Securitatea Cisco

[edit] Securitatea stratului de legătură

[edit] Excesul de tabel CAM

să folosească. Masa de comutare este populată și după aceea comutatorul funcționează ca un hub.

Aceasta înseamnă că după efectuarea unui atac, prin conectarea la orice port al comutatorului, puteți intercepta tot traficul din cadrul domeniului difuzat la care aparține portul.

Atacul poate fi efectuat, de exemplu, utilizând utilitarul macof, care este inclus în dsniff.

Atacul în sine nu afectează funcționarea VLAN-ului. dar poate fi baza atacurilor ulterioare asupra VLAN-urilor sau a altor tipuri de atacuri.

[edit] Exemplu de atac

Mai întâi, pe cele trei comutatoare, curățați mesele de comutare:

După ce începe atacul. Atac cu ajutorul utilității macof care este inclus în dsniff:

După aceasta, comutatorul funcționează ca un hub.

Dacă pingangul de pe mașina unei mașini student a altui sau un ruter, traficul vede totul într-un singur domeniu de difuzare.

[edit] Protecția împotriva atacurilor

Funcția de securitate portuară.

[modifică] Manipularea STP

Trimiterea BPDU a comutatorului rădăcină:

[modifică] Garda BPDU

Trecerea la modul portfast al tuturor porturilor de acces:

Consultați informații sumare despre funcțiile incluse:

Vedeți dacă portfast este activat pe port:

Activarea bpduguard pe toate porturile portfast:

[modifică] Garda rădăcinilor

Protecția rădăcinii vă asigură că portul este pornit. În mod normal, porturile rădăcină sunt toate porturile. În cazul în care puntea superioară primește STP Podul Protocol unități de date (BPDUs) pe o rădăcină de paza activat port, se mută de pază rădăcină acest port la o stare STP-rădăcină inconsistente. Această stare rădăcină-inconsistentă este efectiv egală cu o stare de ascultare. Nu este redirecționat niciun trafic pe acest port. În acest fel, protecția rădăcinii forțează poziția podului rădăcinii.

Dacă întrerupătorul rădăcină nu apare pe interfață, puteți să îl configurați pe acesta:

[modifică] Diferențele dintre STP BPDU Guard și STP Guard Guard

Protecția BPDU și protecția rădăcinilor sunt similare, însă impactul acestora este diferit. Protecția BPDU dezactivează portul la recepția BPDU dacă PortFast este activat pe port. Dezactivarea refuză efectiv dispozitivele. Trebuie să reactivați manual portul de comenzi pentru server.

Protecția împotriva rănilor permite dispozitivului să participe la STP atâta timp cât dispozitivul nu încearcă să devină rădăcină. Dacă protecția rădăcinilor blochează portul, recuperarea ulterioară este automată. Recuperarea are loc imediat ce dispozitivul de încălcare încetează să mai trimită date BPDU superioare.

[modifică] atac DHCP

Spionarea cu DHCP de foamete

[modifică] Sincronizarea DHCP

[edit] ARP-spoofing (ARP-otrăvire)

[edit] Protocolul de trunchi VLAN

[edit] Cisco Network Foundation Protection

[edit] Planul de control

[edit] Protecția planului de control

Agregat CoPP - când CPPr este activat, setările CoPP rămân. CoPP se aplică întregului trafic. Și CPPr împarte traficul în clase și, în consecință, procesează (în cazul în care CoPP a ratat-o). CPPr vă permite să efectuați mai multă ajustare. Cu CPPr, CoPP poate fi aplicat oricăror subinterfexe.

CPPr evidențiază trei sub-interfețe:

Suprafața gazdă a planului de comandă
Suprafata de tranzit a planului de control
Control sub-suprafață CEF-excepție

CoPP
Port Filter - vă permite să detectați și să eliminați traficul care merge mai devreme în porturile închise. Folosit, de exemplu, pentru a preveni atacurile DoS pe dispozitiv.
Pragul de coadă - funcția împiedică coada de intrare să supraîncarce un protocol primind traficul unui protocol.

Ce trafic intră în această interfață

Funcțiile CPPr care pot fi aplicate

[edit] Particularizarea CoPP

Astfel de criterii sunt acceptate pentru clasificarea pe hartă de clasă:

standard și avansate ACL,
meci ip dscp,
potriviți ip precedență,
potriviți protocolul arp.

În harta de politică folosită pentru CoPP, astfel de restricții sunt:

acţiuni:
- picătură
- poliția (transmite)?
Politica poate fi aplicată în direcția de ieșire numai în Agregate CoPP.
În direcția de intrare, politicile pot fi utilizate în subinterfeuri și în Agregate CoPP.

Aplicarea unei politici la o interfață host-subinterface:

[edit] Configurarea politicii filtrelor de port

Criterii pentru port-filtru tip hartă de tip:

Exemplu de setare a hărții de clasă pentru filtrarea portului:

Setarea hărții de politici (singura acțiune de abandonare posibilă):

Aplicarea unei politici la o interfață host-subinterface:

Creați o regulă de inspecție:

Aplicarea regulii de inspecție pe interfață:

[edit] Setarea cronometrelor

Valorile implicite ale cronometrului:

Perioadă de conectare TCP (implicit 30 de secunde):

Este timpul să așteptați terminarea conexiunilor TCP (implicit este de 5 secunde):

Timeout până la terminarea conexiunii inactive TCP (implicit este de 5 secunde):

Restricții privind conexiunile în așteptare. Dacă numărul conexiunilor în așteptare este mai mare decât pragul ridicat de 800, acestea vor fi șterse până când ating limita inferioară de 600:

Restricții la conexiunile neangajate de la gazdă.

[edit] CBAC și Java

ACL, care indică rețelele cărora li se permite să treacă Java:

Configurarea regulii de inspecție:

[edit] Cisco IOS Classic Firewall

[edit] Paravanul de protecție a politicii bazate pe zonele Cisco IOS

Zone-Based Firewall Firewall este noua abordare a Cisco pentru configurarea regulilor de firewall pe router. Se bazează pe distribuția interfețelor routerului pe zonele de securitate. După aceasta, toate regulile sunt configurate pentru interacțiunile dintre zone.

Această abordare facilitează configurarea regulilor firewall. În plus, Paravanul de protecție bazat pe zone utilizează Cisco Political Language (CPL), care permite mai flexibilă decât în versiunile anterioare ale firewall-ului, să configureze regulile de filtrare a traficului.