[Ред] Безпека канального рівня
[Ред] CAM table overflow
використовувати. Таблиця комутації заповнюється і після цього комутатор працює як хаб.
Це означає, що після виконання атаки, підключившись до будь-якого порту комутатора, можна перехоплювати весь трафік в межах широкомовного домену, якому належить порт.
Атаку можна виконати, наприклад, за допомогою утиліти macof, яка входить в dsniff.
Атака сама по собі не впливає на роботу VLAN. але може бути основою для виконання подальших атак на VLAN або інших типів атак.
[Ред] Приклад виконання атаки
Спочатку на трьох комутаторах почистити таблиці комутації:
Після цього почати атаку. Атака за допомогою macof утиліти, яка входить в dsniff:
Після цього комутатор працює як хаб.
Якщо пінгануть з машини одного студента машину іншого або маршрутизатор, то трафік бачать все в одному широкомовному домені.
[Ред] Захист від атаки
Функція port security.
[Ред] STP Manipulation
Відправка BPDU кореневого комутатора:
[Ред] BPDU Guard
Переклад в режим portfast всіх access портів:
Подивитися сумарну інформацію про включені функції:
Подивитися включений portfast на порту:
Включення bpduguard на всіх портах portfast:
[Ред] Root Guard
The root guard ensures that the port on which root guard is enabled is the designated port. Normally, root bridge ports are all designated ports, unless two or more ports of the root bridge are connected together. If the bridge receives superior STP Bridge Protocol Data Units (BPDUs) on a root guard-enabled port, root guard moves this port to a root-inconsistent STP state. This root-inconsistent state is effectively equal to a listening state. No traffic is forwarded across this port. In this way, the root guard enforces the position of the root bridge.
Якщо на інтерфейсі не повинні з'являтися повідомлення кореневого комутатора, то на ньому можна налаштувати Root Guard:
[Ред] Відмінності між STP BPDU Guard і STP Root Guard
BPDU guard and root guard are similar, but their impact is different. BPDU guard disables the port upon BPDU reception if PortFast is enabled on the port. The disablement effectively denies devices behind such ports from participation in STP. You must manually reenable the port that is put into errdisable state or configure errdisable-timeout.
Root guard allows the device to participate in STP as long as the device does not try to become the root. If root guard blocks the port, subsequent recovery is automatic. Recovery occurs as soon as the offending device ceases to send superior BPDUs.
[Ред] DHCP attack
DHCP starvation DHCP spoofing
[Ред] DHCP Snooping
[Ред] ARP-spoofing (ARP-poisoning)
[Ред] VLAN Trunking Protocol
[Ред] Cisco Network Foundation Protection
[Ред] Control Plane
[Ред] Control Plane Protection
Aggregate CoPP - коли включається CPPr, настройки CoPP залишаються. CoPP застосовується до всього трафіку. А CPPr ділить трафік на класи, і відповідно обробляє його (якщо СoPP його пропустила). CPPr дозволяє виконувати більш тонкі налаштування. З CPPr на будь-який з подинтерфейсах може бути застосована CoPP.
CPPr виділяє три подинтерфейсах:
- Control-plane host subinterface
- Control-plane transit subinterface
- Control-plane CEF-exception subinterface
- CoPP
- Port Filter - дозволяє раніше виявляти і відкидати трафік, який йде на закриті порти. Використовується, наприклад, для того щоб запобігти DoS-атаки на пристрій.
- Queue Thresholding - функція запобігає перевантаження вхідній черзі трафіком одного протоколу.
Який трафік потрапляє в цей інтерфейс
Функції CPPr, які можуть бути застосовані
[Ред] Налаштування CoPP
Підтримуються такі критерії для класифікації в class-map:
- стандартні і розширені ACL,
- match ip dscp,
- match ip precedence,
- match protocol arp.
У policy-map, яка використовується для CoPP, такі обмеження:
- дії:
- drop
- police (transmit)?
- Політика може застосовуватися в вихідному напрямі тільки в Aggregate CoPP.
- У вхідному напрямку політики можуть застосовуватися в подинтерфейсах і в Aggregate CoPP.
Застосування політики до host-подинтерфейсах:
[Ред] Налаштування Port Filter Policy
Критерії для class-map type port-filter:
Приклад настройки class-map для фільтрації портів:
Налаштування policy-map (єдине можливе дію drop):
Застосування політики до host-подинтерфейсах:
Створення правила інспектування:
Застосування правила інспектування на інтерфейсі:
[Ред] Налаштування таймерів
Значення таймерів за замовчуванням:
Час очікування установки TCP-з'єднань (за замовчуванням 30 секунд):
Час очікування завершення TCP-з'єднань (за замовчуванням 5 секунд):
Час очікування до завершення неактивного TCP-з'єднання (за замовчуванням 5 секунд):
Обмеження для незавершених з'єднань. Якщо кількість незавершених з'єднань буде більш ніж верхній (high) поріг 800, то вони будуть віддалятися до тих пір поки не досягнуть нижнього (low) порога 600:
Обмеження на незавершені з'єднання від хоста.
[Ред] CBAC і Java
ACL, який вказує з яких мереж дозволено проходження Java:
Налаштування правила інспектування:
[Ред] Cisco IOS Classic Firewall
[Ред] Cisco IOS Zone-Based Policy Firewall
Zone-Based Policy Firewall - новий підхід Cisco до налаштування правил брандмауера на маршрутизаторі. В його основі лежить розподіл інтерфейсів маршрутизатора по зонам безпеки. Після цього всі правила налаштовуються для взаємодій між зонами.
Такий підхід полегшує налаштування правил брандмауера. Крім того в Zone-Based Policy Firewall використовується Cisco Policy Language (CPL), яка дозволяє більш гнучко, ніж в попередніх версіях брандмауера, налаштовувати правила фільтрації трафіку.
Zone-Based Policy Firewall з'явився починаючи з IOS 12.4 (6) T.