16. Безопасность

Общие сведения о безопасности

  • Атака на коммутируемую сеть начинается с абонентских портов (большая часть угроз рождается внутри сети)

    • Защищаться от этих атак необходимо на портах доступа

    • Необходимо принимать во внимание не только заголовок L2, но и другие свойства трафика, которые возможно проанализировать на коммутаторе

    • Способности коммутатора по анализу трафика ограничены, но пренебрегать ими не стоит

  • Абонентских коммутаторов и портов на них много

    • Поэтому автоматизируем все, что возможно

  • Начинается все с физической безопасности коммутаторов

Фильтрация трафика с ACL на MLS

  • PACL на физическом порту, в который включен конечный хост (только на входящий трафик)

  • Внутри VLAN используем VACL

  • На SVI используем ACL c фильтрацией по IP

Port ACL

Port ACL - список контроля доступа, используемый для фильтрации входящего трафика на физических интерфейсах коммутаторов

  • Может отбирать трафик на основании заголовков IPv4, IPv6 и Ethernet

  • На интерфейс назначается только один PACL каждого типа (MAC, IP, ...) на вход

VLAN ACL

  • Применяются ко всем кадрам, коммутируемым в VLAN

    • Нет явного направления, классификация по заголовкам MAC/IPv4

  • Конфигурирование с помощью VLAN access maps

    • Совпадение ищется с помощью ACL

    • Для каждого совпадения обозначаются действия: Forward, Drop, Redirect

    • Порядок поиска совпадений важен

    • Один access map можно применить к нескольким VLAN

  • Отбрасываются кадры, не подходящие ни под одно правило

  • Фильтрация IPv6 с помощью VACL не поддерживается

MAC Spoofing

  • Подмена MAC-адреса с целью получения чужих кадров

  • Атаку можно предотвратить с помощью 802.1X или Port Security

Переполнение таблицы FDB

  • Переполнение таблицы FDB позволяет получать копии чужих кадров так как коммутатор при переполнении таблицы начнет рассылать кадры во все порты

  • Атаку можно предотвратить с помощью Port Security

Port Security

  • На каждом порту ведется "белый список" MAC-адресов источника

  • Количество записей в списке задается администратором

  • Адреса в список можно заносить:

    • из конфигурации (startup-config или вручную)

    • автоматически при получении кадра, если в списке есть свободное место

  • Если получен кадр от отсутствующего в списке адреса, а список уже полный, то возникает нарушение безопасности

  • На транках Port Security работает некорректно на некоторых платформах, желательно использовать только на access. Иначе он будет записывать MAC адреса в Native VLAN, что может сломать коммутацию.

Типы адресов:

  • "Белый список" на порту хранится в отдельной энергозависимой памяти (не в running-config), которая при перезагрузке обнуляется

  • В списке могут присутствовать следующие типы адресов:

    • Адреса, добавленные из конфигурации (Static и Sticky)

    • Адреса, добавленные автоматически по факту получения кадра без нарушения (Dynamic)

  • В режиме Sticky динамические адреса копируются в running-config, и при сохранении конфигурации они ведут себя как статические

Поведение при нарушении безопасности:

  • Protect: дроп кадров при нарушении

  • Restrict: дроп кадров с отправкой сообщения в SYSLOG, SNMP (если настроено) и в счетчик нарушений

  • Shutdown: порт при нарушении помещается в err-disable

Настройка Port Security:

Диагностика Port Security:

Доступ на индивидуальной основе

  • Механизм централизованного предоставления права коммутации

    • Использует AAA для авторизации и аутентификации

    • Удобный, масштабируемый, отказоустойчивый

  • Аутентификация по локальной или внешней базе использует:

    • Данные учетной записи

    • Сертификаты x.509

    • Биометрические сведения

    • Одноразовые пароли

  • Для аутентификации по внешней базе можно использовать протоколы RADIUS или TACACS+

Различия RADIUS и TACACS+

RADIUS

TACACS+

RFC 2865, поддерживается многими вендорами

Проприетарное расширение протокола TACACS

Использует UDP, порты 1812 и 1813

Использует TCP, порт 49

Совмещает аутентификацию и авторизацию в рамках одного процесса

Разделяет аутентификацию, авторизацию и аккаунтинг между отдельными процессами

Требует от клиента принятия авторизации в момент аутентификации (единый процесс)

Позволяет клиенту выполнять авторизацию в любое время после аутентификации

Не использует шифрование (некоторые используемые протоколы аутентификации могут шифровать учетные данные)

Шифруется вся информация, передаваемая между клиентом и сервером в рамках сессии

Удобен для управления доступом к сети

Удобен для управления доступом к CLI

  • Важно, что это протоколы доступа к базе, а не сама база.

Аутентификация и авторизация в 802.1AX

  • Используется Extensible Authentication Protocol (EAP)

    • Сервер AAA должен поддерживать EAP

  • Возможности авторизации:

    • Назначение VLAN (Normal VLAN, Guest VLAN, Restricted VLAN, Crit-auth VLAN)

    • Назначение ACL

    • Доступ на основе времени

    • Доступ на основе групп безопасности

  • Для клиентов, не поддерживающих EAPOL (EAPoverLAN), может использоваться MAC Authentication Bypass, веб-аутентификация или Port Security

    • MAB использует для RADIUS Access-Request MAC-адреса из входящих портов

  • Можно независимо аутентифицировать разных клиентов на порту

Аутентификация - процесс идентификации клиента

Авторизация - выдача прав пользователю

Обзор 802.1X

  • 802.1X - механизм аутентификации устройств на порту коммутатора

    • Аналогичный механизм в Wi-Fi называется WPA2-EAP

  • В 802.1X каждое устройство выполняет одну из ролей:

    • Supplicant: агент на конечном устройстве, запрашивает доступ к сети

    • Authenticator: агент на коммутаторе, контролирует доступ клиента к сети. Является своеобразным посредником между клиентом и сервером ААА

    • Сервер аутентификации: осуществляет аутентификацию и авторизацию

Аутентификация узла в 802.1X

Может инициироваться как суппликантом, так и аутентификатором

Настройка 802.1X

Конфигурация 802.1X на интерфейсе и в глобальном конфиге

Cisco TrustSec

  • Упрощает развертывание и управление защищенным доступом к сетевым сервисам и приложениям

  • Совмещает концепции меток безопасности (SGT) и MACSec (802.1AE)

    • MACSec - фреймворк для CIA-защиты кадров, аналогичный IPSec

    • SGT (Security Group Tag) - доверенные метки аутентификации, добавляются на "входе" в пределы домена TrustSec

  • Фильтрация на устройствах осуществляется уже посредством меток

Метки SGT

  • Назначение меток:

    • Статическое - для IP адресов, портов коммутатора

    • Динамическое - при аутентификации 802.1X - для машин или пользователей

  • Транспортировка меток:

    • В заголовке Cisco Meta Data (CMD), EtherType 0x8909 (Inline Tagging)

    • Если транзитные узлы не поддерживают Inline Tagging, применяется протокол SXP (SGT eXchange Protocol), обменивающийся привязками IP к SGT

  • И самое интересное - фильтрация на основе меток:

    • Коммутаторы применяют SGACL аппаратно, без потери производительности

Защита IP на абонентском порту

  • IPv4

    • DHCP Snooping

    • Dynamic ARP inspection

    • IP Source Guard

  • IPv6

    • DHCPv6 Snooping - аналогичен DHCP Snooping в IPv4

    • IPv6 ND Snooping - аналогичен DAI в IPv4

    • IPv6 RA Guard - запрещает прием RA на недоверенных портах

    • IPv6 Source Guard and Prefix Guard

        • Source Guard - аналог IP Source Guard, проверяет по базе ND

        • Prefix Guard - проверяет адрес на соответствие префиксам RA/DHCPv6

    • IPv6 Destination Guard - механизм защиты от переполнения таблицы ND, отбрасываются пакеты на отсутствующие в ND connected-адреса

        • ND resolution rate limiter - ограничивает частоту отправляемых ND-запросов

ARP Cache Poisoning

Защита ARP

  • Dynamic ARP Inspection:

    • DAI определяет каждый интерфейс как доверенный либо недоверенный

    • Доверенные интерфейсы пропускают трафик ARP (ответы)

    • Ответы ARP с недоверенных интерфейсов подвергаются инспекции MAC и IP

  • По умолчанию используется база DHCP Snooping

    • Можно задавать статические соответствия адресов

    • Записи имеют срок действия

    • Записи хранятся в базе снупинга, не видны в running-config (по умолчанию во flash памяти)

  • Можно задать инспекцию по ARP ACL (привязкам IP-MAC) из конфига

    • Удобно в средах со статическими адресами, не использующими DHCP

    • По умолчанию проверка сначала по ARP ACL, потом по базе снупинга

Настройка DAI (DHCP Snooping):

Ручное добавление записи в базу DHCP Snooping:

Например, когда адрес хоста настроен статически и DHCP пакетов хост не формирует

Использование ARP ACL (ключ static - вместо базы DHCP Snooping)

Диагностика DAI:

IP Source Guard

  • Механизм защиты от подмены IP-адреса (IP Spoofing), использующий базу снупинга или статические привязки (но снупинг все равно нужен)

    • Проверяет у входящих IP-пакетов адрес источника

    • По умолчанию не проверяет MAC-адрес, но можно настроить

  • Имеет ограничения:

    • Не работает вместе с Private VLAN

    • Создает неявный PACL

IP Source Guard и Port Security

  • IP Source Guard может использовать базу Port Security для контроля соответствия IP- и MAC-адресов источника во входящих кадрах

Инфраструктурные ACL

  • На всех пограничных интерфейсах необходимо фильтровать кадры с заведомо небезопасной адресной информацией

    • Пакеты с адресами назначения в вашей сети управления

  • На L3 Access следует использовать Unicast Reverse Path Forwarding

    • Проверяется соответствие входящего интерфейса для пакета выходному интерфейсу до маршрута в сторону адреса источника в пакете

Работа с интерфейсами Err-diable

  • Статус Err-disable можно снимать автоматически

    • Можно указать причины errdisable для автоматического снятия

    • Глобальный таймер автоматического снятия

  • Снять статус Errdisable с порта - shut/no shut

Посмотреть список портов:

Отображение причин errdisable:

Управление механизмами (включить/отключить):

Previous15. VTPNext17. Private VLAN

Last updated