1
BCMSN Module 6 – Securing the Campus infrastructure
Module 6: Bezpečnosť prepínaných sietí
2
Zabezpečenie campus infraštruktúry
Bezpečnosť je väčšinou tlačená na perimeter siete
Firewall, smerovač
Defaultne nastavené na zakázanie komunikácie, ktorú treba povoľovať
Prepínače
Nastavané def. na povolenie komunikácie
Veľmi vhodné na útok zvnútra
Ak kompromitujem vnútro, zvyšok pôjde rýchlo
Implementácia L2 security
3
Kategórie L2 útokov v campuse (1) Attack Method Description Steps to Mitigation
MAC Layer Attacks
MAC Address
Flooding
Frames with unique, invalid source MAC
addresses flood the switch, exhausting
content addressable memory (CAM) table
space, disallowing new entries from valid
hosts. Traffic to valid hosts is subsequently
flooded out all ports.
Port security. MAC address
VLAN access maps.
VLAN Attacks
VLAN Hopping By altering the VLAN ID on packets
encapsulated for trunking, an attacking
device can send or receive packets
on various VLANs, bypassing Layer 3
security measures.
Tighten up trunk configurations
and the negotiation state
of unused ports.
Place unused ports in a
common
VLAN.
Attacks between
Devices on a
Common VLAN
Devices might need protection from
one another, even though they are on
a common VLAN. This is especially
true on service-provider segments that
support devices from multiple customers.
Implement private VLANs
(PVLAN).
4
Kategórie L2 útokov v campuse (2)
Attack Method Description Steps to Mitigation
Spoofing Attacks
DHCP Starvation
and DHCP
Spoofing
An attacking device can exhaust the
address space available to the DHCP
servers for a period of time or establish
itself as a DHCP server in man-in-the-
middle attacks.
Use DHCP snooping.
Spanning-tree
Compromises
Attacking device spoofs the root
bridge in the STP topology. If
successful, the network attacker
can see a variety of frames.
Proactively configure the
primary and backup root
devices. Enable root guard.
MAC Spoofing Attacking device spoofs the MAC
address of a valid host currently
in the CAM table. The switch then
forwards frames destined for the
valid host to the attacking device.
Use DHCP snooping, port
security.
Address Resolution
Protocol (ARP)
Spoofing
Attacking device crafts ARP replies
intended for valid hosts. The
attacking device’s MAC address
then becomes the destination
address found in the Layer 2 frames
sent by the valid network device.
Use Dynamic ARP Inspection
(DAI), DHCP snooping, port
security.
5
Kategórie L2 útokov v campuse (3)
Attack Method Description Steps to Mitigation
Switch Device Attacks
Cisco Discovery Protocol
(CDP) Manipulation
Information sent through CDP is
transmitted in clear text and
unauthenticated, allowing it to be
captured and divulge network
topology information.
Disable CDP on all ports where
it is not intentionally used.
Secure Shell Protocol
(SSH) and Telnet Attacks
Telnet packets can be read in
clear
text. SSH is an option but has
security issues in version 1.
Use SSH version 2.
Use Telnet with vty ACLs.
6
Zabezpečenie L2 infraštruktúry
Core Nie je vhodné implementovať
bezpečnostné mechanizmy
Musí rýchlo spracovávať pakety/rámce
Distribution Vykonáva inter VLAN routing
Vhodné aplikovať packet filtering.
Access
Riadenie prístupu do siete na úrovni portu
Server farm Poskytuje aplikačné služby
Vhodné aplikovať sieťový manažment
7
MAC layer attacks
Útoky na CAM
8
CAM činnosť - Hrozba
Bežný postup učenia sa L2 prepínača – Budovanie CAM
Hrozba
Veľkosť CAM tabuľky a početnosť položiek v nej je obmedzená
9
Útok na CAM – CAM overflow Útočník zasielaním
veľkého počtu rámcov s rôznymi falošnými zdrojovými MAC adresami spôsobí zaplnenie CAM
Macof, yersinia
Nové položky nie je kam písať
Útok často realizovaný pred začatím práce väčšiny
Prepínač začne tieto rámce záplavovo šíriť
10
Realizácia - macof
Príkaz
macof –i eth0
Agresívnejší režim (výpis
do dev/null)
Macof –i eth1 2>/dev/null
macof -i eth0
9:9e:3b:44:5:20 bd:35:99:23:1d:80 0.0.0.0.41911 > 0.0.0.0.3042: S 535014429:535014429(0) win 512
77:3e:75:40:79:fd 83:78:23:47:5e:6d 0.0.0.0.37577 > 0.0.0.0.16073: S 1654749076:1654749076(0) win 512
1d:2b:8c:65:14:ed 2:ce:2e:1a:8e:3e 0.0.0.0.39944 > 0.0.0.0.65129: S 902864306:902864306(0) win 512
9e:91:d4:77:97:b6 c3:41:e8:33:c9:e2 0.0.0.0.17930 > 0.0.0.0.23148: S 73203385:73203385(0) win 512
f0:78:1f:59:2:82 86:4e:ff:40:b6:11 0.0.0.0.17666 > 0.0.0.0.555: S 1988508690:1988508690(0) win 512
b9:8a:3e:6d:41:c3 6f:40:de:4b:28:60 0.0.0.0.61444 > 0.0.0.0.40408: S 370775209:370775209(0) win 512
d7:ea:a7:8:35:34 66:b0:b8:49:2a:69 0.0.0.0.24670 > 0.0.0.0.56585: S 115082340:115082340(0) win 512
ee:73:27:7b:4f:dd 23:83:53:62:9a:fe 0.0.0.0.29291 > 0.0.0.0.46088: S 1238142262:1238142262(0) win 512
df:56:62:7c:fa:4e e0:a2:65:45:8f:df 0.0.0.0.35816 > 0.0.0.0.40744: S 224492172:224492172(0) win 512
af:ba:0:28:6c:7b cb:34:15:36:ce:dc 0.0.0.0.36257 > 0.0.0.0.17653: S 1640037673:1640037673(0) win 512
2a:1f:3f:9:ff:cd 85:a:ad:6b:e1:d 0.0.0.0.58040 > 0.0.0.0.16133: S 2028675158:2028675158(0) win 512
11
CAM table - Full
Ak nastane preplnenie CAM tabuľky
Prevádzka bez položky v CAM je floodovaná na všetky porty danej VLAN
Tento útok preplní CAM tabuľky aj ostatných prepínačov
12
Potieranie útokov na CAM a riadenie
prístupu do prepínanej siete
= Port Security
13
Riadenie prístupu k prepínanej sieti
Častým (a často neželaným) javom je nekontrolované pripájanie zariadení k prepínanej sieti
Nové notebooky, PC, prístupové body, routery, PDA, ...
Úlohou prepínačov v prístupovej vrstve je aj ochrana prístupu do siete
Prepínače Cisco ponúkajú niekoľko mechanizmov na riadenie prístupu k prepínanému portu
Port Security
Autentifikácia 802.1X
Network Admission Control (nie je predmetom tohto kurzu)
14
Port Security
Funkcia Port Security umožňuje na porte definovať zoznam tzv. bezpečných (secure) MAC adries
Zabezpečený port povolí komunikovať len staniciam, ktorých MAC adresa sa nachádza v zozname
Bezpečné adresy môžu byť troch druhov:
Static secure MAC: manuálne nakonfigurovaná adresa
Nachádza sa v konfigurácii aj v CAM tabuľke
Po reštarte prepínača sa opätovne načíta z uloženej konfigurácie
Dynamic secure MAC: dynamicky získaná adresa z CAM
Nachádza sa len v CAM tabuľke
Po odpojení portu alebo reštarte prepínača sa stráca
Sticky secure MAC: hybrid medzi statickou a dynamickou adresou
Získava sa dynamicky, no prepínač automaticky vygeneruje záznam do bežiacej konfigurácie
Nachádza sa v konfigurácii aj v CAM tabuľke
Po reštarte prepínača sa opätovne načíta z uloženej konfigurácie
15
Port Security
Na porte je možné definovať maximálny počet bezpečných adries
Statické adresy sa započítavajú do počtu bezpečných adries
Prepínač automaticky pridá každú novú neznámu MAC adresu do zoznamu bezpečných adries ako dynamickú resp. sticky
Ak by sa však pridaním novej adresy prekročil maximálny počet bezpečných adries, nastáva tzv. porušenie bezpečnosti (security violation)
Na bezpečnostné porušenie možno zareagovať trojakým spôsobom
Protect: rámec s nepovolenou MAC adresou sa zahodí
Restrict: rámec s nepovolenou MAC adresou sa zahodí a zároveň sa incident zaznamená (hláška na konzolu, syslog, SNMP trap...)
Shutdown: port sa pri prijatí rámca s nepovolenou MAC adresou automaticky uvedie do stavu err-disabled
16
Konfigurácia Port Security
Port Security sa konfiguruje individuálne na prepínaných portoch
Odporúčaný postup:
Port nastaviť do režimu „access“ alebo „trunk“
Nevyhnutné – Port Security nie je podporovaná na dynamických portoch
Nastaviť maximálny povolený počet MAC adries
Nepovinné, predvolený počet je 1
Definovať statické bezpečné adresy, prípadne sticky learning
Nepovinné
Určiť reakciu pri porušení bezpečnosti
Nepovinné, predvolená reakcia je shutdown
Určiť spôsob expirácie bezpečných adries
Nepovinné. Bez dodatočného nastavenia statické a sticky adresy neexpirujú vôbec, dynamické expirujú až pri odpojení portu
Aktivovať port security
Nevyhnutné a často prehliadnuté!
17
Konfigurácia a kontrola Port Security
Sw(config)# interface fa0/2
Sw(config-if)# switchport mode access
Sw(config-if)# switchport port-security maximum 5
Sw(config-if)# switchport port-security mac-address 001c.2320.3a28
Sw(config-if)# switchport port-security violation restrict
Sw(config-if)# switchport port-security aging time 10
Sw(config-if)# switchport port-security
Sw# show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
---------------------------------------------------------------------------
Fa0/2 5 3 0 Restrict
---------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 2
Max Addresses limit in System (excluding one mac per port) : 8192
18
Konfigurácia a kontrola Port Security
Sw# show port-security address
Secure Mac Address Table
------------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
1 0011.2233.4455 SecureConfigured Fa0/2 -
1 00e0.4c3b.b787 SecureDynamic Fa0/2 8
1 0200.0000.0001 SecureDynamic Fa0/2 8
------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 2
Max Addresses limit in System (excluding one mac per port) : 8192
19
Konfigurácia a kontrola Port Security
Sw# show port-security interface fa0/2
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Restrict
Aging Time : 10 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 5
Total MAC Addresses : 3
Configured MAC Addresses : 1
Sticky MAC Addresses : 0
Last Source Address:Vlan : 00e0.4c3b.b787:1
Security Violation Count : 0
20
Port security s VoIP
VoIP telefóny môžu používať 2 až 3 MAC adresy
Podľa HW
Ak používajú CDP tak tri
Ak nepoužívajú CDP tak dve
Zváž akciu pri porušení na
Vhodné Restrict
Akceptovateľné shutdown (podľa politík)
Cieľom nie je riadiť prístup ale ochrániť službu a prepínač
21
Konfigurácia
Sw(config)# interface fa0/2
Sw(config-if)# switchport port-security
Sw(config-if)# switchport port-security maximum 3
Sw(config-if)#
! Umozni VoIP aj v podmienkach utoku
Sw(config-if)# switchport port-security violation
restrict
!nastav aging poloziek na 2 minuty neaktivity
Sw(config-if)# switchport port-security aging time 2
Sw(config-if)# switchport port-security aging type
inactivity
22
Konfigurácia – nové IOS switchport port-security
switchport port-security maximum 1 vlan voice
switchport port-security maximum 1 vlan access
! Static pre voice vlan
switchport port-security mac-address
0000.0000.0004 vlan voice
! Umozni VoIP aj v podmienkach utoku
switchport port-security violation restrict
! Aging dynamickych poloziek po 2 minutach
! neaktivity
switchport port-security aging time 2
switchport port-security aging type inactivity
• Nastavenie max. počtu povolených MAC adries per port a VLAN
23
Port Security – záverečné poznámky
Port Security je dobrou ochranou proti MAC floodingu
Generovanie rámcov s náhodnými MAC odosielateľa a prepĺňanie CAM
Akonáhle je na porte aktivovaná Port Security, naučené adresy v CAM sa konvertujú na bezpečné adresy
Ak je počet adries na porte v CAM vyšší než povolený počet bezpečných adries, dôjde k bezpečnostnému porušeniu
Príkaz no switchport port-sec mac-addr sticky odstráni z konfigurácie aj všetky sticky MAC adresy
V CAM tieto adresy zostanú s povahou dynamic secure MAC adries
Na portoch, kde je definovaná Voice VLAN, je potrebné nastaviť počet povolených MAC adries aspoň na 2
Kurikulum uvádza, že statické MAC a sticky learning nie je možné použiť na portoch s Voice VLAN
Toto obmedzenie platí pre 2950 vo všetkých verziách IOSu
Na 3550 toto obmedzenie neplatí od verzie IOSu 12.2(25)SEB
Na 2960 a 3560 toto obmedzenie neplatí od verzie IOSu 12.2(25)SEC
24
Blocking Uni/Multicast Flooding – Blocking port
Prepínače rady Cisco Catalyst môžu obmedziť flooding tokov neznámych multicast MAC alebo unicast MAC adries z daného portu na iné
Vhodné ak
• máme staticky definované položky v CAM
• máme staticky alebo sticky definované bezpečné MAC adresy
4503# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
4503(config)# interface FastEthernet 3/22
! Block unknown unicast forwarding out of the port.
4503(config-if)# switchport block unicast
! Block unknown multicast forwarding out of the port.
4503(config-if)# switchport block multicast
25
Storm control
storm-control {broadcast | multicast | unicast}
level {level [level-low] | bps bps [bps-low] |
pps pps [pps-low]}
storm-control action {shutdown | trap}
show storm-control [interface-id] [broadcast |
multicast | unicast]
! Ak podiel bcastu na porte presiahne 20%
! Prepinac blokne vsetok broadcast na
! dobu traffic-storm-control interval, def. 1s
Switch# configure terminal
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# storm-control broadcast level
20
26
Storm control
! Ak podiel unicastu na porte presiahne 87%
! Prepinac blokne vsetok unicat kym ten neklesne
! pod 65%
Switch# configure terminal
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# storm-control unicast level 87
65
27
Ochrana voči útokom na VLAN
Ochrana integrity VLAN
28
VLAN Hopping
Existuje niekoľko druhov útokov, ktoré sa snažia spôsobiť, aby rámec zo stanice v istej VLAN „pretiekol“ do inej VLAN
Nie vždy musí existovať cesta nazad
To však nie je nutne problém – napr. pri TCP SYN Flood Attack
Dva najbežnejšie vektory útoku:
Útok na DTP (Switch Spoofing)
Dvojité značkovanie pri 802.1Q (Double tagging)
29
Switch Spoofing - Útok na DTP
Útoky na DTP spočívajú v snahe prinútiť dynamický port prejsť do režimu trunk
Pripojením útočníkovho PC a napodobnením DTP paketu
DTP je síce proprietárny, ale nie je ťažké napodobiť jeho paket
yersinia
Pripojením svojho prepínača
Ktorý vytvorí trunk
Trunk = All
VLAN mamber
30
Switch Spoofing – Ochrana voči DTP útoku
Ochrana je jednoduchá
Nepoužívať dynamický režim na portoch a deaktivovať DTP
DTP je deaktivovaný na portoch, ktoré sú
Staticky nastavené ako prístupové
Staticky nastavené ako trunkové a DTP je deaktivované príkazom switchport nonegotiate
Nastavené ako smerované porty príkazom no switchport
31
Konfigurácia ochrany (1) Sw# configure terminal
Sw(config)# int gi0/1
Sw(config-if)# switchport mode access
Sw(config-if)# int gi0/23
Sw(config-if)# switchport mode trunk
Sw(config-if)# end
…
Sw# show int gi0/1 switchport
Name: Gi0/1
Switchport: Enabled
Administrative Mode: static access
Operational Mode: static access
Administrative Trunking Encapsulation: dot1q
Negotiation of Trunking: Off
…
Sw# show int gi0/23 switchport
Name: Gi0/23
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
32
Konfigurácia ochrany (2)
Sw# configure terminal
Sw(config)# int gi0/23
Sw(config-if)# switchport mode trunk
Sw(config-if)# switchport nonegotiate
Sw(config-if)# end
…
Sw# show int gi0/23 switchport
Name: Gi0/23
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: Off
33
Útok dvojitým značkovaním
Existencia natívnej VLAN v 802.1Q umožňuje ďalší druh pomerne sofistikovaného útoku
Predstavme si najprv túto situáciu:
Ako bude na Gi0/2 označkovaný rámec, ktorý...
... vošiel cez Gi0/1 bez značky?
→ Značkou 10
... vošiel cez Gi0/1 so značkou 10?
→ Značkou 10
... vošiel cez Gi0/1 so značkou 15?
→ Značkou 15
... vošiel cez Gi0/1 so značkou 20?
→ Bez značky
Gi0/1, Trunk
Native VLAN 10
Gi0/2, Trunk
Native VLAN 20
34
Útok dvojitým značkovaním
Hoci to nie je známka správneho dizajnu, v sieti môžu individuálne trunkové prepoje mať navzájom rôzne natívne VLAN
VLAN, do ktorej rámec patrí, sa na vstupnom trunkovom porte určí buď podľa hodnoty 802.1Q značky alebo podľa natívnej VLAN portu, ak značka chýba
Na výstupnom trunkovom porte sa musí rámec správne označkovať, t.j.:
Ak nepatrí do VLAN, ktorá je na výstupnom porte natívna, potom rámec musí mať značku. Ak ju doposiaľ nemal, switch ju pridá
Ak patrí do VLAN, ktorá je na výstupnom porte natívna, potom rámec nemá mať značku. Ak ju mal, switch ju odstráni
Posledný bod je kľúčový pre útok dvojitým značkovaním
35
Útok dvojitým značkovaním
Aj na prístupových portoch sú za určitých okolností akceptované označkované rámce
Rámec musí mať značku buď s číslom VLAN 0 (rámec s 802.1p prioritou) alebo s číslom VLAN, do ktorej patrí
Novšie switche (2960, 3560) naviac vyžadujú, aby na porte bola definovaná (nejaká) Voice VLAN
Pre označkovaný rámec, ktorý vošiel prístupovým portom a odchádza trunkom, platia analogické pravidlá:
VLAN, do ktorej rámec patrí, sa na vstupnom porte určí podľa nastavenia access VLAN na porte. Ak rámec mal značku, musí mať vhodnú hodnotu (0 alebo číslo access VLAN)
Na výstupnom trunkovom porte sa musí rámec správne označkovať:
Ak nepatrí do VLAN, ktorá je na výstupnom porte natívna, potom rámec musí mať značku. Ak ju doposiaľ nemal, switch ju pridá
Ak patrí do VLAN, ktorá je na výstupnom porte natívna, potom rámec nemá mať značku. Ak ju mal, switch ju odstráni
36
Útok dvojitým značkovaním
Trunk medzi switchmi má natívnu VLAN 10
Útočník vo VLAN 10 odošle rámec, ktorý má dva tagy
Vrchný má VID 10
Spodný má VID 20
Switch akceptuje tento rámec
Pretože rámec patrí do VLAN 10, ale tá je na trunku natívna, switch odstráni vrchný tag
Na ďalší switch dorazí rámec s tagom 20
Nič netušiaci switch ho spracováva vo VLAN 20
37
Ochrana proti útoku dvojitým značkovaním
Tento problém vzniká vtedy, ak je útočník v tej istej VLAN, ktorá je zároveň na nejakom trunku natívna
Spôsoby ochrany sú viaceré
Na trunkoch používať rovnakú natívnu VLAN, ktorá nikdy nebude nikde použitá ako access alebo voice VLAN
Na switchoch vyšších radov existuje v globálnom konfiguračnom režime príkaz vlan dot1q tag native
aktivujúci tagovanie všetkých VLAN na trunku vrátane natívnej
Používať ISL
Nepoužité porty umiestni do parkovacej VLAN
Zakáž auto trunking
Explicitne nakonfiguruj trunk kde má byť
38
Útoky na VTP
Útoky na VTP sa snažia neautorizovane pozmeniť VLAN databázu prostredníctvom VTP
VTP je žiaľ veľmi naivný protokol a Cisco IOS ani neposkytuje veľa možností na jeho ochranu
Odporúčané kroky:
Zabezpečiť VTP doménu netriviálnym heslom
Nepripájať stanice k trunk portom
Ak je predsa potrebné, aby bol na trunk port pripojený napr. server, ochrániť tento port pomocou MAC ACL
Cieľová MAC 01-00-0C-CC-CC-CC
Typ 0x2003
39
Spoofing a ochrana pred ním
40
Integrované vlastnosti Catalyst voči spoofing útokom Port security prevents MAC
flooding attacks.
DHCP snooping prevents client attacks on the DHCP server and switch.
Dynamic Address Resolution Protocol inspection (DAI) adds security to ARP using the DHCP snooping table to minimize the impact of ARP poisoning and spoofing attacks.
IP Source Guard (IPSG) prevents IP spoofing addresses using the DHCP snooping table.
41
Spoofing
Spoofing je snaha tváriť sa, že som niekto, kto nie som
Existuje množstvo druhov podľa použitých protokolov
My sa pozrieme na tri druhy spoofingu:
DHCP Spoofing
ARP Spoofing
IP Spoofing
V súčasnosti používané prepínače Catalyst 2950/2960 a vyššie bežne dokážu poskytnúť ochranu proti DHCP spoofingu
Proti ARP a IP spoofingu mali ochranu donedávna iba prepínače Catalyst 3550/3560 a vyššie
Od verzie IOSu 12.2(50)SE je ochrana proti ARP a IP spoofingu dostupná aj na Catalyst 2960
42
Útoky na DHCP a ochrana voči ním
43
SRC MAC: MAC A
DST MAC: FF:FF:FF:FF:FF:FF
SRC IP: ?
DST IP: 255.255.255.255
UDP
67
CIADR: ? GIADDR: ?
Mask: ? CHADDR: MAC A
Ethernet II Frame IP UDP DHCP Request
MAC: Media Access Control Address
CIADDR: Client IP Address
GIADDR: Gateway IP Address
CHADDR: Client Harware Address
DHCP činnosť
Client A
IP: ??
Server
192.168.1.254/24
SRC MAC: MAC DHCP Serv
DST MAC: MAC A
SRC IP: 192.168.1.254
DST IP: 192.168.1.10
UDP
68
CIADR: 192.168.1.10 GIADDR: 192.168.1.1
Mask: 255.255.255.0 CHADDR: MAC A
• Server dynamically assigns IP address on demand • Administrator creates pools of addresses available for assignment • Address is assigned with lease time • DHCP delivers other configuration information in options
44
DHCP činnosť (2)
45
DHCP činnosť – typy správ
46
Vyčerpanie DHCP rozsahu
Útok typu Denial of Service (DoS)
Nazývaný aj DHCP Starvation
Útočník sa snaží vyčerpať DHCP rozsah zapožičaním všetkých IP adries
Generuje množstvo DHCP Discover správ s falošnými
zdrojovými MAC adresami
yersinia
Ochrana
Port Security
IP DHCP snooping limit rate
47
DHCP spoofing – popis útoku DHCP spoofing je zapojenie neautorizovaného DHCP servera (rogue DHCP server)
do siete
Môže sa jednať o zlomyseľnú aktivitu
Podvrhnutý DHCP Server odpovedá klientom nesprávnymi parametrami
Mnohokrát však ide skôr o nedbalosť – vlastný access point, notebook so sieťovým softvérom a podobne
Útočník môže podvrhnúť:
Nesprávny default gateway
Útočník je Gateway (M-i-M)
Nesprávny DNS server
Útočník je DNS
Nesprávnu IP adresu
Útočník urobí s danou IP DoS
48
DHCP Spoofing - ochrana
Zabezpečenie DHCP by malo riešiť tieto nedostatky:
Správy od klienta (DISCOVER, REQUEST, DECLINE) sú spravidla posielané ako broadcast, takže ich dostanú všetci v spoločnej VLAN, nielen server
Správa od servera (OFFER, ACK) môže byť odoslaná ako broadcast alebo cieľová MAC nemusí byť na prepínači známa, a tak sa opäť môže dostať k nepatričným staniciam
Do siete možno bez problémov, častokrát nepozorovane pridávať nové DHCP servery
DHCP správy možno podstrkávať alebo vytvárať ich nezmyselné
49
Ochrana – DHCP snooping
DHCP Snooping je podpora na prepínačoch Catalyst, ktorá sleduje a riadi tok DHCP správ
DHCP Snooping rozoznáva dôveryhodné a nedôveryhodné porty
Na nedôveryhodných portoch sa nachádzajú stanice
Na dôveryhodných portoch alebo za nimi sa nachádzajú DHCP servery
Predvolený typ portu je nedôveryhodný
DHCP Snooping si podľa DHCP komunikácie na nedôveryhodných portoch vytvára databázu
V databáze si switch zaznamenáva MAC stanice, pridelenú IP, čas výpožičky, VLAN a port
Túto databázu neskôr využíva DHCP Snooping i ďalšie ochranné mechanizmy
Ak DHCP Snoopingom prejde DHCP správa od klienta, vloží sa do nej DHCP Option-82
Informačné pole, ktoré identifikuje, na ktorom switchi a ktorom jeho porte je tento klient pripojený
50
DHCP Option-82 - formát
DHCP Option-82 má dve časti
Circuit ID – identifikuje rozhranie, kde je klient pripojený
Remote ID – identifikuje zariadenie, kde je klient pripojený
51
Ochrana – DHCP Snooping
Ako DHCP Snooping zahadzuje DHCP správy:
Správy od DHCP servera (OFFER, ACK, NAK, LEASEQUERY) prijaté na nedôveryhodnom porte
Správy od DHCP klienta, v ktorých sa hodnota poľa chaddr v DHCP správe nezhoduje s MAC adresou odosielateľa
Správy RELEASE, DECLINE od DHCP klienta, ktorého MAC adresa v databáze je na inom porte, než ktorým správa prišla
Správy prijaté na nedôveryhodnom porte, v ktorých je adresa DHCP Relay agenta iná než 0.0.0.0 alebo v ktorých sa nachádza DHCP Option-82
Ako DHCP Snooping preposiela DHCP správy:
Správa od DHCP klienta, ktorú switch nezahodil, bude odoslaná iba cez dôveryhodný port
Správa od DHCP servera, ktorú switch nezahodil, bude na základe Option-82 odoslaná len tomu klientovi, pre koho je určená (t.j. aj ak by bol príjemca broadcast alebo neznámy)
52
Konfigurácia DHCP Snoopingu
DHCP Snooping sa jednak musí aktivovať na globálnej úrovni, jednak sa musí zapnúť pre zvolenú VLAN
Všetky porty v danej VLAN budú nedôveryhodné. Porty vrátane trunkov, za ktorými sa nachádzajú DHCP servery, treba označiť ako dôveryhodné
Typicky budú teda ako dôveryhodné porty označené všetky trunkové porty na prístupových aj distribučných switchoch, ktorými sú switche navzájom prepojené
Porty k jednotlivým klientským staniciam zostanú nedôveryhodné
Sw# configure terminal
Sw(config)# ip dhcp snooping
Sw(config)# ip dhcp snooping information option
Sw(config)# ip dhcp snooping vlan 1
Sw(config)# interface fa0/24
Sw(config-if)# ip dhcp snooping trust
Sw(config-if)# end
53
Konfigurácia DHCP Snoopingu
Sw# show ip dhcp snooping
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1
DHCP snooping is operational on following VLANs:
1
DHCP snooping is configured on the following L3 Interfaces:
Insertion of option 82 is enabled
circuit-id default format: vlan-mod-port
remote-id: 001d.e5be.e380 (MAC)
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Verification of giaddr field is enabled
DHCP snooping trust/rate is configured on the following Interfaces:
Interface Trusted Allow option Rate limit (pps)
----------------------- ------- ------------ ----------------
FastEthernet0/24 yes yes unlimited
Custom circuit-ids:
54
Konfigurácia DHCP Snoopingu
Sw# show ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
---------------- ---------- ---------- ------------- ---- ---------
00:E0:4C:41:3C:E9 10.0.0.4 84960 dhcp-snooping 1 Fa0/11
00:E0:4C:3B:B7:87 10.0.0.6 85042 dhcp-snooping 1 Fa0/1
Total number of bindings: 2
55
Problémy s Option-82
Ak je DHCP server v inej VLAN než klienti (a na bráne je teda nastavená služba DHCP Relay), potom všetko bude fungovať
Ak je DHCP server v tej istej VLAN, vznikne problém
DHCP server prestane prideľovať adresy a v debug výpisoch na DHCP serveri sa objaví:
Dôvod: Switch si do DHCP správ vkladá Option-82, avšak nevypĺňa IP adresu relay agenta, a routeru je to podozrivé
Riešenie: dovoliť DHCP serveru akceptovať aj takéto DHCP správy, buď globálne alebo iba na vstupnom rozhraní
Router# debug ip dhcp server packet
*Sep 9 01:59:40: DHCPD: inconsistent relay information.
*Sep 9 01:59:40: DHCPD: relay information option exists, but giaddr is zero
Router(config)# ip dhcp relay information trust-all ! Globálne…
Router(config)# int fa0/1
Router(config-if)# ip dhcp relay information trusted ! … alebo na rozhraní
56
Problémy s Option-82
V istých prípadoch sa môže objaviť situácia, že prístupový switch vie vkladať Option-82, ale nevie robiť DHCP Snooping, a preto sa rozhodneme robiť DHCP Snooping na nadradenom switchi
Mnohokrát v service-provider prostredí (FTTx, PON, Metro Ethernet...)
Klientské zariadenie pre svoju identifikáciu a pre identifikáciu klienta realizuje vkladanie Option-82, nemá však logiku pre DHCP Snooping
Tu vzniká problém, ako na nadradenom (tzv. agregačnom) switchi nastaviť režim portov pre DHCP Snooping
Ak budú untrusted, potom zahodia DHCP správy, ktoré majú vyplnenú adresu relay agenta alebo prítomnú Option-82 (filtrovacie pravidlo 4)
Také však budú podľa predpokladu všetky správy od klientov
Ak budú trusted, nebudú z DHCP správ napĺňať databázu (nie sú pre DHCP snooping zaujímavé)
To zasa nerieši našu snahu zabezpečiť DHCP komunikáciu
57
Problémy s Option-82
Uvedený problém sa rieši pridaním príkazu na agregačný switch buď globálne alebo len na vybranom nedôveryhodnom rozhraní:
Samozrejme, všetky problémy s Option-82 sa dajú odstrániť aj tým, že na prístupovom switchi zakážeme jej pridávanie:
Toto riešenie ochudobňuje DHCP Snooping o podstatnú časť jeho schopností
AggSw(config)# ip dhcp snooping option allow-untrusted ! Globálne
AggSw(config)# int fa0/1
AggSw(config-if)# ip dhcp snooping option allow-untrusted ! Len rozhranie
Sw(config)# no ip dhcp snooping information option
58
Ochrana proti DHCP DoS (Starvation)
DHCP Snooping doposiaľ dokázal sieť ochrániť pred nepovolanými DHCP servermi a príliš zvedavými DHCP klientmi
Ak však príde klient, ktorý rad zaradom vystrieda rôzne MAC a na každú si vyžiada novú IP, môže vyčerpať voľné IP adresy na DHCP serveri
Tento problém rieši DHCP Snooping Limit Rate
Na porte je možné definovať maximálny počet prijatých DHCP správ za sekundu
Ak sa tento počet prekročí, port sa deaktivuje (err-disabled)
Musí byť spustený dhcp snooping a snooping pre danú vlan
Sw(config)# int fa0/1
Sw(config-if)# ip dhcp snooping limit rate 5
59
DHCP snooping DB
Pozor, DHCP snooping má obmedzenú kapacitu
Položka ostáva v tabuľke až do uplynutia času zápožičky
V mobilnom prostredí sa odporúča zníženie dĺžky časovača
DHCP snooping tabuľka môže byť zálohovaná na server
Ftp, tftp,
ip dhcp snooping database tftp://IP_AdResa/meno-suboru
ip dhcp snooping database write-delay 60
sh ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------------- ---- --------------------
00:03:47:B5:9F:AD 10.120.4.10 193185 dhcp-snooping 4 FastEthernet3/18
60
ARP a IP Spoofing
61
ARP Spoofing
ARP Spoofing je odosielanie nevyžiadaných (gratuitous) ARP správ, v ktorých mapujeme zvolenú IP na inú než skutočnú MAC adresu
Denial of Service: mapovaním IP na neexistujúcu MAC
Man-In-The-Middle: mapovaním cudzej IP na moju MAC
Nástroje: Cain&Abel (win), ettercap, yersinia
62
Ochrana proti ARP Spoofing - DAI
Aj tu môže pomôcť databáza DHCP Snoopingu
Mechanizmus ochrany proti ARP Spoofingu sa volá Dynamic ARP Inspection (DAI)
Každá ARP správa obsahuje o. i. polia
Source MAC a Source IP
Target MAC a Target IP
DAI kontroluje, či si tieto údaje v ARP správach podľa databázy z DHCP Snoopingu navzájom zodpovedajú
DAI môže dodatočne kontrolovať aj správnosť ďalších údajov
63
Dynamic ARP Inspection
DAI rozdeľuje porty na dôveryhodné a nedôveryhodné
Na nedôveryhodných portoch switch kontroluje obsah prichádzajúcich ARP správ oproti DHCP Snooping databáze
Nevyhovujúce ARP správy zahodí
Predvolený typ je nedôveryhodný
Konfigurácia DAI predpokladá funkčný DHCP Snooping
Typicky, porty k iným switchom a k routerom budú dôveryhodné, porty k staniciam budú nedôveryhodné
Sw(config)# ip dhcp snooping
Sw(config)# ip arp inspection vlan 10
Sw(config)# int gigabitEthernt 1/1
Sw(config-if)# ip arp inspection trust
64
Dynamic ARP Inspection
Dodatočnou možnosťou DAI je validácia ARP správ
Možnosti:
src-mac: Zdrojová MAC rámca sa musí zhodovať so zdrojovou MAC v tele ARP správy. Kontrolujú sa queries aj replies
dst-mac: Cieľová MAC rámca sa musí zhodovať s cieľovou MAC v tele ARP správy. Kontrolujú sa iba replies
ip: IP adresy v tele ARP správy musia byť iné ako 0.0.0.0, 255.255.255.255 a nesmú byť multicastové. Kontrolujú sa queries aj replies, cieľová IP adresa sa kontroluje iba v replies
allow-zeros: Pri kontrole „ip“ sa povoľuje, aby zdrojová IP mohla byť 0.0.0.0
Sw(config)# ip arp inspection validate { [src-mac] [dst-mac]
[ip [allow-zeros] ] }
65
Záverečné poznámky
DAI dovoľuje definovať maximálny počet ARP správ za sekundu
Štandardne je to 15 vstupujúcich správ za sekundu na nedôveryhodnom porte, dôveryhodný port je bez obmedzení
Pri prekročení počtu správ bude port deaktivovaný (err-disabled)
Ak nie je použité DHCP, je možné definovať tzv. ARP ACL, v ktorom staticky vymenujeme IP a ich MAC, a toto ACL použiť v DAI
Switch(config)# arp access-list ARP-V1
Switch(config-arp-acl)# permit ip host 1.1.1.1 mac host 0201.0203.0405
Switch(config-arp-acl)# exit
Switch(config)# ip arp inspection filter ARP-V1 vlan 1
66
Overenie konfigurácie DAI
SwitchA# show ip arp inspection interfaces
Interface Trust State Rate (pps) Burst Interval
--------------- ----------- ---------- --------------
Gi1/1 Trusted None N/A
Gi1/2 Untrusted 15 1
Fa2/1 Untrusted 15 1
Fa2/2 Untrusted 15 1
SwitchA# show ip arp inspection vlan 10
Source Mac Validation : Disabled
Destination Mac Validation : Disabled
IP Address Validation : Disabled
Vlan Configuration Operation ACL Match Static ACL
---- ------------- --------- --------- ----------
10 Enabled Active
Vlan ACL Logging DHCP Logging
---- ----------- ------------
10 Deny Deny
SwitchA# show ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
----------------- ---------- ---------- ----------- ---- --------------
00:01:00:01:00:01 10.10.10.1 4995 dhcp-snooping 10 FastEthernet2/1
67
Overenie konfigurácie DAI
Ak sa útočník pripojí na prepínač a prenesie neplatný ARP reply, prepínač dropne ARP rámec.
Port je umiestnený do errdisable a pošle log správu
DAI zahodí všetky ARP rámce s neplatným mapovaním MAC adresy na IP adresu
So zobrazenou chybovou hláškou
*Mar 1 01:06:53.906: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Res) on
Fa0/23, vlan
10.([0800.27e2.2182/172.16.10.1/0000.0000.0000/172.16.10.2/01:06:53 UTC Mon
Mar 1 1993])
68
IP Spoofing
IP Spoofing je ukradnutie IP adresy inej stanice
Využívané napr. pri Ping of death, ICMP unreachable storm, SYN flood
Ochranou proti IP Spoofingu je IP Source Guard (IPSG)
IP adresu stanici pridelí DHCP server. Vďaka DHCP Snoopingu sa MAC adresa stanice a pridelená IP zaznačí do databázy
DHCP Snooping môže opäť výrazne pomôcť
IP Source Guard kontroluje, či IP adresa odosielateľa na porte, prípadne dokonca MAC adresa odosielateľa, zodpovedá záznamu v databáze
Podobne ako DAI, ale kontroluje každý paket a nielen ARP
Implementuje na port PVACL
Neplatné pakety sú dropnuté
69
Konfigurácia IP Source Guard
Predpokladom pre konfiguráciu IP Source Guard je funkčný DHCP Snooping
IPSG sa konfiguruje na untrusted portoch
Samotný IP Source Guard s kontrolou zdrojovej IP adresy odosielateľa sa konfiguruje jednoducho:
Sw(config)# ip dhcp snooping
Sw(config)# ip dhcp snooping vlan 1, 10
Sw(config)# int fa0/1
Sw(config-if)# ip verify source vlan dhcp-snooping
Or
Sw(config-if)# ip verify source
70
Konfigurácia IP Source Guard
IP Source Guard s kontrolou IP aj MAC adresy odosielateľa sa konfiguruje podobne – na kontrolu MAC adresy sa využíva mechanizmus Port Security
Využíva sa DHCP options 82
Musíme mať DHCP server ktorý ho podporuje
Všetky IP zariadenia po ceste musia byť nastavené s Options 82 trust
Nie je známy útok, ktorý by tieto informácie zneužíval, podniky túto možnosť nepoužívajú
Vloženie statického mapovania v prípade potreby:
Sw(config)# ip dhcp snooping
Sw(config)# ip dhcp snooping vlan 1, 10
Sw(config)# p dhcp snooping information option
Sw(config)# int fa0/1
Sw(config-if)# switchport port-security
Sw(config-if)# ip verify source vlan dhcp-snooping port-security
Sw(config)# ip source binding 0200.1122.3344 vlan 1 10.0.0.10 int fa0/1
71
IPSG (1)
Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 1,10
Switch(config)# ip dhcp snooping verify mac-address
Switch(config)# ip source binding 0000.000a.000b vlan 10 10.1.10.11 interface
Fa2/18
Switch(config)# interface fastethernet 2/1
Switch(config-if)# switchport
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# ip verify source vlan dhcp-snooping port-security
Switch(config)# interface fastethernet 2/18
Switch(config-if)# switchport
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# ip verify source vlan dhcp-snooping port-security
72
IPSG (2)
Switch# show ip source binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ ------------ ---------- ------------- ---- ----------
00:02:B3:3F:3B:99 10.1.1.11 6522 dhcp-snooping 1 FastEthernet2/1
00:00:00:0A:00:0B 10.1.10.11 infinite static 10 FastEthernet2/18
Switch# show ip verify source
Interface Filter-type Filter-mode IP-address Mac-address Vlan
--------- ----------- ----------- --------------- ----------------- ----------
Fa2/1 ip-mac active 10.1.1.11 00:02:B3:3F:3B:99 1
Fa2/18 ip-mac active 10.1.10.11 00:00:00:0a:00:0b 10
73
Aplikuj bezpečnosť po vrstvách
IP Source Guard (IPSG) zabraňuje IP/MAC Spoofing
Dynamic ARP Inspection zabraňuje ARP spoofing útokom
DHCP Snooping zabraňuje umiestneniu falošných DHCP serverov a DHCP útokom
Port security zabraňuje CAM útokom a vyčerpaniu DHCP
IPSG
DAI
DHCP snooping
Port security
74
Iné útoky a hrozby
75
Neighbor Discovery Protocols (NDP)
Cisco Discovery Protocol (CDP) • Cisco proprietárny
Link Layer Discovery Protocol (LLDP) • IEEE štandard
76
Cisco Discovery Protocol
Cisco proprietárny
Cisco zariadenia posielajú vo forme multicastu hello správy, ktorými informujú o svojich atribútoch
Používa TTL v sekundách
Definuje dobu platnosti CDP správy
Prijaté CDP správy sú „Cached“ a sú dostupné cez SNMP
Odporúča sa zablokovať SNMP prístup k CDP informáciám
Defaultne je spustený
! Zakaze globalne
Sw(config)# no cdp run
! Zakaze per interface
sw(config-if)# no cdp enable
77
Link Layer Discovery Protocol (LLDP)
Je to IEEE 802.1AB štandard
Ponúka funkcionality blízke CDP
Defaultne je na Cisco prepínačoch zakázaný ! Povoli globalne
Sw(config)# lldp run
! Povoli per interface
sw(config-if)# lldp enable
switch# show lldp neighbor
Capability codes:
(R) Router, (B) Bridge, (T) Telephone, (C) DOCSIS Cable Device
(W) WLAN Access Point, (P) Repeater, (S) Station, (O) Other
Device ID Local Intf Hold-time Capability Port ID
c2960-8 Fa0/8 120 B Fa0/8
Total entries displayed: 1
switch# show lldp neighbor detail
78
Nebezpečenstvo CDP
Nie je známy všeobecne útok na CDP
Ale:
CDP je posielané v čistom textovom tvare bez zabezpečenia
Hrozí možnosť získania citlivých informácii
A potom prispôsobiť útok na konkrétnu platformu a verziu IOS
Hrozí možnosť podvrhovania falošných informácii
Staršie IOS, pretečenie zásobníka pri naplnení veľa informáciami
Nebol definovaný horný limit
Všeobecný zákaz CDP sa neodporúča, skôr selektívny prístup
Niektoré cisco aplikácie ho používajú
Napr. IPT pre manažment
79
Manažment prepínačov
Manažment prepínačov môže byť problémový
Väčšina sieťových protokolov používaných na manažmenty je vôbec alebo len veľmi slabo zabezpečená
Syslog, ftp, tftp, telnet, SNMP
Nie je nič zaujímavejšie ako keď sa útočník prihlási cez telnet a potom zablokuje jeho používanie
Je vhodné použiť a používať ich zabezpečené alternatívy
HTTPS, SSH, SSL, SCP, Out of band manažment
Použiť neštadardnú manažment VLAN ako vlan 1
Nastaviť ACL prep prístup
80
Konfigurácia IP SSH prístupu
Switch(config)#username Meno password Heslo
! Domena musi byt zadefinovana
Switch(config)#ip domain-name pepe.sk
Switch(config)#ip ssh version 2
*III 1 0:1:9.780: %SSH-5-ENABLED: SSH 2 has been enabled
Switch(config)#crypto key generate rsa
The name for the keys will be: Switch.pepe.sk
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
Switch(config)#line vty 0 15
Switch(config-line)#transport input ssh
Switch(config-line)#login local
! Ssh timeout v sec (doba neaktivity)
Switch(config)#ip ssh time-out 15
! Ssh login auth retries
Switch(config)#ip ssh authentication-retries 2
81
VTY Access Control Lists
82
HTTP Secure Server
Step 1. Konfiguruj meno a heslo
Step 2. Konfiguruj doménové meno
Step 3. Vygeneruje RSA kľúč
Step 4. Povoľ HTTPS (SSL) server
Step 5. Konfiguruj HTTP autentifikáciu
Step 6. Nastav ACL na riedenie prístupu
sw(config)# access-list 100 permit ip 10.1.9.0 0.0.0.255 any
sw(config)# username xyz password abc123
sw(config)# ip domain-name xyz.com
sw(config)# crypto key generate rsa
sw(config)# no ip http server
sw(config)# ip http secure-server
sw(config)# http access-class 100 in
sw(config)# http authentication local
83
Rozšírené AAA
84
Authentication, Authorization, Accounting
AAA je súbor mechanizmov pre autentifikáciu, autorizáciu a účtovanie
Autentifikácia: Overenie identity (Kto je to?)
Autorizácia: Pridelenie práv (Čo môže robiť?)
Účtovanie (a reporting a auditing): Evidencia používania služieb (Koľko zaplatí? Koľko používal a čo?)
Na Cisco zariadeniach sa AAA využíva na rôzne účely
Riadenie administratívneho prístupu (EXEC)
802.1X na prepínačoch a access pointoch
WPA alebo WPA2 Enterprise
PPP, IPSec
85
AAA Autentifikácia
Poskytuje metódy k:
Identifikácia používateľov
Riadenie prihlasovania
Messaging
Encryption
Autorizácia
Poskytuje metódy k vzdialenému prístupu:
One-time authorization
Autorizácia pre každú službu per používateľa alebo skupinu
Používa RADIUS alebo TACACS+ security servers.
Účtovanie
Poskytuje metódy potrebné k zbieraniu a zasielaniu informácií potrebných účtovaniu, reportovaniu a auditovaniu
Používa
Identity používateľov
čas začiatku a konca
Vykonané príkazy
Prenesené pakety
Počet bajtov
86
Modely AAA
Na Cisco zariadeniach je možné prepínať sa medzi dvomi modelmi AAA
Starší model
Autentifikácia len voči lokálnej databáze
Autorizácia len voči lokálnej databáze
Minimálne (ak vôbec nejaké) možnosti pre účtovanie
Novší model
Komplexná konfigurácia, ktorá umožňuje rôzne služby nasmerovať na AAA voči rôznym databázam
87
Nový model AAA
Nový model AAA vychádza z týchto predpokladov
Na jednej strane máme isté druhy služieb, ktoré vedia pomocou istého mechanizmu riadiť prístup (dot1x, enable, login, ppp)
Na druhej strane máme rôzne databázy s evidenciou používateľov a ich práv (RADIUS, TACACS, lokálna databáza)
My chceme mať možnosť konkrétnej službe vysvetliť, v akej databáze má používateľa vyhľadať
Napríklad:
Konzolové prihlásenia sa overia voči lokálnej databáze
SSH prihlásenia sa overia voči RADIUS serveru s IP 1.2.3.4
PPP prihlásenia sa overia voči RADIUS serveru s IP 5.6.7.8
Ethernet klienti sa overia voči RADIUS serveru s IP 9.8.7.6
88
Konfigurácia AAA
Aktivácia podpory nového AAA:
Vytvorenie zoznamu autentifikačných metód (databáz) pre zvolený typ autentifikácie:
Použitie závisí na konkrétnom druhu aplikácie, napr:
Router(config)# aaa new-model
Router(config)# aaa authentication { ppp | dot1x | enable
| login } MENO_DB db [db …]
Router(config)# aaa new-model
Router(config)# aaa authentication login AE_L_LOCAL local
Router(config)# line vty 0 15
Router(config-line)# login authentication AE_L_LOCAL
89
Konfigurácia AAA
Pri novom AAA je autentifikácia striktne oddelená od autorizácie
Systém vás prihlási, ale nedostanete práva
Vytvorenie zoznamu autorizačných metód (databáz) pre zvolený typ autorizácie:
Použitie závisí na konkrétnom druhu aplikácie, napr:
Router(config)# aaa authorization { exec | network | … }
MENO db [db …]
Router(config)# aaa new-model
Router(config)# aaa authorization exec AO_E_LOCAL local
Router(config)# line vty 0 15
Router(config-line)# authorization exec AO_E_LOCAL
90
Príklad konfigurácie
Využitie lokálnej databázy:
Využitie RADIUS servera a lokálnej databázy:
aaa new-model
aaa authentication login AE_L_LOCAL local
aaa authorization exec AO_E_LOCAL local
line vty 0 15
login authentication AE_L_LOCAL
authorization exec AO_E_LOCAL
aaa new-model
aaa authentication login AE_L_RAD+L group radius local
aaa authorization exec AO_E_RAD+L group radius local
radius-server host 1.2.3.4 auth-port 1812 acct-port 1813 key HESLO
line vty 0 15
login authentication AE_L_RAD+L
authorization exec AO_E_RAD+L
94
Riadenie prístupu do prepínanej siete
802.1X
95
Autentifikácia 802.1X
Autentifikácia 802.1X umožňuje vyžiadať si od používateľa zvolené prihlasovacie údaje
Na prepínači sa port odblokuje až po úspešnom prihlásení
Pri neúspešnom prihlásení môže port zostať v karanténnej alebo hosťovskej VLAN
96
Autentifikácia 802.1X
Autentifikácia 802.1X využíva niekoľko podporných komponentov a protokolov
Supplicant (Client): softvérový klient na PC, zodpovedný za odovzdávanie autentifikačných dát
Authenticator: zariadenie, ku ktorému sa PC pripája a ktoré vyžaduje, aby sa klient korektne autentifikoval.
Autentifikačný server: obsahuje databázu informácií o používateľoch. Potvrdzuje klientovu identitu.
Extensible Authentication Protocol (EAP): generický protokol pre odovzdávanie autentifikačných informácií, špecifikovaný v RFC 3748
RADIUS: autentifikačný komunikačný protokol medzi prístupovým serverom (Network Access Server) a autentifikačným serverom, špecifikovaný v RFC 2865. Spolupráca RADIUS a EAP je v RFC 3579
802.1X: štandard IEEE popisujúci Port-Based Authentication s využitím EAP správ v Ethernetových rámcoch (EAP over LAN = EAPOL) a protokolu RADIUS
97
Priebeh 802.1X autentifikácie
Klient odošle správu EAPOL-Start
Switch vyžiada od klienta prvotné identifikačné údaje
Cez port pustí len EAPOL správy
EAP odpoveď klienta switch prebalí do RADIUS správy a odošle ju na server
RADIUS server môže podľa typu okamžite klienta autentifikovať, alebo bude nasledovať niekoľko kôl typu „výzva – odpoveď“
Po úspešnej autentifikácii RADIUS odošle správu Access-Accept
Switch na prijatie správy odblokuje port a informuje klienta o úspechu
98
802.1X Port Authorization (1)
Autorizácia portu sa vykonáva príkazom
force-authorized
Def. nastavenie
Zakáže 802.1X autentifikáciu na danom porte,
Vynúti prechod portu do stavu Autorizovaný
force-unauthorized
Vynúti stav, v ktorom port ostáva trvale v neautorizovanom stave
Ignoruje každý pokus o autorizáciu
auto
Spustí 802.1X port-based autentifikáciu
dot1x port-control {auto | force-authorized | force-unauthorized}
99
Príklad konfigurácie pre 802.1x na prepínačoch
aaa new-model
aaa authentication dot1x default group radius
! Nasledujúci riadok netreba, ak nechceme dynamicky prideľovať VLAN
aaa authorization network default group radius
radius-server host 1.2.3.4 auth-port 1812 acct-port 1813 key HESLO
dot1x system-auth-control
interface FastEthernet 0/1
switchport mode access
dot1x port-control auto
! Pre novšie switche namiesto „dot1x port-control auto“ zadať oba:
! authentication port-control auto
! dot1x pae authenticator
Táto konfigurácia pri vhodnom nastavení RADIUS servera okrem autentifikácie klienta automaticky zaradí port do pridelenej VLAN
100
Konfigurácia jednoduchého RADIUS servera na Cisco prepínači
http://www-europe.cisco.com/en/US/docs/ios/12_3t/12_3t11/feature/guide/locauth.html
dorobit
101
802.1X – záverečné poznámky
Pri 802.1X je možné v konfigurácii definovať viaceré VLAN
Guest VLAN – VLAN pre stanice, ktoré nepodporujú 802.1X
Restricted VLAN – VLAN pre stanice, ktoré podporujú 802.1X, ale nepodarilo sa im úspešne prihlásiť (tzv. Auth-Fail VLAN)
802.1X môže pôsobiť problémy, ak je na port prepínača pripojených viacero staníc
Prepínače 2950 a 3550 nevedia autentifikovať individuálne stanice. Port bude otvorený alebo zatvorený pre všetky stanice
Prepínače 2960 a 3560 podporujú individuálnu autentifikáciu pre viaceré stanice od verzie IOS 12.2(50)SE (tzv. multiauth mode)
Pri 802.1X je podstatná (a najzložitejšia) konfigurácia RADIUS servera
Pokročilejšie autentifikačné metódy (napr. PEAP alebo EAP-TLS) si vyžadujú vygenerovanie X.509 certifikátu pre server, prípadne aj pre klientov
102
Ochrana a zdokonalenie STP
103
Ochrana STP
Na Cisco zariadeniach je séria mechanizmov na ochranu STP pred rôznymi neželanými situáciami
BPDU Guard
BPDU Filter
Root Guard
Etherchannel Misconfig Guard
Loop Guard
104
STP BPDU Guard
BPDU Guard uvedie port do err-disabled stavu, ak dostane BPDU
Ochrana prístupových portov
majú byť pripojené len ku koncovým staniciam,
nemajú prečo byť pripojené k ďalšiemu prepínanému portu
Obzvlášť dôležité pre PortFast porty, ktoré majú tendenciu apriori sa odblokovať
Port sa musí manuálne aktivovať
Je možné nastaviť časovač na automatické aktivovanie
Prijatie BPDU je porušenie bezpečnosti = pripojenie neznámeho/neželaného/neautorizovaného zariadenia
105
STP BPDU Guard
BPDU Guard sa dá aktivovať buď na globálnej úrovni pre všetky PortFast porty, alebo na zvolenom porte (nezávisle od PortFast)
! Globálne
Switch(config)# spanning-tree portfast bpduguard default
! Per port
Switch(config)# int fa0/23
Switch(config-if)# spanning-tree bpduguard enable
*Mar 1 00:19:00.213: %SPANTREE-2-BLOCK_BPDUGUARD: Received BPDU on port Fa0/23
with BPDU Guard enabled. Disabling port.
*Mar 1 00:19:00.213: %PM-4-ERR_DISABLE: bpduguard error detected on Fa0/23,
putting Fa0/23 in err-disable state
*Mar 1 00:19:01.219: %LINEPROTO-5-UPDOWN: Line protocol on Interface
FastEthernet0/23, changed state to down
Switch# sh int status err-disabled
Port Name Status Reason Err-disabled Vlans
Fa0/23 err-disabled bpduguard
106
STP BPDU Filter
Niekedy je potrebné, aby port neposielal BPDU správy
Voči koncovej stanici sú BPDU v zásade zbytočné
Niekedy je potrebné sieť rozdeliť na dve nezávislé STP domény (napr. prechodný stav pri spájaní dvoch sietí)
Jeho chovanie sa líši podľa toho, či je aktivovaný na globálnej úrovni alebo na rozhraní
BPDU Filter aktivovaný na globálnej úrovni:
Platí iba pre PortFast porty
Keď port ožije, odošle 10 – 11 BPDU
Ak do tohto času nedostane nijaké BPDU, sám ich prestane posielať
Ak prepínač kedykoľvek dostane BPDU, BPDU Filter aj PortFast sa na tomto porte deaktivujú – port sa stáva normálnym STP portom až do jeho odpojenia a opätovného ožitia
BPDU Filter aktivovaný na individuálnom porte:
Ignoruje všetky prijaté BPDU
Neposiela žiadne BPDU
107
STP BPDU Filter
! Globálne
Switch(config)# spanning-tree portfast bpdufilter default
! Na porte
Switch(config)# int fa0/1
Switch(config-if)# spanning-tree bpdufilter enable
108
Overenie
Switch# show spanning-tree summary totals
Root bridge for: none.
PortFast BPDU Guard is enabled
Etherchannel misconfiguration guard is enabled
UplinkFast is disabled
BackboneFast is disabled
Default pathcost method used is short
Name Blocking Listening Learning Forwarding STP Active
-------------------- -------- --------- -------- ---------- ---------
34 VLANs 0 0 0 36 36
Switch# show spanning-tree summary
Switch is in pvst mode
Root bridge for: none
Extended system ID is enabled
Portfast Default is disabled
PortFast BPDU Guard Default is disabled
Portfast BPDU Filter Default is disabled
Loopguard Default is disabled
EtherChannel misconfig guard is enabled
UplinkFast is disabled
BackboneFast is disabled
Configured Pathcost method used is short
Name Blocking Listening Learning Forwarding STP Active
-------------- ---- -------- ------- -------- ---------- ---------
...
109
STP Root Guard
Niekedy k vlastnej sieti pripájame cudziu sieť (napr. zákazníka), s ktorým potrebujeme tvoriť jednu STP doménu
Neželáme si však, aby manipuláciou priorít svojich switchov „prebil“ náš existujúci root bridge
Root Guard nakonfigurovaný na rozhraní spôsobí, že port sa umelo uvedie do role Designated
Ak by sa na základe prijatého BPDU mal zmeniť na Root port, ochrana Root Guard ho uvedie do tzv. root-inconsistent blokujúceho stavu
Root-inconsistent stav sa sám odstráni do 20 sekúnd po tom, čo port prestane prijímať BPDU s lepším Root Bridge ID, než má naša sieť v súčasnosti
Funkcia root bridge v našej sieti nebude ohrozená
Root Guard sa dá nakonfigurovať iba na individuálnom porte
Switch(config)# int fa0/1
Switch(config-if)# spanning-tree guard root
%SPANTREE-2-ROOTGUARDBLOCK: Port 0/1 tried to become non-designated in VLAN 1.
Moved to root-inconsistent state
110
STP Root guard
Ochrana aj voči útočníkom
111
Overenie Root guard
! Zobrazi porty v nekonzistentom stave
Switch# show spanning-tree inconsistentports
Name Interface Inconsistency
-------------- --------------------- ------------------
VLAN0001 FastEthernet0/1 Port Type Inconsistent
VLAN0001 FastEthernet0/2 Port Type Inconsistent
VLAN1002 FastEthernet0/3 Port Type Inconsistent
VLAN1002 FastEthernet0/4 Port Type Inconsistent
Number of inconsistent ports (segments) in the system :4
Switch# show running-config interface FastEthernet 0/1
Building configuration...
Current configuration: 67 bytes
!
interface FastEthernet0/1
switchport mode access
spanning-tree guard root
end
!
112
STP Etherchannel Misconfig Guard
STP vidí Etherchannel ako jedno logické rozhranie
Fyzicky sa Ethechannel skladá z viacerých portov
BPDU sa posielajú len po jednom z týchto portov – vo výpise show etherchannel summary je to port označený ako default
Tento fakt je zároveň dobrým indikátorom, či sú prepojené porty na oboch switchoch združené v Etherchanneli
Ak BPDU vchádza viac než jedným portom v Etherchanneli, potom príslušné porty na druhej strane nie sú združené
Túto kontrolu realizuje Etherchannel Misconfig Guard
Pri zistení chyby uvádza port do err-disabled stavu
Je štandardne aktívny
Aktivuje sa iba na globálnej úrovni
Switch(config)# [no] spanning-tree etherchannel guard misconfig
113
Vznik slučky pri STP
RB BPDU
BPDU poslané B ale nedoručené na C
Port na C sa po uplynutí časovača
odblokuje
Vzniká jednosmerná prepínaná slučka,
lebo nie je blokovaný port
114
STP Loop Guard
Loop guard pridáva doplnkovú ochranu portu
Filozofia Loop Guard vychádza z faktu, že port, ktorý je blokovaný, musí trvale dostávať lepšie BPDU
Ak blokovaný port prestane dostávať BPDU, Loop Guard ho uvedie do loop-inconsistent blocking stavu
Loop Guard tým zabráni aby sa Root a Alternate porty nestali bezprostredne Designated portami
Loop-inconsistent stav sa odstráni sám, akonáhle port opäť začne dostávať BPDU
Ďalší prechod závisí od prijatých BPDU
Loop Guard je možné nakonfigurovať buď globálne alebo individuálne na rozhraniach
Switch(config)# spanning-tree loopguard default ! Globálne
Switch(config)# int fa0/1
Switch(config-if)# spanning-tree guard loop ! Na porte
115
UniDirectional Link Detection
STP Loop Guard je milá logika nad STP, avšak nedokáže pokryť všetky varianty nepríjemností
Optický prepoj môže byť zle zapojený – Tx vlákno ide do iného zariadenia než Rx vlákno
Detekcia chýbajúcich BPDU na Etherchanneli deaktivuje celý EtherChannel
STP funguje nad logickým portom a nad VLAN, jeho „rozlíšenie“ je pomerne hrubé
Existuje preto samostatný protokol na detekciu jednosmerne priechodných fyzických spojov – UDLD
116
UniDirectional Link Detection
UDLD je keepalive/echo mechanizmus pracujúci nad fyzickou point-to-point linkou
Dve zariadenia si navzájom pravidelne (15s) posielajú UDLD pakety, v ktorých sa vzájomne identifikujú
Port ID a Device ID
Ak port prestane dostávať UDLD pakety od suseda alebo v nich nenachádza vlastné ID, môže predpokladať problém
UDLD pracuje v dvoch režimoch:
Normálny režim: Ak port prestane dostávať UDLD pakety, jeho stav zostáva „undetermined“ a UDLD nijako nezasahuje
Vhodné, ak Layer1 má vlastný mechanizmus na detekciu jednosmerne priechodnej linky a dokáže ju sám deaktivovať
UDLD tu plní funkciu kontroly, či prepoj nie je zdieľaný a či Rx/Tx kanál vedie k tomu istému zariadeniu
Agresívny režim: Ak port prestane dostávať UDLD pakety, UDLD ho deaktivuje
Vhodné aj pre metalické porty
117
Konfigurácia UDLD
UDLD je možné aktivovať buď globálne alebo na rozhraní
Ak je UDLD aktivované globálne, platí iba pre optické rozhrania (fiber interfaces)
Ak UDLD deaktivovalo port, je ho možné reaktivovať príkazom v privilegovanom režime:
Switch(config)# udld { enable | aggressive } ! Globálne, len optika
Switch(config)# int fa0/1
Switch(config-if)# udld port [ aggressive ] ! Na porte
Switch# udld reset
118
Overenie UDLD dls1# sh udld neighbors
Port Device Name Device ID Port ID Neighbor State
---- ----------- --------- ------- --------------
Fa0/9 FCZ1007Y1M8 1 Fa0/9 Bidirectional
Fa0/10 FCZ1007Y1M8 1 Fa0/10 Bidirectional
119
Overenie udld
dls1# sh udld fastEthernet 0/9
Interface Fa0/9
---
Port enable administrative configuration setting: Enabled / in aggressive mode
Port enable operational state: Enabled / in aggressive mode
Current bidirectional state: Bidirectional
Current operational state: Advertisement - Single neighbor detected
Message interval: 15
Time out interval: 5
Entry 1
---
Expiration time: 36
Device ID: 1
Current neighbor state: Bidirectional
Device name: FCZ1007Y1M8
Port ID: Fa0/9
Neighbor echo 1 device: FDO1244X0X1
Neighbor echo 1 port: Fa0/9
Message interval: 15
Time out interval: 5
CDP Device name: als2
120
Porovnanie Loop Guard a UDLD
UDLD výhodné najmä pri EtherChannel
Blokne len chybný port
STP blokuje celý Ech.
121
Flex links
Alternatívne riešene voči STP
Konvergenčný čas do 50ms
Flex links môže koexistovať s STP, ale STP o flex links nevie
Umožňuje vypnúť STP a stále mať základnú úroveň redundancie
Je založené na definovaní active/standby párov na access prepínačoch
Buď fyzické linky alebo EthChann
Tieto linky môžu byť na jednom alebo na rôznych prepínačoch v stacku
Jedná flex linka je active (primary)
Druhá je backup (standby)
Ak primárna padne, preberie rolu backup
Flex Links
122
Flex Links
Jedna active linka môže mať len jednu backup
Rozhranie patrí len do jedného flex páru
Dané rozhranie nemôže byť súčasťou iného EthChannel
Dva portchannels (EthChn) môžu byť active/standby
Alebo kombinácia port channel / fyzický port
Backup linka nemusí nevyhnutne byť rovnakého typu ako active linka
STP je zablokované na Flex portoch, ani sa nepodieľa na činnosti STP
Switch# configure terminal
Switch(conf)# interface fastethernet1/0/1
Switch(conf-if)# switchport backup interface fastethernet1/0/2
Switch(conf-if)# end
Switch# show interface switchport backup
Switch Backup Interface Pairs:
Active Interface Backup Interface State
--------------------------------------------------------------------------------
FastEthernet1/0/1 FastEthernet1/0/2 Active Up/Backup Standby
123
Odporúčania k zabezpečeniu prepínačov a protokolov
Configure strong system passwords.
Restrict management access using ACLs.
Secure physical access to the console.
Secure access to vty lines.
Configure system warning banners.
Disable unneeded or unused services.
Trim and minimize the use of CDP/LLDP.
Disable the integrated HTTP daemon (where appropriate).
Configure basic system logging (syslog).
Secure SNMP.
Limit trunking connections and propagated VLANs.
Secure the spanning-tree topology.
124
Riadenie prístupu na prepínačoch pomocou ACL
125
ACL na prepínačoch
Prepínače Cisco podporujú viaceré druhy ACL
Router ACL (RACL)
klasické IP ACL, ktoré môžu byť umiestnené na smerovaných (routed or SVI)
Na MLS prepínačoch hardvérová podpora v TCAM
Port ACL (PACL)
môžu byť umiestnené na prepínaných portoch (MAC ACL iba inbound smer), trunk portoch, EtherChannel
Pracuje na L2 port úrovni, ale triediace informácie môžu byť založené na L2/L3/L4 informáciach
Nutné konzultovať dokumentáciu!
VLAN ACL (takisto nazývané VLAN map), ktoré sú aplikované na VLAN ako celok (nemajú smer, interne využívajú IP alebo MAC ACL)
VACL sú podporované na 35x0 a vyšších radoch
126
ACL na prepínačoch
ACL na multilayer switchoch sú kompilované a ukladané v TCAM
Pretože TCAM má obmedzenú veľkosť a zdieľa sa aj pre iné účely, existujú aj obmedzenia na počet a celkovú veľkosť použitých ACL
Pomocou príkazu sdm prefer TYP v globálnom
konfiguračnom režime je možné zmeniť rozdelenie TCAM medzi jednotlivé aplikácie
Veľmi sa odporúča preštudovať podrobnosti o TCAM šablónach v Configuration Guide k danému typu switcha – „Configuring SDM Templates“
S SDM šablónami je potrebné manipulovať napr. aj vtedy, ak treba na switchi aktivovať IPv6 alebo Policy-Based Routing. Štandardná šablóna „Desktop“ bežne tieto funkcie nepodporuje
127
ACL na prepínačoch
128
VLAN ACL
VLAN ACL sa hodia na plošnú aplikáciu bezpečnostných pravidiel na zvolenú VLAN
Základným stavebným prvkom VACL je tzv. VLAN map
Má veľmi podobnú filozofiu ako route-map
Môže mať niekoľko blokov
V každom bloku sa definuje nejaký test (odkaz na existujúce ACL) a akcia – forward alebo drop (niekde aj redirect)
Na konci platí klasické „deny any“, ale len pre použitý protokol (IP alebo MAC)
Postup tvorby VACL
Vytvoriť ACL
Vytvoriť VLAN map s použitím definovaných ACL
Aplikovať VLAN map na zvolené VLAN
129
VLAN ACL !vytvor potrebne ACL
ip access-list standard Machine100
permit 192.0.2.100
ip access-list extended WinServ
permit tcp any any range 135 139
permit udp any any range 135 139
permit tcp any any eq 445
permit udp any any eq 445
permit udp any any eq 1900
mac access-list extended IPX
permit any any 0x8137 0x0
permit any any lsap 0xFFFF
permit any any lsap 0xE0E0
!vytvor VLAN MAP
vlan access-map V50 10 match ip address Machine100
action forward
vlan access-map V50 20 match ip address WinServ
match mac address IPX
action drop
vlan access-map V50 30 action forward
!aplikuj VLAN MAP
vlan filter V50 vlan-list 50
Vyhodnocovanie blokov VACL je závislé od poradia
V bloku VLAN map môže byť match na IP aj na MAC ACL, akceptujú sa ako logické OR
Viaceré ACL rovnakého typu sa píšu do jedného riadku match za sebou (ako v route-map)
130
Privátne VLAN
131
Privátne VLAN
Predstavte si, že máte dva bytové domy
Všetky byty chcú mať konektivitu do internetu
Jednotlivé byty chcú mať vzájomnú konektivitu takto:
Nevyznačené byty nechcú mať vzájomnú konektivitu
Ako by ste riešili túto sieť?
132
Privátne VLAN
Privátne VLAN dokážu tento problem veľmi elegantne riešiť
Podstatou privátnych VLAN je možnosť vnútorne rozdeliť jednu VLAN na niekoľko podskupín (VLAN vo VLAN)
Pôvodná VLAN sa volá primárna VLAN
Každá podskupina bude na prepínačoch reprezentovaná samostatnou VLAN – tzv. sekundárnou VLAN
Sekundárne VLAN môžu byť dvoch typov:
Komunitné: členské stanice komunitnej VLAN môžu navzájom komunikovať. Pod jednou primárnou VLAN môže byť ľubovoľný počet sekundárnych komunitných VLAN
Izolované: členské stanice izolovanej VLAN nemôžu navzájom komunikovať. Pod jednou primárnou VLAN môže byť najviac jedna sekundárna izolovaná VLAN
Zvonku toto členenie nevidno – navonok existuje iba jedna VLAN (primárna) a iba jedna IP sieť
133
Privátne VLAN
Privátna VLAN je teda komplex niekoľkých komunitných a najviac jednej izolovanej sekundárnej VLAN, zastrešený jednou primárnou VLAN
Tento komplex však musí mať nejaký vchod a východ
Promiskuitný port: port, ktorý môže komunikovať s ktorýmkoľvek iným portom v hociktorej komunitnej alebo izolovanej VLAN pod danou primárnou VLAN
Pravidlá komunikácie v privátnej VLAN sú teda tieto:
Port v konkrétnej komunitnej VLAN môže komunikovať len s portmi v tej istej komunitnej VLAN, s trunkovými portmi a s promiskuitným portom
Port v konkrétnej izolovanej VLAN môže komunikovať len s trunkovými portmi a s promiskuitným portom
134
Privátne VLAN
135
Privátne VLAN
Ako sa robí značkovanie na trunkoch v prípade privátnych VLAN?
Ak rámec vošiel portom v komunitnej alebo izolovanej VLAN, na trunku dostane značku príslušnej sekundárnej VLAN
Ak rámec vošiel promiskuitným portom, na trunku dostane značku primárnej VLAN
Pokiaľ je k externému routeru, ktorý je bránou pre túto privátnu VLAN, privedený celý trunk, vzniká problém
Ako routeru vysvetliť, že všetky sekundárne VLAN, ktoré na trunku vidí, sú v skutočnosti jediná primárna VLAN?
Riešenie: tzv. promiskuitné trunk porty pre privátne VLAN, ktoré automaticky zamenia značku sekundárnej VLAN za značku príslušnej primárnej VLAN, podporované na Cat4500 a 7600
Tohto obmedzenia sa netreba zbytočne obávať – obvykle bude smerovanie riešené pomocou SVI, alebo k externému routeru povedie promiskuitný port, ktorý nepoužíva značkovanie
136
Konfigurácia privátnych VLAN
vtp transparent
vlan 199
private-vlan isolated
vlan 101-104
private-vlan community
vlan 100
private-vlan primary
private-vlan association 101-104
private-vlan association add 199
interface fa0/1 ! Konfig. komunitny port
switchport mode private-vlan host
switchport private-vlan
host-association 100 101
interface fa0/2 ! Konfig. izolovany port
switchport mode private-vlan host
switchport private-vlan
host-association 100 199
interface fa0/3 ! Konfig. promisc port
switchport mode private-vlan promiscuous
switchport private-vlan
mapping 100 101-104,199
! Ak primary VLAN SVI bude robit
! interVLAN routing
! Mapujeme secondary VLAN na primary SVI
interface Vlan100 ! Promisc SVI
private-vlan mapping 101-104,199
VLAN 101 VLAN 102
VLAN 103
VLAN 104
137
Overenie
Switch(config)# show vlan private-vlan
Primary Secondary Type Ports
------- --------- ----------------- -----------------------
-------------------
100 199 isolated
100 101 community
100 102 community
100 103 community
100 104 community
100 504 non-operational
138
Overenie
Switch# show interfaces Fastetherntet 0/1 switchport
Name: Fa0/1
Switchport: Enabled
Administrative Mode: private-vlan host
Operational Mode: private-vlan host
Administrative Trunking Encapsulation: negotiate
Operational Trunking Encapsulation: native
Negotiation of Trunking: Off
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
Administrative private-vlan host-association: 100 (VLAN0100)
101 (VLAN0101)
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk Native VLAN tagging: enabled
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk private VLANs: none
Operational private-vlan:
100 (VLAN0100) 101 (VLAN0101)
139
Privátne VLAN – záverečné poznámky
Privátne VLAN nie sú podporované s VTPv1 a VTPv2
VTPv3 podporuje privátne VLAN, ale je veľmi zriedkavé
Privátne VLAN sú podporované len na multilayer prepínačoch Catalyst 3560 a vyššie
Na 2950/2960/3550 existujú iba tzv. chránené porty konfigurované príkazom switchport protected
Dva chránené porty na jednom prepínači navzájom nekomunikujú – chovajú sa ako členovia izolovanej VLAN
Táto izolácia sa však nedá zabezpečiť, ak sú chránené porty na dvoch rôznych prepínačoch
Chránené porty sa niekedy volajú Private VLAN Edge
140
Monitorovanie prevádzky
141
Monitorovanie prevádzky
Mnohokrát je potrebné odchytiť si komunikáciu prebiehajúcu na niektorých portoch
Cisco má na toto účely funkciu SPAN a RSPAN
(Remote) Switched Port ANalyzer
Pointa:
Definuje sa tzv. monitorovacia relácia (session)
Táto relácia hovorí,
Čo sa odchytáva (port alebo celá VLAN)
zdroj
Kam sa odchytené dáta posielajú (iný port alebo iná VLAN)
cieľ
142
Vytvorenie local SPAN
SPAN je relácia, v ktorej sa prevádzka z lokálnych portov alebo VLAN odosiela na zvolený lokálny port
Cieľový port nie je viac použiteľný pre bežnú komunikáciu (vstupujúce rámce zahadzuje)
Je možné dovoliť spracovať aj bežné vstupujúce rámce príkazom
Aby bolo možné vidieť aj Layer2 obslužné protokoly (CDP, DTP, VTP, STP, PAgP, LACP, ...) a aby rámce odchádzali s pôvodným VLAN tagom, je potrebné výstupný port nakonfigurovať príkazom
Bez tohto príkazu zachytené rámce budú všetky „untagged“ a servisné protokoly nebudú odchytávané
Switch(config)# monitor session 1 source interface Fa0/1
Switch(config)# monitor session 1 destination interface Gi0/1
Switch(config)# monitor session 1 dest int Gi0/1 ingress
Switch(config)# monitor session 1 dest int Gi0/1 encap replicate
143
Overenie local SPAN
switch(config)# end
siwtch# show monitor session 1
Session 1
-----
Type : Local Session
Source Ports :
Both : Fa3/1
Destination Ports : Gi0/1
Encapsulation : Native
Ingress : Disable
144
Pravidlá pre local SPAN
Ako zdrojový a cieľový port môžu byť použité prepínané aj smerované porty
Daný port môže byť použitý ako cieľový len pre jednu SPAN reláciu
Port nemôže byť použitý ako cieľový ak je nakonfigurovaný ako zdrojový
Port channel rozhranie (EtherChannel) môže byť zdrojom ale nie cieľovým portom pre SPAN
Zdrojové porty môžu byť v rôznych VLAN
Cieľový port neparticipuje v STP
Nepripájať na iný prepínač aby nevznikla slučka!
145
VLAN SPAN
Príklad
• Diagnostika toku medzi serverom vo VLAN 20 a klientom vo VLAN 10
Switch(config)# monitor session 1 source vlan 10 rx
Switch(config)# monitor session 1 source vlan 20 tx
Switch(config)# monitor session 1 destination interface FastEthernet 3 /4
Switch # show monitor session 1
Session 1
-----
Type : Local Session
Source VLANs :
RX Only : 10
TX Only : 20
Destination Ports : Fa3/4
Encapsulation : Native
Ingress : Disabled
Vhodné ak chceme monitorovať tok medzi jednou a druhou VLAN
146
Pravidlá pre VSPAN
VSPAN sessions, with both ingress and egress options configured, forward duplicate packets from the source port only if the packets get switched in the same VLAN.
One copy of the packet is from the ingress traffic on the ingress port, and the other copy of the packet is from the egress traffic on the egress port.
VSPAN monitors only traffic that leaves or enters Layer 2 ports in the VLAN:
Routed traffic that enters a monitored VLAN is not captured if the SPAN session is configured with that VLAN as an ingress source because traffic never appears as ingress traffic entering a Layer 2 port in the VLAN.
Traffic that is routed out of a monitored VLAN, which is configured as an egress source in a SPAN session, is not captured because the traffic never appears as egress traffic leaving a Layer 2 port in that VLAN.
147
Monitoring s RSPAN
Remote SPAN (RSPAN) je veľmi podobné klasickému SPAN
• Ale podporuje situáciu kde zdrojový port, zdrojová VLAN a cieľový port môžu byť na rôzny prepínačoch
148
Vytvorenie RSPAN
RSPAN je dvojica relácií
Na zdrojovom switchi sa zachytáva prevádzka na lokálnych portoch alebo VLAN a odosiela sa do špeciálnej RSPAN VLAN
Na cieľovom switchi sa zachytená prevádzka z RSPAN VLAN odosiela na zvolený lokálny port
RSPAN VLAN je vyhradená len na účely RSPAN
Source(config)# vlan 999
Source(config-vlan)# remote-span
Source(config-vlan)# exit
Source(config)# monitor session 1 source interface Fa0/1
Source(config)# monitor session 1 source vlan 123
Source(config)# monitor session 1 destination remote vlan 999
Dest(config)# vlan 999
Dest(config-vlan)# remote-span
Dest(config-vlan)# exit
Dest(config)# monitor session 1 source remote vlan 999
Dest(config)# monitor session 1 destination interface Gi0/1
149
Diagnostika použitím L2 Traceroute
Všetky prepínače musia mať spustené CDP.
Všetky prepínače po ceste musia podporovať L2 traceroute funkciu
2950G# traceroute mac 0000.0000.0007 0000.0000.0011
Source 0000.0000.0007 found on 4503
4503 (14.18.2.132) : Fa3/48 => Fa3/2
6500 (14.18.2.145) : 3/40 => 3/24
2950G (14.18.2.176) : Fa0/24 => Fa0/23
2948G (14.18.2.91) : 2/2 => 2/24
Destination 0000.0000.0011 found on 2948G Layer 2
trace completed
150