16. Безопасность
Общие сведения о безопасности
Атака на коммутируемую сеть начинается с абонентских портов (большая часть угроз рождается внутри сети)
Защищаться от этих атак необходимо на портах доступа
Необходимо принимать во внимание не только заголовок L2, но и другие свойства трафика, которые возможно проанализировать на коммутаторе
Способности коммутатора по анализу трафика ограничены, но пренебрегать ими не стоит
Абонентских коммутаторов и портов на них много
Поэтому автоматизируем все, что возможно
Начинается все с физической безопасности коммутаторов
Фильтрация трафика с ACL на MLS
PACL на физическом порту, в который включен конечный хост (только на входящий трафик)
Внутри VLAN используем VACL
На SVI используем ACL c фильтрацией по IP
Port ACL
Port ACL - список контроля доступа, используемый для фильтрации входящего трафика на физических интерфейсах коммутаторов
Может отбирать трафик на основании заголовков IPv4, IPv6 и Ethernet
На интерфейс назначается только один PACL каждого типа (MAC, IP, ...) на вход
VLAN ACL
Применяются ко всем кадрам, коммутируемым в VLAN
Нет явного направления, классификация по заголовкам MAC/IPv4
Конфигурирование с помощью VLAN access maps
Совпадение ищется с помощью ACL
Для каждого совпадения обозначаются действия: Forward, Drop, Redirect
Порядок поиска совпадений важен
Один access map можно применить к нескольким VLAN
Отбрасываются кадры, не подходящие ни под одно правило
Фильтрация IPv6 с помощью VACL не поддерживается
MAC Spoofing
Подмена MAC-адреса с целью получения чужих кадров
Атаку можно предотвратить с помощью 802.1X или Port Security
Переполнение таблицы FDB
Переполнение таблицы FDB позволяет получать копии чужих кадров так как коммутатор при переполнении таблицы начнет рассылать кадры во все порты
Атаку можно предотвратить с помощью Port Security
Port Security
На каждом порту ведется "белый список" MAC-адресов источника
Количество записей в списке задается администратором
Адреса в список можно заносить:
из конфигурации (startup-config или вручную)
автоматически при получении кадра, если в списке есть свободное место
Если получен кадр от отсутствующего в списке адреса, а список уже полный, то возникает нарушение безопасности
На транках Port Security работает некорректно на некоторых платформах, желательно использовать только на access. Иначе он будет записывать MAC адреса в Native VLAN, что может сломать коммутацию.
Типы адресов:
"Белый список" на порту хранится в отдельной энергозависимой памяти (не в running-config), которая при перезагрузке обнуляется
В списке могут присутствовать следующие типы адресов:
Адреса, добавленные из конфигурации (Static и Sticky)
Адреса, добавленные автоматически по факту получения кадра без нарушения (Dynamic)
В режиме Sticky динамические адреса копируются в running-config, и при сохранении конфигурации они ведут себя как статические
Поведение при нарушении безопасности:
Protect: дроп кадров при нарушении
Restrict: дроп кадров с отправкой сообщения в SYSLOG, SNMP (если настроено) и в счетчик нарушений
Shutdown: порт при нарушении помещается в err-disable
Настройка Port Security:
Диагностика Port Security:
Доступ на индивидуальной основе
Механизм централизованного предоставления права коммутации
Использует AAA для авторизации и аутентификации
Удобный, масштабируемый, отказоустойчивый
Аутентификация по локальной или внешней базе использует:
Данные учетной записи
Сертификаты x.509
Биометрические сведения
Одноразовые пароли
Для аутентификации по внешней базе можно использовать протоколы RADIUS или TACACS+
Различия RADIUS и TACACS+
RADIUS | TACACS+ |
RFC 2865, поддерживается многими вендорами | Проприетарное расширение протокола TACACS |
Использует UDP, порты 1812 и 1813 | Использует TCP, порт 49 |
Совмещает аутентификацию и авторизацию в рамках одного процесса | Разделяет аутентификацию, авторизацию и аккаунтинг между отдельными процессами |
Требует от клиента принятия авторизации в момент аутентификации (единый процесс) | Позволяет клиенту выполнять авторизацию в любое время после аутентификации |
Не использует шифрование (некоторые используемые протоколы аутентификации могут шифровать учетные данные) | Шифруется вся информация, передаваемая между клиентом и сервером в рамках сессии |
Удобен для управления доступом к сети | Удобен для управления доступом к CLI |
Важно, что это протоколы доступа к базе, а не сама база.
Аутентификация и авторизация в 802.1AX
Используется Extensible Authentication Protocol (EAP)
Сервер AAA должен поддерживать EAP
Возможности авторизации:
Назначение VLAN (Normal VLAN, Guest VLAN, Restricted VLAN, Crit-auth VLAN)
Назначение ACL
Доступ на основе времени
Доступ на основе групп безопасности
Для клиентов, не поддерживающих EAPOL (EAPoverLAN), может использоваться MAC Authentication Bypass, веб-аутентификация или Port Security
MAB использует для RADIUS Access-Request MAC-адреса из входящих портов
Можно независимо аутентифицировать разных клиентов на порту
Аутентификация - процесс идентификации клиента
Авторизация - выдача прав пользователю
Обзор 802.1X
802.1X - механизм аутентификации устройств на порту коммутатора
Аналогичный механизм в Wi-Fi называется WPA2-EAP
В 802.1X каждое устройство выполняет одну из ролей:
Supplicant: агент на конечном устройстве, запрашивает доступ к сети
Authenticator: агент на коммутаторе, контролирует доступ клиента к сети. Является своеобразным посредником между клиентом и сервером ААА
Сервер аутентификации: осуществляет аутентификацию и авторизацию
Аутентификация узла в 802.1X
Может инициироваться как суппликантом, так и аутентификатором
Настройка 802.1X
Конфигурация 802.1X на интерфейсе и в глобальном конфиге
Cisco TrustSec
Упрощает развертывание и управление защищенным доступом к сетевым сервисам и приложениям
Совмещает концепции меток безопасности (SGT) и MACSec (802.1AE)
MACSec - фреймворк для CIA-защиты кадров, аналогичный IPSec
SGT (Security Group Tag) - доверенные метки аутентификации, добавляются на "входе" в пределы домена TrustSec
Фильтрация на устройствах осуществляется уже посредством меток
Метки SGT
Назначение меток:
Статическое - для IP адресов, портов коммутатора
Динамическое - при аутентификации 802.1X - для машин или пользователей
Транспортировка меток:
В заголовке Cisco Meta Data (CMD), EtherType 0x8909 (Inline Tagging)
Если транзитные узлы не поддерживают Inline Tagging, применяется протокол SXP (SGT eXchange Protocol), обменивающийся привязками IP к SGT
И самое интересное - фильтрация на основе меток:
Коммутаторы применяют SGACL аппаратно, без потери производительности
Защита IP на абонентском порту
IPv4
DHCP Snooping
Dynamic ARP inspection
IP Source Guard
IPv6
DHCPv6 Snooping - аналогичен DHCP Snooping в IPv4
IPv6 ND Snooping - аналогичен DAI в IPv4
IPv6 RA Guard - запрещает прием RA на недоверенных портах
IPv6 Source Guard and Prefix Guard
Source Guard - аналог IP Source Guard, проверяет по базе ND
Prefix Guard - проверяет адрес на соответствие префиксам RA/DHCPv6
IPv6 Destination Guard - механизм защиты от переполнения таблицы ND, отбрасываются пакеты на отсутствующие в ND connected-адреса
ND resolution rate limiter - ограничивает частоту отправляемых ND-запросов
ARP Cache Poisoning
Защита ARP
Dynamic ARP Inspection:
DAI определяет каждый интерфейс как доверенный либо недоверенный
Доверенные интерфейсы пропускают трафик ARP (ответы)
Ответы ARP с недоверенных интерфейсов подвергаются инспекции MAC и IP
По умолчанию используется база DHCP Snooping
Можно задавать статические соответствия адресов
Записи имеют срок действия
Записи хранятся в базе снупинга, не видны в running-config (по умолчанию во flash памяти)
Можно задать инспекцию по ARP ACL (привязкам IP-MAC) из конфига
Удобно в средах со статическими адресами, не использующими DHCP
По умолчанию проверка сначала по ARP ACL, потом по базе снупинга
Настройка DAI (DHCP Snooping):
Ручное добавление записи в базу DHCP Snooping:
Например, когда адрес хоста настроен статически и DHCP пакетов хост не формирует
Использование ARP ACL (ключ static - вместо базы DHCP Snooping)
Диагностика DAI:
IP Source Guard
Механизм защиты от подмены IP-адреса (IP Spoofing), использующий базу снупинга или статические привязки (но снупинг все равно нужен)
Проверяет у входящих IP-пакетов адрес источника
По умолчанию не проверяет MAC-адрес, но можно настроить
Имеет ограничения:
Не работает вместе с Private VLAN
Создает неявный PACL
IP Source Guard и Port Security
IP Source Guard может использовать базу Port Security для контроля соответствия IP- и MAC-адресов источника во входящих кадрах
Инфраструктурные ACL
На всех пограничных интерфейсах необходимо фильтровать кадры с заведомо небезопасной адресной информацией
Пакеты с адресами назначения в вашей сети управления
На L3 Access следует использовать Unicast Reverse Path Forwarding
Проверяется соответствие входящего интерфейса для пакета выходному интерфейсу до маршрута в сторону адреса источника в пакете
Работа с интерфейсами Err-diable
Статус Err-disable можно снимать автоматически
Можно указать причины errdisable для автоматического снятия
Глобальный таймер автоматического снятия
Снять статус Errdisable с порта - shut/no shut
Посмотреть список портов:
Отображение причин errdisable:
Управление механизмами (включить/отключить):
Last updated