN-u, może skomunikować się z dowolnym hostem + w dowolnym VLAN-ie. Jego zadaniem będzie przygotowanie ramki + zawierającej pole 802.1Q z identyfikatorem natywnego VLAN-u, jak i + drugie pole 802.1Q zawierające identyfikator docelowej sieci VLAN. + Domyślnie natywną siecią VLAN, jest VLAN 1. Natomiast id + konkretnej sieci VLAN, jest zapisany w adresie IP hosta. +

+

+ Ochrona przed tego typu czynnościami, wymaga od nas wykonania czynności, + które wykonywaliśmy przy okazji konfiguracji łączy trunk + oraz protokołu DTP. Należy ten protokoł bezwzględnie wyłączyć, na + łączach magistralnych oraz zmienić natywny VLAN z 1 na jakiś inny + losowy. Warto również na sztywno przypisać portom działanie w trybie + dostępu. +

+

+ Kolejne ataki, które są omawiane to ataki przeciwko DHCP. Pierwszym + z nich jest atak zagłodzenia - swojego rodzaju + atak typu DoS (pojedynczy atak DDoS), ponieważ uniemożliwia on + prawowitym hostom uzyskanie adresu IP z serwera DHCP. Atakujący + wyczerpuje całą pulę po przez wielkrotną komunikację z serwerem DHCP, + przy użyciu komunikatów o losowych adresach źródłowych. Cała pula + zostaje wyczerpana przez losowe adresy, które nawet nie wyślą jednej + ramki. +

+

+ Innym atakiem jest atak sfaszowanego DHCP. Intruz + może na swoim komputerze uruchomić serwer DHCP i skonfigurować go + taki sposób, aby nasz ruch był odpowiednio kierowany. Takiego rodzaju + działanie ma za zadanie przechwycić nasz ruch. Atakujący może + udostępnić nam, przez swój komputer połącznie z inną siecią, taką jak + Internet, przez co może do woli przeglądać nasz nieszyfrowany ruch. +

+

+ Metodą zapobiegawczą dla tego rodzaju zagrożenia, jest uruchomienie + na portach mechnizmu DHCP Snooping, pozwala on na + wybranie portu z którego mogą przychodzić odpowiedzi z serwera DHCP + oraz nałożenie limitów na ilość zapytań. Komunikatów DHCP DISCOVER. + Ciekawym faktem jest to, że uruchomienie tej funkcjonalności pozwala + na zamienić przełącznik, działający w warstwie 2 w nieco bardziej + inteligente urządzenie, które musi spojrzeć aż do pola danych w + przesyłanych ramkach. +

+

+ Ataki ARP takie jak zatrucie czy + fałszowanie są do siebie bardzo zbliżone w metodach + do ich przeprowadzania. Można by nawet rzec, że identyczne. Protokołu + ARP używa się w celu uzyskania adresu MAC na podstawie adresu IP. + Zadaniem atakującego jest albo wysyłanie fałszywych odpowiedzi na + zapytanie ARP, przez co najczęściej host straci połączenie z innymi + w sieci. Przy czym tutaj warto powiedzić, że te wysyłanie odpowiedzi + musi być ciągłe. Inaczej po zaprzestaniu wysyłania tych odpowiedzi, + komunikacja po kilku minutach wrócić do normy. Tego typu działanie + jest właśnie, zatruciem ARP. Fałszowowanie ma na celu najczęściej + zmianę trasy ruchu sieciowego, więc tutaj używa się komunikatu + gratisowego ARP, który jest częścią standardu + ARP. Jego wykorzystanie różni się tym, że przy normalnej komunikacji + host ofiary nie zapyta o adres jeśli ma go w swojej tablicy ARP, ale + w przypadku pakietu gratisowego, host ofiary musi aktualizować wpis, + którego on dotyczy. +

+

+ Przed atakami na ARP, jest się ciężko obronić. Ponieważ te funkcję, + które uważamy za słabe, są jego częścia. Nie mniej jednak Cisco + posiada metodę zwaną DAI - Dynamiczną inspekcją ARP. + DAI do swojego działania wymaga DHCP Snoopingu. Podobnie tak jak + w przypadku DHCP wybieramy zaufany, który nie będzie sprawdzany. + Następnie możemy ustawić inspekcję ARP dla konkretnego VLAN lub całego + przełącznika, możemy wybrać dodatkowo sprawdzany kryterium czy + sprawdzany ma być adres MAC źródłowy czy docelowy. +

+

+ Atak fałszowania adresów, może pozwolić atakującemu na przejście przez + zaporę sieciową. Atak ten polega na wygenrowaniu zarówno ramek i jak + i pakietów IP ze sfałszowanymi informacjami. Dodatkowo pamiętając + jak działają przełączniki, to możebyć wielce prawdopodbne, otrzymamy + odpowiedź na sfałszowany adres, gdyż przełącznik zapisze w tablicy MAC, + że ten komputer jest podłączony do takiego portu. +

+

+ Przed spoofingiem może ochronić nas mechanizm + IPSG - IP Source Guard. +

+

+ Ostatnim omawianym atakiem jest atak na STP. Intruz może chcieć + manipulować protokołem w celu wymuszenia zmiany mostu głównego, aby + moc przechwytywać ruch z sieci. Dokonuje on tego po przez wysłanie + komunikatu BPDU, zawierającego BID o bardzo niskim piorytecie. Wówczas + trasy zostaną ponownie przeliczone, a atakujący uzyska dostęp do naszej + transmisji. +

+

+ Sposobem na zapobiegnięcie takiemu obiegowi sprawy, należy na + na portach dostępowych uruchomić mechanizmy takie jak + PortFast czy BPDU Guard. Reagują one + na pojawieni się na porcie komunikatu BPDU. Najczęściej port jest + blokowany w stan err-disabled, po tym jak kolwiek komunikacja + zostanie zaprzestana z hostem podłączonym do niego. +

+

Podsumowanie

+

+ W tym rozdziale zapoznaliśmy się koncepcjami bezpieczeństwa wartswy + drugiej. Dowiedzieliśmy się jak są rodzaje ataków i środki zaradcze. + Na koniec szerzej omówiliśmy każdy z rodzajów ataków, aby mieć ich + obraz podczas konfiguracji.