DHCP snooping na přepínači Cisco Catalyst C rozšíření a přepracování projektu z minulého roku.

Podobné dokumenty
SMĚROVANÉ A PŘEPÍNANÉ SÍTĚ semestrální projekt. DHCP snooping. Petr Gurecký gur020

Konfigurace sítě s WLAN controllerem

Vysoká škola báňská Technická univerzita Ostrava Fakulta elektrotechniky a informatiky. Projekt do SPS

Cisco IOS 3 - nastavení interface/portu - access, trunk, port security

Základy IOS, Přepínače: Spanning Tree

Pokročilé možnosti DHCP serveru v Cisco IOS. Vladimír Jarotek

Průzkum a ověření konfigurace Private VLAN na Cisco Catalyst 3560

Semestrální projekt do předmětu SPS

uvysoká škola báňská Technická univerzita Ostrava Fakulta elektrotechniky a informatiky Projekt do SPS

VLAN Membership Policy Server a protokol VQP Dynamické přiřazování do VLANů.

Možnosti DHCP snoopingu, relayingu a podpora multicastingu na DSLAM Zyxel IES-1000

VLSM Statické směrování

Popis a ověření možností přepínacího modulu WIC- 4ESW pro směrovače Cisco

DHCP. Martin Jiřička,

Přepínaný Ethernet. Virtuální sítě.

Analýza protokolů rodiny TCP/IP, NAT

Autentizace bezdrátových klientů jejich přiřazování do VLAN podle databáze FreeRADIUS

Internet a zdroje. (ARP, routing) Mgr. Petr Jakubec. Katedra fyzikální chemie Univerzita Palackého v Olomouci Tř. 17. listopadu

Směrování. 4. Přednáška. Směrování s částečnou znalostí sítě

Site - Zapich. Varianta 1

Vyvažování zátěže na topologii přepínačů s redundandními linkami

ZÁKLADNÍ ANALÝZA SÍTÍ TCP/IP

Projekt VRF LITE. Jiří Otisk, Filip Frank

Přepínače: VLANy, Spanning Tree

Počítačové sítě I LS 2004/2005 Návrh a konstrukce sítě zadání

L2 multicast v doméně s přepínači CISCO

VLSM Statické směrování

Instalační a uživatelská příručka aplikace PSImulator2 Obsah

L2 multicast v doméně s přepínači CISCO

DHCP - kickstart Jiri Kubina jiri.kubina@osu.cz Ver. 1.0 unor 2006

Laboratorní práce: SNMP - Linux snmputils

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

ANALÝZA TCP/IP 2 ANALÝZA PROTOKOLŮ DHCP, ARP, ICMP A DNS

Quido - Telnet. Popis konfigurace modulů Quido protokolem Telnet. 3. srpna 2007 w w w. p a p o u c h. c o m

KAPITOLA 23. Překlady adres NAT

Siemens (3V) Ericsson (5V) Alcatel (3.6V) C10, C35, C45, C55 T10s 501 S10, S25, S35 T20e (3V) M35, M50, MT50 T18s A60

2005 Mikrovlny s.r.o. IP/GSM Restarter

Podsíťování. Počítačové sítě. 7. cvičení

Rychlý postup k nastavení VoIP gatewaye ASUS VP100

NWA Příručka k rychlé instalaci. Dvoupásmový bezdrátový přístupový bod N třídy business

GRE tunel APLIKA ˇ CNÍ P ˇ RÍRU ˇ CKA

Technologie počítačových sítí


Autentizace uživatele připojeného přes 802.1X k přepínači Cisco Catalyst 2900/3550 pomocí služby RADIUS

Ověření IGMP snoopingu na přepínačích Cisco Catalyst. Semestrální projekt do předmětu Směrované a přepínané sítě

Implementace Windows Load Balancingu (NLB)

Analýza aplikačních protokolů

Možnosti IPv6 NAT. Lukáš Krupčík, Martin Hruška KRU0052, HRU0079. Konfigurace... 3 Statické NAT-PT Ověření zapojení... 7

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

DŮLEŽITÉ INFORMACE, PROSÍM ČTĚTE!

Použití Virtual NAT interfaces na Cisco IOS

Protokol GLBP. Projekt do předmětu Správa počítačových systémů Radim Poloch (pol380), Jan Prokop (pro266)

(Ne)bojím se IPv6! Matěj Grégr. Vysoké učení technické v Brně, Fakulta informačních technologií LinuxAlt 2013

Příručka rychlého nastavení připojení sítě

Správa systému MS Windows II

SPARKLAN WX-7615A - návod k obsluze. Verze i4 Portfolio s.r.o.

Bridging na Linuxu - příkaz brctl - demonstrace (všech) voleb na vhodně zvolených topologiích.

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Počítačové sítě 1 Přednáška č.7 Přepínané LAN sítě

Y36SPS Jmenné služby DHCP a DNS

5. Směrování v počítačových sítích a směrovací protokoly

Nezávislé unicast a multicast topologie s využitím MBGP

Ethernet konvertor. Access Point, Bridge, Static Router, NAT GIOM EX/DE

Konfigurace směrovače, CDP

Uživatelský modul. WiFi STA

Konfigurace síťových stanic

Virtální lokální sítě (VLAN)

Počítačové sítě ZS 2005/2006 Návrh sítě zadání

Switch - příklady. Příklady konfigurací pro switch.

Standardizace Internetu (1)

1. Připojení k Internetu

LAN adaptér. Návod k použití

Počítačové sítě, ZS 2007/2008, kombinované studium. Návrh sítě zadání. Petr Grygárek, FEI VŠB-TU Ostrava

Projektování distribuovaných systémů Lekce 2 Ing. Jiří ledvina, CSc

Automatizace konfigurace v síti Cisco

2N VoiceBlue Next. 2N VoiceBlue Next brána - instalační průvodce. Version 1.00

Konfigurace DHCP serveru a překladu adres na směrovačích Cisco

STRUČNÝ NÁVOD K POUŽITÍ

CON-LAN. Komunikační převodník tf hit <-> Ethernet. Kompletní příručka

X36PKO Úvod Protokolová rodina TCP/IP

P-334U. Bezdrátový Wi-Fi router kompatibilní s normou a/g. Příručka k rychlé instalaci

SPARKLAN WX-7800A - návod k obsluze Verze 1.2

UPS MONITOR Zařízení pro monitorování záložních zdrojů s protokolem Smart UPS APC

HWg-STE zapojení konektorů

Cisco IOS 1 - úvod, příkaz show

12. VLAN, inter VLAN routing, VTP

DLNA- Průvodce instalací

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Uživatelský modul. Transparent Mode

MPLS LDP na přepínané síti. L2 enkapsulace odchozích paketu, vazba na CEF. Rekonvergence v případě ztráty LDP Hello paketu.

Jiří Tic, TIC080 Lukáš Dziadkowiec, DZI016 VŠB-TUO. Typy LSA v OSPF Semestrální projekt: Směrované a přepínané sítě

Inovace bakalářského studijního oboru Aplikovaná chemie

Správa linuxového serveru: DNS a DHCP server dnsmasq

Technologie počítačových sítí 11. přednáška

Vítáme Vás 1 COPYRIGHT 2011 ALCATEL-LUCENT. ALL RIGHTS RESERVED.

PSK3-11. Instalace software a nastavení sítě. Instalace software

Počítačové sítě ZS 2008/2009 Projekt návrhu sítě zadání

IP WATCHDOG IEEE 802.3,RJ45

Hlas. Robert Elbl COPYRIGHT 2011 ALCATEL-LUCENT ENTERPRISE. ALL RIGHTS RESERVED.

Konfigurace Cisco směrovače

Transkript:

DHCP snooping na přepínači Cisco Catalyst C2960 - rozšíření a přepracování projektu z minulého roku. Jiří Vychodil Abstrakt: Cílem projektu je ověřit funkce DHCP snooping a Port Security na switchi Cisco Catalyst C2960. Tyto funkce jsou účinnou obranou proti útokům na přepínané sítě, jako DHCP spoofing, ARP Spoofing, ARP Cache Poisoning, MAC flooding nebo Port stealing. Klíčová slova: DHCP snooping, DHCP spoofing, ARP Spoofing, ARP Cache Poisoning, MAC flooding, Port stealing, Port Security 1 Úvod...1 1.1. DHCP spoofing...2 1.2. Port security...2 1.3. MAC flooding...2 1.4. ARP Spoofing...2 1.5. Port stealing...2 2 Zapojení...4 2.1. Konfigurace DHCP snoopingu na přepínači Catalyst 2960...5 2.2. Praktické ověření funkce DHCP snooping...6 2.3. Konfigurace Port Security...8 2.4. Praktické ověření funkce Port security...10 3 Závěr...12 4 Použitá literatura...13 1 Úvod DHCP snooping je obrannou proti útoku DHCP spoofing (viz 1.1). Principiálně spočívá v tom, že porty na switchi rozdělíte na trusted a untrusted. Pokud je na portu připojen počítač, pak port označíte jako untrusted. Zapneme-li DHCP Snooping, útočník bude mít zapnut DHCP server a nějaký klient požádá o IP adresu, útočníkův DHCP server sice odpoví, ale jakmile dorazí odpověď na switch, switch zkontroluje, zda je poslána z trusted portu, a podle toho ji zahodí či propustí. V tomto případě bude zahozena, jelikož útočník je na obyčejném počítači, který je připojen k untrusted portu. Tímto se spolehlivě zabrání DHCP Spoofingu. Switch poslouchá komunikaci a z průchozích DHCP zpráv si vytváří tabulku. Tato tabulka obsahuje MAC adresu klienta, přidělenou IP adresu, port, na kterém se klient nalézá, dobu, kdy vyprší zapůjčení IP adresy, VLAN, do které klient spadá, a způsob, jak byla položka přidána (staticky nebo dynamicky). DHCP snooping ale nezamezuje komunikaci počítače se statickou IP adresou. Pokud bychom tedy ke switchi připojili počítač, ať už na trusted nebo untrusted port, květen 2008 1/13

se staticky nastavenou IP adresou, maskou podsítě, adresou výchozí brány apod., nebude provoz tohoto počítače nijak omezen. K tomu slouží funkce Port security. Aby switch věděl, na který port data odeslat, obsahuje CAM tabulku (Content Addressable Memory table), do které si zapisuje, na kterém portu je jaká MAC adresa. CAM tabulka má omezenou kapacitu. Vnitřní struktura a reakce tabulky na určité události se lišší výrobce od výrobce. Tabulku switch vytváří posloucháním provozu na portech, při přijetí rámce s neznámou MAC adresou si ji spolu s číslem portu zapíše do této tabulky a rámec odešle na port, kde se podle záznamu z tabulky nachází cílová MAC adresa rámce. Pokud v tabulce takový záznam není, pošle rámec na všechny porty kromě příchozího. 1.1. DHCP spoofing DHCP spoofing je útok na přepínané sítě, kdy útočník zapojí do sítě svůj falešný DHCP server, který odpovídá na pakety DHCP discovery a přiděluje stanicím kromě IP adres podvrženou adresu brány a DNS serveru. Potom bude veškerý provoz od klienta směřovaný ven ze sítě procházet přes útočníkův počítač. Jde tedy o Man-in-the- Middle útok, protože útočník pak může pakety přeposílat na správnou cílovou adresu, ale přitom může prozkoumat každý paket, který takto zachytil. 1.2. Port security Port security omezuje připojení zařízení s neznámou MAC adresou. Tato funkce vytváří tabulku, která obsahuje MAC adresu připojené stanice, číslo fyzického portu, na který je stanice připojena, typ záznamu (statický nebo dynamický) a dobu vypršení záznamu. Tabulka je vytvořena z odposlechu paketů, které procházejí daným portem, nebo můžeme zadat adresy dynamicky. Ke každému portu je také možné nastavit maximální možná počet MAC adres, které můžou být připojeny na port. Port security se povoluje na každém portu zvlášť. Pokud dojde na portu k narušení bezpečnosti ( security violation ), podle nastavení dojde k nastavené události, např. k vypnutí portu, zahození rámce apod. Situace, kdy nastane porušení bezpečnosti: Bylo dosaženo maximálního počtu MAC adresu na portu a zařízení, jehož adresa není v tabulce, se snaží komunikovat na interface. MAC adresa, která v tabulce přísluší jistému portu, se objeví na jiném portu stejné VLAN. 1.3. MAC flooding Při útoku MAC Flooding útočník zaplaví přepínač falešnými MAC adresami, čímž "vytěsní" z CAM tabulky přepínače reálné MAC adresy stanic. Přepínač v tomto stavu začne odesílat data na všechny porty dané VLAN sítě, útočník tato data může zachytit. Obranou je funkce port security, kdy zadáme maximální počet MAC adres připojených na port. Pokud je tento počet dosažen, dojde porušení bezpečnosti a nastane nastavená událost (zahození rámce, vypnutí portu, vypnutí VLAN apod.) 1.4. ARP Spoofing Útok je také nazývaný ARP poisoning či ARP Poison Routing. Útok je založen na používání tzv. gratuitous ARP paketů ("nevyžádaných" ARP paketů). Jedná o pakety, kterými stanice oznamuje vazbu mezi IP a MAC adresou (ARP Reply), aniž by obdržela požadavek na vyslání takové informace (ARP Request). Stanice většinou gratuitous ARP přijme a informace z něj si zapíše do ARP cache a používá je (mezi různými OS existují drobné rozdíly). Útočník může například pomocí gratuitous ARP podstrčit stanicím svou MAC adresu místo MAC adresy síťové brány. Stanice pak posílají data do jiných podsítí přes počítač útočníka, který je odposlouchává. Obrana - Dynamic ARP Inspection (DAI). DAI využívá tabulku, vybudovanou při DHCP Snoopingu. Přepínač zjišťuje pro každý ARP paket, zda údaje v něm obsažené květen 2008 2/13

(IP a MAC adresa) odpovídají údajům ve zmíněné tabulce. Pokud ne, ARP paket zahodí, v krajním případě může zablokovat port, ze kterého paket přišel [4]. 1.5. Port stealing Útok je podobný ARP poisoningu, ale útočník nepodsouvá svou MAC adresu oběti, ale switchi. Útočník zjistí, jakou má oběť MAC adresu a pošle paket, který bude mít jako cílovou, tak výchozí adresu tuto. Switch si přepíše CAM tabulku a paket dále nepošle, protože cílový port je totožný s výchozím. Nyní, když někdo pošle paket oběti, switch jej doručí podle MAC adresy útočníkovi. Pokud chce útočník doručit paket oběti, musí opravit CAM tabulku. Pošle paket ARP Request, oběť odpoví ARP Reply, switch si opraví tabulku a útočník může odeslat zachycený paket oběti. Tento útok má nevýhodu v tom, že když oběť odešle jakýkoliv paket v době, kdy se útočník vydává za oběť, CAM tabulka se obnoví a další pakety určené oběti nebudou posílány útočníkovi ale oběti. Proto útočník musí posílat pakety pro kradení portu rychleji. Také se stává, že nějaké pakety díky tomu nezachytíme. Nemusíme třeba také čekat, než k nám dorazí paket ARP Reply, a poslat data ještě před jeho přijetím. Tím ale riskujeme, že data odešleme moc brzo a ona se nám vrátí (CAM tabulka se nestihne zotavit). květen 2008 3/13

2 Zapojení Pro všechna měření bylo použita následující vybavení a zapojení. Switch Cisco Catalyst 2960 2 pracovní stanice s Linux Debian 2 DHCP server spuštěný na Linux Debian Balíček dhcp3-server DHCP server Ethernetový hub Stanice měly nastavené dynamické adresy, která se získávaly z DHCP serverů. Pravý server měl IP adresu 192.168.1.1 a rozsah přidělovaných adres 192.168.1.2.- 192.168.1.10. Falešný server měl IP adresu 192.168.1.100 a rozsah 192.168.1.101-192.168.1.110. Masky podsítě byly v obou případech 255.255.255.0. Obrázek 1: Schéma zapojení Konfigurace pravého DHCP serveru, soubor /etc/dhcp3/dhcpd.conf authoritative; option domain-name "pravy_dhcp"; option routers 192.168.1.1; option subnet-mask 255.255.255.0; option broadcast-address 192.168.1.255; default-lease-time 60; max-lease-time 120; subnet 192.168.1.0 netmask 255.255.255.0 { range 192.168.1.2 192.168.1.10; } Konfigurace pravého DHCP serveru, soubor /etc/dhcp3/dhcpd.conf authoritative; option domain-name "falesny_dhcp"; option routers 192.168.1.100; option subnet-mask 255.255.255.0; option broadcast-address 192.168.1.255; default-lease-time 60; max-lease-time 120; subnet 192.168.1.0 netmask 255.255.255.0 { range 192.168.1.101 192.168.1.110; } květen 2008 4/13

Konfigurační soubor pravého i falešného serveru, soubor /etc/default/dhcp3-server interfaces= eth0 ; Tento řádek je nutné do souboru přidat, pokud jej neobsahuje. Označuje interface, na kterém má DHCP poslouchat. Při tomto nastavení není nějak omezen provoz falešných DHCP serverů připojených do sítě. Stanice si tedy vyberou IP adresu serveru, jehož odpověď přišla nejdříve. 2.1. Konfigurace DHCP snoopingu na přepínači Catalyst 2960 Implicitně není DHCP snooping povolen. Následující příkazy popisují možnosti nastavení snoopingu Některé konfigurační příkazy: DHCP snooping trust Označení daného portu jako důvěryhodného. DHCP snooping vlan Určení VLANu, na kterém bude DHCP snooping spuštěn. DHCP snooping information option Volitelné nastavení. Pokud je DHCP požadavek zachycen na nedůvěryhodném portu, switch do něj přidá svou MAC adresu a identifikaci portu. Požadavek je pak přeposlán na pravý DHCP server. Podle RFC30462 je číslo této volby 82. DHCP snooping limit rate Volitelné nastavení. Limit určující, kolik DHCP paketů za sekundu může daným rozhraním projít. To se týká DHCP dotazů i odpovědí. Switch(config)# ip dhcp snooping Tento příkaz globálně zapne DHCP snooping. Pro vypnutí stačí předřadit klíčové slovo no. Switch(config)# ip dhcp snooping vlan (číslo) Zapne DHCP snooping na VLANu s příslušným číslem. Lze zadat také dvě čísla, která pak znamenají dolní a horní mez rozmezí všech VLANů. Switch(config)# ip dhcp snooping information option Zapne DHCP volbu č. 82 (viz výše). Switch(config-if)# ip dhcp snooping trust Nastaví příslušné rozhraní jako důvěryhodné (připojené k pravému DHCP serveru). Switch(config-if)# ip dhcp snooping limit rate (číslo) Nastaví kolik DHCP paketů může rozhraní přijmout za sekundu (pps). Obvykle se neudává hodnota větší než 100 pps. Obyčejně se limit udává na nedůvěryhodných rozhraních. Chceme-li jej použít na rozhraní důvěryhodné, musíme vzít na vědomí, že přes tato rozhraní prochází veškerý DHCP provoz ve switchi, a proto bychom měli použít větší hodnotu limitu. Switch# show ip dhcp snooping Zobrazí aktuální konfiguraci DHCP snoopingu na daném switchi. květen 2008 5/13

2.2. Praktické ověření funkce DHCP snooping Následujícím nastavení zapneme DHCP snooping na switchi a nastavíme porty do režimů trusted nebo untrusted. ip dhcp snooping ip dhcp snooping vlan 1 Tyto příkazy provedeme v globálním nastavení switche. Zapnout DHCP snooping na VLANu 1. interface FastEthernet0/1 ip dhcp snooping trust Nastavíme port FastEthernet0/1 jako důvěryhodný, protože je na něj připojen pravý DHCP server. ip dhcp snooping limit rate rate Toto nastavení můžeme přiřadit portům, zabráníme případnému přetížení DHCP serveru. Část nastavení switche: Switch# configure terminal Enter configuration commands, one per line. End with CNTL/Z. Switch(config)# ip dhcp snooping Switch(config)# ip dhcp snooping vlan 1 Switch(config)# interface FastEthernet0/1 Switch(config-if)# ip dhcp snooping trust Switch(config-if)# ip dhcp snooping limit rate 100 Switch(config-if)# exit Switch(config)# exit Při zobrazení konfigurace jsou zobrazeny jen porty, které nemají impicitní nastavení. Zobrazení konfigurace: Switch# show ip dhcp snooping DHCP Snooping is configured on the following VLANs: 1 Insertion of option 82 information is disabled. Interface Trusted Rate limit (pps) --------- ------- ----- ----------- FastEthernet0/1 yes 100 FastEthernet0/2 yes none FastEthernet0/3 no 20 Switch# Z konfigurace můžeme vyčíst následující informace: DHCP snooping byl aktivován na VLANu č. 1 Rozhraní FastEthernet0/1 a FastEthernet0/2 jsou nastavena jako důvěryhodné, tj. jsou připojena k DHCP serveru. Navíc na rozhraní FastEthernet0/1 je nastaven limit, že za sekundu může projít maximálně 100 DHCP paketů. Rozhraní FastEthernet0/3 není sice nastaveno jako důvěryhodné, ale je mu přidělen limit, že za sekundu zdu může projít maximálně 20 DHCP paketů. Stanice na portu 0/4 měla IP statickou, takže není v tabulce obsažena. Zobrazení vazební tabulky: Switch# show ip dhcp snooping binding MacAddress IP Address Lease (seconds) Type VLAN Interface ----------- ----------- ---------------- ----- ----- ------------ 0016.7669.01dd 192.168.1.9 43 dynamic 1 FastEthernet0/3 květen 2008 6/13

Při tomto nastavení se switch choval podle předpokladu. Falešný server neodpovídal na DHCP discovery, ani DHCP request, pokud od něj měli stanice vypůjčenou IP adresu v době nastavení DHCP snoopingu. Ovšem pokud měla stanice IP přiřazenou staticky, nebyl její provoz v síti nijak omezen. Switch si ale tvoří vazební tabulku. květen 2008 7/13

2.3. Konfigurace Port Security Port security zabraňuje útokům popsaným v první kapitole. Implicitně na switchi povolen není. Následující příkazy popisují nastavení security. Port security se nastavuje na vybraném portu. switchport mode access trunk Port se nastaví jako trunk nebo access, na portu v default modu nelze nastavit Port security switchport port-security Zapnutí funkce Port security na portu. Switch podporuje tyto typy MAC adres asociovaných s daným portem: statická je okamžitě přidána do běžící konfigurace. dynamická switch se ji naučí z provozu, uložená jen v tabulce adres, záznam je po restartu switche odstraněn sticky naučená z provozu, automaticky vložená do konfigurace switchport port-security mac-address mac-address Zapíše statickou MAC adresu do tabulky. switchport port-security [maximum value [vlan {vlan-list {access voice}}]] Maximum value udává možný maximální počet MAC adres na portu včetně staticky konfigurovaných. Vlan je je nepovinný argument pro nastavení maximálního počtu adres pro danou VLAN. switchport port-security [violation {protect restrict shutdown shutdown vlan}] Nastavuje mod, podle kterého nastane událost po porušení bezpečnosti: protect Po dosažení maximálního počtu MAC adres pakety přijaté z neznámé adresy budou zahazovány. Žádná zpráva není poslána. restrict - na rozdíl od protect modu je zaslán SNMP trap, je zalogována syslog zpráva a je navýšeno počítadlo porušení bezpečnosti. shutdown port je vypnut, LED portu zhasnou, je zaslán SNMP trap, je zalogována syslog zpráva a je navýšeno počítadlo porušení bezpečnosti. shutdown vlan místo portu se vypne příslušná VLAN. errdisable recovery cause psecure-violation errdisable recovery interval interval Nastavení způsobí, že při vypnutí portu při porušení bezpečnosti se port automaticky zapne po uběhnutí danéného intervalu. Interval se zadává v sekundách, od 30 do 86400. Při vypnutí portu při porušení bezpečnosti je možné port zapnout příkazem v globálním nastavení switche příkazem clear errdisable interface vlan nebo no shutdown pro daný port. switchport port-security [mac-address mac-address [vlan {vlan-id {access voice}}] Volitené nastavení, nastaví staticky MAC adresu pro daný port. Je možné přidat adresy až do dosažení maximálního počtu adres pro port. Zbylý počet adres je použit pro dynamické nastavení. switchport port-security mac-address sticky Volitelné nastavení, povolí pro daný port sticky záznamy. květen 2008 8/13

switchport port-security mac-address sticky [mac-address vlan {vlan-id {access voice}}] Volitelné natavení, přidá sticky MAC adresu, lze zadat více adres. Pokud je adres zadáno méně, než maximální počet, zbývající budou zapsány dynamicky a převedeny převedeny na sticky. Pro toto nastavení je nutné povolení sticky záznamů. Volitelně zle nastavit maximální hodnotu pro každou VLAN. Po klíčovém slově vlan se můžou zadat možnosti: show port-security Zobrazí nastavení Port security. switchport port-security aging {static time time type {absolute inactivity}} Natavení Port security aging implicitně je vypnutý. Tato možnost se využívá k automatickému vymazání MAC adresy z tabulky po době zadané v minutách. Záznamy lze také mazat manuálně. Aging se nastavuje ke každému portu. Typy aging: Abstolutní adresy z tabulky se vymažou po určitém čase po zapsání, použijeme typ absolute Při neaktivitě adresy se vymažou, jen pokud jsou po určitou dobu neaktivní, typ inactivity Pro povolení aging pro statické adresy použijte klíčové slovo static. show port-security [interface interface-id] [address] Vypíše konfiguraci Port security. show interfaces [interface-id] switchport Vypíše nastavení všech přepínacích portu switche. show port-security [interface interface-id] Vypíše nastavení Port security pro všechny nebo zadaný port switche. show port-security [interface interface-id] address Vypíše všechny MAC adresy v tabulce všech nebo jen zadaných portů switche. show port-security interface interface-id vlan Vypíše MAC adresy z tabulky pro danou VLAN na daném portu. květen 2008 9/13

2.4. Praktické ověření funkce Port security Při ověřování funkce port security jsme ponechali na switchi připojený jen jeden DHCP server. Abychom mohli připojit více stanic na jeden port switche, připojili jsme stanice přes hub. Obrázek 2: Schéma zapojení Switch(config)#interface fa0/3 Switch(config-if)#switchport port-security maximum 1 Switch(config-if)#switchport port-security Switch(config-if)#Switchport port-security violation restrict Switch(config-if)#switchport port-security mac-address 0016.7669.01be Switch(config-if)#switchport port-security aging type inactivity Switch(config-if)#switchport port-security aging time 3 Switch(config-if)#exit Switch(config-if)#do show port-security Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action (Count) (Count) (Count) --------------------------------------------------------------------------- Fa0/3 5 1 0 Restrict --------------------------------------------------------------------------- Total Addresses in System (excluding one mac per port) : 0 Max Addresses limit in System (excluding one mac per port) : 8192 *Mar 1 00:34:17.641: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0060.b0b1.e8d7 on port FastEthernet0/3. Nastavili jsme port security na portu switche fa0/3. Na port může být připojena jen jedna MAC adresa. Ta je nastavena staticky a přísluší stanici připojené na tento port. Po uplynutí tří minut od přijetí posledního rámce se zdrojovou adresou dynamicky naučenou bude záznam vymazán z tabulky. V tomto nastevení to však nemá význam, protože je povolena pouze jedna MAC adresa a ta je staticky nastevená a není povoleno vymazání staticky zadaných MAC adres z tabulky po určité době nečinnosti. květen 2008 10/13

Pokud přijde na port rámec s jinou zdrojovou adresou, rámec bude zahozen a switch vypíše oznámení. Tak se také stalo. Switch(config-if)#SwItchport port-security violation restrict Při tomto nastavení switch rámce dále zahazoval, ale nedával o tom žádnou zprávu Switch(config-if)#switchport port-security violation shutdown Switch(config-if)# *Mar 1 00:39:24.236: %PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/3, putting Fa0/3 in err-disable state *Mar 1 00:39:24.236: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 001a.a163.4e0f on port FastEthernet0/3. *Mar 1 00:39:25.243: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/3, changed state to down *Mar 1 00:39:26.241: %LINK-3-UPDOWN: Interface FastEthernet0/3, changed state to down Switch(config-if)#do show port-security interface fa 0/3 Port Security : Enabled Port Status : Secure-shutdown Violation Mode : Shutdown Aging Time : 3 mins Aging Type : Inactivity SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1 Total MAC Addresses : 1 Configured MAC Addresses : 1 Sticky MAC Addresses : 0 Last Source Address:Vlan : 001a.a163.4e0f:1 Security Violation Count : 8 Po změně nastavení události při porušení bezpečnosti na vypnutí portu, se port okamžitě vypnul a switch o události informoval. Na výpisu port security na portu 0/3 je uveden stav portu secure-shutdown. Switch(config-if)#switchport port-security maximum 2 Switch(config)#errdisable recovery cause psecure-violation Switch(config)#errdisable recovery interval 30 Switch(config)# *Mar 1 00:53:02.889: %PM-4-ERR_RECOVER: Attempting to recover from psecure-violation err-disable state on Fa0/3 *Mar 1 00:53:07.310: %LINK-3-UPDOWN: Interface FastEthernet0/3, changed state to up *Mar 1 00:53:08.316: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/3, changed state to up Povolili jsme maximálně dvě MAC adresy na portu fa0/3. Po nastavení zapnutí portu po 30 sekundách od porušení bezpečnosti se port zapnul. květen 2008 11/13

3 Závěr Funkčnost DHCP snoopingu byla na switchi Cisco Catalyst 2960 ověřena. Bez povolení této funkce mohl být do sítě zapojen falešný DHCP server, pomocí něhož by se mohl uskutečnit útok DHCP spoofing. Tedy stanice dostaly IP adresy od falešného serveru. Po povolení funkce bylo tomuto útoku zabráněno a počítačům byly přiřazeny IP adresy jen z pravého serveru. Ověřili jsme funkci port security. Pokud jsme na portu povolili jen jednu MAC adresu a staticky ji zadali, switch zabránil připojení jiné stanice. Při přijetí rámce s neznámou zdrojovou MAC adresou switch rámec zahodil a podle nastaveného modu o tom nepodal nebo podal zprávu, přpadně vypnul port. Po povolení dvou MAC adres na portu se swich druhou adresu naučil a dále rámce s toutou zdrojovou adresou propouštěl do sítě. květen 2008 12/13

4 Použitá literatura [1] GURECKÝ, Petr. DHCP snooping [online]. 2008 [cit. 2008-05-25]. Dostupný z WWW: <http://www.cs.vsb.cz/grygarek/sps/projekty0506/dhcpsnooping.pdf>. [2] HALLER, Martin. Bráníme se odposlechu : specifické útoky [online]. 15. 8. 2006 [cit. 2008-05-25]. Dostupný z WWW: <http://www.lupa.cz/clanky/branime-se-odposlechu-specificke-utoky/> [3] HALLER, Martin. Odposloucháváme data na přepínaném Ethernetu : (3.) [online]. 27. 6. 2006 [cit. 2008-05-25]. Dostupný z WWW: <http://www.lupa.cz/clanky/odposlouchavame-data-na-prepinanem-ethernetu-3/> [4] Zabezpečení přepínaných sítí [online]. [2007] [cit. 2008-05-25]. Dostupný z WWW: <http://www.cisco.cz/index.sub.php?pid=site&typ=sswitch>. květen 2008 13/13

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář