Безопасность Cisco. Безопасность CISCO. Cam table overflow
 Скачать 31.43 Kb.
|
|
CAM table overflow ограничено использовать. Таблица коммутации заполняется и после этого коммутатор работает как хаб. Это значит, что после выполнения атаки, подключившись к любому порту коммутатора, можно перехватывать весь трафик в пределах широковещательного домена, которому принадлежит порт. Это не касается тех записей в таблице коммутации, которые были до начала выполнения атаки. Трафик к компьютерам, MAC-адреса которых уже были в таблице коммутации, отправляется не широковещательно. Атаку можно выполнить, например, с помощью утилиты macof, которая входит в dsniff. Атака сама по себе не влияет на работу VLAN, но может быть основой для выполнения последующих атак на VLAN или других типов атак. [править] Пример выполнения атаки Сначала на трех коммутаторах почистить таблицы коммутации: SW_1# clear mac address-table dynamic После этого начать атаку. Атака с помощью macof утилиты, которая входит в dsniff: macof -i eth1 После этого коммутатор работает как хаб. Если пингануть с машины одного студента машину другого или маршрутизатор, то трафик видят все в одном широковещательном домене. [править] Защита от атаки Функция port security. [править] STP Manipulation Отправка BPDU корневого коммутатора: sudo yersinia stp -attack 4 -interface eth1 [править] BPDU Guard Перевод в режим portfast всех access портов: SW_1(config)#spanning-tree portfast default Посмотреть суммарную информацию о включенных функциях: SW_1#sh spanning-tree summ Switch is in rapid-pvst mode Root bridge for: VLAN0010 Extended system ID is enabled Portfast Default is enabled PortFast BPDU Guard Default is disabled Portfast BPDU Filter Default is disabled Loopguard Default is disabled EtherChannel misconfig guard is enabled UplinkFast is disabled BackboneFast is disabled Configured Pathcost method used is short Name Blocking Listening Learning Forwarding STP Active ---------------------- -------- --------- -------- ---------- ---------- VLAN0001 0 0 0 4 4 VLAN0010 0 0 0 2 2 ---------------------- -------- --------- -------- ---------- ---------- 2 vlans 0 0 0 6 6 Посмотреть включен ли portfast на порту: SW_1#sh spanning-tree interface fa 0/10 portfast VLAN0001 disabled VLAN0010 disabled SW_1#sh spanning-tree interface fa 0/2 portfast VLAN0001 enabled Включение bpduguard на всех портах portfast: SW_3(config)#span portfast bpduguard default [править] Root Guard The root guard ensures that the port on which root guard is enabled is the designated port. Normally, root bridge ports are all designated ports, unless two or more ports of the root bridge are connected together. If the bridge receives superior STP Bridge Protocol Data Units (BPDUs) on a root guard-enabled port, root guard moves this port to a root-inconsistent STP state. This root-inconsistent state is effectively equal to a listening state. No traffic is forwarded across this port. In this way, the root guard enforces the position of the root bridge. Если на интерфейсе не должны появляться сообщения корневого коммутатора, то на нем можно настроить Root Guard: SW_1(config-if)#spanning-tree guard root [править] Отличия между STP BPDU Guard и STP Root Guard BPDU guard and root guard are similar, but their impact is different. BPDU guard disables the port upon BPDU reception if PortFast is enabled on the port. The disablement effectively denies devices behind such ports from participation in STP. You must manually reenable the port that is put into errdisable state or configure errdisable-timeout. Root guard allows the device to participate in STP as long as the device does not try to become the root. If root guard blocks the port, subsequent recovery is automatic. Recovery occurs as soon as the offending device ceases to send superior BPDUs. [править] DHCP attack DHCP starvation DHCP spoofing [править] DHCP Snooping Основная страница: DHCP snooping [править] ARP-spoofing (ARP-poisoning) [править] VLAN Trunking Protocol [править] VLAN Management Policy Server (VMPS)/ VLAN Query Protocol (VQP) [править] Cisco Discovery Protocol (CDP) [править] Storm Control switch(config-if)# storm-control bps bps [bps-low] | pps pps [pps-low]> switch(config-if)# storm-control action switch# show storm-control [broadcast | multicast | unicast] [1] [править] Private VLAN (PVLAN) [править] Безопасность VLAN Основная страница: Безопасность VLAN [править] VLAN Hopping Поднятие транка (атака с использованием протокола DTP). Отправка сообщения DTP для поднятия транка между компьютером атакующего и коммутатором: sudo yersinia dtp -attack 1 -interface eth1 Двойное тегирование фрейма [править] Уязвимости PVLAN [править] Port Security Основнаястраница: Port security [править] IP Source Guard [править] Dynamic ARP Inspection Основнаястраница: Dynamic ARP Inspection [править] Аутентификация при доступе к сети Основная страница: Аутентификация при доступе к сети [править] Cisco Network Foundation Protection [править] Control Plane [править] Control Plane Protection Control Plane Protection Control Plane Policing Implementation Best Practices Understanding Control Plane Protection Control Plane Protection inbound packet classification Aggregate CoPP -- когда включается CPPr, настройки CoPP остаются. CoPP применяется ко всему трафику. А CPPr делит трафик на классы, и соответственно обрабатывает его (если СoPP его пропустила). CPPr позволяет выполнять более тонкие настройки. С CPPr на любой из подынтерфейсов может быть применена CoPP. CPPr выделяет три подынтерфейса: Control-plane host subinterface Control-plane transit subinterface Control-plane CEF-exception subinterface Функции CPPr: CoPP Port Filter -- позволяет раньше обнаруживать и отбрасывать трафик, который идет на закрытые порты. Используется, например, для того чтобы предотвратить DoS-атаки на устройство. Queue Thresholding -- функция предотвращает перегрузку входящей очереди трафиком одного протокола.
[править] Настройка CoPP Поддерживаются такие критерии для классификации в class-map: стандартные и расширенные ACL, match ip dscp, match ip precedence, match protocol arp. В policy-map, которая используется для CoPP, такие ограничения: Действия: drop police (transmit)? Политика может применяться в исходящем направлении только в Aggregate CoPP. Во входящем направлении политики могут применяться в подынтерфейсах и в Aggregate CoPP. Применение политики к host-подынтерфейсу: dyn1(config)# control-plane host dyn1(config-cp-host)# service-policy input TESTP [править] Настройка Port Filter Policy Критерии для class-map type port-filter: closed-ports not port Пример настройки class-map для фильтрации портов: dyn1(config)# class-map type port-filter match-all PF dyn1(config-cmap)# match closed-ports Настройка policy-map (единственное возможное действие drop): dyn1(config)# policy-map type port-filter PF_POL Применение политики к host-подынтерфейсу: dyn1(config)# control-plane host dyn1(config-cp-host)# service-policy input PF_POL
[править] Management Plane Role-Based CLI Access [править] Data Plane [править] VPN [править] IPsec в Cisco Основная страница: IPsec в Cisco [править] Настройка IPsec VPN с pre-shared keys Основная страница: Cisco ipsec preshared [править] Настройка IPsec VPN с PKI [править] DMVPN Основная страница: Настройка DMVPN на маршрутизаторах Cisco [править] WebVPN Основная страница: Cisco Web VPN [править] Easy VPN Основная страница: Cisco Easy VPN [править] ACL Основная страница: Cisco ACL [править] Проверка Reverse Path Forwarding (RFP) dyn1(config-if)# ip verify unicast source reachable [править] Cisco IOS Firewall [править] Context-based Access Control (CBAC) Создание правила инспектирования: dyn1(config)# ip inspect name GEN tcp dyn1(config)# ip inspect name GEN udp dyn1(config)# ip inspect name GEN icmp Применение правила инспектирования на интерфейсе: dyn1(config)# interface FastEthernet0/0 dyn1(config-if)# ip inspect GEN in [править] Настройка таймеров Значения таймеров по умолчанию: dyn1#sh ip inspect config Session audit trail is disabled Session alert is enabled one-minute (sampling period) thresholds are [unlimited : unlimited] connections max-incomplete sessions thresholds are [unlimited : unlimited] max-incomplete tcp connections per host is unlimited. Block-time 0 minute. tcp synwait-time is 30 sec -- tcp finwait-time is 5 sec tcp idle-time is 3600 sec -- udp idle-time is 30 sec tcp reassembly queue length 16; timeout 5 sec; memory-limit 1024 kilo bytes dns-timeout is 5 sec Inspection Rule Configuration Inspection name GEN tcp alert is on audit-trail is off timeout 3600 udp alert is on audit-trail is off timeout 30 icmp alert is on audit-trail is off timeout 10 Время ожидания установки TCP-соединений (по умолчанию 30 секунд): dyn1(config)# ip inspect tcp synwait-time 20 Время ожидания завершения TCP-соединений (по умолчанию 5 секунд): dyn1(config)# ip inspect tcp finwait-time 8 Время ожидания до завершения неактивного TCP-соединение (по умолчанию 5 секунд): dyn1(config)# ip inspect tcp idle-time 900 dyn1(config)# ip inspect dns-timeout 8 Ограничения для незавершенных соединений. Если количество незавершенных соединений будет более чем верхний (high) порог 800, то они будут удаляться до тех пор пока не достигнут нижнего (low) порога 600: dyn1(config)# ip inspect max-incomplete low 600 dyn1(config)# ip inspect max-incomplete high 800 Ограничения на незавершенные соединения от хоста. [править] CBAC и Java ACL для блокирования Java должен быть стандартным, Если примененный ACL не существует, то Java будет заблокирована со всех адресов, CBAC на может обнаружить Java апплеты, которые находятся внутри архивов или передаются по FTP, Gopher или нестандартным HTTP портам. ACL, который указывает из каких сетей разрешено прохождение Java: dyn1(config)# access-list 3 permit 192.168.1.0 0.0.0.255 Настройка правила инспектирования: dyn1(config)# ip inspect name Java http java-list 3 alert on audit-trail on |
