Bezpecnost sietovych zariadeni, cast II.

21.03.2003 16:02 | blackhole

Abstract
Kedze v komentaroch k prvej casti sa objavili navrhy na temu Layer 2, rozhodol som sa ze zmenim povodny zamer a vyhoviem.
Bezpecnost na LAN je velmi dolezita, pretoze utoky na L2 sa mozu vyskytovat castejsie ako na L3. Ako priklad mozme uviest DMZ, kde su servre pripojene na jeden segment. Treba si uvedomit ze tu neplatia access-list na L3. Tu sa pohybujeme na urovni ramcov a MAC adries. Kedze v sucasnoti uz mame na backbonoch LAN alebo CAMPUS sieti vykonne switche, je mozne pomerne jednoduchym sposobom nastavit zakladne bezpecnostne pravidla.

Zakladne pravidla Layer 2 bezpecnosti
1. pomocou VLAN rozdelite switch na viac nezavislych broadcastovych domen. Komunikacia medzi VLANs je zabezpecena v sucasnoti najma pomocou routrov (externe, interne). Tymto dostavate moznost nastavit L3 filtre na definovanie pravidiel komunikacie medzi VLANs. Zakladnym predpokladom na dobry design LAN siete, je perfektne porozumiet VLANs.
2. ak mate na switchoch porty ktore nepouzivate, vypnite ich, alebo ich priradte do VLANy, ktora je na to urcena a nema L3 connectivitu.
3. VLAN neposkytuju ziadny bezpecnostny mechanizmus pre skupinu zariadeni v jednej VLAN. VLAN protokol nebol primarne stavany z bezpecnostou ako hlavnym zamerom.
4. Kedze VLANs nemaju bezpecnostne vlastnosti, zariadenia z roznou urovnou bezpecnosti pripajajte na separatne switche, nikdy nie do roznych VLAN v ramci jedneho switchu.
5. odporucam na maximalnu moznu mieru obmedzit L3 connectivtu (telnet, HTTP) do switchov.
6. na portoch kde nepotrebujes mat trunk, zakaz tuto moznost. Defaultne su porty v auto mode a ak utocnik priamo pripojeny do portu switchu pouzije ISL alebo 802.1q moze ziskat pristup do vsetkych VLANs.
7. pri definovani trunkov, nastav iba potrebne VLANs (nie vsetky) pre prechod cez trunk.

Port Security
Catalyst switche umoznuju nastavit na porte konkretnu alebo skupinu MAC adries. V pripade ze do portu pride packet z inou MAC adresou je dropnuty alebo sa port sam shutdowne na definovany cas. Toto je zakladny mechanizmus na ochranu proti MAC address floods attack.
konkretna MAC adresa na porte:

switch(config-if)#mac-address aaaa.bbbb.cccc

maximalny pocet MAC adries na porte:

switch(config-if)#port security max-mac-count [cislo 1-132]

v pripade prekrocenia definovanych pravidiel je mozne vykonat akciu, napr. shutdown portu:

switch(config-if)#port security action shutdown

tak isto je mozne kontrolovat typ trafficu (unicast, broadcast,
multicast):

switch(config-if)#port storm-control broadcast threshold rising [paket/sec]

V pripade prekrocenia poctu broadcastovych paketov za sekundu, switch bude broadcast pakety dropovat. Dodatocnym parametrom je mozne nastavit pri akom pocte paketov za sekundu sa port vrati do normalneho stavu.

Priklady su z IOS verzie pre switche. Podobne bezpecnostne prikazy su aj na CatalystOS verzii.

Private VLANs
Private VLANs prinasaju do Layer2 elementy bezpecnosti. Dovoluju 3 druhy portov:

-promiscuous port-komunikuje zo vsetkymi ostatnymi vo VLAN, urceny hlavne pre default gateway.

-isolated port-komunikuje iba s promiscuous portami v ramci VLAN

-community port-komunikuje iba s promiscuous portami a portami v rovnakej community v ramci VLAN (napr. port v community 1, bude komunikovat s portami v community 1, ale nie z portami v community 2

Samozrejme toto ma priaznivy dopad aj na ochranu proti ARP spoofingu. Pretoze utocnik nevidi vsetky stanice na VLANe a switch ignoruje ARP a neupdateuje CAM tabulku.

Tato vlastnost je pristupna na CAT6000.

Port Authentication pouzitim 802.1x
Princip je ze port nastavite do modu pre athentication. Ak sa niekto pripoji k tomuto portu, switch posle do authentication servra (RADIUS, TACACS+, Kerberos) spravu. Server bud potvrdi alebo zamietne pripojenie. V pripade potvrdenia posle informaciu do ktorej VLAN bude port priradeny.

Toto je tak isto mozne len na Catalystoch vyssej triedy.

Access do switchu
plati vsetko to co bolo v casti I. pre routre.

next part
prosim poslite do komentarov alebo na kirschner@pobox.sk navrhy co Vas zaujima.

Erik Kirschner, www.freewebs.com/monacoErik Kirschner