Securitatea la switch de nivelul de tip acces
a) Port security
b) port protected
c) Port blocked
d) Acces la switch fara parola
e) Storm control
a)
Default nu e pornit Port Security
Tipuri de atacuri oprite de Port Security
- MAC address spoofing
- - schimbarea MAC-ului asignat de vendor cu un altul
- - Se aplica doar pentru MAC-urile invatate pe acelasi switch
- - in plus pe porturile configurate cu PS
- CAM address overflow
- - Se limiteaza numarul de MAC-uri ce pot fi invatate
- - securitatea este pe traficul inbound
Tipuri de reactii la Port Security Violation
- Protect
- – se blocheaza traficul ofensator
- Restrict
(Protect) plus:
- - Se incrementeaza un contor de eroare
- - Se genereaza un mesaj in syslog
- - Se genreaza un mesaj SNMP Trap de avertisment
- - Mesajele Syslog sunt vizibile si in CLI
- - SNMP trebuie configurat
- Shutdown
(Restrict) plus:
- - Se duce portul ofensator in starea ERR-Disable ~ cu SHUTDOWN
Default tip de reactie este Shutdown
ERR-DISABLE RECOVERY
Manual:
- - SW(c-if)#shutdown
- - se asteapta cateva secunde
- - SW(c-if)#no shutdown
Automat
- - SW(c)#errdisable recovery cause psecure violation
- - SW(c)#errdisable recovery interval <sec> (default 300s)
Tipuri de MAC-uri invatate pe porturile port security.
I. Secure Dynamic (default)
Doua tabele
- - CAM
- - MAC-uri securizate (la iOS-uri mai vechi aceasta tabela poate fi in tabela CAM)
Se introduc in CAM (tabela CAM se gaseste in ASIC-uri) (1)
Dupa ce se introduc in CAM se introduc in tabela cu MAC-uri securizate (2)
DEFAULT NU DISPAR MAC-urile
Se dezinvata daca:
- - shut, no shut pe interfata
- - reboot switch
- - Link Up/ Link Down (flapping)
Se pastreaza in CAM , altfel
- - interval de timp infinit (default) (3)
Se invata automat
II. Static Secure
- - Idem 1, 2, 3
- - Se invata manual (prin admin)
- - Se pastreaza in running-config (flapping-ul interfetei nu va afecta cu nimic) (4)
- - Se pot duce in startup-config (flapping-ul sw nu va afecta tabelele) (4)
III. Secure Sticky
- - Idem 1, 2, 4
- - Nu fac timeout (5)
- - Se invata dinamic (auto)
- - Rezultatul invatarii apare printr-o comanda in running–config
IIIa. Statuc Secure Sticky
- - Idem 1, 2, 4, 5
- - Se invata manual
Combinatii posibile:
- Secure Dynamic – Secure Static
- Sticky – Static
AGEING
Il poate avea un MAC
- - Dynamic Secure
- - Static Secure
Poate fi configurat pentru D.S. sau S.S.
Daca se configureaza pentru S.S se aplica automat si pentru D.S. dar nu invers.
Tipul:
- - absolut
- - de inactivitate
Timp:
- - default 0
- - configurabil 1 – 1140 minute
CONFIGURARE
SW(c)#interface range
- fa0/1 , fa0/7 (interfetele fa0/1 SI interfata fa0/7
- fa0/3 – 10 (interfetele de la fa0/3 pana la inclusiv fa0/10 – 8 interfete)
- fa0/11, fa0/22 – fa0/24 (interfetele fa0/11, fa0/22, 23 si 24)
(ar trebui data printre ultimele)
#switchport port-security
(numarul maxim de mac-uri invatabile)
#switchport port-security maximum <nr>
#switchport port-security mac-address <n.n.n>
#switchport port-security violation { protect | restrict | shutdown }
(trece de la dynamic la sticky)
#switchport port-security mac –address sticky
#switchport port-security mac –address sticky <n.n.n>
#switchport port-security aging-time <sec>
#switchport port-security aging-type { absolute | inactivity }
(prima comanda)
#switchport mode access (poate fi access sau trunk)
VIZUALIZARE
#show port-security
- - <cr>
- - interface <fa0/x> (se poate verifica daca e secure down sau up)
- - interface address
- - address
#show err-disable recovery
#show interface status [err-disable]
#show mac address table secure
TROUBLESHOOT
#debug port-security
b)Port protected
Configurare Sw
Se#define macro <name> interface range (vezi mai sus)
sw#interface range <macro>
sw(c-if-range)#switchport protected
#show interface <interfata> switchport
Config Router
interface fa0/0
ip proxy arp
ip local-proxy arp
Vizualizare
show ip interface fa0/0
(se vede daca proxy arp este disabled sau enabled)
d)Accesul la sw fara parola
1)Deconectezi de la tensiune SW
2)Se apasa butonul MODE
3)Conectare la tensiune a SW
4)In promptul Switch: se scrie
flash_init
4.1)more flash:/config.text
5)rename flash:/config.text flash:/xyz.abc
6)boot sau i
7)Setup mode (y/n)
8)SW>en
9)SW#copy flash:/xyz.abc system:/running-config
10)Inlocuire parole
11)write[config] sau copy run-start sau wr
No comments:
Post a Comment