Kapcsolók biztonsága/1

Átírás

1 Kapcsolók biztonsága Készítette: Dr. Óbudai Egyetem Kapcsolók biztonsága/1

2 Tartalom Kapcsolók biztonsága A feszítőfa protokoll (Spanning Tree Protocol) Virtuális LAN-ok (VLAN) Virtuális LAN, trönk használata Virtuális LAN, IEEE 802.1Q címkézés Kapcsolók biztonsága A MAC réteget érő támadások A VLAN-t érő támadások A kapcsolót érő támadások A port-biztonság lehetőségei Authentication, authorization, and accounting (AAA) Védekezés a VLAN-ok elleni támadásokkal szemben Védekezés az átejtés (spoofing) támadásokkal szemben A kapcsolót érő támadások A legjobb gyakorlat a kapcsolók biztonságára Kapcsolók biztonsága/2

3 Feszítőfa protokoll (Spanning tree) Redundáns összeköttetések A kapcsolt hálózatokban gyakran használnak redundáns összeköttetéseket. Ezek növelik a megbízhatóságot, a hibatűrést. A redundancia növeli a költségeket. Egyensúlyt kell teremteni a költségek és a rendelkezésre állás mértéke között. A redundáns összeköttetések (fizikai hurkok) broadcast viharokat, többszörös kerettovábbítást és instabil MAC címtáblázatokat okozhatnak. S1 S3 S5 S7 S2 S4 S6 Munkacsoport Gerinchálózat Szerverek Kapcsolók biztonsága/3

4 Redundáns összeköttetések Feszítőfa protokoll A Spanning-Tree Protocol (STP) hurokmentes logikai hálózatot épít fel hurkokat tartalmazó fizikai hálózaton az adatkapcsolati rétegben. A protokoll egy kapcsolókból, portokból és összeköttetésekből álló logikai fastruktúrát hoz létre, amely az átviteli kapacitás szempontjából lehetőleg optimális összekötetést biztosít a kapcsolók között. S1 S3 Feszítőfa S5 S7 S2 S4 S6 Munkacsoport Gerinchálózat Szerverek Kapcsolók biztonsága/4

5 Feszítőfa protokoll Spanning tree protokollok: IEEE 802.1d, IEEE 802.1w A kapcsolók ún. bridge protocol data unit (BPDU) keretek segítségével érintkeznek egymással. A protokoll végrehajtásának eredményeképpen bizonyos kapcsolók, portok és összeköttetések blokkolt állapotba kerülnek, adattovábbítást nem végeznek. Topológiaváltozás vagy meghibásodás esetén a blokkolt portok gyorsan aktív állapotba kerülhetnek és a teljes hálózat újra összefüggő lesz. A feszítőfa fa kialakításához, újraszámolásához kb. 50 másodpercre van szükség. Azon portoknak, amelyekre szervereket és munkaállomásokat kapcsolunk nem kell részt venniük a feszítőfa kialakításában, hiszen mindig kerettovábbítási üzemmódban lesznek, sosem blokkolódnak. Ha ezeket ún. portfast módba kapcsoljuk, azonnal képesek lesznek kerettovábbításra. Kapcsolók biztonsága/5

6 Virtuális LAN (VLAN) Virtuális LAN-okat a kapcsolókban konfigurálás révén hozzuk létre. A kapcsoló bizonyos portjait az egyik VLAN-hoz, más portjait egy másik VLANhoz rendeljük, stb. Az egyes VLAN-okhoz rendelt gépek azonos IP hálózathoz (alhálózathoz) tartoznak, azaz IP címük hálózati része azonos. A VLAN-ok között a kapcsolóban nincs átjárás. Sem az egyedi címmel ellátott (unicast), sem a szórásos, sem az elárasztásos keretek nem jutnak át. VLAN-ok között csak forgalomirányítóval teremthetünk kapcsolatot, ugyanúgy, mint a valódi LAN-ok között. VLAN 1. VLAN 2. Kapcsolók biztonsága/6

7 Virtuális LAN A VLAN-ok létrehozásának okai: A gépeket csoportosíthatjuk szervezeti egység szerint, közös alkalmazások használata szerint. A szórásokat kordában tarthatjuk. A szórások nem jutnak át másik VLANba. A hálózat biztonsága növelhető. Adatkapcsolati rétegben a különböző VLAN-okba tartozó gépek nem kommunikálhatnak egymással / / / / / /24 VLAN 1. VLAN 2. Kapcsolók biztonsága/7

8 Virtuális LAN A VLAN-ok létrehozásának okai (folytatás): Különböző VLAN-ok között forgalomirányítóval teremthető kapcsolat. A forgalomirányítóban megfelelő védelmi mechanizmusokat lehet alkalmazni, amelyekkel szabályozzuk a VLAN-ok közötti forgalmat (hozzáférési listák) / / / / / / / /24 VLAN 1. VLAN 2. Kapcsolók biztonsága/8

9 Portok VLAN-okhoz rendelése Statikus Virtuális LAN Statikus hozzárendelés esetén konfiguráljuk, hogy melyik port, melyik VLAN-ba tartozzon. Dinamikus Dinamikus hozzárendelés esetén egy VLAN felügyeleti szerverben (többnyire egy erre alkalmas kapcsoló) előre rögzítjük, hogy a különböző MAC című készülékek melyik VLAN-ba tartozzanak. A készülékek tetszőleges portra csatlakoztathatók. Az első keret küldésekor a kapcsoló a szerverhez fordul, lekéri az adott MAC című eszköz VLAN azonosítóját, ezután a kapcsoló portját a megadott VLAN-ba sorolja. Ezzel a gépek tetszőleges porthoz csatlakoztathatók, VLAN hozzárendelésük nem változik. Kapcsolók biztonsága/9

10 Virtuális LAN Több kapcsolóra kiterjesztett VLAN-ok: Trunk (trönk) A VLAN-ok több kapcsolóra is kiterjedhetnek. Az ábrán a VLAN 1-be és a VLAN 2-be tartozó gépek mindkét kapcsolón jelen vannak. A kapcsolókat trönk portokon keresztül kapcsoljuk össze. Egyes kapcsolótípusoknak csak kitüntetett portjai (pl. nagyobb sebességű portok), másoknak valamennyi portja konfigurálható trönk portként. A trönk portok egyik VLAN-ba sem tartoznak, alapesetben az összes VLAN forgalmát továbbítják. Általában konfigurálható, hogy mely VLAN-okat továbbítsák. Trönk: VLAN 1. + VLAN 2. VLAN /24 VLAN 1. VLAN 1. VLAN / / /24 Kapcsolók biztonsága/10

11 Virtuális LAN Több kapcsolóra kiterjesztett VLAN-ok: Trönk (folytatás) A trönk vonalon áthaladó kereteket a kapcsoló címkével látja el, amely tartalmazza a keret VLAN azonosítóját is. A másik kapcsolónak tudnia kell, hogy a keret melyik VLAN-ba tartozik. Amíg a keret a gerinchálózaton (trönkön) halad a címke a kereten marad, mihelyt a kapcsoló a keretet egy nem-trönk porton küldi ki, eltávolítja a VLAN címkét. A trönk protokoll szabványos: IEEE 802.1Q (dot1q). A különböző gyártók kapcsolói így együttműködhetnek. Más nem szabványos gyári protokollok is léteznek (pl. Cisco ISL). A több kapcsolóra kiterjesztett VLAN-ok előnye, hogy a helytől függetlenül csoportosíthatjuk a munkaállomásokat VLAN-okba. Ha pl. a VLAN 1 hálózatból egy munkaállomást át kell helyezni egy másik épületbe, a kapcsolónak egy portját a másik épületben a VLAN 1-hez kell rendelni, a munkaállomás megtarthatja az IP címét. Ha egy állomást másik VLAN-ba kell tennünk, IP címét a másik hálózatból kell adnunk. A Spanning Tree Protocol-t minden VLAN-ra külön kell alkalmazni. Kapcsolók biztonsága/11

12 Virtuális LAN Több kapcsolóra kiterjesztett VLAN-ok: Trönk (folytatás) A VLAN-ok között forgalomirányítóval lehet adatot cserélni. Használhatnánk minden VLAN-ra külön-külön forgalomirányító-portot. Ez nem gazdaságos sok VLAN esetén. A forgalomirányító portjait is lehet trönkként konfigurálni. Alinterfészeket kell létrehozni egy fizikai interfészen, és az egyes alinterfészeket a VLAN-okhoz rendelni. Az alinterfészeknek ez esetben a saját VLAN-beli IP címet kell adnunk. Ez is trönkvonal! Trönk: VLAN 1. + VLAN 2. VLAN /24 VLAN 1. VLAN 1. VLAN / / /24 Kapcsolók biztonsága/12

13 Virtuális LAN IEEE 802.1Q címkézés A trönk kapcsolaton egy VLAN-címkével ellátott keret halad keresztül. Amikor a keret hozzáférési porton hagyja el a kapcsolót, a kapcsoló a címkét eltávolítja a keretből. A címke mezői: EtherType: EtherType 0x8100 jelzi, hogy ez egy 802.1Q keret PRI: 3 bits; a keret prioritását jelzi (IEEE 802.1p protokoll) Token Ring Encapsulation Flag: 0 VID: A keret VLAN tagságát jelzi Kapcsolók biztonsága/13

14 Kapcsolók biztonsága A kapcsolók az ISO OSI referencia modell 2. rétegében működnek. A 2. rétegben is számtalan támadás érheti a hálózatokat. A kapcsolókban számos biztonsági lehetőség létezik, ezeket megfelelően kell konfigurálni. A forgalomirányítókhoz hasonlóan a kapcsolókban is rendelkezésre állnak a hozzáférési listák (ACL) a magasabb rétegben működő protokollok védelmére. Kapcsolók biztonsága/14

15 Illegális második rétegű eszközök Kapcsolók biztonsága Illegális (csaló) 2. rétegű eszközök csatlakoztatása a hálózathoz A vállalat dolgozói által (az üzemeltető személyzet tudta nélkül helyezik el). Általában a biztonsági megoldásokat mellőzik, ezáltal a belső hálózat sérülékennyé válik. Ártani szándékozó külső személyek által (igyekeznek fizikailag is elrejteni az eszközöket) Ilyen eszközök: Kapcsolók (Switch) Hozzáférési pontok (Access Point) Hidak (Bridge) Ismétlők (Hub) (OSI 1. réteg) Kapcsolók biztonsága/15

16 Kapcsolók biztonsága Kapcsoló illegális csatlakoztatása a hálózathoz lehetővé teszi a támadó részére, hogy: Manipulálja a feszítőfa protokollt Hop VLAN-t hozzon létre Lehallgassa a hálózati forgalmat A kalóz kapcsolók lehetnek trönk képességgel felruházott egyszerű munkaállomások is. A kapcsolót érő támadások fajtái: A MAC réteget érő támadás A VLAN-t érő támadás Átejtés (spoofing) A kapcsolót érő támadás Kapcsolók biztonsága/16

17 A MAC réteget érő támadások Támadási mód Leírás Az elhárítás lépései MAC cím elárasztás A támadó nem létező egyedi forrás MAC című keretekkel árasztja el a kapcsolót. A kapcsolótábla megtelik. Ekkor a létező MAC címekre irányuló keretek elárasztással minden portra eljutnak, mivel új címek már nem férnek be a kapcsolótáblába. Port biztonság beállítása. MAC cím VLAN térkép Kapcsolók biztonsága/17

18 A VLAN-t érő támadások Támadási mód Leírás Az elhárítás lépései VLAN hopping A támadó megváltoztatja a VLAN ID-t a keretben. A támadó eszköz küldhet és fogadhat kereteket különböző VLAN-okba ill. VLANokból, megkerülve a 3. rétegű biztonsági szűrést. Ne konfiguráljuk a portokat, úgy, hogy automatikusan felépítsék a trönk-működést. A nem használt portokat helyezzük közös VLANba. Azonos VLANon lévő eszköz támadása Szükséges lehet az azonos VLANon lévő készülékek védelme egymással szemben is. Pl. szolgáltatói hálózatban lévő szerverek, amelyek több előfizetőt is kiszolgálnak. Privát VLAN-ok (PVLAN) létrehozása Kapcsolók biztonsága/18

19 Átejtés (spoofing) Támadási mód Leírás Az elhárítás lépései DHCP kiéheztetés DHCP átejtés (spoofing) A támadó eszköz kimeríti a rendelkezésre álló IP címtartományt. Beállítja magát DHCP szervernek és man-in-the-middle támadást hajt végre. DHCP szimatolás (snooping) Spanning Tree kompromittálás A támadó eszköz gyökérponti hídnak (Root bridge) állítja be magát az STP-fában. Ezáltal a forgalom nagy része rajta halad keresztül. Az elsődleges és a másodlagos gyökérponti híd kézi beállítása. Root guard engedélyezése. Kapcsolók biztonsága/19

20 Átejtés (spoofing) Támadási mód Leírás Az elhárítás lépései MAC átejtés (spoofing) A támadó eszköz a kapcsoló táblában már bent lévő eszköz MAC-címét használja. A kapcsoló ezután az igazi eszköznek szánt kereteket a hamis eszköznek küldi. DHCP szimatolás (snooping) konfigurálása. Port-biztonság konfigurálása. Address Resolution Protocol (ARP) átejtés A támadó eszköz válaszol az igazi helyett az ARP kérésre, megadva a saját MAC-címét. Dinamikus ARP vizsgálat. DHCP szimatolás (snooping) konfigurálása. Port biztonság konfigurálása. Kapcsolók biztonsága/20

21 A kapcsolót érő támadások Támadási mód Leírás Az elhárítás lépései Cisco Discovery Protocol (CDP) manipulálása A CDP protokoll üzenetei titkosítás és hitelesítés nélkül haladnak a hálózati összeköttetésen. Ez lehallgatható és információ nyerhető a hálózati topológiáról. CDP kikapcsolása minden olyan porton, amelyen a CDP nélkülözhető. Secure Shell Protocol (SSH) és Telnet támadás A Telnet protokoll csomagjai nyílt szövegként haladnak a hálózaton. Az SSH hitelesít és titkosít, de az SSHv1 biztonsági szempontból nem tökéletes. Az SSHv2-t kell használni a kapcsoló konfigurálására. A Telnet-et a virtuális terminálon (vty) alkalmazott ACL-lel használjuk, hogy csak meghatározott gép(ek)ről lehessen bejelentkezni a kapcsolóra. Kapcsolók biztonsága/21

22 MAC cím elárasztás A támadó nem létező egyedi forrás MAC című keretekkel árasztja el a kapcsolót. A kapcsolótábla megtelik. Létező MAC címekre irányuló keretek elárasztással minden portra eljutnak. Ez egyben DoS támadás is. A port biztonság konfigurálása lehetővé teszi, hogy maximáljuk az egy porton bejegyezhető MAC-címek számát és megadjuk, hogy melyek ezek a MAC-címek. Kapcsolók biztonsága/22

23 A port-biztonság lehetőségei Megadhatjuk, hogy maximálisan hány MAC-cím jegyezhető be egy-egy porthoz. Megadhatjuk az adott portra csatlakozó eszközök MAC-címeit. Megadhatjuk, hogy mi történjen a portbiztonság megsértése esetén: Protect: a keretet eldobja, nincs log üzenet. Restrict: a keretet eldobja, log üzenet küld és SNMP trap-et generál. Shut down: a keretet eldobja, log üzenet küld és SNMP trap-et generál és a portot error disabled állapotba helyezi. Ez csak kézi beavatkozással oldható fel. Kapcsolók biztonsága/23

24 Authentication, authorization, and accounting (AAA) A hozzáférés szabályozása Authentication - hitelesítés: ellenőrzi a felhasználó azonosságát Authorization - engedélyezés: meghatározza, mit tehet a felhasználó Accounting - könyvelés: számlázás, ellenőrzés, megfigyelés Ez három független szolgáltatás. Csak a hitelesítéssel foglalkozunk. Kapcsolók biztonsága/24

25 Authentication - Hitelesítés A felhasználót hitelesíteni kell, mielőtt hozzáférhetne a hálózat szolgáltatásaihoz. Egy listát kell megadni, amely tartalmazza a lehetséges hitelesítési módszereket. A listában az egyes módszereket sorrendben kell alkalmazni. A listát azután interfészekhez kell hozzárendelni. Az AAA RADIUS, TACACS+ vagy 802.1x protokollt használ a biztonsági feladat ellátásához. A Cisco IOS által használt hitelesítési módok: Enable password Kerberos 5 Kerberos 5 Telnet hitelesítés Line password (konzol) Helyi adatbázis Helyi adatbázis kis/nagy betű megkülönböztetésével RADIUS TACACS+ Kapcsolók biztonsága/25

26 802.1x port-alapú hitelesítés Az IEEE 802.1x szabvány definiálja a port-alapú hozzáférés vezérlés és hitelesítés protokollt, amely korlátozza a hitelesítetlen eszközök hozzáférését a kapcsoló portokhoz. A hitelesítő szerver hitelesít minden munkaállomást, amely csatlakozik a kapcsoló portokhoz, mielőtt megengedné az állomás hozzáférését a hálózati szolgáltatásokhoz. A hitelesítés folyamata alatt a 802.1x hozzáférés vezérlés csak az Extensible Authentication Protocol over LAN (EAPOL) forgalmat engedélyezi a kapcsoló porton. Kapcsolók biztonsága/26

27 802.1x port-alapú hitelesítés A kapcsoló port kezdetben unauthorized (hitelesítetlen) állapotban van. A hitelesítés akkor kezdődik, amikor a link létrejön az állomás és a kapcsoló port között, vagy az állomás küld egy EAPOL-start keretet. Sikeres hitelesítés után a kapcsoló port authorized (hitelesített) állapotba kerül. Amikor a felhasználó kijelentkezik, küld a kapcsolónak egy EAPOL-logoff üzenetet. A port unauthorized állapotba kerül. A kapcsoló a hitelesítési módszerek listájának első helyén lévő módszerrel próbálja hitelesíteni a munkaállomást. Ha a munkaállomás ezt nem támogatja, a soron következővel próbálkozik. Ha a hitelesítési módszert kiválasztják, és a hitelesítés nem sikerül, nem kerül sor új módszer kiválasztására. Kapcsolók biztonsága/27

28 Védekezés a VLAN-ok elleni támadásokkal szemben VLAN hopping A támadó eszköz trönk automatikus létrehozását kezdeményezi. Ha a kapcsolóport szintén a trönk automatikus létrehozásra van konfigurálva, akkor ez sikeres lehet. A támadó eszköz hozzáférhet minden olyan VLAN forgalmához, amelyik a trönkön áthaladhat: szórásos (broadcast) többes címzésű (multicast) ismeretlen cél-című keretek Ezekhez egyébként normális végállomásként nem férne hozzá. Kapcsolók biztonsága/28

29 Védekezés a VLAN-ok elleni támadásokkal szemben A VLAN hopping megvalósításának két módszere van: VLAN hopping kapcsoló átejtéssel (switch spoofing) VLAN hopping 2-szeres címkézéssel (double tagging) VLAN hopping kapcsoló átejtéssel (switch spoofing) A létrehozott trönk kapcsolaton a támadó állomás küldhet és fogadhat kereteket bármelyik VLAN-ba ill. VLAN-ból, amely a trönkön áthaladhat. Kapcsolók biztonsága/29

30 Védekezés a VLAN-ok elleni támadásokkal szemben VLAN hopping 2-szeres címkézéssel (double tagging) A 2-szeres címkézés lehetővé teszi, hogy egy keretet a forrás VLAN-étól különböző VLAN-ba küldjünk. Kapcsolók biztonsága/30

31 Védekezés a VLAN-ok elleni támadásokkal szemben VLAN hopping 2-szeres címkézéssel (double tagging) Natív VLAN: Minden trönk portnak van egy ún. natív VLAN-ja. A natív VLAN-ba tartozó keretek címkézetlenül haladnak át a trönkön! A támadó állomás szórásos, többes címzésű vagy ismeretlen cél-című keretet küld két 802.1Q címkével (VLAN 10) az első kapcsolónak. A kapcsoló eltávolítja a külső címkét, majd továbbítja az össze portra, amely azonos VLAN-ban van a címkében foglalt VLAN-nal. Ha a második kapcsoló felé induló trönk port natív VLAN-ja (10-es) azonos VLAN-ban van annak a portnak a natív VLAN-jával, amelyen belépett az első kapcsolón, nem címkézi újra a keretet, hanem továbbítja a trönkön a belső VLAN-címkével. A második kapcsoló eltávolítja a címkét (20-as), és kiküldi az összes VLAN-20-ba tartozó porton. Ha a trönk port natív VLAN-ja különbözik a bejövő port VLAN-jától, a keret a trönkön kétszeres címkével halad tovább, és a második kapcsolónak csak a 10-es VLAN-ba tartozó portjain fog kijutni. Ez esetben nincs VLAN hopping. Kapcsolók biztonsága/31

32 Védekezés a VLAN-ok elleni támadásokkal szemben Védekezés a VLAN hopping támadással szemben Minden nem használt kapcsoló portot hozzáférési portként (access port) konfiguráljunk. Így tárgyalásos trönk kialakítás nem lehetséges. Soroljunk minden nem használt portot egy olyan VLAN-ba, amelyet nem használunk forgalom továbbítására, és kapcsoljuk ki (shutdown). Trönk konfigurálásakor tartsuk be a következő szabályokat: A trönk port natív VLAN tagsága különbözzön minden használt VLANétól. A trönköt kapcsoljuk on -ba, ne hagyjuk hogy tárgyalásos úton jöjjön létre. Határozzuk meg, hogy mely VLAN-ok forgalma haladhasson át a trönkön. Kapcsolók biztonsága/32

33 Védekezés a VLAN-ok elleni támadásokkal szemben VLAN hozzáférési listák (ACL) Típusai: 1. Router ACL (RACL) 3. rétegű kapcsoló esetén. Irányított vagy SVI (Switched Virtual Interface) portra alkalmazható. Standard/extended. 2. Port ACL (PACL). 2. rétegű portra, trönk portra vagy Etherchannel portra alkalmazható. Szűrheti az IP forgalmat IP ACL használatával, vagy nem IP forgalom esetén MAC-címek használatával. Kapcsolók biztonsága/33

34 Védekezés a VLAN-ok elleni támadásokkal szemben VLAN hozzáférési listák (ACL) Típusai: 3. VLAN ACL (VACL). 3. rétegű kapcsoló esetén. 2. és 3. rétegű paraméterek alapján lehet szűrni. Nem irányfüggő (input/output). A VLAN-ok közötti vagy VLAN-on belüli forgalom szűrhető. Kapcsolók biztonsága/34

35 Védekezés a VLAN-ok elleni támadásokkal szemben Pirvate VLAN-ok Korlátozhatjuk a VLAN-on belüli forgalmat. Pl. szolgáltatói hálózatban lévő szerverek, amelyek több előfizetőt is kiszolgálnak. Private VLAN nélkül ez úgy oldható meg, hogy egyetlen portból álló VLAN-okat hozunk létre, és az ezek közötti forgalmat 3. rétegű eszközzel szűrjük. Ez nem gazdaságos: Túl sok irányított interfészre volna szükség A STP túl sok erőforrást emésztene fel Túl sok alhálózatot kellene létrehozni Túl sok ACL-t kellene létrehozni Kapcsolók biztonsága/35

36 Védekezés az átejtés (spoofing) támadásokkal szemben DHCP átejtés (spoof) támadás A támadó DHCP szerverként viselkedik, válaszol a DHCP kérésekre, saját magát adja meg alapértelmezett átjárónak vagy DNS szervernek. Ha a támadó előbb válaszol a DHCP kérésekre mint a valódi DHCP szerver, a kérelmező a támadó gép ajánlatát (IP-cím, alapértelmezett átjáró, DNS szerver, stb.) fogadja el. Ezáltal man-in-the-middle támadást hajt végre. A megtámadott eszköz minden forgalmát felhasználja, majd továbbítja a kívánt hálózatba. Kapcsolók biztonsága/36

37 Védekezés az átejtés (spoofing) támadásokkal szemben Védekezés DHCP átejtés támadással szemben: DHCP snooping (Cisco) Megadható, hogy a kapcsoló mely portjai válaszolhatnak DHCP kérésekre, és melyek fogadhatnak DHCP válaszokat. A trusted (megbízható) portok DHCP válaszokat fogadhatnak, és uplinkként viselkednek a DHCP szerverek felé. Az untrusted (nem megbízható) portok csak DHCP kéréseket fogadhatnak. Nem fogadhatnak DHCPOFFER, DHCPACK és DHCPNAK üzeneteket. A DHCP folyamat során egy ún. DHCP binding table készül az untrusted portokon a következő adatokkal: ügyfél MAC-címe, IP-címe, bérleti idő, típus, VLAN ID, port ID Kapcsolók biztonsága/37

38 Védekezés az átejtés (spoofing) támadásokkal szemben Védekezés IP forrás-cím hamisítással szemben: IP source guard Egy nem megbízható port kezdetben csak a DHCP kéréseket fogad. Miután a portra csatolt gép megkapta az IP címét, már csak olyan csomagokat fogad a géptől, amelynek forrás IP címét DHCP-vel közvetítette a gép felé. Kapcsolók biztonsága/38

39 Védekezés az átejtés (spoofing) támadásokkal szemben Az Address Resolution Protocol (ARP) átejtés A B támadó eszköz kéretlen ARP választ küld az C forgalomirányítónak: az A gép MAC-címe B.B.B.B, IP-címe: A B támadó eszköz kéretlen ARP választ küld az A gépnek: a forgalomirányító MAC-címe B.B.B.B, IP-címe: Ezután a forgalomirányító és az A gép közötti forgalmat a B gép közvetíti. Kapcsolók biztonsága/39

40 Védekezés az átejtés (spoofing) támadásokkal szemben Védekezés Address Resolution Protocol (ARP) átejtéssel szemben: Dynamic ARP Inspection (DAI) DAI ellenőrzi az ARP üzenetek érvényességét a DHCP snooping databaseben. Kapcsolók biztonsága/40

41 Védekezés az átejtés (spoofing) támadásokkal szemben Védekezés Address Resolution Protocol (ARP) átejtéssel szemben: Dynamic ARP Inspection (DAI) Ellenőrzés nélkül továbbítja trusted porton érkező ARP csomagokat. Lehallgatja az untrusted porton érkező ARP csomagokat. Továbbítás előtt ellenőrzi az elfogott ARP csomagokat, hogy érvényes IP- MAC-cím párosítással rendelkeznek-e. Eldobja és/vagy naplózza az érvénytelen IP-MAC-cím párosítással rendelkező ARP csomagokat. A hozzáférési portok untrusted, a többiek pedig trusted típusúak. A DAI a DHCP snooping-gal együtt használható! Kapcsolók biztonsága/41

42 A kapcsolót érő támadások A Disco Discovery Protocol (CDP) A CDP segítségével Cisco eszközök azonosítják egymást és néhány fontos jellemzőjüket cserélik ki: képesség, IP-cím, MAC-cím, stb. A CDP a 2. rétegben működik. Csak a közvetlen szomszédok cserélnek információt. Az információ nyílt szövegben halad, lehallgatható. A CDP néhány menedzsment alkalmazáshoz elengedhetetlenül szükséges. Kapcsoljuk ki a CDP-t minden olyan porton, ahol nem feltétlenül szükséges használni. Kapcsolók biztonsága/42

43 A kapcsolót érő támadások A Telnet sérülékenysége Minden adat nyílt szövegben halad (felhasználónév, jelszó is). Azonosítóval rendelkező felhasználó emelt szintű privilégiumokkal rendelkezik. Egy támadó megszakíthatja a legitim felhasználó telnet kapcsolatát (DoS). Megfelelő azonosító és jelszó birtokában a támadó egy egész tartomány kapcsolóihoz hozzáférhet. Az SSHv2-t használjuk telnet helyett. A Telnet-et a virtuális terminálon (vty) alkalmazott ACL-lel használjuk, meghatározott gép(ek)ről. Kapcsolók biztonsága/43

44 A kapcsolót érő támadások Az SSH használata Erős hitelesítést és titkosítást végez. Felváltja az rlogin, rsh, rcp, rdist és telnet protokollt. Az SSHv1 sérülékeny. Ahol lehet az SSHv2-t kell használni. Switch(config)# username Dodo password titok Switch(config)# ip domain-name sshtest.lab Switch(config)# crypto key generate key Switch(config)# line vty 0 15 Switch(config-line)# login local Switch(config-line)# transport input ssh Ügyfélprogram pl.: PuTTY, SecureCRT. Kapcsolók biztonsága/44

45 A kapcsolót érő támadások A vty vonalakra alkalmazható ACL-ek Meghatározható, hogy mely IP-címekről lehessen bejelentkezni a terminál vonalakon (vty) a kapcsolóba. Switch(config)# access-list 12 permit Switch(config)# line vty 0 15 Switch (config-line)# access-class 12 in A vty vonalak száma platform függő. Minden portra azonos megszorításokat célszerű alkalmazni. Azonos a forgalomirányítókon használt konfigurációval. Kapcsolók biztonsága/45

46 A legjobb gyakorlat a kapcsolók biztonságára A hálózatot érő biztonsági fenyegetések: Forgalom lehallgatása Adatlopás Visszaélés más nevével Adatintegritás megsértése A kapcsolt hálózat létesítésekor, vagy új eszközök telepítésekor a vállalati biztonsági politikát kell figyelembe venni. Tegyük biztonságossá a kapcsolókat. Tegyük biztonságossá a kapcsoló protokollokat. Enyhítsük a kapcsoló segítségével elkövethető támadásokat. A teljes hálózatot, annak minden eszközét és protokollját együttesen kell biztonságossá tenni. Kapcsolók biztonsága/46

47 A legjobb gyakorlat a kapcsolók biztonságára Egy jól kialakított biztonsági politika jellegzetességei: Megadja a hálózat biztonsága ellenőrzésének (audit) folyamatát. Általános keret ad a hálózati biztonság magvalósításához. Leírja az elektronikus adatok kezelésével szembeni nem megengedett eljárásokat. Meghatározza, hogy milyen eszközökre és eljárásokra van szükség a vállalatnál. Konszenzust teremt a legfőbb döntéshozók között, és meghatározza a felhasználók és a rendszergazdák felelősségét. Meghatározza a hálózat biztonságot érintő incidensek kezelésének folyamatát. Magában foglalja az összes telephelyet érintő, vállalati szintű biztonság megvalósításának és végrehajtásának tervét. Kapcsolók biztonsága/47

48 A legjobb gyakorlat a kapcsolók biztonságára A kapcsoló biztonságát növelő gyakorlat: Állítsuk be a rendszer jelszavát. Tegyük biztonságossá a konzol fizikai elérését. Tegyük biztonságossá a Telnet elérést. Használjuk az SSH-t, ahol csak lehet. Konfiguráljuk a banner -t (figyelmeztetés bejelentkezéskor). Használjuk a naplózásra a Syslog-ot, ha lehet. Kapcsoljuk ki a kapcsoló nem használt szolgáltatásait. Pl. no service tcp-small-servers no service udp-small-servers no service finger no service config Állítsuk le a http szolgáltatást, ha nem használjuk. Kapcsoljuk ki a CDP-t minden olyan interfészen, ahol nem szükséges. Tegyük biztonságossá a feszítőfa topológiát. Kapcsolók biztonsága/48

49 A legjobb gyakorlat a kapcsolók biztonságára A kapcsoló biztonságát növelő gyakorlat: (folytatás) Tegyük biztonságossá a nem használt kapcsoló portokat: állítsuk le az interfészt helyezzük egy nem használt VLAN-ba konfiguráljuk access portként, nehogy automatikusan trönkké váljon Kapcsoljuk ki a trönk automatikus, tárgyalásos létesítésének lehetőségét. Használjunk port-biztonságot. Konfiguráljuk a DHCP snooping-ot. Konfiguráljuk a Dynamic ARP Inspection-t (DAI). Kapcsolók biztonsága/49